Il 7/18/14, 5:03 PM, Stefano Quintarelli ha scritto:
eh, naif... giusto http://goo.gl/y4rixn
Potremmo disquisire se dietro questo tipo di articoli giornalisticamente "tendenziosi" non ci sia la mano longa di Telecom che voglia portare gli IX dentro centrali telecom, visto che intanto fà de-peering (e su questo, pure, ci dovrebbero essere interventi di audit!) ? Sicuramente la "modalità" di esposizione di questi risultati è "targettizzata" e probabilmente "maliziosa", tuttavia mi pare un dibattito utile, trattandosi di infrastrutture critiche. Sarebbe una cosa buona se ci fossero scenari "What-If" ben fatti, supportati da autorità di sicurezza pubbliche (magari non il garante privacy...), con "Action Plans" definiti in coordinamento qualora "shit happens". "Shit" può essere sia un problema di confidenzialità (indicato da questi audit del garante) che un problema di disponibilità (da te sottolineati). La domanda da porsi utile sarebbe anche "Chi è l'autorità pubblica giusta" che dovrebbe fare questi audit tout-cour, a 360' che tenga in considerazione sia confidenzialità, integrità e disponibilità dei dati, infrastrutture e flussi di comunicazioni ?
[non si parla di continuita' di servizio, sulla qual cosa sono *molto* piu' critico, anche se esistono numerosi path alternativi] c'e' un rischio intercettazioni in via caldera (l'elettricista in questione potrebbe portarsi dietro un po' di apparati ed infilarsi in un cavedio e intercettare il traffico su una fibra (senza che nessuno se ne accorga ? mah).
Se sono una intelligence straniera abbastanza potente e ho dei target di "collection" su Italia, probabilmente questo ragionamento lo faccio... Dubito fortemente che l'intelligence nazionale possa anche lontanamente permettersi di piazzare tap di fibra nei cavedi sotto al mix.
oppure, piu semplicemente, avere l'autorita' per chiedere a chi ha i server di passargli un file Si, ma "Autorità = Forze dell'ordine nazionali", quindi non servizi informativi (che oggi vanno tanto di moda, nel threat modelling, thanks Snowden!).
delle due cose, quale ad oggi (la sicurezza si certifica ad oggi) ha maggiore probabilita' di accadimento ? se siamo sensibili al tema, quale il primo passo per mitigare il rischio ?
Innegabile discutere di priorità, ma questo non significa non lavorare in paralello su più fronti. E' ovvio che riacquisire la "sovranità sulle informazioni e comunicazioni" in chiave europea, o al limite nazionale, è una priorità. Tuttavia questo discorso "a large" sappiamo essere gestibile solo a livello Europeo, perchè il Google della situazione comunque ti si piazza in Irlanda (o al limite in Inghilterra dove sta il GCHQ, i cugini dell'NSA, e tanti saluti). Si può fare qualcosa in chiave puramente nazionale? Se si, cosa?
ciao!
p.s.
set type=MX infosecurity.ch
Infatti la uso solo per l'account delle mailing list! :P La posta privata è interamente europea su 3 paesi diversi basata su questo ragionamento come inbound/outbound/storage: https://www.mail-archive.com/liberationtech@lists.stanford.edu/msg07849.html -- Fabio Pietrosanti (naif) HERMES - Center for Transparency and Digital Human Rights http://logioshermes.org - http://globaleaks.org - http://tor2web.org