Hotel e HotSpot WiFi

La sicurezza degli HotSpot WiFi di Hotel ed Alberghi è uno degli aspetti più trascurati nello scenario italiano.

Negli anni, siamo passati da un servizio a costo aggiuntivo ad un accessorio pressoché obbligatorio da fornire agli ospiti, a titolo gratuito; per questo, spesso non si ritiene utile investire in tale ambito, in quanto non porta utili tangibili.

Talvolta, nei nostri pernottamenti di lavoro in vari hotel, troviamo soluzioni che definire raffazzonate è eufemistico; in taluni casi, viene semplicemente consentito l’accesso alla stessa WLAN del router fornito dal provider internet, con tutta una serie di gravissimi rischi, incombenti sia a carico del gestore alberghiero che dei suoi clienti. In tale situazione, infatti, i dispositivi dei clienti non solo possono compromettere i devices dell’hotel ma anche quelli degli altri ospiti, in quanto possono comunicare tra di loro.

In relazione alla fornitura del servizio di connettività InterNet agli ospiti, sussistono varie normative e regolamenti, ivi compreso il Regolamento UE 679/2016; nella progettazione ed erogazione del servizio, occorre tener conto degli aspetti cogenti del GDPR e dei principi alla base della protezione dei dati personali, in particolare gli aspetti di minimizzazione, gestione del rischio, privacy by design – by default, misure di sicurezza e crittografia.

In relazione invece al famoso decreto Pisanu, pur essendo venuti meno gli obblighi di registrare i dati anagrafici e identificativi degli utenti e di monitorarne le sessioni InterNet, non mi sento di consigliare i proprietari di strutture alberghiere in tal senso, essendo sempre in capo ad essi la responsabilità di eventuali illeciti commessi da terzi nell’utilizzo delle proprie infrastrutture ITC.

Occorre quindi trovare “la quadratura del cerchio”; questa dovrà essere basata sulle specifiche caratteristiche della infrastruttura e delle esigenze della proprietà.


Exodus – spyware all’italiana

Gli “addetti ai lavori”, da ieri, non parlano d’altro; un software creato per intercettazioni di stato, il cosidetto captatore informatico (sic!) è uscito dal vaso di Pandora.

Per ulteriori informazioni tecniche potete visitare la pagina di analisi predisposta dalla crew Security Without Borders, mentre per i vari commenti degli esperti basta cercare sui motori di ricerca (consiglio QWANT).

Permettetemi alcune considerazioni che non sono state troppo evidenziate:

  • in Italia, chi controlla i controllori (traduzione – la sicurezza e le caratteristiche del software e della infrastruttura di sostegno del famoso captatore informatico, per il quale sono state spese delle belle sommette dei contribuenti)?
  • che figura ci fa Google, con le circa venticinque copie di software dotato di “malware approssimativo“, presenti nel suo store?
  • e quale proposito avranno avuto coloro che hanno installato una delle “APP mascherate”, dalle funzionalità assolutamente inutili?

Segnalo, a chi di dovere, che un cellulare aziendale colpito da Exodus è un limpido caso di Data-Breach (aziendale).

Da tempo consiglio alle aziende di evitare l’ambiente Android quando la sicurezza della propria organizzazione ha fondamentale importanza.

Mi auguro che la Magistratura di Napoli ed il Garante Privacy facciano chiarezza e chiedano regole stringenti (al Governo) per evitare ulteriori casi paradossali.

Aggiornamento: il presidente della Autorità di Controllo italiana ha rilasciato una intervista nella quale qualifica come “gravissimo l’accaduto“, manifesta la propria preoccupazione sulla mancanza di “garanzie elevate per tutelare la libertà dei cittadini” incolpevoli. Comunque, non sono così certo che si sia trattato di un “mero errore nel funzionamento di un captatore informatico” (tradotto=trojan di Stato).

Facebook, passwords in chiaro

Giunge notizia che Facebook abbia mantenuto, per anni, milioni di password dei suoi utenti in chiaro, alla portata dei suoi dipendenti.

Nel post ci illustrano come sia importante, per Facebook, la sicurezza dei propri utenti, come essi debbano cambiare spesso la propria password, e bla bla bla.

Purtroppo la memorizzazione delle password in chiaro è una pratica difficile a morire; da essa scaturiscono enormi problemi di sicurezza a danno degli utenti, specialmente quando le stesse credenziali consentono (come avviene con Facebook) di autenticarsi ad innumerevoli servizi esterni.

Per non parlare di coloro che utilizzano sempre la stessa password.

Perchè aggiornare il sistema operativo?

Domanda ricorrente: ma perchè debbo aggiornare i miei rodati PC Windows XP, che funzionano benissimo, con l’ultima versione di Windows? Windows 10 non ci gira, quindi debbo anche riacquistare l’hardware!

Risposta: perchè spesso vengono alla luce gravissime falle nel sistema operativo, come questa a danno di Windows 7 32 bit – peraltro ancora aggiornato sino a gennaio 2020.

Ovviamente tutti gli OS Microsoft – ma anche tutti gli altri OS – che non siano più mantenuti ed aggiornati, non sono adeguati a mantenere in sicurezza gli eventuali dati personali contenuti nel sistema informativo.

A meno che non siate una banca e Microsoft vi offra ancora supporto – a caro prezzo – per Windows XP “Bancomat OS”.

Frauders known your old passwords. Access data must be changed.

Continua il “bombardamento” delle caselle e-mail con messaggi che tentano di truffare i soggetti destinatari; ancora una volta il messaggio, in inglese, asserisce di avere compromesso il computer, con un trojan virus. Da mesi controllerebbe il soggetto, avendo avuto accesso completo al PC; nel frattempo avrebbe realizzato un video compromettente che ” with one click of the mouse” invierebbe a tutti i nostri corrispondenti e contatti in giro per il mondo, ecc. ecc. Onde evitare la catastrofe, occorrerebbe inviare $733 al suo wallet bitcoin.

Attenzione: non pagate assolutamente in quanto questo messaggio è quasi certamente falso; fate controllare il vostro PC da un (vero) esperto di sicurezza informatica se volete essere tranquillizzati.

Spero che le forze di polizia trovino il tempo di perseguire questi miserabili, che credono di poter delinquere rimanendo impuniti.

Sappiate che gli indirizzi bitcoin sono rintracciabili.