Hotel e HotSpot WiFi

La sicurezza degli HotSpot WiFi di Hotel ed Alberghi è uno degli aspetti più trascurati nello scenario italiano.

Negli anni, siamo passati da un servizio a costo aggiuntivo ad un accessorio pressoché obbligatorio da fornire agli ospiti, a titolo gratuito; per questo, spesso non si ritiene utile investire in tale ambito, in quanto non porta utili tangibili.

Talvolta, nei nostri pernottamenti di lavoro in vari hotel, troviamo soluzioni che definire raffazzonate è eufemistico; in taluni casi, viene semplicemente consentito l’accesso alla stessa WLAN del router fornito dal provider internet, con tutta una serie di gravissimi rischi, incombenti sia a carico del gestore alberghiero che dei suoi clienti. In tale situazione, infatti, i dispositivi dei clienti non solo possono compromettere i devices dell’hotel ma anche quelli degli altri ospiti, in quanto possono comunicare tra di loro.

In relazione alla fornitura del servizio di connettività InterNet agli ospiti, sussistono varie normative e regolamenti, ivi compreso il Regolamento UE 679/2016; nella progettazione ed erogazione del servizio, occorre tener conto degli aspetti cogenti del GDPR e dei principi alla base della protezione dei dati personali, in particolare gli aspetti di minimizzazione, gestione del rischio, privacy by design – by default, misure di sicurezza e crittografia.

In relazione invece al famoso decreto Pisanu, pur essendo venuti meno gli obblighi di registrare i dati anagrafici e identificativi degli utenti e di monitorarne le sessioni InterNet, non mi sento di consigliare i proprietari di strutture alberghiere in tal senso, essendo sempre in capo ad essi la responsabilità di eventuali illeciti commessi da terzi nell’utilizzo delle proprie infrastrutture ITC.

Occorre quindi trovare “la quadratura del cerchio”; questa dovrà essere basata sulle specifiche caratteristiche della infrastruttura e delle esigenze della proprietà.


World Password Day

Oggi celebriamo la giornata modiale delle password (il primo giovedì del mese di maggio).

Oggigiorno le password mostrano sempre più la loro inadeguatezza a garantire la sicurezza degli accounts utenti e dei loro dispositivi; sistemi esposti in rete (e spesso abbandonati al loro destino) vengono compromessi tramite bot automatici che tentano combinazioni brute-force o attacchi a dizionario, spesso andati a bersaglio. Sono disponibili in rete gigantesche collezioni di password “reali” utilizzate da persone; tentandole tutte, quasi certamente si avrà accesso al sistema.

Nella maggioranza dei casi è sufficiente tentare le prime cento password più usate dagli utenti poco consapevoli.

Quantomeno è necessario adottare sistemi OTP; non che siano la panacea di tutti i mali, ma realizzano certamente un ulteriore livello di sicurezza.

Rimane imprescindibile il controllo dei log ed il blocco automatico di tentativi plurimi di accesso, oltre che una lunghezza e complessità adeguata della password; purtroppo tali password non sono assolutamente ricordabili a mente. Non vi consiglio neanche di memorizzarle utilizzando i vari servizi on-line; non fidatevi della insicurezza altrui, fatevi bastare la vostra.

Windows 10 PRIVACY

A tutti coloro che non amano essere profilati dal proprio PC, segnalo uno dei migliori programmi per disabilitare le “funzioni di telemetria” di Windows 10.

Si tratta di WPD, Windows Privacy Dashboard; l’interfaccia è -purtroppo – solo in inglese ma le funzioni sono autoesplicative.

Segnalo che il programma permette di scegliere quali funzioni disabilitare e che tale operazioni potrebbero compromettere alcune funzionalità del sistema operativo (sino al completo malfunzionamento di tutto il sistema); pertanto applicate le modifiche, a vostro rischio e pericolo, solo dopo aver effettuato (ed aver verificato) un backup completo del sistema.

In ogni caso, la soluzione definitiva al problema è passare ad altro sistema operativo, certamente Linux based.

RIP Windows XP

Oggi termina il supporto di Microsoft a Windows Embedded POSReady 2009, chiamato anche Windows XP Bancomat.

Quindi è defunta anche la speciale versione di Windows XP dedicata agli ATM e Bancomat, dopo il pregresso termine del supporto dell’OS XP base, avvenuto il giorno 8 aprile 2014.

Chissà se gli istituti bancari sostituiranno le migliaia di macchine Bancomat, o se continueranno imperterriti a far utilizzare quelle esistenti.

Segnalo inoltre che il prossimo 14 gennaio 2020 terminerà anche il supporto a Windows 7 e che un sistema operativo non aggiornato non deve essere utilizzato per trattare dati personali.

Svizzera sospende il voto elettronico

La Posta Svizzera, realizzatore del sistema di e-voting adottato da alcuni cantoni della Confederazione Elvetica, lo ha sospeso con effetto immediato.

Ciò si è reso necessario a seguito di un recente contest di sicurezza pubblico, a seguito del quale sono emerse problematiche nel codice sorgente e nei processi di certificazione e convalida.

Tra l’altro, erano già sorte polemiche su falle trovate nel codice, segnalate e (probabilmente) non rimosse.

Direi che la decisione presa da Posta Svizzera è doverosa e responsabile; ritengo che potranno avere benefici dai risultati delle analisi, svolte da moltissimi hacker, ricercatori ed esperti internazionali.

Questo dimostra ancora una volta che è difficilissimo, se non impossibile, scrivere software sicuro al 100%; in ambiti estremamente rilevanti, come un sistema di e-voting, meglio non rischiare e continuare ad usare carta e lapis.