Buongiorno Enrico e nexiani Enrico Nardelli <nardelli@mat.uniroma2.it> writes:
Ritengo che non sia tanto un problema di interesse quanto di approccio.
[...]
Lo snodo, secondo me, è che si fa più business a vendere app che a formare persone. La tecnologia è chiaro che serve ma, sul lungo periodo, è l'investimento sulle persone che fa la differenza.
Sottoscrivo verbatim ma aggiungo che oltre alla formazione (un po' carente sulla sicurezza, probabilmente) alle persone servono moltissimo anche le informazioni, altrimenti non si capisce come si possono implementare azioni correttive, soprattutto *sistemiche*, per migliorare la sicurezza informatica di tutti. Faccio un esempio: sul sito del "Computer Security Incident Response Team - Italia" [1] ieri è comparso questo report di quanto successo al CINECA et al. (di cui Rapetti in un articolo citato chiedeva conto, gli hanno risposto ieri :-) ): --8<---------------cut here---------------start------------->8--- «Compromissione di sistemi HPC internazionali» Alcuni centri di ricerca europei – fra cui l’inglese ARCHER (Academic Research Computing High End Resource), lo svizzero CSCS (Swiss National Supercomputing Center), i tedeschi bWHPC (Baden-Württemberg High Performance Computing) e LRZ (Leibniz-Rechenzentrum) e l’italiano CINECA (Consorzio Interuniversitario per la Gestione del Centro di calcolo elettronico) – hanno segnalato l’accesso non autorizzato ai propri sistemi di calcolo ad altissime prestazioni. L’attacco avrebbe interessato anche la Cina e il Nord America. Come informa il CSIRT-EGI*, gli attaccanti hanno utilizzato credenziali di accesso compromesse al fine di sfruttare la capacità degli elaboratori HPC per produrre criptovalute. Sono stati infatti rilevati, all’interno dei sistemi violati: [...] I punti chiave dell’attacco sono l’utilizzo di TOR o di host compromessi per la connessione agli host di proxy SOCKS e l’uso di differenti tecniche per nascondere le attività illecite, incluso un Linux Kernel Module malevolo (https://github.com/m0nad/Diamorphine). [...] --8<---------------cut here---------------end--------------->8--- Io non sono espertissimo di "incident response" ma a me pare che siano informazioni serie ed utili affiché chi ha le competenze riesca a capire esattamente cosa è successo, come e _forse_ perché. Ecco, io mi aspetterei un rapporto analogo sia per il recente "data leak" in INPS che per quello del S. Raffaele citato in questo thread. Lo dico da sistemista brizzolato: solo un computer spento (proprio scollegato dal cavo di alimentazione) non ha problemi di sicurezza e purtroppo alcune volte, per mille motivi, anche quelli bravi prendono fregature; è il modo in cui si risponde ai problemi di sicurezza che fa la differenza, la sicurezza "by obscurity of causes" non esiste. La buona pratica di pubblicare report di incidente come quello citato sopra dovrebbe essere applicata sistematicamente, almeno per le infrastrutture pubbliche. Ciao, Giovanni. [...] [1] https://csirt.gov.it -- Giovanni Biscuolo