Agatino Grillo (AG): Buongiorno dottor Pirotti e grazie per la collaborazione. Lei è, dall'ottobre 2004, il direttore esecutivo di ENISA, l'Agenzia Europea per la Sicurezza delle Reti e dei Sistemi Informatici. Può farci una rapida presentazione della sua carriera professionale?

Agatino Grillo (AG): Ciao Alessandro e grazie per la collaborazione. Vuoi fare una tua rapida presentazione professionale e personale?

(Traduzione in italiano di "The Psychology of Security", draft, di Bruce Schneier , versione del 28 febbraio 2007; la traduzione è di Agatino Grillo disponibile anche in formato pdf , 168 K)

Introduzione

La sicurezza è sia una sensazione sia qualcosa di reale. E le due cose non coincidono.
La sicurezza reale si fonda sulla matematica e riguarda le probabilità che si verifichino i possibili rischi e l’efficacia delle misure di protezione adottate. Possiamo infatti facilmente valutare quanto è sicura la nostra abitazione rispetto ai furti prendendo in considerazione fattori quali il tasso di criminalità del quartiere nel quale viviamo o la nostra abitudine di chiudere sempre a chiave la porta di casa. Possiamo anche calcolare con facilità la probabilità di essere assassinati in strada da uno sconosciuto o nella nostra abitazione da un familiare. Possiamo infine calcolare la probabilità di essere vittima di un furto d’identità. Dato un insieme abbastanza vasto di statistiche sugli atti criminali tutto ciò non è molto difficile: le compagnie assicuratrici lo fanno da tempo.
Possiamo anche calcolare di quanto un antifurto può aumentare la sicurezza della nostra casa o in che modo il blocco del nostro conto bancario ci proteggerà dal furto d’identità. Ancora una volta: data una quantità sufficiente di informazioni ciò è facile.

MELANI (Melde- und Analysestelle Informationssicherung), la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione Svizzera, ha pubblicato il 30 aprile 2007 il suo "Quarto rapporto per la sicurezza dell’informazione relativo alla situazione in Svizzera" (pdf 501 K) relativo al secondo semestre del 2006.

La minaccia del social engineering

Il rapporto evidenzia la forte espansione del fenomeno del "social engineering" che utilizza metodi sempre più raffinati con conseguente aumento dei furti di identità e di dati. È dunque centrale la sensibilizzazione degli utenti in quanto l’anello debole della catena della sicurezza sembra sempre più essere proprio l’elemento umano. Infatti perché gli attacchi di social engineering abbiano successo occorre procurarsi informazioni sulle potenziali vittime e a tale scopo viene sempre più frequentemente utilizzato malware in maniera mirata. Tale malware, osserva il rapporto, è difficilmente intercettabile dai software antivirus usuali e viene sempre più diffuso mediante pagine Internet appositamente predisposte.

ISC2  ha pubblicato il numero di marzo/aprile della sua newsletter (pdf, 491 K) dedicata ai temi della sicurezza.

L’Associazione Bancaria Italiana (ABI), in collaborazione con OS.SI.F. e ABI Lab, organizza, il 21 e 22 maggio 2007 a Roma, il convegno "Banche e Sicurezza 2007 – Soluzioni, strumenti e metodologie per una nuova strategia di protezione". L’evento è a pagamento.

Temi

Il convegno ospiterà esponenti del mondo istituzionale, accademico, finanziario ed imprenditoriale che esamineranno lo stato dell’arte e soprattutto le linee evolutive strategiche, normative e tecnologiche della gestione della sicurezza in banca.
Interverranno tra gli altri il Vice Ministro dell'Interno, il Prefetto di Roma, il Presidente della Commissione Finanza e Tesoro del Senato, il Garante per la protezione dei dati personali, la Banca d'Italia, la Guardia di Finanza, il Tribunale di Treviso, il Gov CERT, l'Interpol, la Polizia Scientifica.

Bruce Schneier ha pubblicato il numero di febbraio 2007 della sua newsletter Crypto-Gram. Si tratta di un numero speciale dedicato al saggio di Schneier sulla psicologia della sicurezza, saggio disponibile anche in formato html (111 K) e pdf ( 209 K).

Il  NIST, National Institute of Standards and Technology, ha pubblicato le versioni definitive di tre linee guida i cui draft avevano già commentato in questa newsletter:

1. SP 800-45 Version 2, Guidelines on Electronic Mail Security (pdf, 1.3 M)
2. SP 800-94, Guide to IDPS, Intrusion Detection and Prevention Systems (pdf, 1.2 M)
3. SP 800-97, Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i (pdf, 4,1 M)      

Si svolgerà il prossimo 6 giugno, presso lo Sheraton Hotel di viale Del Pattinaggio a Roma, la seconda edizione di PRISE organizzato dal professor Luigi V. Mancini dell’Università di Roma "La Sapienza". Il workshop è aperto a ricercatori universitari ed esperti dal mondo della pubblica amministrazione e dell'industria. Tutti coloro che sono interessati a contribuire ai contenuti scientifici dell'iniziativa sono invitati a sottoporre entro il 13 aprile 2007 un abstract di non più di 4 pagine che descriva i propri risultati ottenuti recentemente (anche se già pubblicati).

IBM Internet Security Systems (ISS) ha reso pubblico, lo scorso 30 gennaio 2007, le proprie previsioni per il 2007 per quanto riguarda le minacce emergenti ed i rischi dell’information security. I maggior problemi dell’anno saranno gli attacchi ai web browser e lo spam image-based.

Le nuove minacce

Sulla base delle ricerche svolte dai laboratori X-Force® nel 2006 sono state censite 7.247 nuove vulnerabilità (circa 20 al giorno). Nel corso del 2007 gli attacchi web continueranno a crescere anche a causa della nascita di una vera e propria  "exploits as a service" industry; si prevede, infine, una nuova forma di spam image-based così da sfuggire alle tecniche di contrasto attualmente in uso.