il blog di Paolo Giardini

moca2016 slide intervento Giardini OSINT Open Source Intelligence

agosto 21st, 2016 Pubblicato in Eventi, osint | 1 Commento »

mocaOSINTMOCA2016, un evento davvero indimenticabile.

Un “bravi” agli organizzatori che hanno saputo ancora una volta creare quella alchimia che rende un evento “speciale”.

Rispondendo alle varie richieste, ecco le slide presentate su OSINT.
giardini-osint-MOCA2016

Privacy: novità importanti. Le aziende devono attrezzarsi per competere

aprile 29th, 2016 Pubblicato in Normativa, Privacy, Pubblica Amministrazione, Sicurezza | Nessun Commento »

Di Paolo Giardini e Mauro Alovisio (agg. 04/05/2016)

Il Parlamento europeo ha approvato in via definitiva il nuovo regolamento europeo in materia di protezione dei dati personali (in corso di pubblicazione sulla Gazzetta Ufficiale Europea)  che è stato pubblicato il 04/05/2016 sulla Gazzetta Ufficiale Europea.  Il regolamento sarà vigente dopo 20 giorni dalla pubblicazione, ovvero dal 25 maggio 2016. Da questa data scatteranno i due anni di tempo (25 maggio 2108) per l’adeguamento a quanto previsto.
Il testo prevede regole comuni per i paesi membri per sviluppare i  servizi ed il mercato digitale europeo ed in particolare:
-un rafforzamento dei diritti privacy dei cittadini;
-alcune semplificazioni negli adempimenti privacy per le imprese;
-un nuovo approccio e un  innalzamento delle misure di sicurezza a protezione dei dati;
-un inasprimento delle sanzioni privacy al fine di colpire le aziende che effettuano violazioni di dati.

Leggi il resto di questo articolo »

Windows 2003 server end of life

luglio 14th, 2015 Pubblicato in Eventi, Sicurezza | Nessun Commento »

Oggi muore Windows 2003 server. Microsoft ha decretato la End of Life per quello che è stato un cavallo da tiro dei sistemi operativi server  con ancora oggi, secondo le stime,  11 milioni di installazioni nel mondo.
La fine del supporto per un prodotto software comporta sempre problematiche per gli utilizzatori. Queste problematiche si moltiplicano per un fattore “n con n tendente ad infinito” nel caso in cui il prodotto sia un sistema operativo. E’ questo il caso di Windows 2003 server.
Con la fine del supporto non vi saranno più aggiornamenti e patch in grado di rimediare alle vulnerabilità via via scoperte dai ricercatori e dai Black Hat Hacker. E non si pensi che essendo un prodotto ormai rodato non vi siano più buchi di sicurezza da scoprire.
Al momento sono alcune centinaia le vulnerabilità per Windows 2003 server secondo il database del NIST (il National Institute of Standard and Technology del Governo Americano), delle quali una ventina sono state rese note solo negli ultimi tre mesi. E non conosciamo ufficialmente quante vulnerabilità scoperte e non divulgate (i cosiddetti 0-Day exploit) sono nei cassetti dei cattivi in attesa del momento propizio.
L’avvicinarsi della fine del supporto per un sistema operativo comporta inesorabilmente un aumento dell’interesse da parte della parte oscura della rete dato che si sommeranno una serie di fattori negativi. Infatti molte aziende non provvederanno alla sostituzione di Windows 2003 server con un sistema operativo più aggiornato e anche le nuove vulnerabilità che verranno scoperte resteranno irrisolte lasciando un elevatissimo numero  di macchine  potenzialmente vulnerabili. Basti pensare a quante installazioni di Windows XP sono ancora in circolazione.
Le aziende dovrebbero iniziare a valutare la fattibilità e la convenienza della migrazione ad un sistema operativo Open Source, ad esempio GNU/Linux, che offre potenzialmente le stesse funzioni base utilizzate nella maggior parte degli scenari aziendali: autenticazione di dominio, file server, posta elettronica, web server, ed altro ancora.
Nei casi in cui sia indispensabile l’utilizzo di un sistema operativo Windows per far girare specifiche applicazioni le aziende dovrebbero informarsi se tali applicazioni gireranno sulla versione successiva del sistema operativo Microsoft o se sarà necessario acquistare anche licenze aggiornate di tale software. Insomma, la situazione che si viene a creare alla “end of life” di un sistema operativo server è molto complessa e merita più di un momento di riflessione.

 

Privacy on line: scadenza provvedimento sui cookie 3 giugno 2015

marzo 3rd, 2015 Pubblicato in Normativa, Privacy | 1 Commento »

Di Mauro Alovisio e Paolo Giardini

Entro il prossimo  3 giugno 2015 i siti web devono essere  compliance alle  prescrizioni previste dal provvedimento del Garante per la protezione dei  dati personali (8 maggio 2014, n. 214).  che individua modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.
Il provvedimento sopra citato è finalizzato, in coerenza con il quadro giuridico europeo, a tutelare  la privacy  degli utenti e consumatori ed è stato emanato dopo una procedura di consultazione pubblica on line al quale hanno partecipato molteplici associazioni di consumatori e di imprese; il provvedimento ha un impatto concreto sulle attività di responsabili informatici, marketing, agenti, web master, responsabili privacy.

Vediamo quali sono le prescrizioni previste.
Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha stabilito che, d’ora in poi  quando si accede alla home page o ad un’altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
2) che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
3) un link a una informativa più ampia, con le  indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente  o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
4) l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link)  si presta il consenso all’uso dei cookie.

Per quanto riguarda l’obbligo di tener traccia del consenso dell’utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l’informativa breve alla seconda visita dell’utente.

L’utente deve essere informato attraverso l’informativa estesa, che deve essere linkabile da ogni pagina del sito,  della possibilità di configurare il browser per modificare le proprie scelte sui cookie.
- In caso di cookie di  tipo persistente: banner con indicazione  dell’uso di cookie e avviso all’utente;
- notifica al garante in caso di cookie persistenti per profilazione;
- informativa relativa ad uso di cookie di terze parti con link alla  relativa informativa e consenso sui siti delle terzi parti;

Dalla FAQ del Garante (vedere link allegati)

Nel momento in cui l’utente accede a un sito web (sulla home page o su  qualunque altra pagina), deve immediatamente comparire un banner  contenente una prima informativa “breve”, la richiesta di consenso  all’uso dei cookie e un link per accedere ad un’informativa più  “estesa”. In questa pagina, l’utente potrà reperire maggiori e più  dettagliate informazioni sui cookie  cegliere quali specifici cookie  autorizzare.

Il banner deve avere dimensioni tali da coprire in parte il contenuto  della pagina web che l’utente sta visitando. Deve poter essere eliminato  soltanto tramite un intervento attivo dell’utente, ossia attraverso la  selezione di un elemento contenuto nella pagina sottostante.

Il banner deve specificare che il sito utilizza cookie di profilazione,  eventualmente anche di “terze parti”, che consentono di inviare messaggi  pubblicitari in linea con le preferenze dell’utente.

Deve contenere il link all’informativa estesa e l’indicazione che,  tramite quel link, è possibile negare il consenso all’installazione di  qualunque cookie.
Deve precisare che se l’utente sceglie di proseguire “saltando” il  banner, acconsente all’uso dei cookie.

Sono esclusi i cookie tecnici, ovvero quelli funzionali alla  usufruizione del sito.

Di particolare interesse sono i cookie tecnici per funzioni “analitycs”, ovvero in grado le funzioni in grado di analizzare le visite al sito al fine di trarne statistiche ed altre informazioni.
Sono cookie tecnici quelli analitycs solo se trattati direttamente dal  titolare del sito.
Non sono cookie tecnici quelli analitycs trattati da terzi, esempio google.

Link alla normativa, FAQ  ed informazioni utili sul sito del Garante Privacy:

Cosa sono i cookie e come gestirli

Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884]

Internet: Garante privacy, no ai cookie per profilazione senza consenso

Informativa e consenso per l’uso dei cookie – Domande più frequenti

Ok, ma se non lo faccio?

Non bisogna sottovalutare le relative sanzioni previste nel caso di inosservanza delle  prescrizioni: nel  caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, nel   provvedimento del
Garante è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

Per maggiori informazioni potete contattarci o lasciare un commento.

Consultate anche il catalogo dei Corsi di formazione

 

Hackinbo, grandi aspettattive per un grande evento

aprile 30th, 2014 Pubblicato in Eventi, Sicurezza | Nessun Commento »

Eventi legati al mondo della sicurezza in Italia ormai se ne organizzano molti.
Purtroppo però non sono dislocati su tutto il territorio ma in pochi “poli attrattivi” ormai consolidati.
Nel centro Italia ad esempio, non esiste un evento di riferimento.

Ricordo volentieri gli Hackmeeting di Pisa e Firenze, ormai lontani nel tempo.
C’è il Moca a Pescara, che però viene organizzato ogni quattro anni e c’è l’Hacker’s  Corner a Perugia all’interno del Festival Internazionale del Giornalismo che però è un evento di divulgazione con poco contenuto di tipo tecnico.
Insomma manca un evento fisso di un certo spessore.

Ora però questa lacuna si può dire colmata.
Mario A., (Lupo, secondo classificato con la sua squadra a Cracca al Tesoro di Genova 2012), ha messo tutto se stesso nella organizzazione di un evento che ha le carte in regola per diventare uno degli eventi di riferimento nel panorama italiano.
HackinBo, giunto alla seconda edizione, vanta quest’anno un parterre di esperti di tutto rispetto ed una location davvero prestigiosa in pieno centro a Bologna.
Non starò a riportare il programma, basterà puntare il mouse sul link al sito ufficiale ma posso senz’altro dire che è davvero succoso e pieno di cose interessanti.
Ci vediamo a Bologna il 3 maggio prossimo. Registratevi se non l’avete ancora fatto.

http://www.hackinbo.it/

Privacy e sicurezza nel Cloud

settembre 19th, 2013 Pubblicato in Cloud, Normativa, Privacy, Pubblica Amministrazione, Sicurezza | Nessun Commento »

Privacy e sicurezza nel Cloud, cosa tenere presente quando si sceglie un servizio

di Paolo Giardini
Direttore OPSI – Osservatorio Privacy e Sicurezza Informatica

Introduzione

Girovagando su Youtube mi sono imbattuto in un video realizzato da Enter The Cloud nel quale viene posta, ad un certo numero di persone incontrate per strada, una semplice domanda: “Sapete cosa è il cloud computing”? (1)
I risultati, almeno per i sostenitori del Cloud Computing, sono quanto meno deludenti.
Su 130 intervistati, l’83% non sa cosa sia il cloud. L’8% lo associa ad iCloud e solo il 5% ne fa un uso aziendale, utilizzando principalmente  servizi di storage (il 4%).
Beh, direte voi, se prendi le persone per strada, ci potrebbe anche stare che il Cloud non sia un qualcosa di particolarmente diffuso.
Giusto. Me lo sono detto anch’io e sono quindi andato a prendere l’ultimo  rapporto sullo stato del cloud computing in Italia (2)  pubblicato a febbraio di quest’anno sempre da Enter The Cloud (3).
Il rapporto è stato realizzato analizzando le risposte di un campione di 1000 professionisti IT che hanno compilato un questionario di 15 domande. Si tratta dunque di un campione significativo di persone questa volta non prese “dalla strada” ma che potremmo dire, “hanno le mani in pasta”.
Ebbene, fra i risultati ottenuti  saltano agli occhi soprattutto due questioni: la prima, è che il Cloud Computing ancora non ha fatto breccia nelle strategie delle aziende italiane (4); la seconda è il motivo addotto per spiegare questa riluttanza, ovvero  i problemi legati alla privacy ed alla sicurezza dei dati nella nuvola.
Da questi dati si  deduce che quello che manca sia una conoscenza di base della tecnologia cloud e delle possibili problematiche che la sua introduzione in azienda potrebbe comportare. Come sempre, la “non conoscenza” porta ad un rifiuto a priori, o comunque ad una certa diffidenza.
Con questo articolo cercheremo  di chiarire  le idee su alcuni degli  aspetti fondamentali del Cloud Computing che devono essere presi in considerazione al  momento di progettare  una transizione verso servizi cloud. In particolare prenderemo in considerazione gli aspetti relativi a privacy e sicurezza dei dati conservati ed elaborati nella nuvola.
Leggi il resto di questo articolo »

Privacy e Sicurezza a Cloud City

maggio 2nd, 2013 Pubblicato in Cloud, Eventi, Sicurezza | Nessun Commento »

Cloud City è l’evento che si terrà ad Orvieto il 4 e 5 maggio nel quale si incontreranno esperti ed appassionati, sviluppatori e manager per conferenze, workshop, presentazioni, barcamp, dimostrazioni pratiche, gare e contest legati al tema del Cloud Computing   non solo dal punto di vista tecnico ma soprattutto dal punto di vista dell’utilizzo di questa  tecnologia come strumento da utilizzare per realizzare al meglio qualsiasi progetto.

Personalmente terrò un talk sabato pomeriggio dal titolo Privacy e sicurezza nel cloud. Cosa tenere presente quando si sceglie un servizio nel quale cercherò di dare alcune indicazioni utili al momento di saltare sulla nuvola evidenziando le problematiche relative alla gestione della privacy in base alle indicazioni del Garante, alle questioni tecniche legate alla sicurezza dei dati, alla geolocalizzazione dei dati, ai rischi per la loro sicurezza, alle accortezze da tenere presente nei contratti di servizio.

Link al sito ufficiale di Cludcity2013
http://cloudcityexpo.com/programma/

Le slide del mio intervento
cloudcity_giardini

 

 

Luci e ombre del nuovo testo unico (D.Lgs. 14 marzo 2013 n. 33) in vigore dal 20 aprile 2013

aprile 25th, 2013 Pubblicato in Normativa, Pubblica Amministrazione | Nessun Commento »

Con piacere pubblico il link all’articolo di Mauro Alovisio sul blog di Stefano Quintarelli dove Mauro esamina rapidamente ma molto chiaramente a quali obblighi di trasparenza dovranno sottostare le PA ed anche, purtroppo, l’occasione mancata per fare una vera riforma nella direzione della lotta alla corruzione ed al malgoverno.

Il testo unico sulla trasparenza (D.Lgs. 14 marzo 2013 n. 33; pubblicato sulla Gazzetta Ufficiale del 5 aprile 2013 n. 80) è stato approvato dal Governo in attuazione dell’art.1, comma 35, della legge 6 novembre 2012, n. 190 (Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione, c.d. “legge anticorruzione”); il provvedimento riordina le precedenti disposizioni in “materia di obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”, modifica ed integra l’attuale quadro normativo con interessanti novità; vediamo quali, per capire insieme che cosa cambierà realmente per i cittadini e le imprese. (cit. dal link indicato)

D.Lgs. 14 marzo 2013 n. 33, Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”, pubblicato sulla Gazzetta Ufficiale del 5 aprile 2013 n. 80) Il testo è consultabile on line a questo linkallegato A

Il nuovo Regolamento Europeo: Privacy Officer o Data Protection Officer?

aprile 4th, 2013 Pubblicato in Privacy, Sicurezza | Nessun Commento »

Ormai dovremmo essere alle battute finali del lavoro  da lungo tempo iniziato dalla commissione europea incaricata di aggiornare le norme comunitarie sulla privacy, o meglio, sulla protezione dei dati personali.
Entro maggio 2104 (se le varie opposizioni dopo lo scandalo delle intercettazioni saranno superate)  dovrebbe vedere la luce, nonostante molte ombre rimangano (vedi i problemi nell’utilizzo di dati personali per scopi di studio) , il regolamento “on the protection of individuals with regard to the processing of personal data and on the free movement of such data”. Leggi il resto di questo articolo »

Linux Day 2012:

ottobre 20th, 2012 Pubblicato in Eventi, Open Source | Nessun Commento »

Sabato 27 ottobre torna in tutta Italia la manifestazione che promuove il software libero e GNU/Linux in particolare.

L’argomento principale della giornata sarà “il software libero nella piccola e media impresa”.
Come recita lo slogan adottato, Abbattere i costi del software in azienda, senza rinunciare a nulla, e migliorando la sicurezza e la flessibilità dei sistemi: con Linux si può!

In particolare a Perugia l’appuntamento è con gli attivissimi ragazzi del GNU/LUG Perugia presso il centro congressi Mater Gratie,  Strada San Galigano Santa Lucia, 12/A, Località Montemorcino, Perugia.

L’articolo sul sito del GNU/LUG Perugia dove troverete anche il volantino dell’evento ed il link per la registrazione (gratuita).