Parlamentarie e sicurezza

Leggo in questi giorni delle “primarie” interne al Movimento 5 Stelle. I commenti sono i più vari, ma vorrei fare qualche considerazione assolutamente non politica, ma tecnica. E parto dalla conclusione, che per chi segue questo blog non sarà una sorpresa: le votazioni online sono un’ottima cosa per quei casi in cui l’interesse a imbrogliare è tanto basso da essere abbondantemente superato dai vantaggi di partecipazione. Ad esempio, è ottimo per le associazioni culturali. Ma non appena anche solo il sospetto della possibilità di brogli è significativo, la votazione online mostra tutti i suoi limiti. Non mi ripeto su tutte le questioni tecniche, che ho già discusso tante volte, mi limito a riassumere alcune considerazioni.

Il voto da remoto non offre nessuna garanzia rispetto al controllo e alla coercizione. Addirittura, ricordo di aver letto di un liceo in US in cui i genitori controllavano chi i figli votassero (online) per il consiglio studentesco.

Il voto elettronico non offre garanzie reali rispetto a “modifiche” degli apparati o dei programmi che permettano di modificare i risultati. Non mi ripeto, chi vuole approfondire può leggere i post precedenti sull’argomento, ma il voto elettronico al seggio viene ormai abbandonato da tanti paesi proprio per motivi di sicurezza, figuriamoci quello da remoto. Su questo c’è una considerazione importante: anche se fosse possibile avere delle garanzie, sarebbero verificabili solo da tecnici informatici specializzati nel campo della sicurezza (io, ad esempio). Questo vuole dire che l’elettore/candidato, che attualmente può partecipare al processo di verifica facendosi nominare rappresentante di lista, delegherebbe tutto il suo potere di controllo a noi tecnici: quello che gli raccontiamo, lui deve credere.

In ogni caso, offrire delle garanzie seppur minime richiederebbe un processo molto più complesso e costoso di quello che leggo riguardo alle Parlamentarie…

In caso si sospettino brogli, e ricordo i sospetti di brogli alle politiche di qualche anno fa, sarebbe molto difficile fugare i dubbi, perché non ci sarebbe niente da ricontare. L’uso del voto elettronico al seggio si sta infatti orientando sempre più verso il voto verificabile mediante la stampa di una scheda cartacea, ma è praticabile solo al seggio. Il solo fatto che sia difficile fugare i sospetti di brogli secondo me indebolisce la democrazia.

Quindi, come ultima considerazione: il web e Internet sono ottimi per molte cose: fa male chi li sottovaluta, ma si illude chi pensa che ci si possa fare tutto.

 

Posted in ict, Sicurezza | Tagged , | 1 Comment

Spear phishing, altro che…

Leggo qui che ad un grosso ente pubblico USA sono stati sottratti 75 Gbyte di dati personali relativo a quasi quattro milioni di cittadini, compresi i soliti dati come numeri di carta di credito, numeri di conto corrente bancario eccetera. Come è stato effettuato l’attacco si legge qui: spear phishing. Lo spear phishing è un phishing mirato, che invece di inviare mail a indirizzi a caso, invia mail realizzate appositamente per colpire i dipendenti di una specifica organizzazione, cercando di convincerli a inserire le proprie credenziali in una pagina civetta o ad eseguire del codice che comprometterà il loro pc. Lo spear phishing è alla base degli attacchi di maggiore scalpore degli ultimi tempi, compreso quello a RSA dello scorso anno.

È una forma di social engineering,  come tale si basa su comportamenti scorretti da parte degli utenti. Il che vole dire che si contrasta con un insieme di misure tecnologiche, di politiche ma soprattutto di sensibilizzazione specifica all’utenza. Esercitazioni di spear phishig possono mostrare come, se ben praticato, percentuali molto elevate del personale di un’organizzazione possono consegnare all’attaccante le proprie credenziali, mentre ad un attaccante spesso bastano quelle di un solo utente… Una volta avuto accesso alla rete aziendale con le credenziali di un utente, le possibilità di accesso a informazioni riservate o di praticare ulteriori attacchi per accedere alle credenziali di altri utenti sono generalmente ampissime. Trovo abbastanza curioso che ci sia sempre tanta attenzione al testing delle applicazioni web, e così poca al testing dei propri utenti. Eppure, un’attività di sensibilizzazione mirata può essere estremamente efficace, in modo misurabile.

 

Posted in ict, Sicurezza | Tagged , , , , , | Comments Off on Spear phishing, altro che…

Con il cloud, gestire le password è più importante

Leggevo in questi giorni  della disavventura di “un’azienda farmaceutica” alla quale un dipendente licenziato avrebbe cancellato un certo numero di macchine virtuali, causando un danno considerevole. Cercando in rete, ho trovato qual’era probabilmente la notizia: questa. Cosa la rende interessante? Dopotutto, notizie di amministratori di sistema che una volta licenziati causano danni non sono certo una novità, né lo è il fatto che ci sia stato un problema nella revoca delle credenziali dopo il licenziamento.
Secondo me, l’aspetto interessante è vederla dalla prospettiva del cloud. Penso che abbiamo tutti presenti le immagini, rese famose dal fallimento della Lehman Brothers,  dei dipendenti licenziati che se ne vanno con i loro scatoloni. La logica è di allontanare subito il dipendente licenziato dal posto di lavoro, per evitare ritorsioni. Per quanto spiacevole, è una logica comprensibile, e nel caso dei sistemi informativi corrisponde alla revoca delle credenziali. Con il public cloud però, la cosa diventa ancora più critica, perché il dipendente, una volta allontanatosi con lo scatolone, spesso può accedere ad applicazioni e dati esattamente come quando era in ufficio. Il problema è reso ancora più critico dall’uso di dispositivi mobili. Con i sistemi “tradizionali”, lo stesso problema si poneva soprattutto in caso di disponibilità di accessi remoti, ma è proprio qui che nasce la vera differenza. Supponiamo di aver correttamente revocato le credenziali di un utente. In una gestione tradizionale, è molto probabile che abbiamo risolto il problema, perché lo scambio di credenziali per l’accesso remoto non è frequente, e spesso neppure possibile. Con il cloud invece, le risorse possono essere ancora tutte disponibili, perché accedute via Internet, anche con delle credenziali occasionalmente condivise da un altro utente. La cosa è immediata: il dipendente viene accompagnato fuori con il suo scatolone, lo posa in macchina, si siede e accende il tablet. Non può più accedere con le sue credenziali, o non le vuole usare per non essere subito scoperto? Bene, proviamo quelle di Tizio che ho saputo il mese scorso; oplà, il gioco è fatto, i dati aziendali se ne vanno. Molto diverso da dover rientrare nella sede per usare una postazione con l’accesso ai servizi interni.

 

Posted in ict, Sicurezza | Tagged , , , , , | Comments Off on Con il cloud, gestire le password è più importante