Blog

Firewall. Uno strumento valido di difesa

Firewall: come non ‘bruciarsi’ negli attacchi hacker

Il firewall è il primo sistema di difesa contro gli attacchi ransomware e in generale, le minacce esterne alla nostra rete interna.

Agisce come delle mura fortificate su cui le sentinelle osservano e decidono chi fare entrare e chi invece lasciare fuori e addirittura bloccare.

Spesso i messaggi del firewall sono liquidati come ‘fastidiosi’. Appaiono quando vogliamo scaricare un nuovo programma ad esempio e istintivamente rispondiamo sì per liberare la visuale del desktop.

La tentazione è quella di disattivarlo, trascurandone l’importanza.

Innanzi tutto conosciamolo meglio.

L’azione del firewall può seguire una logica Default-deny o Default-allow.

Nel primo caso viene fatto ‘passare’ ciò che viene autorizzato esplicitamente, il resto viene bloccato. Chiaramente si tratta del procedimento più sicuro, anche se ‘invasivo’.

Nel secondo caso si richiede invece una lista di ‘cattivi’ che rimangono ‘fuori’. Via libera a tutto il resto!

Rispetto all’antivirus agisce a un livello diverso. Sta nel perimetro del sistema e controlla il traffico in entrata e uscita. Un antivirus analizza ciò che nella macchina è ritenuto dannoso e compie azioni per limitarne i danni.

Ci sono molti tipi di firewall con caratteristiche differenti. Per un uso privato tuttavia si tenga conto che le impostazioni del firewall sono di default.

Nel caso di una rete aziendale il discorso è molto più articolato.

Ogni tipo di firewall si differenzia dall’altro o per come analizza i dati, o per dove è collocato o, ancora, per la tipologia e il numero di elementi che analizza.

Per approfondire ancora sulla sicurezza informatica:

Il nostro articolo sull’accesso sicuro ai dispositivi: vai

Law & Order
Digitalizzazione PA: Agid e spesa ICT nella PA

Digitalizzazione nella PA: a che punto siamo?

Digitalizzazione e PA sembra non siano così incompatibili.

Agid ha appena pubblicato la rilevazione condotta su un panel di amministrazioni pubbliche, centrali, locali e autonome. Le domande riguardano la spesa sostenuta in ambito ICT dagli enti intervistati.

Lo studio è stato avviato nel secondo quadrimestre del 2021 e si è concluso a settembre 2021.

I dati raccolti non tengono conto degli investimenti previsti del PNRR e quindi sono sicuramente destinati a migliorare nel corso nel 2022.

Oltre alle domande economiche molti i quesiti qualitativi per comprendere come si stia muovendo la digitalizzazione nella PA e quali siano i soggetti al suo interno (o all’esterno) che si fanno carico dei vari aspetti ICT.

Riguardo alla cybersicurezza il questionario ha dedicato una serie di domande cruciali sia in termini di disaster recovery sia di vulnerabilità dei sistemi informatici. Come si legge nelle conclusioni del documento, “l’ambito su cui occorrerà concentrare in particolare l’attenzione (…) è sicuramente quello della cybersecurity, dove sia il volume della spesa sia le scelte e le soluzioni messe in campo, risultano ancora in ritardo”.

Più indietro di tutti su tutti gli aspetti ICT (sicurezza, servizi e formazione) sono sicuramente gli enti locali. Molto meglio le amministrazioni centrali e quelle delle regioni e province autonome.

Per approfondire leggi:

La spesa ICT 2021 nella PA italiana

Piano Nazionale di Ripresa e Resilienza

 

 

 

 

Uncategorized
jwt dialogo sicuro contro hacker

Il dialogo che salva dagli hacker: JWT

Un sistema sicuro di autenticazione è alla base della difesa contro attacchi hacker. Lo sanno molto bene gli sviluppatori che hanno a disposizione molti strumenti utili fra cui scegliere: uno dei più diffusi è il JWT.

Json Web Token (JWT), infatti, è un metodo nato nel 2015 per instaurare un dialogo sicuro tra client e server che permetta ai due interlocutori di “riconoscersi” e scambiarsi informazioni in maniera certa e sicura.

Come funziona?

Il server che si occupa dell’autenticazione scrive in un oggetto chi è l’utente e altre informazioni. Queste informazioni vengono inserite in un gettone (token) da restituire al client. A questo punto chi riceve il gettone (client) ne verifica la correttezza senza poterlo modificare. Alle successive chiamate al server, il client si ‘presenterà’ con il gettone, permettendo al server di identificare l’utente che sta effettuando la chiamata.

Se le informazioni nel gettone sono scritte in maniera adeguata e se il token viene verificato ad ogni utilizzo, risulta evidente che il metodo JWT rappresenta una sintesi tra semplicità d’uso e sicurezza.

Autentica, il servizio di autenticazione in cloud di Generazione Informatica, utilizza gettoni di tipo JWT e ne aumenta la sicurezza aggiungendo meccanismi ulteriori di controllo.

Inoltre l’adozione del JWT facilita il rispetto delle norme sulla privacy previste dal GDPR. Infatti le credenziali di autenticazione non risiedono più nello stesso db delle anagrafiche, ma in un server a parte, proprio come prevede il GDPR.

In un’architettura distribuita, l’utilizzo di questa tecnologia, con gli accorgimenti aggiuntivi adottati da Autentica, aumentano il livello di sicurezza per l’autenticazione. Di conseguenza, grazie al JWT, sarà sicuro anche il dialogo tra qualunque server e i suoi client.

Per approfondire:

JWT e Autentica: vai

La sicurezza dei token in Autentica (video): vai

Vedi il testo del GDPR: vai

Law & Order
piano triennale per l'informatica

Piano Triennale per l’informatica nella PA: parole o fatti?

Il Piano Triennale per l’informatica è un documento che fa da guida, ci auguriamo, alla trasfomazione digitale della Pubblica Amministrazione.

Obiettivo del Governo è migliorare l’informatizzazione della PA rendendo i suoi servizi sempre più ‘digitali’ e quindi più..disponibili.

Il documento, aggiornato lo scorso ottobre, è davvero corposo: 84 pagine.

Gli intenti sono ambiziosi e sembra che molti obiettivi siano già stati raggiunti. Se leggiamo le percentuali di completamento dei target, pubblicate nel documento di monitoraggio del piano per il 2020, sembra davvero che le promesse non sono rimaste solo parole.

Certo non siamo ancora di fronte ad una macchina burocratica ‘oliata’ ed efficiente come forse il piano triennale ha ipotizzato.

Anche noi, come Generazione Informatica, stiamo, in un certo senso, collaborando alla realizzazione del Piano! Come fornitori della PA in questi ultimi anni abbiamo sviluppato soluzioni in linea con i principi di digitalizzazione richiesti dal Ministero per la Pubblica Amministrazione.

Il nostro Economato ad esempio realizza la dematerializzazione dei buoni d’ordine tramite la loro trasformazione in richieste informatizzate. Il software segue tutto il flusso del ‘buono’, dall’inserimento alla chiusura.

Quali sono i vantaggi del suo uso?

  • Poter esercitare un controllo accurato dei materiali utilizzati dai vari uffici
  • Snellire il processo di comunicazione tra i soggetti coinvolti
  • Velocizzare l’iter dei buoni d’ordine

Per saperne di più:

Brochure Economato

Leggi il Piano Triennale 2021-2023: vai

Law & Order
metaverso

Metaverso: il mondo virtuale più vero che esista!

Metaverso è una parola coniata da Neal Stephenson nel romanzo Snow crash del 1992.

In pratica è un universo parallelo in cui ciascuno ha un avatar che svolge al posto suo una serie di azioni realistiche in uno scenario virtuale.

Tralasciando con difficoltà considerazioni morali, sociologiche o economiche è evidente che il metaverso è oggi un’opportunità. Facebook, Microsoft ed altri colossi informatici hanno deciso di coglierla e .. coltivarla.

La nostra azienda si occupa di software. Si tratta di prodotti che persone in carne ed ossa utilizzano per svolgere compiti e completare un lavoro. Nell’informatica siamo portati a pensare al ‘virtuale’ come ad un settore di esclusivo interesse del Gaming.

Eppure il mondo parallelo descritto da Stephenson, si sta concretizzando anche al di là dei videogiochi. Prodromi di metaverso sono già attivi in forma di piattaforme per riunioni dove al posto di telecamere si usano strumenti per la realtà aumentata.

Di fatto in questo universo parallelo il nostro avatar ci rappresenterà in un ufficio, e chissà forse anche in un incontro personale. Non a caso anche Tinder, la famosa app di incontri, sembra molto interessata alle prospettive promesse dal metaverso.

Alcuni esempi curiosi della vita nel metaverso?

E’ proprio delle ultime ore la notizia di uno yacht di lusso acquistato sul metaverso per 650.000$, ovvero 149 eth (la cryptovaluta di Ethereum). Nel mondo reale lo yacht non esiste. Esiste sulla piattaforma The Sandbox ed esistono i soldi con cui è stato acquistato. In The Sandbox lo yacht rappresenta un bene rivendibile con gli interessi. Questo è almeno quello che spera l’acquirente.

Altra notizia curiosa: le Barbados stanno facendo le pratiche per creare una propria ambasciata nel metaverso (vedi l’articolo su hdBlog qui).

Prima ancora di interrogarsi sulle problematiche o le occasioni offerte dal mondo ‘parallelo’, sarà necessario approfondire il concetto di cryptovaluta e blockchain. Sarà anche utile curiosare un po’ dentro le prime piattaforme di metaverso che stanno nascendo.

Per approfondimenti:

Il video di Evereye.it su The Sandbox: vai

Ill nostro articolo sulla Blockchain sul sito di Autentica: vai

Select from the World
ruoli e i soggetti indicati nelle nuove Linee Guida AGID

I ruoli e i soggetti secondo le nuove Linee Guida AGID

All’interno delle nuove Linee Guida AGID, si parla di ruoli e soggetti in 3 punti distinti.

Il primo punto è il capitolo 4 sulla Conservazione. Al paragrafo 4 e 5 si definiscono i ruoli e le responsabilità.

Ecco i ruoli individuati all’interno del processo di conservazione:
a) titolare dell’oggetto della conservazione;
b) produttore dei PdV;
c) utente abilitato;
d) responsabile della conservazione
e) conservatore.

Il secondo punto delle Linee Guida dove si parla di soggetti e ruoli è l’allegato 5. Vi sono grandi cambiamenti infatti nell’ambito dei metadati e in particolare nel metadato Soggetti.

Sono stati introdotti alcuni nuovi ruoli da citare obbligatoriamente nel metadato: Produttore, Responsabile della Gestione Documentale, Responsabile del servizio di protocollo, Amministrazione che effettua la registrazione.

L’ultimo punto in cui si citano ruoli all’interno delle Linee Guida è il paragrafo 4.6 Manuale della Conservazione. All’interno del manuale infatti devono essere descritti i soggetti e i ruoli svolti. A quelli già citati si aggiungono ovviamente il Legale Rappresentante e i Delegati.

Il ruolo cui le nuove Linee Guida hanno dato maggiore rilevanza è sicuramente il Responsabile della Conservazione. Ne sono stati infatti definiti in modo più chiaro tutte le funzioni e responsabilità.

Per approfondire:

Vedi il nostro articolo sui metadati: vai

Vedi le Linee guida sul sito Agid: vai

 

Law & Order
Conservazione dei documenti informatici

Conservazione dei documenti informatici: nuove Linee Guida da gennaio

Di “conservazione dei documenti informatici” se ne parla in questi mesi soprattutto a proposito dell’aggiornamento delle Linee Guida sulla formazione, gestione e conservazione dei documenti informatici. Da gennaio 2022 infatti le Pubbliche Amministrazioni e le Aziende, dovranno applicare le modifiche richieste al procedimento di conservazione a norma.

Facciamo un piccolo passo indietro per non fare confusione.

Le Linee Guida nascono come contenitore di regole tecniche necessarie per l’applicazione delle norme contenute nel CAD il Codice dell’Amministrazione Digitale. Il CAD, è bene ricordarlo, non riguarda solo la Pubblica Amministrazione ma anche i Privati che devono obbligatoriamente fare la conservazione di alcune tipologie di documenti (PEC, fatture elettroniche, contratti firmati digitalmente ..).

Per semplificare il lavoro dei conservatori l’Agid ha messo a disposizione una sintesi degli aggiornamenti richiesti. Le modifiche alle Linee Guida non sono di fatto sostanziali, mentre più significative sono le novità che riguardano gli allegati 5 e 6.

Nell’allegato 5, ad esempio, c’è l’elenco dei nuovi metadati e delle modifiche a quelli già presenti.

Metadati?

Sono i dati che identificano e descrivono il contenuto e la struttura di un documento informatico. Le nuove Linee Guida ne identificano ben 17. Molti di essi sono relativi in modo specifico all’ambito pubblico e non è chiaro come debbano essere recepiti dai Privati.

Entro gennaio quindi sarà necessario che le Aziende si accertino che il conservatore esterno o interno abbia recepito queste novità.

C’è ancora molto da dire e approfondire sul tema. Ne riparleremo a breve …

Law & Order
green pass fasulli

Green Pass fasulli?

Green Pass fasulli?

Intanto Hitler, Topolino e SpongeBob sono dotati di certificazione verde. Valida.

Sembra proprio che qualcuno abbia creato Green Pass fasulli pretendendo di aver vaccinato personaggi di fantasia, ma anche di una passata e dolorosa realtà.

La cosa non ci lascia tranquilli, ma andando più nel dettaglio, non si deve pensare che sia così facile ingannare il sistema.

E’ prevista infatti da protocollo la compromissione di una chiave privata. La soluzione è quella di revocare tutti i certificati generati con quella chiave e di rigenerarli con una nuova chiave.

Ma come è potuta succedere la creazione di Green Pass tanto validi quanto falsi?

Partiamo dal meccanismo “chiave pubblica/privata” che sta alla base della generazione e del riconoscimento del QRcode del Green Pass.

Il soggetto che rilascia il certificato firma con la propria chiave privata l’insieme dei dati del certificato. Tutti coloro che sono in possesso della relativa chiave pubblica possono verificarne l’autenticità.

Cosa è successo

Come si è scoperto, in questo specifico caso un gruppo di chiavi private utilizzate per la generazione dei Green Pass è stato rubato.

Almeno una di queste è finita nelle mani di un cittadino polacco, che ha cominciato a generare dei veri QRcode validi in Europa (che ha venduto, sembra, a 300 € l’uno…).

Proprio da uno di questi Green Pass formalmente validi, ma non corrispondenti al vero, sono partite le indagini delle autorità.

Tutti i certificati generati con quella chiave e con tutte le altre chiavi rubate sono stati annullati e rigenerati con nuove chiavi.

Per fortuna nessuna delle chiavi private sottratte era di pertinenza italiana.

Chi ha illegalmente acquistato un certificato truffaldino, lo ha potuto utilizzare solo per poche ore.

Cosa potrebbe succedere

In uno scenario più ampio, si potrebbe ipotizzare che soggetti non autorizzati possano avere accesso al sistema ‘vero’ di generazione dei codici.

Si potrebbe, ad esempio, ipotizzare che qualche irregolarità possa avvenire nella registrazione successiva all’effettuazione del vaccino o del tampone, dando così origine a certificati formalmente validi, ma non corrispondenti al vero.

Come tutti i sistemi, anche quello di certificazione verde può essere oggetto di azioni illegali.

L’importante è che il sistema preveda il modo di arginare gli utilizzi fraudolenti e di porvi rimedio.

Questo non compromette in alcun modo il valore del Green Pass, anzi conferma che il sistema alla base è strutturato in maniera tale da poter far fronte anche ad utilizzi impropri.

Se vuoi saperne di più sul meccanismo chiave pubblica/privata vai all’articolo su Autentica: vai

Law & Order
Come creare e gestire le password a prova di privacy

Come creare e gestire password a prova di privacy. Il vademecum del Garante

Come creare e gestire password a prova di privacy? Ce lo dice il Garante in uno snello vademecum.

La sensazione è che non ne sappiamo mai abbastanza di password. E, in ogni caso, non è mai sprecato il tempo che dedichiamo alla cura della nostra privacy.

Sul sito del Garante della Privacy è possibile scaricare un pratico file pdf che suggerisce come creare e gestire le password a prova di privacy.

Il vademecum, come dichiarato dal Garante, ha mere finalità divulgative e sarà aggiornato in base alle evoluzioni tecnologiche e normative. Si tratta di consigli utili che noi stessi abbiamo individuato in uno specifico post sul Blog di Autentica.

Forse anche tu che leggi ne sai già abbastanza e speriamo si tratti di un elenco di suggerimenti che conosci perfettamente.

Eppure: repetita iuvant. Prendiamo dunque i consigli del Garante come una check list da controllare periodicamente.

Ecco allora il contenuto della scheda, suddivisa in cinque paragrafi:

  • IMPOSTA BENE LA TUA PASSWORD
  • GESTISCI BENE LE TUE PASSWORD
  • SE VUOI STARE PIU’ TRANQUILLO (ndr: i meccanismi di autenticazione multi fattore)
  • CONSERVA CON CURA LE TUE PASSWORD
  • VALUTA SE USARE «GESTORI DI PASSWORD»

I consigli elencati sul vademecum sono tutti molto importanti. Per brevità posso citare quelli che sembrano particolarmente interessanti.

  • MAI impostare una password che comprenda riferimenti personali facili da indovinare.
  • NON utilizzare password già utilizzate in passato.
  • SEMPRE evitare di memorizzare su PC le password utilizzate.

Vale la pena dare una lettura al Vademecum. Magari per scoprire che in realtà gestisci le password correttamente!

Per approfondire:

Scarica il vademecum sulle password del Garante per la Privacy

 

 

Law & Order