Voti scambiati con l'e-voting in Ohio

Posted on November 13, 2007 by claudio

Questa non me la potevo perdere. I voti fra due candidati sono stati scambiati da alcuni sistemi per l’e-voting in Ohio. Questa è la frase critica del responsabile delle operazioni: “It was a programming error and that race got recorded exactly opposite,” he said. “I don’t know what happened. We have people coming in from ES&S software in Omaha and a programmer from Columbus.” La parte veramente critica è: “non so cosa sia successo”. In un sistema di voto, è inaccettabile che qualcuno debba fare un’affermazione di questo tipo. In realtà ogni cittadino dovrebbe poter sapere cos’è successo, e non dipendere da quello che gli racconta un programmatore; figuriamoci il responsabile delle operazioni di voto. Il problema più grave del voto elettronico è proprio questo: l’elettore perde visibilità del processo, e con quella il controllo e magari anche la fiducia nella sua correttezza.

Posted in Sicurezza, Varie | Comments Off on Voti scambiati con l'e-voting in Ohio

Sicurezza, PMI e Basilea II

Posted on November 11, 2007 by claudio

Torno oggi da quattro giorni ad un convegno organizzato da ENISA a Barcellona. Un convegno pieno di spunti dei quali vi racconterò. Nel frattempo smisto arretrati e posta (in albergo volevano 8 euro/ora per la connessione, così mi sono permesso di non leggere mail per quattro giorni…) e nel farlo riporto qualche notizia arretrata anch’essa.

Circa un mese fa ho riportato della comparsa delle prime (??) offerte di prodotti che tengono conto del rating delle aziende rispetto alla rischiosità, secondo i criteri di Basilea II. Nel frattempo ho avuto occasione di vedere alcuni tool di autovalutazione e offerte, ed ho visto che tutti raccoglievano solo dati di bilancio e qualche altro dato economico/finanziario in quanto non direttamente ricavabile dal bilancio. Un paio di settimane fa ho avuto occasione di chiacchierare di uno di questi tool, sviluppato in collaborazione fra un’università ed una banca sulla base di dati reali dei clienti della banca (anonimizzati, ovviamente 😉 ). Anche questo tool non faceva cenno a rischi operativi non solo relativi all’IT, ma nemmeno alla qualità dei processi industriali o a problematiche di business continuity. Incuriosito, ho chiesto chiarimenti, e mi è stato risposto che una volta stabilito il settore in cui l’azienda operava, l’unico fattore che era sembrato interessante era una (generica) “qualità della gestione”, che comunque si riesce ad evidenziare, mi hanno detto, da alcuni dati di bilancio. Ovvero, per come l’ho capita, se il management è “trascurato”, si vede dal bilancio, il che è in generale credibile. Non hanno rilevato che altri fattori fossero rilevanti, a parte appunto la rischiosità del settore in cui opera l’azienda. La cosa lì per lì mi ha colpito, perché naturalmente vuole dire che un’azienda virtuosa nella gestione del rischio operativo, in termini di IT, business continuity ecc., non viene premiata perché, secondo quella valutazione, non ne risulta una riduzione significativa del rischio (della solvibilità, direi) rispetto a fattori rilevabili dal bilancio. Oppure, che una buona gestione del rischio operativo si dovrebbe vedere immediatamente in termini di voci di bilancio. Il che, naturalmente, fa a pugni con il concetto di business continuity, con il quale pure le banche hanno dovuto scontrarsi proprio per essere loro stesse in linea con le indicazioni di Basilea II. Proprio venerdì sentivo un intervento nientemeno che di Edward Humphreys (il “papà” del BS 7799) sugli effetti che un disastro può avere sulle PMI della zona in cui si verifica, e sulle aziende di cui sono fornitori… anche quello basato su casi reali. Mi pare di aver sentito che per alcuni economisti dal bilancio di un’azienda si può capire tutto di quell’azienda: mi domando dove, nel bilancio, si possa vedere la gestione di rischi legati ad eventi che abbiano effetti anche catastrofici ma che non abbiano tempi di ritorno dell’ordine di pochi anni… Il mio dubbio è che le (poche) aziende realmente virtuose o particolarmente trascurate dal punto di vista del rischio operativo siano state considerate trascurabili nella statistica, semplicemente perché i dati necessari per mettere in evidenza la loro peculiarità non erano in possesso della banca, né erano riconosciuti come rilevanti da chi era, a priori, concentrato sui dati di bilancio; magari nell’ipotesi che il “buon manager” avrebbe comunque trattato correttamente questi rischi, e ignorando invece che anche il buon manager spesso questi rischi non li conosce proprio, e quindi in buona fede non li tratta correttamente. Naturalmente, se ho ragione la cosa verrà corretta alla prima catastrofe o serie di incidenti rilevanti… ma la gestione del rischio non dovrebbe servire proprio ad evitare di arrivare impreparati a questi eventi?

Correzione: non è stato  Edward Humphreys a fare gli esempi concreti (lui ha parlato dello stato presente e futuro della famiglia di standard ISO 270xx) ma David Reynolds

Posted in ict, Sicurezza, Varie | Tagged , , , , , | Comments Off on Sicurezza, PMI e Basilea II

e-Jihad?

Posted on November 7, 2007 by claudio

Da qualche giorno circola la notizia di un programma chiamato e-Jihad, che sarebbe stato predisposto da Al-Qaeda e distribuito da diversi siti. Scopo del programma sarebbe creare un attacco di Denial of Service distribuito il giorno 11 novembre. Devo dire che  quando ho sentito la notizia sono rimasto piuttosto perplesso: che senso ha un programma per realizzare  “a mano” quello che una qualsiasi botnet potrebbe fare meglio e con un numero molto maggiore di nodi? Tuttavia, se la notizia è vera, allora bisogna pensarci un attimo, perché Al-Qaeda ha mostrato altre volte di non essere stupida. Da come se ne parla il programma non fa niente di particolare, vedi ad esempio qui. Mi permetto allora di azzardare una possibile interpretazione della faccenda, senza pretesa di “indovinare” ma per aggiungere qualche elemento di riflessione. Naturalmente non credo di dire delle novità, qualcuno ci avrà già pensato, ma dato che c’è tanta attenzione al programma e al DDoS anziché alle motivazioni per la sua realizzazione, magari vale comunque la pena di ragionarci.

Prima di tutto il programma. È possibile magari che contenga qualche 0-day, e che quindi possa causare danni in modo “inaspettato”. Tuttavia, dato che il programma è “liberamente scaricabile”, certamente è già stato analizzato abbastanza da capire più o meno cosa può fare, e quella quindicina di siti che dovrebbero essere il bersaglio principale saranno preparati. Anche se il programma venisse lanciato da un migliaio di “e-jihadisti” in contemporanea, non potrebbe causare un DDoS peggiore di quello causato da una grossa botnet, direi. Quindi, al centro dell’operazione secondo me non c’è il programma.

Al-Qaeda è un’organizzazione di terroristi, non di hacker. Vale nel senso delle competenze, e vale nel senso degli obiettivi. È gente che tira giù i grattaceli uccidendo migliaia di persone, non i siti web; un attacco va misurato in termini di effetti psicologici e propagandistici, non tecnologici. Che effetto può avere un attacco di DDoS di mediocre efficacia, da un punto di vista psicologico e propagandistico?

Da un punto di vista propagandistico, potrebbe dare l’idea che Al-Qaeda apre un nuovo fronte, ma ci credo poco, anche perché i media riuscirebbero facilmente a sminuirne l’impatto. Da un punto di vista psicologico sulle “vittime”, anche un danno rilevante non avrebbe neanche lontanamente l’effetto anche solo di un’esplosione in una stazione di periferia. Quindi lo scopo non può essere quello. E allora bisogna tornare a chiedersi: perché non hanno semplicemente affittato una grossa botnet? La risposta secondo me è: perché vogliono coinvolgere le persone.

Temo che in questo momento il  mondo sia pieno di idioti che cercano di scaricare il programma, con l’idea di vederlo e magari provarlo. E magari anche molti anti-qualsiasicosa stanno pensando di partecipare realmente all’azione, non perché jihadisti in particolare ma perché è un’occasione di fare danni alle odiate istituzioni o agli odiati Stati Uniti (questa frase finirà sicuramente nella rete di qualche analizzatore automatico del web alla ricerca di pagine sovversive 😉 ). Questi stessi idioti lanceranno in prima persona, e non tramite una botnet, gli attacchi che interessano ad Al-Qaeda. Con quali conseguenze? Due, secondo me, forse tre. La prima è che Al-Qaeda potrà dire che ci sono moltissime persone che odiano l’odiato nemico e disposte ad unirsi alla guerra santa (si scriverà maiuscolo?). Il secondo è che le varie polizie ed agenzie dovranno (dovrebbero) andare a cercare queste migliaia di idioti con l’accusa di terrorismo, e non se ne scappa: il programma è distribuito per quello. Quali possano essere le conseguenze non lo so, ma probabilmente una gran confusione (immaginate le diverse posizioni che avrebbero al riguardo i partiti italiani, ad esempio). Può anche essere che nella massa si possano poi nascondere azioni più pericolose e mirate, che potrebbero quindi essere più difficili da contrastare e punire.  Il terzo è che magari nel corso dell’operazione qualcuno di questi idioti, possibilmente con capacità tecniche, potrebbe essere realmente reclutato.

Naturalmente, come ho detto, non ho la pretesa di indovinare, si tratta di spunti di riflessione. Secondo me in realtà succederà molto poco, ma non è mai il caso di sottovalutare i problemi. Tuttavia, l’idea che un attacco di DDoS possa causare “terrore” o interessare a dei terroristi mi pare davvero poco credibile.

Posted in Sicurezza | Comments Off on e-Jihad?