mercoledì 16 maggio 2018

Il nuovo Regolamento Europeo sulla privacy

Dal 25 maggio sarà operativo il nuovo Regolamento Europeo sulla protezione dei dati personali, fortemente voluto dall'UE con obiettivo dichiarato di creare un "clima di fiducia per lo sviluppo dell'economia digitale in tutto il mercato interno", ma i risultati di una ricerca condotta dall'Osservatorio di Federprivacy evidenziano che buona parte dei più importanti siti web italiani stentano ancora a fare della privacy e della sicurezza online una virtù.

Da uno studio svolto sui principali trecento siti web italiani, è infatti emerso che il 39% di questi, anziché ricorrere a protocolli sicuri con cifratura SSL/TLS, (facilmente riconoscibili perchè contrassegnati sul browser dal prefisso "https" ed un lucchettino verde), continuano ad utilizzare invece connessioni non sicure che consentono potenzialmente a dei malintenzionati di intercettare dati personali inviati o ricevuti tramite un form di contatto, o di carpire i dati della carta di credito digitati durante un acquisto online.

Altro elemento rilevato dallo studio che concorre a frenare il decollo dell'e-commerce made in Italy, è che ben 252 siti sui trecento analizzati (84%), sebbene siano dotati di una informativa sulla privacy, non forniscono poi in essa i recapiti per l'esercizio dei diritti dell'interessato o i dati di contatto del data protection officer, informazioni che peraltro dal 25 maggio sarà obbligatorio pubblicare per tutte le p.a. e per le aziende che trattano dati su larga scala o che profilano gli interessati, tecnica quest'ultima che risulta peraltro attiva nell'85% dei siti italiani esaminati, i quali utilizzano cookies di terza parte che servono proprio a memorizzare e tracciare gusti e preferenze online degli utenti.

"Se da una parte la maggioranza di questi siti mettono il naso nei dispositivi degli utenti per monitorare i loro comportamenti online, al tempo stesso rendono difficile anche solo chiedere delle informazioni su come essi utilizzano tali dati - afferma il presidente di Federprivacy Nicola Bernardi - e questa scarsa trasparenza penalizza paradossalmente non solo i diritti degli interessati ma anche le stesse aziende che finiscono per macchiare la propria reputazione sprecando molte delle opportunità del mercato digitale"

Anche se gli scenari attuali non sembrerebbero rassicuranti circa la possibilità di vedere Internet come un ambiente migliore in cui navigare senza essere spiati in ogni click e dove poter fare tranquillamente shopping online senza timore di essere frodati, qualcosa in realtà si sta muovendo e ci sono realtà che stanno puntando molto sulla fiducia dell'utente, come Ferrero che ha ottenuto il marchio di qualità "Privacy OK" in tutti i principali siti web italiani del Gruppo, incluso quello di Nutella.

Altro caso è quello di Qwant, motore di ricerca che promette di tutelare la privacy dei propri utenti senza tracciarli né con i cookies nè con altra tecnica di tracciamento. E anche Federprivacy ha realizzato il proprio sito web utilizzando un protocollo sicuro e senza alcun cookie di profilazione con l'auspicio di creare un modello da imitare per dimostrare che creare un web migliore è davvero possibile, e proprio la privacy come valore per guadagnarsi la fiducia degli utenti sarà al centro del dibattito al 7° Privacy Day Forum del 25 maggio.

mercoledì 2 maggio 2018

Come sarà il cloud del futuro


Quando il Gdpr (General Data Protection Regulation), il regolamento generale sulla protezione dei dati, diventerà una realtà, la sicurezza del cloud e il suo livello di sofisticazione assumeranno un’importanza senza precedenti. Questo il punto di vista di Ibm su quanto accadrà dal 25 maggio 2018, quando il GDPR diventerà una realtà che riguarderà le aziende, sia all’interno sia all’esterno dell'Ue, che gestiscono i dati dei cittadini dell'Ue.

Secondo un sondaggio in merito alla disponibilità ad accettare il Gdpr, quasi il 40% delle aziende teme le violazioni della conformità, consapevoli delle conseguenti sanzioni finanziarie, anche gravose, per il mancato rispetto del regolamento. Le aziende si stanno tutelando rispetto alla protezione dei dati personali raddoppiando la sicurezza del cloud e concentrandosi nell'adozione di misure di sicurezza atte a garantire che le loro app in cloud proteggano i dati personali da perdite, alterazioni o trattamenti non autorizzati.

Secondo Ibm i fornitori di servizi cloud continueranno ad adottare misure straordinarie volte a garantire che la sicurezza sia al centro del cloud. I servizi di sicurezza del cloud diventeranno più sofisticati con i progressi nelle funzionalità di crittografia, l’integrazione continua dell’AI (Artificial Intelligence) e lo sviluppo di servizi di sicurezza che funzionino indifferentemente in ambienti pubblici, privati e multi-cloud.

La multinazionale non ha dubbi nell'individuare il punto critico dell’evoluzione: container, Kubernetes e serverless. Le architetture dei microservizi basate su container e serverless hanno rivoluzionato la velocità con cui le app possono essere create e come esse si collegano alle tecnologie attualmente più competitive, quali AI, blockchain e machine learning.

Nel 2018 l'adozione di queste tecnologie, spiegano da Ibm, raggiungerà un punto critico: si passerà dall'adozione precoce a standard di fatto per app complesse e pronte per la produzione in tutti i settori di industria e nelle aziende di tutte le dimensioni.

Questo cambiamento è determinato da nuovi strumenti emersi nel 2017, come Grafeas, Istio e Composer, che consentono agli sviluppatori di gestire e coordinare in modo più sicuro le numerose componenti create nella costruzione di container, serverless e microservizi.

Questi strumenti consentono una maggiore visibilità per lo sviluppatore che potrà vedere chi sta lavorando con i dati, cosa viene modificato e chi ha accesso, il tutto finalizzato a una migliore sicurezza. Il risultato sarà un miglioramento nello sviluppo di app mature in grado di estendersi e operare su più sistemi, team e flussi di dati.

E secondo Ibm, pensare al cloud porterà a quel cambiamento culturale che genera innovazione. Per la società il “cloud thinking”, sia in senso culturale che tecnico, è l'unica strada percorribile e molte organizzazioni si stanno orientando verso architetture che fondino le proprie radici nel cloud. Con questo cambiamento, le organizzazioni stanno adottando nuove tecnologie che sono sempre più facili da implementare.

Nel 2018 questi mutamenti cominceranno a determinare anche grandi trasformazioni culturali all'interno delle organizzazioni. I team tecnici, dai data scientist agli sviluppatori, si stanno ponendo domande quali: in che modo la mia architettura promuove l'innovazione gestendo l'esplosione dei dati provenienti dall'IoT (Internet of Things)? Come posso sfruttare il serverless per accelerare lo sviluppo? La sicurezza in atto è in grado di supportare le soluzioni blockchain nel mio settore?

Quando i team risponderanno a queste domande, si avvierà un processo di trasformazione verso una cultura più collaborativa e basata sull'apprendimento iterativo. Questo passaggio al “cloud-native thinking” guiderà l'innovazione organizzativa che mette insieme, in modi completamente nuovi, professionisti con competenze specialistiche compresi sviluppatori di app, data scientist e utenti di dati.

Per Ibm le soluzioni di settore sono il futuro del cloud nel 2018. Le aziende, sottolineano, sono andate oltre la pura infrastructure-as-a-service e si stanno rivolgendo al cloud come piattaforma per l'innovazione e la creazione di nuovo valore aziendale.

Quando si concentreranno sul valore più ampio del cloud, ovvero su quanto il cloud può fare per il loro business, le aziende cercheranno soluzioni settoriali specifiche in grado di fornire un'unica architettura, dall'infrastruttura fino a servizi di analisi e intelligenza artificiale di alto valore, anziché limitarsi all'acquisto di servizi cloud frammentari.




mercoledì 18 aprile 2018

Dark Web, dove comprare droga, armi e malware





Il Dark Web è il volto nero della digitalizzazione, l’altra faccia di un processo considerato non più una scelta, ma una condizione di sopravvivenza in un mercato globale sempre più competitivo. Sul Dark Web è possibile comprare droga, documenti falsi e persino armi, come un Glock 19 a soli 250 euro, chiaramente pagabili in bitcoin, così che sia ancora più difficile poter essere rintracciati. 

Sul Dark Web, in quattro semplici mosse e senza una particolare conoscenza tecnica, si possono addirittura acquistare dei “ransomware”, una tipologia particolare di malware che permette di prendere in ostaggio i dispositivi per poi chiedere un riscatto per il loro “sblocco”. Non parliamo solo di telefoni, ma di servizi essenziali, di ospedali e di infrastrutture critiche. Come evitarlo? Con un approccio sistemico che combini tecnologia e cultura delle sicurezza, che abbia al centro l’individuo, spesso la parte debole dei meccanismi di difesa. 

Lo hanno spiegato gli esperti di Cse CybSec, società italiana di consulenza in cyber-security che, nata lo scorso anno, punta a diventare player di riferimento in Italia e all’estero. 

COME FUNZIONA IL DARKWEB 

“Per Dark Web si intende l’insieme delle risorse e dei contenuti che consentono di mascherare l’indirizzo IP; è come guidare una macchina con numeri di targa nascosti o profondamente diversi da quelli a cui siamo abituati”, ha spiegato l’esperto Pierluigi Paganini, chief technology officer di CybSec.Ciò che fa la differenza rispetto all’Open Web è la condizione di pseudo anonimato, una possibilità può essere usata per fini positivi o malevoli”, ha aggiunto. Certo, il secondo caso è decisamente più frequente, anche perché il business del cyber-crime sembra essere particolarmente remunerativo. “Le principali darknet (le reti utilizzate nel Dark Web, ndr) sono diventate un punto di accentramento per le reti criminali, che si presentano come sindacati strutturati, a cui si affiancano agenzie di intelligence, attivisti, terroristi o semplici appassionati”, ha rimarcato Paganini. La ragione di ciò è da rintracciare proprio nella possibilità di nascondere la propria identità, rendendo difficile il tracciamento, l’attribuzione e dunque il contrasto da parte delle forze di polizia. 

DAL BLACK MARKET AL RANSOMWARE AL DETTAGLIO 

Il cuore del Dark Web sembra però essere il Black Market: “L’eBay del crimine”, lo ha definito Paganini. Da pochi dollari per un malware fino ai 50 dollari per un più sofisticato ransomware. Dai passaporti a poche decine di euro fino ai 250 euro per una pistola (anche se le armi stanno scomparendo dai siti considerati più “affidabili” perché spesso nascondo una truffa, difficile da denunciare a qualsiasi autorità). La modalità è molto semplice: si naviga grazie a browser in cui si può nascondere l’indirizzo IP (i più diffusi sono Thor e I2P) e si accede a siti che funzionano proprio come le classiche piattaforme di e-commerce, con registrazioni, feedback degli utenti e categorie di prodotti. Solo che al posto di “abbigliamento sportivo / elettronica / lampadari”, ci sono “truffe / documenti falsi / drugs”

Ancora più preoccupante è però il fenomeno del ransomware as-a-service (su cui CybSec ha elaborato uno studio confluito poi in un report). Si tratta della possibilità, anche per chi non è un esperto cyber-criminale, di scaricare programmi con cui ricattare le cyber-vittime. Basta fornire un indirizzo bitcoin e indicare l’ammount del riscatto. È poi la piattaforma a occuparsi di inoculare il malware in programmi da inviare ai malcapitati, ad esempio tramite l’ormai nota pratica delle spear phishing. Il fenomeno è davvero preoccupante, anche perché apre uno scenario inquietante di legame tra il tradizionale mondo criminale e il cyber-crime. Il primo, ha spiegato ancora Paganini, sembra aver deciso di investire nel secondo in virtù della sua grande rimuneratività. A fronte di costi piuttosto bassi, si possono fare grandi ricavi. 

LA QUESTIONE GEOPOLITICA 

La stessa logica vale anche nel confronto tra Stati, in una scena internazionale che intanto pare sempre più complicata. Un piccolo attore spregiudicato può provocare enormi danni anche ai Paesi meglio equipaggiati. Ciò preoccupa poiché “viviamo da diversi anni in un quadro di crescita delle tensioni, di conflittualità latenti, nascoste, e in alcuni casi molto appariscenti”, ha ricordato l’ambasciatore Giulio Terzi di Sant’Agata, co-fondatore e presidente di CybSec. In questo contesto, l’Europa si appresta a “una rivoluzione” sul fronte della sicurezza informatica, ha ricordato. Tra l’ormai imminente entrata in vigore del regolamento Gdpr e il recepimento della direttiva Nis, il Vecchio continente procede spedito. 

Il rischio è che “l’Italia corra a una velocità diversa”. Il punto, ha detto l’ambasciatore, “è l’attuazione della direttiva Nis, un percorso che in questa fase politica sembra rimanere fermo, inattuato e inattuabile fino alla definizione del nuovo governo (che dovrà occuparsi del dpcm per il recepimento, ndr) con tutti i passaggi che ne seguiranno”. La questione è rilevante, e riguarda il collocamento complessivo del Paese nel campo della sicurezza informatica, una collocazione essenziale per poter “trasmettere consapevolezza dei rischi” all’ecosistema delle aziende italiane.

E QUELLA CULTURALE 

Oltre alla tecnologia, infatti, la questione è culturale. Come ricorda CybSec, il 36% dei data breach (cioè le violazioni di sicurezza) avvengono per negligenza o inadeguata formazione dei dipendenti. Un problema che sembra riguardare soprattutto le piccole e medie imprese, bersaglio appetibile per i cyber-criminali rispetto a grandi aziende che rivolgono generalmente una maggiore attenzione alla sicurezza informatica. 



(Fonte: Cyber Affairs)

martedì 3 aprile 2018

Acquisti digitali: i consigli dell'esperto per pagamenti in sicurezza

Vestiti, make up, libri, film, cibo, farmaci e perfino automobili. Un elenco quasi infinito quello delle cose che si possono acquistare con la carta di credito anche on line. Una girandola di vetrine virtuali il cui accesso, tramite password, può diventare pericoloso se sui siti on line si riusa più volte lo stesso codice di accesso. Districarsi nella giungla di centinaia di siti, il cui accesso richiede una password ad hoc, infatti, può creare non pochi grattacapi agli utenti dello shopping on line. Non a caso, l'85% di chi fa acquisti riutilizza più volte la stessa password. Stesso discorso anche per gli account email, dove addirittura i due terzi degli utenti ricorre a password già utilizzate altrove, evitando così di aumentare il bagaglio di 'parole' e 'codici' segreti da ricordare.

Così, invece che affidarsi a sequenze alfanumeriche improbabili, difficili da ricordare e, spesso, impossibili da scrivere e tenere in un posto sicuro, ci si lascia 'abbagliare' dal gioco delle date 'più care' da agganciare al nome dei familiari più stretti e, perché no, degli amici a quattro zampe che nelle case degli italiani non mancano mai.

Oltre al ‘gioco’ dei numeri gli utenti devono essere bravi anche nell’uso della carta davanti a un bancomat, per evitare la clonazione della carta . I metodi per clonarla sono vari e non esiste un’unica procedura: alcuni riescono a clonare nascondendo degli appositi micro dispositivi negli sportelli di prelievo, con cui copiare materialmente la carta e rubare il codice digitato dal proprietario, grazie a delle mini telecamere poste in punti strategici; altri inseriscono degli appositi chip in grado di copiare codice e barra magnetica direttamente nell’apparecchio che ci permette di effettuare i pagamenti. Questo può capitare, ad esempio, in ristoranti o esercizi commerciali.

Una leggerezza di comportamento che, però, è ammortizzata dall'uso della carta di credito. Come conferma Carlo Del Bo, executive advisor Gruppo Sicurezza SA a Lugano ed esperto del settore. "Le carte di credito e, quindi, le transazioni on line -spiega- sono sicure. Lato banca non ci sono problemi: vengono infatti adottate tutte le contromisure sul fronte della sicurezza. L'anello debole è sicuramente l'utente, che ignora le problematiche legate a un uso 'leggero' degli acquisti".

"I reati informatici -fa notare- esistono perché c'è ancora molta ignoranza, da parte della popolazione mondiale, sulle possibili truffe che possono colpire gli utenti del web. Per evitare di essere truffati sul web, è sufficiente seguire una serie di regole semplici, ma fondamentali. Per prima cosa, effettuare pagamenti online solo in siti sicuri, che si possono riconoscere dal protocollo https nella finestra con l’indirizzo del browser e anche dall'icona del lucchetto".

"Spesso -ammette Del Bo- si possono scambiare siti originali con quelli fasulli del tutto identici. Alcune email copiano perfettamente la grafica e i marchi di un sito o di una società ben noti e li sfruttano per condurre i possibili acquirenti a siti non sicuri e prelevare i loro dati. Il rischio non è solo quello di ricevere merce falsa alimentando il mercato della contraffazione, ma anche di aver ceduto le coordinate della propria carta a chi può fare frodi bancarie e finanziarie. Un campanello di allarme è quando vengono richieste informazioni sul proprio passaporto o carta d'identità: documenti, questi, che non servono affatto a chi è interessato solo a vendere un prodotto".

"Stiamo parlando del 'phishing' -spiega- ovvero del tentativo di frode messo in pratica attraverso Internet, che ha come unico scopo quello di carpire informazioni riservate e sensibili quali, ad esempio, username, password, codici di accesso, numeri del conto corrente o dati della carta di credito. In questo caso, non si utilizza però virus, spyware, malware o altre tipologie di software malevolo, ma ci si limita ad usare tecniche di ingegneria sociale, attraverso le quali vengono studiate e analizzate le abitudini delle persone, cioè delle potenziali vittime, al fine di carpirne potenziali informazioni utili".

"La tecnica preferita -avverte- per portare a termine un attacco di phishing consiste nell'inviare delle normali email, sotto forma di messaggi di spam, con sembianze e caratteristiche molto simili a quelle riscontrabili su siti web autorevoli e particolarmente diffusi come, ad esempio, istituti bancari, istituti postali, e servizi di pagamento online". "Sicuramente -sottolinea l'esperto- è importante pensare delle password poco comuni. Le password più conosciute al mondo sono '1-2-3-4-5-6' e tutte quelle parole legate ai componenti della propria famiglia. Per questo, è opportuno evitare di dare più elementi possibili on line della propria vita privata: in realtà, l'attaccante utilizza una serie di modello di attacchi, sfruttando i nomi più usati e le abitudini della persona da colpire".

"Quindi, una volta evitati i nomi più 'vicini' alla propria quotidianità -continua- è consigliabile cambiare la password ogni tre mesi, magari inserendo anche i cosiddetti caratteri speciali. Non farsi poi vedere, davanti un bancomat o in un negozio, quando si digita il codice di sicurezza e non memorizzare id e password nel browser web".

"Una buona soluzione contro le truffe -continua- è anche l'attivazione del servizio di notifica sms che è una funzionalità offerta dalle emittenti di carte di credito, carte prepagate e bancomat, che permette all'utente di ricevere un avviso via messaggio sms ogni qual volta viene effettuato un pagamento o un prelievo. L'sms alert può essere un'ottima misura contro le frodi perché, qualora la carta fosse utilizzata senza l'autorizzazione del titolare, questo riceverebbe comunque l'avviso via sms e potrebbe immediatamente bloccare la carta limitando ulteriori perdite. Così come le notifiche push, ancora più tempestive e, quindi, più utili per l’utente. Si ha la possibilità di configurare le notifiche per diversi eventi, movimenti e conteggi delle carte di credito o movimenti di conto, in modo da essere sempre informati".

E nella cassetta degli attrezzi utile per la sicurezza degli acquisti con carte di credito o bancomat, conclude, "mai dimenticare di controllare con una certa regolarità il proprio conto per vedere se è tutto normale e, in caso di operazioni sospette, bloccare la carta: per questo, è opportuno avere sempre a portata di mano il numero verde del call center della banca". Solo così si è davvero 'al sicuro'.

martedì 13 marzo 2018

Milano Digital Week

Da giovedì 15 a domenica 18 marzo arriva a Milano la prima edizione della Milano Digital Week, quattro giorni a “porte aperte”, dedicati alla produzione e diffusione di conoscenza e innovazione attraverso il digitale, con un approccio inclusivo, trasversale e partecipativo, per un totale di oltre 400 appuntamenti diffusi per la città, quasi tutti a ingresso gratuito.

Professionisti, addetti ai lavori ma soprattutto cittadini, curiosi, appassionati, giovani e bambini avranno la possibilità di scoprire i tanti volti della Milano digitale, riuniti per la prima volta in un unico palinsesto di mostre, dibattiti, seminari, performance, spettacoli, workshop, corsi di formazione e laboratori, a partire dal quartier generale della manifestazione, BASE, e per tutta Milano con progetti speciali ed eventi in città.


Ad aprire la Milano Digital Week nel quartier generale di BASE sarà, giovedì 15 marzo (dalle 10.00 alle 12.00), l’appuntamento internazionale del “Digital Bridge”, a cura dell’Assessorato alla Trasformazione Digitale e Servizi Civici del Comune di Milano, un’importante occasione di confronto tra le città più tecnologiche e innovative, con l’obiettivo di condividere buone pratiche e visioni nel campo della trasformazione digitale, e un momento per tutti per scoprire le eccellenze in Europa e nel mondo.

La prima edizione della Milano Digital Week si concluderà domenica 18 marzo, con due eventi ideati e prodotti ad hoc per la rassegna.

Milano trasmette Milano. Dalla Torre Branca a Pirelli HangarBicocca, a cura di elita, in partnership con Radio Raheem: 36 ore di diretta in live streaming che partiranno dalla Torre Branca – da mezzogiorno di venerdì 16 fino a mezzanotte di sabato 17 marzo (Su Invito) – con la partecipazione di decine tra deejays, produttori, musicisti, artisti, attivisti del suono e del pensiero che anima Milano, per concludersi domenica 18 marzo (dalle 23.00 alle 3.00 – Ingresso gratuito) con un evento finale in Pirelli HangarBicocca nello spazio de “I Sette Palazzi Celesti” di Anselm Kiefer.

Domenica 18 marzo al Teatro dell’Arte in Triennale i Deproducers, invitati per l’occasione dalla Milano Digital Week, offriranno gratuitamente il loro spettacolo-concerto “Planetario”, con la loro musica per conferenze scientifiche e l’astrofisico Fabio Peri.
La Milano Digital Week è un’iniziativa promossa dal Comune di Milano in collaborazione con il Team per la Trasformazione Digitale e realizzata da Cariplo Factory, in collaborazione con IAB – Interactive Advertising Bureau e Hublab e grazie ai main partner AutoScout24, BMW Italia, Fastweb, Intesa Sanpaolo, Nexi, Samsung Electronics Italia e TeamSystem.