Results tagged “Sicurezza”

La sicurezza cibernetica passa per la testa


  • La sicurezza informatica o cibernetica non passa per le certificazioni, ma passa per la testa.
    Posted on
  • by
  • in

Logo Sicurezza e testaLa sicurezza informatica o cibernetica (e non solo quella) non passa per le certificazioni, ma passa per la testa. Infatti "La sicurezza passa per la testa" è il titolo di uno dei tanti corsi organizzati dal Consorzio Garr a Torino il 3 giugno 2019 nell'ambito della conferenza "Connecting the future" del 4 giugno 2019 al Politecnico di Torino e tenuto da Simona Venuti.

Secondo Wikipedia cosa è una certificazione? Certificazione è il processo che, attraverso diverse operazioni di valutazione e accertamento svolte da soggetti terzi qualificati e autorizzati, conferisce (in caso di esito positivo) il certificato (la certificazione è dunque un'attività, non un documento).

Le certificazioni informatiche, a mio parere, sono la tomba della sicurezza, perché l'attività di certificazione richiede sempre operazioni volte a garantire la conformità di un prodotto o servizio alle norme e ai parametri stabilite dalla legge e quindi tendono a ingabbiare il prodotto all'interno di normative e specifiche. Se le certificazioni hanno un senso per quanto riguarda la sicurezza di un prodotto materiale, come un attrezzo o un dispositivo, la stessa cosa non si può dire per quanto riguarda un prodotto immateriale come un software o un firmware. Per garantire la sicurezza di un software, di un firmware, la sicurezza di una rete, di un server, bisogna imparare a ragionare con la propria testa e pensare fuori dagli schemi, tutto l'opposto delle certificazioni e degli standard, dove il software viene ingabbiato in formule e procedure standard che sono la manna dei criminali informatici.

Ragionare in termini di certificazioni non ha alcun senso, perché la sicurezza cibernetica dipende da una miriade di parametri spesso fuori dal nostro controllo: protocolli di comunicazione, sistemi operativi, compilatori, database management system, algoritmi crittografici, possono sempre essere affetti da vulnerabilità, bachi, errori, ancora sconosciuti. E quindi cosa certifichi?

Basti pensare al decreto legge che stabilisce il Perimetro di Sicurezza Nazionale Cibernetica dove, tra i vari punti, in un articolo su Agenda Digitale si legge:  "Viene confermato un ruolo di primo ordine del Centro di Valutazione e Certificazione Nazionale (CVCN) nella assicurazione delle garanzie di sicurezza e dell’assenza di vulnerabilità di prodotti, hardware e software, destinati a essere impiegati sulle reti, sui sistemi informativi e servizi informatici degli attori del perimento di sicurezza cibernetica."

Raoul ChiesaVa bene, buon per loro. A me, tuttavia, pare una grossa presa in giro, perché dare delle garanzie di sicurezza e assenza di vulnerabilità su prodotti hardware e software è, a mio avviso, praticamente impossibile. Anzi, si rischia di dare ad un operatore del settore un senso di sicurezza fasullo e che non esiste. Si tratta di uno strato burocratico che può servire a parare il culo agli operatori del settore cibernetico e ai responsabili di reti che, adottando prodotti certificati e quindi ritenuti ingenuamente "sicuri" li salvano da possibili responsabilità e conseguenze penali se poi questi prodotti, al lato pratico, si rivelano vulnerabili. Un giudice non ti può condannare se ti sei attenuto alla legge ed hai adottato un dispositivo certificato sebbene affetto da vulnerabilità che hanno compromesso la sicurezza della rete nazionale. 

Nessuna certificazione può garantire la sicurezza di un software. Tuttavia è importante ragionare e pensare fuori dagli schemi, cioè pensare con la propria testa facendo una propria e accurata analisi dei rischi. Siccome l'attività di certificazione porta a fidarsi della certificazione, a delegare la sicurezza ai prodotti certificati, a pensare con la testa dei certificatori che seguono schemi standard preconfezionati, è facile cadere nella trappola di un falso senso di sicurezza.

Penso quindi che le certificazioni e gli enti di certificazione sia meglio lasciarli perdere (almeno in ambito software) e preferire valutare la competenza tecnica dei responsabili di un sistema cibernetico per adottare criteri e metodologie originali che sappiano mettere a punto sistemi di backup, regole precise, processi di costante aggiornamento del software, documentazione e formazione.

L'ipocrisia della sicurezza dei dati e del GDPR


  • La sicurezza di un nome a dominio e dei servizi ad esso collegati parte dalla sicurezza del DNS (Domain Name System). Se il DNS è insicuro, non si può parlare di sicurezza di un sito web, dei suoi dati e di tutela privacy.
    Posted on
  • by
  • in

DNSHo recentemente letto sui quotidiani la sanzione di 50.000 euro che il Garante della Privacy ha inflitto al portale web Rosseau, sottodominio del sito web movimento5stelle.it, per la violazione di cui al combinato disposto degli art. 32 e 83, paragrafo 4, lettera a) del Regolamento UE n. 679 (GDPR) G.U. 04/05/2016, rilevando il Garante la presenza di importanti vulnerabilità.

Sulla sicurezza e vulnerabilità dei siti web bisogna schiarirci le idee e non prenderci in giro. Devi sapere che la sicurezza di un nome a dominio e dei servizi ad esso collegati parte dal DNS (Domain Name System) che è un database distribuito che associa al nome di dominio l'indirizzo ip del server che ospita le pagine web e i servizi ad esso collegati, come la mail, il cloud, i forum, le votazioni, ecc. E' quindi un aspetto fondamentale di Internet.

Il Protocollo DNS e lo stesso DNS è intrinsicamente insicuro, lo è sempre stato, sia a livello di privacy perché i dati sono trasmessi in chiaro, sia a livello di dati perché i dati non vengono autenticati, con i rischi descritti in questo articolo: https://hacktips.it/tecniche-hacking-dns/, tanto per citarne uno tra i più in vista.

Per rimediare e mettere una pezza all'insicurezza e alla vulnerabilità del DNS sono state introdotte le estensioni di sicurezza al DNS chiamate DNSSec che, come dice Wikipedia, sono "una serie di specifiche dell'IETF per garantire la sicurezza e affidabilità delle informazioni fornite dai sistemi DNS."

Peccato che gran parte dei provider di nomi a dominio (europei e soprattutto italiani) non offrano il supporto a DNSSEC in modo semplice e gratuito. Alcuni provider fanno pagare un supplemento di prezzo, altri non lo prevedono proprio. Nemmeno il sito del Garante: www.garanteprivacy.it prevede, alla data odierna, le estensioni DNSSEC. Per verificarlo basta andare sul sito https://dnssec-analyzer.verisignlabs.com/ e inserire nell'apposito form il nome del dominio, oppure andare sul sito del NIC (il Registro dei nomi a dominio italiano) e fare una richiesta Whois o check-dns (https://dns-check.nic.it/) per vedere se  sono state trovate chiavi DNSKEY o record DS nel database del NIC. Nel caso del sito del Garante la risposta che ho ottenuto dal NIC è stata: Nessun record DS trovato, di conseguenza alcuni test non sono stati eseguiti. Le cose cambiano se invece il test lo facciamo sul dominio del NIC: nic.it, per fare un confronto. Il recordDS viene trovato e i test sul DNSSEC vengono fatti con successo ad indicare che il sito del NIC è validato e adotta le estensioni DNSSEC.

Su dnssec-analyzer.verisignlabs.com la risposta del test è stata: No DS records found for garanteprivacy.it in the it zoneEdNo DNSKEY records found, ad indicare che il dominio non è stato autenticato.

Un altro controllo è possibile farlo utilizzando il servizio http://dnsviz.net.

E' cosi anche per i domini di molte banche e siti di e-commerce. La mancanza di supporto alle estensioni DNSSec da parte dei provider europei e italiani potrebbe causare una massiccia migrazione di nomi a dominio dai provider europei e italiani a quelli americani, maggiormente attrezzati nel supporto DNSSec.

Anche questo sito non risulta firmato perché il mio provider italiano purtroppo non offre il supporto a DNSSEC. Passi il mio sito che è un sito personale amatoriale, tuttavia da un sito di una banca alla quale ti colleghi per transazioni di denaro, ci si aspetta l'autenticazione del DNS come base di partenza per la sicurezza dei dati del dominio. Il Garante dovrebbe incominciare a sanzionare se stesso e i siti delle banche con i nomi a dominio privi di autenticazione e supporto a DNSSEC, prima ancora della piattaforma Rosseau. E' proprio vero, si guarda la pagliuzza negli occhi degli altri e non si guarda la trave nei propri occhi.

E' evidente, a mio avviso, a questo punto, la faziosità della sanzione inflitta alla piattaforma Rosseau, perché se parliamo di sicurezza di un nome di dominio e dei suoi dati, la partenza non può prescindere che dalla sicurezza del DNS, oltre a tutto il resto. Per cui tutti i siti che non adottano le estensioni DNSSec sono potenzialmente insicuri e vulnerabili, ma noi continuiamo pure a prenderci in giro con buona pace del Garante e del GDPR.

Filmati con VirtualDub, CamStudio e Studio Plus


  • Esperienze di acquisizione e video editing con programmi software come VirtualDub, CamStudio, Studio 11.1.
    Posted on
  • by
  • in
English: Screenshot of VirtualDub 1.9.0 under ...

English: Screenshot of VirtualDub 1.9.0 under Wine showing a scene of Elephants Dream Deutsch: Screenshot von VirtualDub 1.9.0 unter Wine mit einer Szene aus Elephants Dream (Photo credit: Wikipedia)


VirtualDub
è un programma freeware di video editing elementare, sotto licenza GPL, che io uso soprattutto per acquisire, campionare, convertire e comprimere video direttamente dallo schermo del PC, potendosi interfacciare con codec di compressione video esterni.
Lo trovo molto flessibile ed efficiente nell'acquisire video direttamente dallo schermo del PC con un buon frame rate, con la possibilità di impostare a piacimento l'area dello schermo da acquisire.




The options menu of the CamStudio desktop-reco...

The options menu of the CamStudio desktop-recording software (Photo credit: Wikipedia)

Un altro programma simile che uso per acquisire video direttamente  dallo schermo del PC, ma senza funzioni di video editing, è CamStudio, un progetto di software Open Source e free per usi personali, per creare video in formato AVI e SWF.

Quest'ultimo permette anche di scaricare e usare un codec lossless, ma trovo che a parità di codec il frame rate ottenuto è più basso rispetto a VirtualDub.

Per editare video, invece, preferisco usare il programma Studio Plus della Pinnacle che ho trovato abbinato alla scheda di acquisizione video 710-USB sempre della Pinnacle e che acquistai alcuni anni fa. Questo programma, nella versione ormai un po' obsoleta 11.1, offre funzioni di editing video un po' più evolute rispetto ai due programmi precedenti, ma non permette di acquisire video direttamente dallo schermo del PC, ma solo da telecamere e schede di acquisizione dati compatibili, per poi poterli memorizzare in un file.

Qui sotto trovi un video che ho fatto acquisendo le immagini di Electric Sheep direttamente dallo schermo del PC utilizzando VirtualDub impostando una finestra di 1280 x 720 pixel e 25 fotogrammi per secondo, senza audio, con un codec di acquisizione video Mjpeg e con una sottocampionatura della crominanza impostata a 4:2:2 che è poi quella di default.

Il video Mjpeg acquisito in questa maniera, senza audio, della durata di circa 7-8 minuti ha raggiunto le dimensioni di quasi due Gigabyte su disco. Per editare e aggiungere l'audio con una colonna sonora idonea ho utilizzato Studio Plus 11 che mette a disposizione uno strumento audio secondo me molto potente, anche se poco flessibile: Scorefitter. Questo strumento permette di aggiungere colonne sonore da scegliere tra quelle di una libreria di generi musicali in formato midi e di adattarle alla lunghezza del filmato in modo automatico.

Il progetto video finale di 7,48 minuti lo ho poi salvato su file in formato mpeg4 ad alta definizione, utilizzando le impostazioni previste dal programma Studio Plus 11.1 per creare il file del progetto, ottenendo un file che, in base alla velocità dati da me impostata su 4000 Kbit/s, ha raggiunto le dimensioni di circa 234 megabyte e mi ci è voluto più di un'ora per caricarlo su YouTube.


Enhanced by Zemanta