Sicurezza, ICT e altro

Sulla mailing list del Security Area Advisory Goup (SAAG) dell’IETF è in corso un’interessante discussione nel thread “Algorithms/modes requested by users/customers” sulle difficoltà del processo di valutazione FIPS-140. O meglio, è in corso un’elencazione di problemi del processo di valutazione. Le difficoltà di questi processi sono molte e vale la pena di leggersi il thread, ma questa considerazione la trovo particolarmente interessante:”I have no experience with the purchasing side, but in my experience doing FIPS 140 validations, we often had to ask vendors to include hooks for testing that, from any objective standpoint, made the system less secure. And because the tests must be made on the same firmware/software as the as-shipped one (not in a special test/debug mode), that increased the attack surface of some of these devices greatly. I will fondly remember the validation where I found several exploitable buffer overflows in an HSM that had already passed two previous validations – all the holes were found in the hooks used for FIPS-140 testing.“

Leggo partendo dal blog di Gianni Amato che gli indirizzi IP potrebbero essere considerati in futuro dati personali. Nello stesso tempo, leggo alcune riflessioni sul fatto che con IPv6 gli indirizzi IP hanno quantomeno una probabilità molto più alta di essere univocamente legati ad una persona. Quello degli indirizzi IP è sempre stato un problema spinoso, perché vengono registrati e trattati in moltissimi contesti, anche in quelli in cui non c’è nessun interesse a registrare l’identità di una persona. Ma che da un indirizzo IP si possa spesso risalire alla persona è una questione tutt’altro che banale: attraverso un indirizzo IP si risale ad una macchina, non ad una persona. È anche vero però che in molti casi l’associazione è certa: se la persona è in qualche modo registrata, o se dallo stesso indirizzo IP si è autenticata su un qualche altro servizio. Certo, in alcuni casi ci possono essere anonimizzatori e proxy in mezzo, ma in molti altri no: direi che dal punto di vista della compliance, o si è certi che ci sia un proxy di mezzo, o è meglio assumere che l’identificazione sia possibile. Ma a chi? Se l’associazione IP/persona è solo nei tabulati di un ISP, accessibili solo all’autorità giudiziaria, chi gestisce un sito web deve comunque considerare personale il dato, o lo può ritenere anonimo? Che l’indirizzo IP sia o meno un dato personale è quindi meno ovvio di quanto può sembrare, e che il tema sia oggetto di discussione mi sembra più che corretto.
Certamente in molti casi non considerare personale l’indirizzo IP ha semplificato la vita a molti. Come è certo che considerarlo personale la complicherà. Vedremo.

Quando sento parlare di social engineering, tema al momento molto trattato, ho l’impressione che si parli tanto del problema, tutto sommato abbastanza banale, e poco invece delle soluzioni, che banali non sono. Anzi, ho il sospetto che si parli poco delle soluzioni proprio perché non sono banali. Di solito, sento solo delle indicazioni estremamente generiche, talmente generiche da essere solo un po’ di “buon senso” dal quale trovo difficile che ci si possa aspettare una soluzione reale al problema. Un’indicazione comune è quella di “seguire le procedure”, dove le procedure spesso a loro volta dicono che “incontrando una persona ‘sospetta’ le si debba chiedere dove sta andando” (semplifico). Vale allora la pena di leggere questo articolo segnalato da Schneier, su una persona che si intrufola proprio negli uffici che di questi tempi dovrebbero essere maggiormente sorvegliati, semplicemente per rubare un po’ di soldi. In particolare, questo passaggio: “Her excuses were flimsy inventions. But people don’t like confrontations. They feel they’ve done enough if they ask a question and get an answer.” Certo, le procedure sono state seguite, visto che le domande sono state fatte. Il problema è che manca la voglia di valutare le risposte… sempre che ce ne sia la capacità.