“A rischio email e telefonate degli italiani” il dossier segreto sul tavolo del governo
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-dossier-... C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi. A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti. Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013. E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza». ...
allarmismo On 17/07/2014 11:52, Marco Ciurcina wrote:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-dossier-...
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi. A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti. Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013. E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza». ... _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
Concordo, con l’aggiunta di trovare notizie che riempiano le pagine nel mese di luglio. Al di là del contenuto dell’articolo, che contiene molte inesattezze, la cosa peggiore è il fatto che il garante dell privacy abbia di fatto diffuso la nota senza informare preventivamente i tre IXP sull’esito della loro ispezione -- Luca Il giorno 17/lug/2014, alle ore 11:56, Stefano Quintarelli <stefano@quintarelli.it> ha scritto:
allarmismo
On 17/07/2014 11:52, Marco Ciurcina wrote:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-dossier-...
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi. A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti. Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013. E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza». ... _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
In data giovedì 17 luglio 2014 11:56:56, Stefano Quintarelli ha scritto:
allarmismo il documento del Garante è reperibile? m.c.
On 17/07/2014 11:52, Marco Ciurcina wrote:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-dossie r-segreto-sul-tavolo-del-governo/
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi. A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti. Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013. E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza». ... _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
...che non è tale solo per US ed extraUE ;) Com'era il tread su Gmail e l'università? Facciamo noi che facciamo meglio? -----Messaggio originale----- Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Stefano Quintarelli Inviato: giovedì 17 luglio 2014 11:57 A: Marco Ciurcina; nexa@server-nexa.polito.it Oggetto: Re: [nexa] “A rischio email e telefonate degli italiani” il dossier segreto sul tavolo del governo allarmismo On 17/07/2014 11:52, Marco Ciurcina wrote:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-do ssier-segreto-sul-tavolo-del-governo/
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi. A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti. Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013. E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza». ... _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Dai Carlo non mischiamo profili diversi.... On Thu, 17 Jul 2014 12:13:05 +0200 "Blengino" <blengino@penalistiassociati.it> wrote:
...che non è tale solo per US ed extraUE ;) Com'era il tread su Gmail e l'università? Facciamo noi che facciamo meglio?
-----Messaggio originale----- Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Stefano Quintarelli Inviato: giovedì 17 luglio 2014 11:57 A: Marco Ciurcina; nexa@server-nexa.polito.it Oggetto: Re: [nexa] “A rischio email e telefonate degli italiani” il dossier segreto sul tavolo del governo
allarmismo
On 17/07/2014 11:52, Marco Ciurcina wrote:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-do ssier-segreto-sul-tavolo-del-governo/
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi. A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti. Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013. E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza». ... _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Avv. Alessandro Mantelero, PhD Aggregate Professor, Politecnico di Torino Director of Privacy and Faculty Fellow, Nexa Center for Internet and Society Visiting Fellow, Oxford Internet Institute Research Consultant, Sino-Italian Research Center for Internet Torts at Nanjing University of Information Science & Technology Programme Coordinator, Double Degree program in Management and IP Law, Politecnico di Torino–Tongji University of Shanghai http://staff.polito.it/alessandro.mantelero Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy in libertate fortitudo
sono sicuro che era una battuta.. ho fatto questa analogia su twitter che IMHO e' abbastanza azzeccata: come avverire dei rischi del radon in una casa (veri), a dei fumatori incalliti un rischio possibile, difficilmente evitabile vs. una pratica comune, scelta dalle persone senza particolare attenzione alle implicazioni ciao, s. On 17/07/2014 13:54, Alessandro Mantelero wrote:
Dai Carlo non mischiamo profili diversi....
On Thu, 17 Jul 2014 12:13:05 +0200 "Blengino" <blengino@penalistiassociati.it> wrote:
...che non è tale solo per US ed extraUE ;) Com'era il tread su Gmail e l'università? Facciamo noi che facciamo meglio?
-----Messaggio originale----- Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Stefano Quintarelli Inviato: giovedì 17 luglio 2014 11:57 A: Marco Ciurcina; nexa@server-nexa.polito.it Oggetto: Re: [nexa] “A rischio email e telefonate degli italiani” il dossier segreto sul tavolo del governo
allarmismo
On 17/07/2014 11:52, Marco Ciurcina wrote:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-do ssier-segreto-sul-tavolo-del-governo/
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi. A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti. Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013. E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza». ... _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Avv. Alessandro Mantelero, PhD Aggregate Professor, Politecnico di Torino Director of Privacy and Faculty Fellow, Nexa Center for Internet and Society
Visiting Fellow, Oxford Internet Institute
Research Consultant, Sino-Italian Research Center for Internet Torts at Nanjing University of Information Science & Technology
Programme Coordinator, Double Degree program in Management and IP Law, Politecnico di Torino–Tongji University of Shanghai
http://staff.polito.it/alessandro.mantelero
Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy
in libertate fortitudo
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
Il 7/17/14, 11:56 AM, Stefano Quintarelli ha scritto:
allarmismo Certamente i toni sono "allarmanti".
Tuttavia ho visto qualche mese orsono delle foto dei cavedi sotto alla palazzina dove si trova Mix, nel complesso di via caldera, dove passano fibre in quantità. Niente controllo accessi, nè telecamere, nè sistemi di allarme. Diciamo che se qualche malandrino volesse fare cose cattive all'internet italiana, dotato di tutina da elettricsta e un paio di chiavi, avrebbe vita abbastanza facile. Invece questi report del garante sono pubblici e/o saranno pubblicate? -- Fabio Pietrosanti (naif) HERMES - Center for Transparency and Digital Human Rights http://logioshermes.org - http://globaleaks.org - http://tor2web.org
eh, naif... giusto http://goo.gl/y4rixn [non si parla di continuita' di servizio, sulla qual cosa sono *molto* piu' critico, anche se esistono numerosi path alternativi] c'e' un rischio intercettazioni in via caldera (l'elettricista in questione potrebbe portarsi dietro un po' di apparati ed infilarsi in un cavedio e intercettare il traffico su una fibra (senza che nessuno se ne accorga ? mah). oppure, piu semplicemente, avere l'autorita' per chiedere a chi ha i server di passargli un file delle due cose, quale ad oggi (la sicurezza si certifica ad oggi) ha maggiore probabilita' di accadimento ? se siamo sensibili al tema, quale il primo passo per mitigare il rischio ? ciao! p.s.
set type=MX infosecurity.ch
Risposta da un server non autorevole: infosecurity.ch MX preference=30,mail exchanger=ASPMX3.GOOGLEMAIL.COM infosecurity.ch MX preference=30,mail exchanger=ASPMX4.GOOGLEMAIL.COM infosecurity.ch MX preference=20,mail exchanger=ALT1.ASPMX.L.GOOGLE.COM infosecurity.ch MX preference=30,mail exchanger=ASPMX5.GOOGLEMAIL.COM infosecurity.ch MX preference=20,mail exchanger=ALT2.ASPMX.L.GOOGLE.COM infosecurity.ch MX preference=30,mail exchanger=ASPMX2.GOOGLEMAIL.COM infosecurity.ch MX preference=10,mail exchanger=ASPMX.L.GOOGLE.COM
On 18/07/2014 11:26, Fabio Pietrosanti (naif) wrote:
Il 7/17/14, 11:56 AM, Stefano Quintarelli ha scritto:
allarmismo Certamente i toni sono "allarmanti".
Tuttavia ho visto qualche mese orsono delle foto dei cavedi sotto alla palazzina dove si trova Mix, nel complesso di via caldera, dove passano fibre in quantità.
Niente controllo accessi, nè telecamere, nè sistemi di allarme.
Diciamo che se qualche malandrino volesse fare cose cattive all'internet italiana, dotato di tutina da elettricsta e un paio di chiavi, avrebbe vita abbastanza facile.
Invece questi report del garante sono pubblici e/o saranno pubblicate?
Il 7/18/14, 5:03 PM, Stefano Quintarelli ha scritto:
eh, naif... giusto http://goo.gl/y4rixn
Potremmo disquisire se dietro questo tipo di articoli giornalisticamente "tendenziosi" non ci sia la mano longa di Telecom che voglia portare gli IX dentro centrali telecom, visto che intanto fà de-peering (e su questo, pure, ci dovrebbero essere interventi di audit!) ? Sicuramente la "modalità" di esposizione di questi risultati è "targettizzata" e probabilmente "maliziosa", tuttavia mi pare un dibattito utile, trattandosi di infrastrutture critiche. Sarebbe una cosa buona se ci fossero scenari "What-If" ben fatti, supportati da autorità di sicurezza pubbliche (magari non il garante privacy...), con "Action Plans" definiti in coordinamento qualora "shit happens". "Shit" può essere sia un problema di confidenzialità (indicato da questi audit del garante) che un problema di disponibilità (da te sottolineati). La domanda da porsi utile sarebbe anche "Chi è l'autorità pubblica giusta" che dovrebbe fare questi audit tout-cour, a 360' che tenga in considerazione sia confidenzialità, integrità e disponibilità dei dati, infrastrutture e flussi di comunicazioni ?
[non si parla di continuita' di servizio, sulla qual cosa sono *molto* piu' critico, anche se esistono numerosi path alternativi] c'e' un rischio intercettazioni in via caldera (l'elettricista in questione potrebbe portarsi dietro un po' di apparati ed infilarsi in un cavedio e intercettare il traffico su una fibra (senza che nessuno se ne accorga ? mah).
Se sono una intelligence straniera abbastanza potente e ho dei target di "collection" su Italia, probabilmente questo ragionamento lo faccio... Dubito fortemente che l'intelligence nazionale possa anche lontanamente permettersi di piazzare tap di fibra nei cavedi sotto al mix.
oppure, piu semplicemente, avere l'autorita' per chiedere a chi ha i server di passargli un file Si, ma "Autorità = Forze dell'ordine nazionali", quindi non servizi informativi (che oggi vanno tanto di moda, nel threat modelling, thanks Snowden!).
delle due cose, quale ad oggi (la sicurezza si certifica ad oggi) ha maggiore probabilita' di accadimento ? se siamo sensibili al tema, quale il primo passo per mitigare il rischio ?
Innegabile discutere di priorità, ma questo non significa non lavorare in paralello su più fronti. E' ovvio che riacquisire la "sovranità sulle informazioni e comunicazioni" in chiave europea, o al limite nazionale, è una priorità. Tuttavia questo discorso "a large" sappiamo essere gestibile solo a livello Europeo, perchè il Google della situazione comunque ti si piazza in Irlanda (o al limite in Inghilterra dove sta il GCHQ, i cugini dell'NSA, e tanti saluti). Si può fare qualcosa in chiave puramente nazionale? Se si, cosa?
ciao!
p.s.
set type=MX infosecurity.ch
Infatti la uso solo per l'account delle mailing list! :P La posta privata è interamente europea su 3 paesi diversi basata su questo ragionamento come inbound/outbound/storage: https://www.mail-archive.com/liberationtech@lists.stanford.edu/msg07849.html -- Fabio Pietrosanti (naif) HERMES - Center for Transparency and Digital Human Rights http://logioshermes.org - http://globaleaks.org - http://tor2web.org
In data sabato 19 luglio 2014 10:47:39, Fabio Pietrosanti ha scritto:
Si può fare qualcosa in chiave puramente nazionale? Se si, cosa? IMHO la nostra PA non solo può ma *deve*: a) proteggere i dati segreti e/o riservati della PA stessa, b) proteggere il trattamento dei dati personali dei cittadini.
Per farlo ci vorrebbero dei sistemi d'elaborazione sicuri ed un pezzo di rete sicura. Per esempio, in Francia hanno realizzato dei "cloud di stato". https://www.numergy.com/ Per quanto riguarda la rete, quali sono i pezzi della rete controllati dalla PA stessa e dai quali partire? La rete GARR? E poi? Cos'altro serve? m.c.
qualcuno ha fatto una proposta di legge in tale senso.. il problema e' che su 3800 PDL di iniziativa parlamentare presentati in questa legislatura ne sono stati approvati 10 (e bocciati una 90na) ciao, s. On 19/07/2014 11:53, Marco Ciurcina wrote:
In data sabato 19 luglio 2014 10:47:39, Fabio Pietrosanti ha scritto:
Si può fare qualcosa in chiave puramente nazionale? Se si, cosa? IMHO la nostra PA non solo può ma *deve*: a) proteggere i dati segreti e/o riservati della PA stessa, b) proteggere il trattamento dei dati personali dei cittadini.
Per farlo ci vorrebbero dei sistemi d'elaborazione sicuri ed un pezzo di rete sicura.
Per esempio, in Francia hanno realizzato dei "cloud di stato". https://www.numergy.com/
Per quanto riguarda la rete, quali sono i pezzi della rete controllati dalla PA stessa e dai quali partire? La rete GARR? E poi?
Cos'altro serve? m.c.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7877 - Data di rilascio: 18/07/2014
Marco, ti prego, non il "cloud di stato" E' una cosa risibile, che piace solo ai francesi. Per fare servizi servono numeri e professionalità. Vanno poi considerati gli effetti anticoncorrenziali di simili iniziative, nonché la balcanizzazione della rete che ne deriva.... Infine pensa in Italia chi offrirebbe i servizi per il cloud di stato. Forse non sarebbe una bella prospettiva. A mio modo di vedere il problema non è la conservazione del dominio nazionale, bensì della connotazione europea di certi servizi strategici. E' a livello comunitario che esiste un quadro normativo di tutele adeguate per i dati e nel contempo esiste una potenzialità imprenditoriale e tecnologica per creare un cloud europeo. Non deve poi essere per forza un cloud che escluda operatori non EU, ma un cloud con standard e regole stringenti (comprese quelle in materia di accesso ai dati da parte delle autorità non EU e localizzazione dei server). Non mi stancherò mai di ricordarlo: gli USA non hanno una norma federale sulla data protection, ma hanno il FEDramp per il G-cloud. Questo dovrebbe far riflettere. AM On Sat, 19 Jul 2014 11:53:38 +0200 Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data sabato 19 luglio 2014 10:47:39, Fabio Pietrosanti ha scritto:
Si può fare qualcosa in chiave puramente nazionale? Se si, cosa? IMHO la nostra PA non solo può ma *deve*: a) proteggere i dati segreti e/o riservati della PA stessa, b) proteggere il trattamento dei dati personali dei cittadini.
Per farlo ci vorrebbero dei sistemi d'elaborazione sicuri ed un pezzo di rete sicura.
Per esempio, in Francia hanno realizzato dei "cloud di stato". https://www.numergy.com/
Per quanto riguarda la rete, quali sono i pezzi della rete controllati dalla PA stessa e dai quali partire? La rete GARR? E poi?
Cos'altro serve? m.c.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Avv. Alessandro Mantelero, PhD Aggregate Professor, Politecnico di Torino Director of Privacy and Faculty Fellow, Nexa Center for Internet and Society Visiting Fellow, Oxford Internet Institute Research Consultant, Sino-Italian Research Center for Internet Torts at Nanjing University of Information Science & Technology Programme Coordinator, Double Degree program in Management and IP Law, Politecnico di TorinoTongji University of Shanghai http://staff.polito.it/alessandro.mantelero Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy in libertate fortitudo
In data domenica 20 luglio 2014 10:40:54, Alessandro Mantelero ha scritto: > Non deve poi essere per forza un cloud che escluda > operatori non EU, ma un cloud con standard e regole > stringenti (comprese quelle in materia di accesso ai dati > da parte delle autorità non EU e localizzazione dei > server). IMHO le regole sono: - sw libero - standard aperti - hw documentato - localizzazione UE - fornitura da parte di imprese UE. m.c.
beh, il governo USA ha il cloud di stato... non buttiamoci troppo giu' sulle italiche competenze. quello che fa Sogei di integrazione di dati e data mining ce lo invidiano le amministrazioni in giro per il mondo. ciao, s. On 20/07/2014 10:40, Alessandro Mantelero wrote:
Marco, ti prego, non il "cloud di stato" E' una cosa risibile, che piace solo ai francesi. Per fare servizi servono numeri e professionalità. Vanno poi considerati gli effetti anticoncorrenziali di simili iniziative, nonché la balcanizzazione della rete che ne deriva.... Infine pensa in Italia chi offrirebbe i servizi per il cloud di stato. Forse non sarebbe una bella prospettiva.
A mio modo di vedere il problema non è la conservazione del dominio nazionale, bensì della connotazione europea di certi servizi strategici. E' a livello comunitario che esiste un quadro normativo di tutele adeguate per i dati e nel contempo esiste una potenzialità imprenditoriale e tecnologica per creare un cloud europeo. Non deve poi essere per forza un cloud che escluda operatori non EU, ma un cloud con standard e regole stringenti (comprese quelle in materia di accesso ai dati da parte delle autorità non EU e localizzazione dei server). Non mi stancherò mai di ricordarlo: gli USA non hanno una norma federale sulla data protection, ma hanno il FEDramp per il G-cloud. Questo dovrebbe far riflettere.
AM
On Sat, 19 Jul 2014 11:53:38 +0200 Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data sabato 19 luglio 2014 10:47:39, Fabio Pietrosanti ha scritto:
Si può fare qualcosa in chiave puramente nazionale? Se si, cosa? IMHO la nostra PA non solo può ma *deve*: a) proteggere i dati segreti e/o riservati della PA stessa, b) proteggere il trattamento dei dati personali dei cittadini.
Per farlo ci vorrebbero dei sistemi d'elaborazione sicuri ed un pezzo di rete sicura.
Per esempio, in Francia hanno realizzato dei "cloud di stato". https://www.numergy.com/
Per quanto riguarda la rete, quali sono i pezzi della rete controllati dalla PA stessa e dai quali partire? La rete GARR? E poi?
Cos'altro serve? m.c.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Avv. Alessandro Mantelero, PhD Aggregate Professor, Politecnico di Torino Director of Privacy and Faculty Fellow, Nexa Center for Internet and Society
Visiting Fellow, Oxford Internet Institute
Research Consultant, Sino-Italian Research Center for Internet Torts at Nanjing University of Information Science & Technology
Programme Coordinator, Double Degree program in Management and IP Law, Politecnico di Torino–Tongji University of Shanghai
http://staff.polito.it/alessandro.mantelero
Politecnico di Torino Corso Duca degli Abruzzi, 24 10129 Torino - Italy
in libertate fortitudo _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7887 - Data di rilascio: 20/07/2014
Il 17 luglio 2014 11:52, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-dossier-...
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi.
Dalla lista Ninux: "Peccato che non dice che nello stesso edificio ci lavorano 15o / 200 persone tra Garr, Cineca e NaMeX e che i server del NaMeX sono nel datacenter al seminterrato dove per accedere bisogna usare il badge per accedere 1 all'ascensore e 2 per entrare nella gabbia dove sono i server del Namex. Dopo un ispezione di sicurezza è risultato che l'unico punto veramente debole sono gli UPS all'esterno dell'edificio che non sono protetti da inferiate. Devo quindi desumere che l'articolo, omettendo delle informazioni, sia stato scritto in malafede. Tuttavia sarà utile a far capire a quelli del Cineca che eliminare la portineria è stata una grossa cazzata, perchè prima per entrare dovevi per forza suonare, passare la portineria, e poi passare il badge per entrare. Il tutto per risparmiare qualche migliaio di euro." ---------------------------------------------------------------------- Se veramente e' allarmismo, a chi giova? Ciao. luca
a parte che i server c'entrano poco con router e switch non avevo colto il dettaglio del titolo: "a rischio email e telefonate" (che proprio non passano di li') e comunque, parliamo del radon a fumatori incalliti On 17/07/2014 18:22, luca menini wrote:
Il 17 luglio 2014 11:52, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-dossier-...
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi.
Dalla lista Ninux: "Peccato che non dice che nello stesso edificio ci lavorano 15o / 200 persone tra Garr, Cineca e NaMeX e che i server del NaMeX sono nel datacenter al seminterrato dove per accedere bisogna usare il badge per accedere 1 all'ascensore e 2 per entrare nella gabbia dove sono i server del Namex.
Dopo un ispezione di sicurezza è risultato che l'unico punto veramente debole sono gli UPS all'esterno dell'edificio che non sono protetti da inferiate.
Devo quindi desumere che l'articolo, omettendo delle informazioni, sia stato scritto in malafede.
Tuttavia sarà utile a far capire a quelli del Cineca che eliminare la portineria è stata una grossa cazzata, perchè prima per entrare dovevi per forza suonare, passare la portineria, e poi passare il badge per entrare. Il tutto per risparmiare qualche migliaio di euro." ----------------------------------------------------------------------
Se veramente e' allarmismo, a chi giova?
Ciao. luca _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
Scusate allora come mai il Garante scrive - riporta Repubblica - che è emersa "una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi" E ancora: "La cosa merita la massima attenzione - continuano gli ispettori - in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti (anche pubbliche amministrazioni e impresi) dei principali operatori nazionali". Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. "Per tanto un inadeguato livello di sicurezza può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese". Gli ispettori non sanno di cosa stanno parlando? E perché il Garante dovrebbe essere in malafede su questo? f. Il Giovedì 17 Luglio 2014 19:01, Stefano Quintarelli <stefano@quintarelli.it> ha scritto: a parte che i server c'entrano poco con router e switch non avevo colto il dettaglio del titolo: "a rischio email e telefonate" (che proprio non passano di li') e comunque, parliamo del radon a fumatori incalliti On 17/07/2014 18:22, luca menini wrote:
Il 17 luglio 2014 11:52, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-dossier-...
C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi.
Dalla lista Ninux: "Peccato che non dice che nello stesso edificio ci lavorano 15o / 200 persone tra Garr, Cineca e NaMeX e che i server del NaMeX sono nel datacenter al seminterrato dove per accedere bisogna usare il badge per accedere 1 all'ascensore e 2 per entrare nella gabbia dove sono i server del Namex.
Dopo un ispezione di sicurezza è risultato che l'unico punto veramente debole sono gli UPS all'esterno dell'edificio che non sono protetti da inferiate.
Devo quindi desumere che l'articolo, omettendo delle informazioni, sia stato scritto in malafede.
Tuttavia sarà utile a far capire a quelli del Cineca che eliminare la portineria è stata una grossa cazzata, perchè prima per entrare dovevi per forza suonare, passare la portineria, e poi passare il badge per entrare. Il tutto per risparmiare qualche migliaio di euro." ----------------------------------------------------------------------
Se veramente e' allarmismo, a chi giova?
Ciao. luca _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
anche il radon e' un rischio vero. fabio, tu usi yahoo, conosci le slide dell'NSA... anche questo e' certamente vero
Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. "Per tanto
(che non sono **telefonate** come recita il titolo) dalla tua esperienza diretta, in che %, rispetto al totale delle tue chiamate vocali, usi skype o simili ? (dai una opcchiata ai log prima di rispondere.. ;-) non dico che sia falso, dico che e' allarmistico. immagina di dover decidere tu come mitigare il rischio di spionaggio. da dove inizieresti ? da dire a tutti "non usate servizi cloud in paesi che sono noti per intercettazioni di massa" o "state attenti al gateway dell'edeificio" ? questo il punto che cerco di spiegare. ciao! On 17/07/2014 19:06, fabio chiusi wrote:
Scusate allora come mai il Garante scrive - riporta Repubblica - che è emersa "una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi"
E ancora:
"La cosa merita la massima attenzione - continuano gli ispettori - in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti (anche pubbliche amministrazioni e impresi) dei principali operatori nazionali".
Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. "Per tanto un inadeguato livello di sicurezza può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese".
Gli ispettori non sanno di cosa stanno parlando? E perché il Garante dovrebbe essere in malafede su questo?
f.
Il Giovedì 17 Luglio 2014 19:01, Stefano Quintarelli <stefano@quintarelli.it> ha scritto:
a parte che i server c'entrano poco con router e switch non avevo colto il dettaglio del titolo: "a rischio email e telefonate" (che proprio non passano di li')
e comunque, parliamo del radon a fumatori incalliti
On 17/07/2014 18:22, luca menini wrote:
Il 17 luglio 2014 11:52, Marco Ciurcina <ciurcina@studiolegale.it <mailto:ciurcina@studiolegale.it>> ha scritto:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-dossier-...
C’è un enorme buco nero nella sicurezza delle telecomunicazioni
italiane. Una
falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi.
Dalla lista Ninux: "Peccato che non dice che nello stesso edificio ci lavorano 15o / 200 persone tra Garr, Cineca e NaMeX e che i server del NaMeX sono nel datacenter al seminterrato dove per accedere bisogna usare il badge per accedere 1 all'ascensore e 2 per entrare nella gabbia dove sono i server del Namex.
Dopo un ispezione di sicurezza è risultato che l'unico punto veramente debole sono gli UPS all'esterno dell'edificio che non sono protetti da inferiate.
Devo quindi desumere che l'articolo, omettendo delle informazioni, sia stato scritto in malafede.
Tuttavia sarà utile a far capire a quelli del Cineca che eliminare la portineria è stata una grossa cazzata, perchè prima per entrare dovevi per forza suonare, passare la portineria, e poi passare il badge per entrare. Il tutto per risparmiare qualche migliaio di euro." ----------------------------------------------------------------------
Se veramente e' allarmismo, a chi giova?
Ciao. luca _______________________________________________ nexa mailing list nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Nessun virus nel messaggio. Controllato da AVG - www.avg.com <http://www.avg.com> Versione: 2014.0.4716 / Database dei virus: 3986/7870 - Data di rilascio: 17/07/2014
Grazie del chiarimento Stefano F. Inviato da iPhone
Il giorno 17/lug/2014, alle ore 19:32, Stefano Quintarelli <stefano@quintarelli.it> ha scritto:
anche il radon e' un rischio vero.
fabio, tu usi yahoo, conosci le slide dell'NSA...
anche questo e' certamente vero
Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. "Per tanto
(che non sono **telefonate** come recita il titolo)
dalla tua esperienza diretta, in che %, rispetto al totale delle tue chiamate vocali, usi skype o simili ? (dai una opcchiata ai log prima di rispondere.. ;-)
non dico che sia falso, dico che e' allarmistico.
immagina di dover decidere tu come mitigare il rischio di spionaggio. da dove inizieresti ? da dire a tutti "non usate servizi cloud in paesi che sono noti per intercettazioni di massa" o "state attenti al gateway dell'edeificio" ?
questo il punto che cerco di spiegare.
ciao!
On 17/07/2014 19:06, fabio chiusi wrote: Scusate allora come mai il Garante scrive - riporta Repubblica - che è emersa "una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi"
E ancora:
"La cosa merita la massima attenzione - continuano gli ispettori - in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti (anche pubbliche amministrazioni e impresi) dei principali operatori nazionali".
Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. "Per tanto un inadeguato livello di sicurezza può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese".
Gli ispettori non sanno di cosa stanno parlando? E perché il Garante dovrebbe essere in malafede su questo?
f.
Il Giovedì 17 Luglio 2014 19:01, Stefano Quintarelli <stefano@quintarelli.it> ha scritto:
a parte che i server c'entrano poco con router e switch non avevo colto il dettaglio del titolo: "a rischio email e telefonate" (che proprio non passano di li')
e comunque, parliamo del radon a fumatori incalliti
On 17/07/2014 18:22, luca menini wrote:
Il 17 luglio 2014 11:52, Marco Ciurcina <ciurcina@studiolegale.it <mailto:ciurcina@studiolegale.it>> ha scritto:
http://iusletter.com/a-rischio-email-e-telefonate-degli-italiani-il-dossier-...
C’è un enorme buco nero nella sicurezza delle telecomunicazioni
italiane. Una
falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi.
Dalla lista Ninux: "Peccato che non dice che nello stesso edificio ci lavorano 15o / 200 persone tra Garr, Cineca e NaMeX e che i server del NaMeX sono nel datacenter al seminterrato dove per accedere bisogna usare il badge per accedere 1 all'ascensore e 2 per entrare nella gabbia dove sono i server del Namex.
Dopo un ispezione di sicurezza è risultato che l'unico punto veramente debole sono gli UPS all'esterno dell'edificio che non sono protetti da inferiate.
Devo quindi desumere che l'articolo, omettendo delle informazioni, sia stato scritto in malafede.
Tuttavia sarà utile a far capire a quelli del Cineca che eliminare la portineria è stata una grossa cazzata, perchè prima per entrare dovevi per forza suonare, passare la portineria, e poi passare il badge per entrare. Il tutto per risparmiare qualche migliaio di euro." ----------------------------------------------------------------------
Se veramente e' allarmismo, a chi giova?
Ciao. luca _______________________________________________ nexa mailing list nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2014.0.4716 / Database dei virus: 3986/7867 - Data di rilascio: 17/07/2014
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Nessun virus nel messaggio. Controllato da AVG - www.avg.com <http://www.avg.com> Versione: 2014.0.4716 / Database dei virus: 3986/7870 - Data di rilascio: 17/07/2014
Scusate se intervengo in ritardo su questi temi che mi toccano da vicino... ma la settimana scorsa ero in ferie ed ho dovuto già gestire la "grana" via mail e telefono. Comunque un commento "a mente tiepida" forse è meglio. Intanto qualche "fatto" per iniziare. MIX ha avuto la visita degli ispettori del Garante il 12 e 13 marzo scorsi, non preannunciata e con tutti i crismi dell'ispezione, anche se hanno tenuto a precisare che si trattava di una cosa informale, per il momento. Abbiamo avuto di fronte persone molto competenti, sia sugli aspetti legali-organizzativi che tecnici. Ci hanno fatto tutte le domande possibili ed hanno avuto sempre risposte esaurienti. Dal punto di vista tecnico si sono interessati, ad esempio: - alla sicurezza degli accessi (sia al comprensorio di via Caldera, che al nostro Data Center), alla presenza di sistemi di allarme e di sorveglianza video; - alle modalità di accesso al Data Center da parte dei clienti e relativo tracciamento; - alla gestione delle configurazioni dei nostri apparati (che sono principalmente degli switch e non router), chi ha le password di accesso e modifica, quali log vengono mantenuti ed archiviati; - come monitoriamo gli allarmi nel caso eventuale che venga configurata una porta in "mirroring" di un'altra (elemento critico essenziale per fare intercettazione del traffico, funzionalità intrinseca del firmware prevista dal produttore degli switch); - come manteniamo aggiornato il database di tutte le connessioni fisiche, ottiche o in rame, tra tutti gli apparati presenti in DC; come manteniamo aggiornato il database di tutti gli apparati di terzi ospitati presso di noi (compresa una verifica di un codice preso a caso); - come funziona l'accesso in remoto alle console dei router dei clienti ("servizio Out Of Band") da parte dei rispettivi tecnici; - che documentazione forniamo ai nostri clienti in osservanza delle norme vigenti (sulla Privacy). I rilievi finali che ci sono stati fatti sono stati minimi, e nessuno che avesse rilevanza diretta in termini di sicurezza delle informazioni che transitano dal MIX. Tutto è stato impostato da uno spirito collaborativo, da entrambe le parti ed e stato sottolineato che era un primo passo, nell'ottica di aiutare noi, come gli altri IXP che avrebbero visitato, a migliorare. Ci hanno promesso di farci avere copia della relazione finale, in anteprima della pubblicazione, prima della pausa estiva. Fin qui i fatti. Il mio commento. È sicuramente possibile che siano state rilevate alcune criticità nelle misure di sicurezza presso altri IXP, ed anche in MIX è sempre possibile migliorare, anche raccogliendo suggerimenti o raccomandazioni del Garante, di cui, ripeto, ho apprezzato la professionalità. Ma la situazione è tutt'altro che allarmante e degna della prima pagina del maggior quotidiano nazionale. Intanto occorre distiguere quanto compete alla privacy e quanto alla security, che sono due cose ben diverse. Per la PRIVACY, un IXP come MIX è in grado di dimostrare in ogni momento che nessuna pratica di "wire tapping" o di intercettazione di qualunque tipo viene messa in opera, da chiunque ed a qualunque titolo, sui sui apparati. Qualunque compromissione del router di uno dei clienti di MIX non ha possibilità di intercettare traffico se non diretto all'operatore stesso (cosicché se l'ISP "Pippolino" o l'operatore "BigTelco" viene compromesso, nessuno degli altri viene colpito). Aggiungerei, in termini normativi, che MIX, avendo scelto di iscriversi come "Operatore di peering" secondo una interpretazione estensiva del Codice delle Comunicazioni, deve e può rigettare qualsiasi richiesta di intercettazione legale emessa in caso di procedimento penale su un cliente finale di uno dei suoi clienti (come usualmente accade), a meno che il soggetto del procedimento non sia proprio uno dei suoi diretti clienti (cioè "Pippolino" o "BigTelco"). Questo per quanto riguarda il DC di MIX e tutto quato rientra nel nostro perimetro. E per essere chiari: presso un IXP non c'è e non ci può essere nessuna "dark room" dove tutto il traffico IP viene riversato a disposizione di un soggetto terzo, come NSA aveva chiesto ed ottenuto da AT&T. Fuori del perimentro la situazione è un po' diversa, ma valgono alemno due osservazioni: 1) in ogni caso si tratta di linee di trasmissione dati di proprietà di singoli operatori, per cui il traffico veicolato è quello relativo allo specifico cliente del IXP, ed è del tutto simile a quello che potrebbe essere compromesso in uno dei tantissimi passaggi sotto il suolo pubblico. 2) le tecniche per fare uno "splicing" di una fibra ottica in modo da riuscire a derivare su un'altra fibra ottica tutto il traffico in transito sono molto sofisticate e molto difficilmente realizzabili dentro un tombino con i mezzi meccanici ed optoelettronici disponibili in loco. Un po' più facile farlo con il rame, ma alle velocità che normalmente trattiamo ci sarebbero tante e tali degradazioni del segnale da essere scoperti immediatamente. Per la SECURITY la faccenda è diversa e merita un discorso a sé. Intanto un IXP non è mai un "single point of failure", in altre parole, in caso di rottura, di qualsiasi tipo essa sia: accidentale come una interruzione di energia elettrica o volontaria come un attentato o il taglio delle fibre, non interrompe il funzionamento delle reti, per qualsiasi soggetto connesso. Questo perché è richiesto espressamente che ogni cliente disponga di un accesso alla Big Internet indipendente dalla connessione al IXP (nel caso degli operatori cosiddetti "Tier 1" la ridondanza è data dalla loro compresenza presso un certo numero di IXP globali). In tutta la sua vita (14 anni) MIX si è fermato 2 volte per meno di un'ora, ed entrambi i casi non abbiamo messo a rischio la sicurezza nazionale. Al contrario, un guasto tutto sommato veniale come quello che ha colpito Infostrada non più tardi del mese scorso (errore di configurazione del firmware dei principali router della rete di backbone) ha messo in crisi una buona porzione degli utenti italiani di Internet per svariate ore. È vero però che MIX ha un ruolo come facilitatore dello scambio del traffico Internet all'interno dell'Italia. Ruolo che sarebbe ben più efficace se alcuni operatori avessero maggiore confidenza nell'utilità del peering in un punto condiviso (come succede all'estero, invece). Certamente ad oggi non è vero che il traffico telefonico (ancorché "digitalizzato") passi da un IXP italiano, ed anche il traffico email segue percorsi apparentemente illogici o inaspettati, spesso attraverso Big Internet. All'aumentare del traffico veicolato (ad oggi MIX "cuba" poco meno di 200 Gbps di traffico scambiato), è chiaro che qualsiasi interruzione di servizio provocherebbe un rallentamento dell'Internet italiana, ma un "rallentamento" non sarebbe certo un risultato eclattante per un malintenzionato. D'altra parte è interesse comunque di un soggetto "che sta sul mercato" e che deve attrarre come clienti gli operatori di tutto il mondo di essere sempre più affidabile, resiliente, magari distribuito sul territorio. E tutto questo senza bisogno che ci sia bisogno di leggi ad hoc. ___________________________________________________________________________ Joy On 17/lug/2014, at 19:06, fabio chiusi <fabiochiusi@yahoo.it> wrote:
Scusate allora come mai il Garante scrive - riporta Repubblica - che è emersa "una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi"
E ancora:
"La cosa merita la massima attenzione - continuano gli ispettori - in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti (anche pubbliche amministrazioni e impresi) dei principali operatori nazionali".
Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. "Per tanto un inadeguato livello di sicurezza può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese".
Gli ispettori non sanno di cosa stanno parlando? E perché il Garante dovrebbe essere in malafede su questo?
f.
-- This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean.
grazie per la esauriente risposta!. On 21/07/2014 13:25, Joy Marino wrote:
Scusate se intervengo in ritardo su questi temi che mi toccano da vicino... ma la settimana scorsa ero in ferie ed ho dovuto già gestire la "grana" via mail e telefono. Comunque un commento "a mente tiepida" forse è meglio.
Intanto qualche "fatto" per iniziare.
MIX ha avuto la visita degli ispettori del Garante il 12 e 13 marzo scorsi, non preannunciata e con tutti i crismi dell'ispezione, anche se hanno tenuto a precisare che si trattava di una cosa informale, per il momento. Abbiamo avuto di fronte persone molto competenti, sia sugli aspetti legali-organizzativi che tecnici. Ci hanno fatto tutte le domande possibili ed hanno avuto sempre risposte esaurienti. Dal punto di vista tecnico si sono interessati, ad esempio: - alla sicurezza degli accessi (sia al comprensorio di via Caldera, che al nostro Data Center), alla presenza di sistemi di allarme e di sorveglianza video; - alle modalità di accesso al Data Center da parte dei clienti e relativo tracciamento; - alla gestione delle configurazioni dei nostri apparati (che sono principalmente degli switch e non router), chi ha le password di accesso e modifica, quali log vengono mantenuti ed archiviati; - come monitoriamo gli allarmi nel caso eventuale che venga configurata una porta in "mirroring" di un'altra (elemento critico essenziale per fare intercettazione del traffico, funzionalità intrinseca del firmware prevista dal produttore degli switch); - come manteniamo aggiornato il database di tutte le connessioni fisiche, ottiche o in rame, tra tutti gli apparati presenti in DC; come manteniamo aggiornato il database di tutti gli apparati di terzi ospitati presso di noi (compresa una verifica di un codice preso a caso); - come funziona l'accesso in remoto alle console dei router dei clienti ("servizio Out Of Band") da parte dei rispettivi tecnici; - che documentazione forniamo ai nostri clienti in osservanza delle norme vigenti (sulla Privacy).
I rilievi finali che ci sono stati fatti sono stati minimi, e nessuno che avesse rilevanza diretta in termini di sicurezza delle informazioni che transitano dal MIX. Tutto è stato impostato da uno spirito collaborativo, da entrambe le parti ed e stato sottolineato che era un primo passo, nell'ottica di aiutare noi, come gli altri IXP che avrebbero visitato, a migliorare. Ci hanno promesso di farci avere copia della relazione finale, in anteprima della pubblicazione, prima della pausa estiva.
Fin qui i fatti. Il mio commento. È sicuramente possibile che siano state rilevate alcune criticità nelle misure di sicurezza presso altri IXP, ed anche in MIX è sempre possibile migliorare, anche raccogliendo suggerimenti o raccomandazioni del Garante, di cui, ripeto, ho apprezzato la professionalità. Ma la situazione è tutt'altro che allarmante e degna della prima pagina del maggior quotidiano nazionale. Intanto occorre distiguere quanto compete alla _privacy_ e quanto alla _security_, che sono due cose ben diverse.
Per la *PRIVACY*, un IXP come MIX è in grado di dimostrare in ogni momento che nessuna pratica di "wire tapping" o di intercettazione di qualunque tipo viene messa in opera, da chiunque ed a qualunque titolo, sui sui apparati. Qualunque compromissione del router di uno dei clienti di MIX non ha possibilità di intercettare traffico se non diretto all'operatore stesso (cosicché se l'ISP "Pippolino" o l'operatore "BigTelco" viene compromesso, nessuno degli altri viene colpito). Aggiungerei, in termini normativi, che MIX, avendo scelto di iscriversi come "Operatore di peering" secondo una interpretazione estensiva del Codice delle Comunicazioni, deve e può rigettare qualsiasi richiesta di intercettazione legale emessa in caso di procedimento penale su un cliente finale di uno dei suoi clienti (come usualmente accade), a meno che il soggetto del procedimento non sia proprio uno dei suoi _diretti_ clienti (cioè "Pippolino" o "BigTelco"). Questo per quanto riguarda il DC di MIX e tutto quato rientra nel nostro perimetro. E per essere chiari: presso un IXP non c'è e non ci può essere nessuna "dark room" dove tutto il traffico IP viene riversato a disposizione di un soggetto terzo, come NSA aveva chiesto ed ottenuto da AT&T.
Fuori del perimentro la situazione è un po' diversa, ma valgono alemno due osservazioni: 1) in ogni caso si tratta di linee di trasmissione dati di proprietà di singoli operatori, per cui il traffico veicolato è quello relativo allo specifico cliente del IXP, ed è del tutto simile a quello che potrebbe essere compromesso in uno dei tantissimi passaggi sotto il suolo pubblico. 2) le tecniche per fare uno "splicing" di una fibra ottica in modo da riuscire a derivare su un'altra fibra ottica tutto il traffico in transito sono molto sofisticate e molto difficilmente realizzabili dentro un tombino con i mezzi meccanici ed optoelettronici disponibili in loco. Un po' più facile farlo con il rame, ma alle velocità che normalmente trattiamo ci sarebbero tante e tali degradazioni del segnale da essere scoperti immediatamente.
Per la *SECURITY* la faccenda è diversa e merita un discorso a sé. Intanto un IXP non è mai un "single point of failure", in altre parole, in caso di rottura, di qualsiasi tipo essa sia: accidentale come una interruzione di energia elettrica o volontaria come un attentato o il taglio delle fibre, non interrompe il funzionamento delle reti, per qualsiasi soggetto connesso. Questo perché è richiesto espressamente che ogni cliente disponga di un accesso alla Big Internet indipendente dalla connessione al IXP (nel caso degli operatori cosiddetti "Tier 1" la ridondanza è data dalla loro compresenza presso un certo numero di IXP globali). In tutta la sua vita (14 anni) MIX si è fermato 2 volte per meno di un'ora, ed entrambi i casi non abbiamo messo a rischio la sicurezza nazionale. Al contrario, un guasto tutto sommato veniale come quello che ha colpito Infostrada non più tardi del mese scorso (errore di configurazione del firmware dei principali router della rete di backbone) ha messo in crisi una buona porzione degli utenti italiani di Internet per svariate ore.
È vero però che MIX ha un ruolo come facilitatore dello scambio del traffico Internet all'interno dell'Italia. Ruolo che sarebbe ben più efficace se alcuni operatori avessero maggiore confidenza nell'utilità del peering in un punto condiviso (come succede all'estero, invece). Certamente ad oggi non è vero che il traffico telefonico (ancorché "digitalizzato") passi da un IXP italiano, ed anche il traffico email segue percorsi apparentemente illogici o inaspettati, spesso attraverso Big Internet. All'aumentare del traffico veicolato (ad oggi MIX "cuba" poco meno di 200 Gbps di traffico scambiato), è chiaro che qualsiasi interruzione di servizio provocherebbe un rallentamento dell'Internet italiana, ma un "rallentamento" non sarebbe certo un risultato eclattante per un malintenzionato. D'altra parte è interesse comunque di un soggetto "che sta sul mercato" e che deve attrarre come clienti gli operatori di tutto il mondo di essere sempre più affidabile, resiliente, magari distribuito sul territorio. E tutto questo senza bisogno che ci sia bisogno di leggi ad hoc.
___________________________________________________________________________
Joy
On 17/lug/2014, at 19:06, fabio chiusi <fabiochiusi@yahoo.it <mailto:fabiochiusi@yahoo.it>> wrote:
Scusate allora come mai il Garante scrive - riporta Repubblica - che è emersa "una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi"
E ancora:
"La cosa merita la massima attenzione - continuano gli ispettori - in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti (anche pubbliche amministrazioni e impresi) dei principali operatori nazionali".
Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. "Per tanto un inadeguato livello di sicurezza può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese".
Gli ispettori non sanno di cosa stanno parlando? E perché il Garante dovrebbe essere in malafede su questo?
f.
-- This message has been scanned for viruses and dangerous content by *MailScanner* <http://www.mailscanner.info/>, and is believed to be clean.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Nessun virus nel messaggio. Controllato da AVG - www.avg.com <http://www.avg.com> Versione: 2014.0.4716 / Database dei virus: 3986/7889 - Data di rilascio: 20/07/2014
participants (9)
-
Alessandro Mantelero -
Blengino -
fabio chiusi -
Fabio Pietrosanti (naif) -
Joy Marino -
Luca Cicchelli -
luca menini -
Marco Ciurcina -
Stefano Quintarelli