Legge e policy

20 aprile 2011

Michigan, la polizia stradale copia i dati privati dagli smartphone

In Michigan, negli Stati Uniti, la polizia stradale avrebbe iniziato a fermare gli autoveicoli e a scaricare i dati contenuti nello smartphone di chi era alla guida, anche senza sentire la necessità di contestare alcun reato.

Come riportato da Cnet la polizia utilizza un dispositivo che, collegato allo smartphone, esegue il download di SMS, fotografie, video, dati GPS, numeri della rubrica, anche superando PIN e password.

Ogni commento è superfluo, ma c'è un buon motivo se ho inserito questo post nella sezione Crittografia.

 

Scritto il 20 aprile 2011 alle 16:44 nella Cellulari e PDA, Crittografia, Legge e policy | | Commenti (0) | TrackBack (0)

| | |

25 febbraio 2011

Relazione Copasir 2010 sulla sicurezza informatica

Segnalo la relazione 2010 del Copasir (Comitato parlamentare per la sicurezza della Repubblica) sulla sicurezza informatica (pdf).

CYBERSECURITY_Doc_XXXIV_n_4

Scritto il 25 febbraio 2011 alle 14:01 nella Cyberwarfare, Legge e policy | | Commenti (0) | TrackBack (0)

| | |

17 novembre 2009

Don't be a billy

Non sanno più cosa inventarsi per ripetere le solite, semplici regole:


Scritto il 17 novembre 2009 alle 08:59 nella Legge e policy | | Commenti (0) | TrackBack (0)

| | |

18 febbraio 2009

L'Italia vuole intercettare le telefonate via Skype

È notizia di oggi che il Ministero dell'Interno ha organizzato un gruppo di lavoro per studiare la possibilità di intercettare le comunicazioni via Skype:

Roma, 18 feb. - (Adnkronos) - Il ministro dell'Interno, Roberto Maroni, ha costituito un apposito Gruppo di lavoro formato da rappresentanti del Dipartimento della Pubblica Sicurezza, dalla Polizia di Stato, Carabinieri, Guardia di Finanza e dal Consiglio Nazionale delle Ricerche, che ha l'obiettivo di ricercare soluzioni tecnologiche e normative per rendere fruibili ai fini investigativi e giudiziari le intercettazioni telematiche effettuate sulle conversazioni Voip che utilizzano il software prodotto da Skype.

La parte che mi preoccupa maggiormente è il riferimento a soluzioni "normative". Finiremo come in Cina, dove Skype viene distribuito in versione "intercettabile" dalle autorità?


Scritto il 18 febbraio 2009 alle 13:41 nella Criminalità, Legge e policy | | Commenti (2) | TrackBack (0)

| | |

06 ottobre 2008

Tre documenti dal NIST

20081006sicurezzainformaticait Il NIST (Nastional Institute of Standards and Technology, un ente governativo USA) ha recentemente pubblicato tre documenti ("special publications") ai quali varrebbe la pena dare un'occhiata:

Ancora come bozza, pubblicata per chiedere commenti al grande pubblico, questo documento tratta la sicurezza di quei servizi di controllo vitali al corretto funzionamento delle infrastrutture critiche.

Il paper è utile a tutti coloro che implementano funzionalità Bluetooth nel loro ambito lavorativo (e non mi riferisco solo al pairing fra telefono e auricolare), ad esempio i network administrator.

Una raccolta di consigli per le aziende che desiderano implementare una serie di test di sicurezza fai-da-te (network scan, penetration test, ecc).


Scritto il 06 ottobre 2008 alle 13:31 nella Cellulari e PDA, Hacking, Legge e policy, Wireless | | Commenti (0) | TrackBack (0)

| | |

07 settembre 2007

Prove di anti-cyber-terrorismo in India

20070907-indiaspy.png Mentre la Cina attacca (?) gli USA, l'India prova a difendersi dal terrorismo. Lo riferisce Bruce Schneier sul suo blog, che a sua volta riporta una notizia pubblicata dal sito indiano MiDDay:

Mumbai police will have access to new software connected to 500 cyber cafes in the city that will send them logs


In sostanza la polizia di Mumbai (ex Bombay) installerà un software in 500 Internet cafè che le permetterà di monitorare le attività terroristiche.

The police needs to install programs that will capture every key stroke at regular interval screen shots, which will be sent back to a server that will log all the data.


La logica è che se i terroristi temono di essere rintracciati usando la connessione Internet di casa o da amici/conoscenti, in un Internet cafè sarebbero protetti dall'anonimato.

Vijay Mukhi, President of the Foundation for Information Security and Technology says, “The terrorists know that if they use machines at home, they can be caught. Cybercafes therefore give them anonymity.”


E da oggi ovviamente qualsiasi terrorista che dovesse pianificare un attentato ci penserà due volte prima di usare un Internet cafè di Mumbai. Di conseguenza ecco l'ennesimo esempio di come una misura estrema presentata come mezzo di contrasto al terrorismo finisce per essere usata contro la criminalità comune. Oltre che ovviamente per rendere la vita più difficile al resto della popolazione.

All cyber cafes in the city will now need a police license to keep their business going. All cafes need to register at the police headquarters and provide details on the number of computers installed, type of computers and technical details like the IP address of each machine.

Scritto il 07 settembre 2007 alle 17:01 nella Criminalità, Cyberwarfare, Legge e policy, Privacy e spam | | Commenti (0) | TrackBack (0)

| | |

31 ottobre 2006

SigInt, Echelon visto dal Canada

20061031-satelliti.gif L'Edmonton Sun, giornale canadese, ha ospitato le riflessioni di un giornalista sul ruolo del Canada nel progetto di signals intelligence noto ai più come Echelon.

Quando si parla di Echelon si pensa quasi sempre agli Stati Uniti, NSA & Co. Il ruolo degli altri paesi appare minore, ma lo è davvero?

In Canada, the most important sits in Leitrim, a sleepy community of Ottawa that was just countryside when the station, codenamed CAF97, was first constructed in 1941. Now, it sits a scant distance from the end of Bank Street, where the city's longest street turns into Highway 31, taking busy urbanites past the capital's airport and subdivisions. Although the Communications Security Establishment (CSE) never talks about its operations publicly, Leitrim - a Canadian Forces base - is long believed to have monitored Russian submarine and shipping activities in the Arctic.

A chi si interessa dell'argomento, segnalo che Wikipedia ha una buona pagina su Echelon.

Scritto il 31 ottobre 2006 alle 16:54 nella Cyberwarfare, Legge e policy, Privacy e spam | | Commenti (0) | TrackBack (0)

| | |

26 ottobre 2006

Sequestri di portatili volando negli USA

20061026-dogana.gifLa paura di volare da tempo ha assunto un nuovo significato. La paranoia da attentato terroristico ci spinge non solo a imbarazzanti spogliarelli davanti ai metal detector (agli aeroporti di Mosca, ma non è l'unica città, da un paio d'anni ormai è d'obbligo togliersi le scarpe e zompettare dentro mini-sacchetti di plastica), ora negli USA potrebbero sequestrarvi il computer e compiere un'approfondita analisi dei suoi contenuti.

Ne parla Punto Informatico:

La Association of Corporate Travel Executives, ACTE ha diramato un allarme a tutti i propri soci secondo cui "con le attuali leggi americane, agenti governativi possono sequestrare e analizzare il computer portatile di un viaggiatore, i suoi dischi e altri media elettronici quando arriva negli Stati Uniti da un volo internazionale o parte dagli Stati Uniti verso un altro paese".

E in effetti il comunicato dell'ACTE non lascia spazio ad alcun dubbio:

The Association of Corporate Travel Executives (ACTE) is warning its members that under U.S. law, government agents may seize and search a person´s laptop computer, computer discs, and other electronic media when that person arrives in the U.S. from abroad or departs from the U.S for a foreign country. The law applies equally to U.S. passport holders and non-U.S. passport holders. The association is advising business travellers to be cautious in carrying proprietary information across U.S. borders.

Il mio consiglio si esaurisce in un'unica parola: crittografia.

Scritto il 26 ottobre 2006 alle 08:58 nella Crittografia, Legge e policy, Privacy e spam | | Commenti (2) | TrackBack (0)

| | |

10 marzo 2006

Sfuggire al Trusted Computing?

Oggi Punto Informatico ha un approfondimento su come ci si possa sottrarre al trusted computing.

L'articolo prende prima in esame alcuni accorgimenti tecnici, per poi passare all'inevitabile conclusione:

[...] l'unico vero modo per sottrarsi ai nefasti effetti del TC è quello di renderlo illegale o, più esattamente, di regolarne l'uso per legge.

Scritto il 10 marzo 2006 alle 11:35 nella Legge e policy, Trusted Computing | | Commenti (0) | TrackBack (0)

| | |

14 novembre 2005

In caso di furto o perdita di un PC

Questa notizia di per sè non è molto importante: un'azienda che si occupa di mantenere ed elaborare dati contenenti informazioni finanziarie di migliaia di utenti si è vista rubare un desktop. Il computer conteneva il credit profile di 3600 persone.

Se vogliamo proprio trovare il lato positivo, possiamo mettere in evidenza che a ognuno dei 3600 sfortunati consumatori è stata offerta la possibilità di inserire un messaggio di warning nel proprio profilo, nonché di ottenere un monitoraggio anti-frode gratis per un anno:

The Chicago-based firm said consumers who may have been affected [...] were offered a year of free credit monitoring and the ability to place a fraud alert on their files.

Ma il passaggio preoccupante si trova subito dopo:

Spokeswoman Colleen Tunney said the computer was password-protected [...]

"Password-protected"?
Con la password di Windows, presumo. E non aggiunge altro sulle misure di sicurezza del PC.

Spero ardentemente che un'azienda il cui principale scopo è quello di elaborare i dati finanziari di migliaia di cittadini abbia in piedi un meccanismo di cifratura dei file, perché anche i bambini oggi possono superare facilmente la password di Windows: è sufficiente un software tipo ERD Commander, del tutto legittimo, di cui dimostrai l'efficacia l'anno scorso a un tutorial di Mondadori.

Comunque sia se lavoriamo in un'azienda questo esempio potrebbe essere adatto per suggerire qualche domanda al nostro responsabile dei sistemi informativi (o chi per lui): quali misure di sicurezza sono state predisposte per evitare la fuoriuscita di informazioni a seguito della perdita o del furto di un computer?
Crittografia?
Solo sui notebook aziendali o anche sui desktop?
C'è una policy aziendale in merito?
E quali protocolli di contenimento entrano in funzione non appena si viene a conoscenza del fatto?

Non accontentatevi della password di Windows. Non vi proteggerà.

Scritto il 14 novembre 2005 alle 16:48 nella Legge e policy, Privacy e spam | | Commenti (0) | TrackBack (0)

| | |

Successivo »

Il Curatore

Menu



  • Widget per inserire le news sul tuo sito
Iscriviti a questo sito (XML)

Cerca

Categorie

Archivi

Altro...

Creative Commons Attribution 3.0 Unported
Luca Sambucci

Crea il tuo badge