Sicurezza, ICT e altro

No, non ho abbandonato nuovamente il mio sito ;), è solo stata una settimana molto impegnativa. Ho seguito il corso per la certificazione ISO 27001 Lead Auditor organizzato da BSI e Firenze Tecnologia. Orario effettivo del corso: dalle 9 del mattino alle 20 passate, più lo studio serale (e ovviamente lo “smaltimento” delle urgenze lavorative). L’unico modo per affrontarlo è stato l’isolamento quasi completo. Devo dire che è stato un corso molto formativo, sia per quanto riguarda lo standard che per quanto riguarda l’attività di audit in sè. Lo consiglio fortemente, a prescindere dall’esame. La formazione specifica sull’attività di audit è una cosa di cui sentivo la mancanza: nonostante abbia affiancato ottimi professionisti, mi mancava un inquadramento rigoroso dell’attività (parte del corso è dedicata allo standard ISO 19011), e certo confrontarsi sul tema specifico dell’audit è stato molto utile. Vedo fra l’altro che anche AIEA ha in programma un corso base di IS Audit. Quella dell’auditor è una prospettiva diversa da quella tipica del tecnico, e un corso di questo tipo penso potrebbe essere utile a molti per vedere la propria attività sotto una luce diversa. E naturalmente, è stata un’occasione per conoscere altri ottimi professionisti del settore, con i quali spero di rimanere in contatto.

Fa notizia in queste ore la sentenza della Cassazione che avrebbe assolto due persone che gestivano senza scopo di lucro un server ftp utilizzato per lo scambio file protetti da diritto d’autore. Come sempre, bisognerebbe leggere la sentenza anziché gli articoli di giornale 🙂 Sia  IlSole24Ore che Punto Informatico sembrano aver sbagliato completamente (peraltro, nei thread di commento di P.I. la cosa viene chiarita). I due studenti a quanto pare erano  accusati di violazione degli art. 171 bis e 171 ter della legge sul diritto d’autore, la numero 633/41, ma nella versione valida al tempo dell’ipotetico reato, cioè prima del Decreto Urbani. Adesso, come si può vedere qui, il testo è ben diverso ed applicare la sentenza all’attualità sembra completamente sbagliato.
Inoltre, sia la sentenza che gli articoli fanno un uso molto libero del termine “download”, che confonde ulteriormente le idee, ma almeno nella sentenza si sono preoccupati di chiarire l’uso che ne fanno: sarebbe stato molto più corretto, e chiaro per gli articoli, parlare di upload.

E tuttavia, una riflessione va fatta: quanti, leggendo il titolo del Sol24Ore, hanno trovato assurda la sentenza e si sono dispiaciuti per l’inadeguatezza della norma, e quanti invece hanno avuto una sensazione di liberazione? Probabilmente più i secondi dei primi, anche se magari molti altri lettori non hanno avuto reazioni particolari. Immaginiamo invece di aver letto un articolo che diceva: “Rubare l’incasso di una libreria non è reato”. Certamente la maggior parte dei lettori lo avrebbe trovato immediatamente assurdo, e avrebbe trovato terribilmente inadeguata la norma. Eppure secondo la logica della norma, si tratta sostanzialmente di furto in entrambi i casi, e non c’è dubbio che l’associazione “duplicazione=pirateria=furto” ci sia stata presentata in tutte le salse (non utilimi i fastidiosissimi spot all’inizio dei dvd originali), e quindi se la nostra etica fosse disposta ad accettare questa associazione, lo avremmo già fatto e reagiremmo nello stesso modo in entrambi i casi. Dobbiamo quindi chiederci se la norma realmente rispecchia ciò che i cittadini ritengono “giusto”, o se invece i cittadini accettano l’equivalenza semplicemente come una coseguenza di una “logica” (proprietà intellettuale = proprietà fisica) alla quale non si riescono a sottrarre.

Sia chiaro: non sono a favore della violazione delle norme, al contrario: penso che vadano rispettate, sia per principio che per metterne in evidenza le storture e spingere verso la loro correzione. E non penso neanche che determinate attività non vadano adeguatamente remunerate. Ma è su quell'”adeguatamente” che, secondo me, le major si sono giocate l’appoggio di molti cittadini.

Un commento condivisibile sull’utilizzo del man-in-the-middle nel phishing per rendere più trasparente e credibile il sito che raccoglie le informazioni. In pratica, l’utente comunica con il sito reale con il quale pensa di essersi messo in contatto, ma lo fa attraverso il sito del phisher, che quindi può raccogliere le informazioni in transito (comprese le credenziali di autenticazione). Niente di nuovo in realtà, nel senso che la cosa era fattibile da tempo, senza neanche troppe difficoltà: semplicemente, prima non c’era neanche bisogno di questo, le credenziali si raccolgievano comunque, anche con siti malfatti e mail in un inglese (o italiano) stentato. Serve dirlo? Se il sito falsificato richiedesse l’autenticazione dell’utente sull’https, questo trucco non funzionerebbe, come del resto tanti altri.