Il taccuino di Armando Leotta Rotating Header Image

crittografia

Computerworld Italia e CSO: disponibile online il mio contributo integrale su firma digitale

Schema di funzionamento della firma digitale

Schema di funzionamento della firma digitale

Ne avevo parlato qui ma finalmente il contributo è disponibile online nella  sezione rassegna stampa 2010 dell’Associazione Italiana per l’Informatica ed il Calcolo Automatico (AICA).

Per chi avesse il cartaceo, lo trovate nel numero di Marzo 2010 nell’inserto trimestrale Chief Security Officer (CSO) di Computerworld Italia a pag. 36.

Altrimenti direttamente dal sito AICA:

10/03/2010 – Computerworld – Ma quanto è sicura la firma digitale? Articolo estratto da Mondo Digitale 

Buona lettura.

Stato dell’arte e scenari evolutivi della firma digitale in Italia – aggiornamenti e recepimenti normativi –

SIcurezza della firma digitale

Sicurezza della firma digitale (Computerworld Italia, marzo 2010, CSO)

Computerworld Italia nel numero di Marzo 2010 nell’inserto trimestrale Chief Security Officer (CSO) pubblica un mio contributo sullo stato dell’arte della sicurezza del processo della firma digitale.

L’articolo completo, pubblicato alcuni mesi fa dalla rivista dell’AICA Mondo Digitale, è disponibile sul loro sito.

Quanto pubblicato non è solo un estratto dell’articolo AICA ma rappresenta un taglio di profilo più alto con particolare attenzione agli auspicati recepimenti normativi italiani e alle regole tecniche Cnipa (ora DigitPA).

Questa è la prima pagina:

SIcurezza della firma digitale

Prima pagina

Buona lettura.

OWASP Top 10 -2010

Logo OWASP

Logo OWASP

Open Web Application Security Project (OWASP) ha rilasciato la TOP 10 per il 2010 ovvero le 10 vulnerabilità più critiche delle applicazioni web.

La lista, rilasciata in licenza Creative Commons Attribution ShareAlike 3.0 e scaricabile da sito owasptop10, si prefigge lo scopo di sensibilizzare amministratori, sviluppatori, architetti, manager ed organizzazioni sull’importanza delle conseguenze di uno sviluppo non accorto delle applicazioni web. La top 10 vuole essere una sintesi, uno spunto di riflessione nella speranza che possa portare consapevolmente verso lo sviluppo sicuro del codice.

Ecco la lista 2010 in sintesi:

  • A1 – Injection
  • A2 – Cross-site Scripting (XSS)
  • A3 – Broken authentication and session management
  • A4 – Insicure direct object references
  • A5 – Cross-site request forgery (CSRF)
  • A6 – Security misconfiguration (new)
  • A7 – Insecure cryptographic storage
  • A8 – Failure to restrict URL access
  • A9 – Insufficient transport layer protection
  • A10 – Unvalidated redirects and forwards (new)

Significativa la tabella comparativa con la precedente lista:

Tabella comparativa OWASP TOP 10 2007-2010

Tabella comparativa OWASP TOP 10 2007-2010 (fonte OWASP)

Nel documento trovate delle schede di dettaglio per ciascuna vulnerabilità. Inoltre, a ciascuna di esse è stato associato un fattore di rischio basato su statistiche ed esperienze OWASP.

Questa di seguito è la mappatura che ne deriva:

Top 10 risk factor summary

Top 10 risk factor summary (fonte OWASP)

Quanto espresso sopra va calato nel proprio contesto aziendale e nel più ampio processo di gestione del rischio.

Molte PA stanno inserendo nei vari capitolati di gara l’obbligo del rispetto della top 10 di owasp come baseline minima.

Vi segnalo inoltre il chapter italiano di OWASP.

SMS certificato, firmato digitalmente ed a valore legale

SMS certificato

SMS Certificato (via Lleida)

La spagnola Lleida, operatore specializzato negli SMS, propone un uso certificato del messaggio SMS.
In pratica funziona come una sorta di messaggio di posta elettronica certificata.
Grazie al coinvolgimento di un ente certificatore esterno ha piena validità legale secondo diversi ordinamenti tra cui quello europeo.
La richiesta ha generato l’offerta: i Tribunali richiedevano di fruire di un metodo di verifica per gli invii e le ricezione dei messaggi SMS ed il business ha risposto.
Questa, in estrema sintesi lo scenario spagnolo in cui è nato questo servizio che si è già diffuso in diversi Paesi.
Il servizio è fornito in due modalità: SMS certificato e Contratto SMS.

SMS Certificato
Si tratta di un sms da parte di lleida.net contenente un allegato certificato firmato digitalmente e con marca temporale che attesta la spedizione di un determinato testo verso un particolare numero.
Il certificato utilizzato è rilasciato da un ente certificatore autorizzato.
Un sms quindi comparabile ad un fax, ad una raccomandata e, potenzialmente, ad un messaggio di posta certificata.

Come funziona?
L’utente spedisce un SMS certificato tramite internet e l’applicazione Virtual SMS handset 

Virtual SMS

Virtual SMS Handset (via Lleida)

della Lleida. Il messaggio viene instradato attraverso internet ed i carrier di telefonia tradizionali.
A consegna effettuata al dispositivo destinatario, LLeida riceve una notifica.
Lleida a questo punto genera una ricevuta di consegna (delivery receipt) e la spedisce all’ente certificatore esterno che genera una marca temporale (timestamp) associando una data ed un orario al documento PDF che, firmato digitalmente viene spedito all’utente via mail (Lleida mantiene il certificato in archivio per almeno 5 anni).
Vedi esempio scaricabile dal sito lleda.net.

Contratto SMS

Contratto SMS (via Lleida)

Contratto SMS
Opera in uno sceario di transazione.
Il servizio prevede che viene spedito il messaggio (una proposta commerciale, un contratto, etc) e quando l’utente destinatario risponde al messaggio viene generato un delivery report che certifica digitalmente entrambi i messaggi.
Differisce dal primo in quanto il documento legalmente riconosciuto viene generato e firmato digitalmente a seguito della risposta dell’utente.

Le implicazioni sono molteplici ed interessanti e abbracciano le esigenze di settori sia pubblici che privati.

L’applicazione lleida è scaricabile dal loro sito internet ed il servizio è fruibile tramite credito prepagato.
Il servizio sembra essere fruibile anche in Italia.
Non so se è già utilizzato in Italia o se mai lo sarà ma mi sembra un’iniziativa molto interessante con un sensibile abbattimento dei costi. In un periodo in cui si parla di posta elettronica certificata Posta Elettronica Certificata (PEC) per i professionisti e di CitofonoPA CEC-PAC forse è utile valutare anche altri servizi, non escludere altri tool o potenziali soluzioni al fine di creare un’offerta completa e credibile sul mercato e al cittadino.

Attacco Aurora ancora in corso e indagini ad una svolta. Ecco come funziona il malware

Aurora attackL’attacco in larga scala che ha colpito grandi aziende come Google e Adobe non cessa di fare danni e di far parlare di sè.  L’operazione Aurora (è questo il nome con cui McAfee ha denominato l’ondata di targeted attacks in questione) coinvolge molte più aziende delle poche decine stimate inizialmente.

Dmitri Alperovitch, vice presidente del threat research in McAfee, afferma di non essersi mai imbattuto in un attacco così sofisticato ai danni di aziende commerciali.

Esperti di computer forensic hanno identificato la Cina come provenienza dell’attacco ma stanno focalizzando le loro indagini sul malware utilizzato per sfruttare le varie vulnerabilità.

Di estremo interesse il threat report “Operation Aurora” pubblicato da HBGary, davvero ben fatto, dettagliato e completo per capire come funziona il malware, rilevarlo ed eliminarlo dalla propria azienda.

Mancano, volutamente, il dettaglio delle tracce lasciate dall’autore del malware che, a detta  di Greg Hoglund, fondatore e CEO  di HBGary, sono svariate, specifiche e tali da ricondurre presto all’identificazione di chi ha compilato e predisposto il malware.

Cyber Espionage: prendiamo familiarità con questo termine.

____
Clusit