Chip clandestino, spionaggio planetario

Sembra originare dalla Cina il più incredibile caso di cyber-spionaggio della storia.

Secondo un articolo di  Bloomberg, qualcuno ha inserito un chip microscopico nelle motherboard di SuperMicro, una azienda americana che produce sistemi server High Tech.

Si ritiene che questi micro-chips, installati nelle mainboard durante la produzione in Cina, contengano del codice “backdoor” che comprometta il dispositivo, sovrapponendosi al sistema operativo.

Le indagini, condotte sin dal 2015 ed ancora in corso, sarebbero scaturite da una verifica di sicurezza su sistemi server di Amazon; non sono stati divulgati dettagli dalle Autorità.

I big del settore apparentemente coinvolti smentiscono categoricamente; nel frattempo i titoli delle aziende cinesi produttrici di componenti I.T. vanno a picco nelle borse mondiali.

Come sempre, quando si guarda prevalentemente ai costi, la sicurezza viene sempre in ultimo piano; occorre garantire la sicurezza della intera filiera produttiva dei prodotti I.T.

Forse SuperMicro (se supererà il ChipGate) tornerà a produrre in USA?

La sicurezza informatica riguarda tutti gli aspetti di un sistema; adesso l’opinione pubblica ha scoperto che anche l’hardware può essere compromesso in fabbrica.

Lo ripeto da tempo: tutte le componenti debbono essere oggetto di analisi di sicurezza; qualcuno sa esattamente cosa faccia il BIOS (adesso uefi, in pratica un sistema operativo a se stante) dei moderni PC?

FaceBook, data breach da 50 milioni di utenti

Giunge notizia di un data breach ai danni di FaceBook; sul blog ufficiale viene dichiarato che multiple vulnerabilità relative alla funzione “view as” hanno consentito, a sconosciuti, di rubare gli “access token” di circa 50 milioni di utenti.

Un access token si potrebbe paragonare ad un “gettone di ingresso” che viene consegnato dal server al client quando esegue il log-on, e che gli consente di rimanere “loggato” senza dover ripresentare continuamente le credenziali di accesso.

Avendo a disposizione il token, soggetti terzi potrebbero aver avuto accesso al profilo e ai dati degli utenti di FaceBook.

Allo stato attuale, non si conoscono esattamente quali informazioni sono state oggetto di data breach, ne la sua estensione; non dovrebbero essere state accessibili le informazioni relative a carte di credito e altri strumenti di pagamento, in quanto risiedevano su sistemi diversi.

Consiglio a tutti gli utenti di Facebook di cambiare immediatamente la loro password (per resettare gli eventuali token ancora “rimasti in piedi”).

Come considerazione finale, sicuramente è molto comodo autenticarsi negli innumerevoli siti e servizi utilizzando la piattaforma di FaceBook (così come quella di Google, Twitter, …) ma ciò comporta accettare un ulteriore livello di rischio, rispetto a gestire le credenziali di autenticazione “in proprio”.

GDPR e videosorveglianza

GDPR e videosorveglianza; cosa cambia?

Come tutti sappiamo, un sistema di videosorveglianza (anche quelli che non registrano immagini) determina un sistema di trattamento di dati personali (tra l’altro, particolarmente invasivo della privacy e potenzialmente lesivo dei diritti personali).

Dopo il 25 maggio, il Regolamento UE 679/2016 ha effetto anche sui sistemi di videosorveglianza, che debbono esservi “compliant”.

Quali sono i cambiamenti più rilevanti?

Intanto il GDPR concede diversi nuovi diritti ai soggetti interessati; come consequenza diretta, occorrerà rivedere le informative estese (non i cartelli esposti al limite delle aree sorvegliate).

Il Regolamento introduce anche il concetto di “accountability” (responsabilizzazione); ciò assegna al titolare del trattamento ogni decisione e responsabilità derivanti, in merito alla implementazione di un impianto di videosorveglianza.

Si riporta l’estratto dal provvedimento 8235119 – 22 febbraio 2018 del Garante per la Protezione dei Dati Personali:
Si tenga comunque presente che, a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento in ossequio al principio di responsabilizzazione di cui all´art. 24 dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del citato Regolamento ovvero attivare la consultazione preventiva ai sensi dell´art. 36 del Regolamento medesimo.

Quindi taluni “particolari” sistemi di videosorveglianza dovranno essere soggetti a DPIA preventiva, al posto della precedentemente prevista (e comoda) verifica preliminare a cura della Autorità Garante.

Inoltre, tutti i sistemi di videosorveglianza sono soggetti ai nuovi principi di Privacy by Design & Privacy by Default.

Dobbiamo anche da valutare se predisporre (e manutenere) il famigerato Registro dei Trattamenti;  a mio avviso, qualora il sistema realizzi un trattamento di dati personali che sottoponga ad un rischio elevato la privacy degli interessati, il Registro è necessario.

Da ultimo, occorre valutare se necessiti la nomina del D.P.O. (sistemi complessi e distribuiti, trasferimento di flussi video, riconoscimento volti, analisi comportamentale, dati biometrici e/o geolocalizzazione, ecc…) e tenere bene a mente che il Data-Breach potrà accadere anche sui sistemi di videosorveglianza (l’effetto potrebbe essere devastante).

IPsent

IPsent (acronimo formato da IP + SENTINEL) è una appliance progettata e realizzata allo scopo di garantire la sicurezza delle reti IP locali e conseguentemente dei dispositivi ad esse collegati.

Si tratta di una delle primarie misure di sicurezza richieste all’art. 32 del nuovo Regolamento UE 679/2016.

In primo luogo, dispone di avanzate funzioni di reporting; ciò consente di visualizzare, graficamente ed in tempo reale, il traffico di rete, compreso i sistemi che stanno utilizzando banda.

 

Realizza inoltre visualizzazioni dettagliate, le quali consentono, agli amministratori di sistema, di avere visione sulle specifiche connessioni attuate, la tipologia ed il traffico intercorso.

 

Dispone di tutte le caratteristiche di un FireWall di ultima generazione, comprese le funzioni MultiWan, Traffic Shaper,  Content Filtering, Intrusion Detection ed Intrusion Prevention.

 

Le appliance sono realizzate con componenti opensource collaudati, utilizzando hardware adatto ad ottenere le prestazioni necessarie alla specifica infrastruttura di rete locale; sono disponibili soluzioni adatte a piccoli studi ed uffici sino ad arrivare a soluzioni ad alto traffico e/o sistemi High-Availability.

IPsent può essere installato con nulle o minime modifiche alla infrastruttura LAN esistente.

I costi sono molto accessibili ed inferiori rispetto agli equivalenti dispositivi dei produttori più blasonati.

Gestione della violazione di dati personali

Come sappiamo, il GDPR introduce specifici obblighi, per tutti i Titolari del Trattamento di Dati Personali, inerenti una eventuale violazione dei dati personali (definita anche data breach).

Cosa è una violazione dei dati personali?
Per «violazione dei dati personali» si intende ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Essa può interessare trattamenti di dati personali effettuati con supporti cartacei oppure con strumenti informatici; ovviamente tale secondo aspetto presenta un maggiore indice di probabilità. Si tenga inoltre conto che non dobbiamo pensare a SE, ma a QUANDO esso avverrà, ed essere pronti a gestirlo.

All’art. 33 del GDPR è prescritto di “comunicare alla Autorità di Controllo, entro 72 ore dal momento che se ne è avuta conoscenza, la violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Art. 34 “Qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Voglio sottolineare che, qualora il data breach accada presso un Responsabile del Trattamento esterno (es. lo studio commerciale o il centro paghe), esso deve immediatamente informare i Titolari dei Trattamenti interessati, in quanto spetta ad essi mettere in atto le misure dapprima indicate.

Qualora un data breach interessi sistemi informativi, segnalo come sia importante gestirlo con l’ausilio di persone estremamente esperte e competenti; infatti quasi sempre tali eventi sono correlati ad attività penalmente rilevanti (es. artt. 615 ter, quater e quinquies, codice penale).

Occorre quindi intervenire non solo per chiudere la breccia, ma (prima) anche con le opportune attività di informatica forense.

Quindi consiglio alle organizzazioni di definire un dettagliato piano di gestione del data breach, per evitare di doverlo fare (magari in preda al panico) nelle poche ore a disposizione.

Trojan colpisce device ospedalieri

Nuovo attacco informatico contro le strutture ospedaliere di tutto il mondo.

Un nuovo gruppo di hacker black hat ha portato una offensiva cybernetica su scala planetaria ai sistemi informatici degli ospedali.

L’attacco mirato è stato realizzato compromettendo dapprima sistemi di industrie fornitrici o produttrici di sistemi medicali, che sono stati successivamente usati come “cavallo di troia” per infiltrarsi nei sistemi informatici di dispositivi X-RAY , TAC e RM.

Come al solito la sicurezza informatica, anche in sistemi costosissimi e vitali, lascia alquanto a desiderare.

In Italia (per adesso) non si registrano casi; saremo più fortunati o ancora non si sono accorti?