Quando si affrontano temi complessi, di solito si cerca di semplificare il contesto dotandosi di modelli e metriche che ci aiutino a misurare, tracciare, valutare nel tempo ed interpretare l’oggetto osservato allo scopo di prendere decisioni riguardo alle politiche da attuare, alle strategie o perfino alle tattiche. Purtroppo, per la cybersecurity non disponiamo ancora di…
Scrivo e ripeto spesso di quanto la business continuity sia una delle metodologie più abusate all’interno delle organizzazioni e non solo. Poiché si basa su principi di buon senso, spinge molti professionisti a pensare di poterne parlare e praticarla senza una vera conoscenza di fondo della disciplina. Con risultati spesso scadenti se non nocivi per…
Introduzione Il Comitato europeo per la protezione dei dati ha pubblicato a ottobre 2017 le Linee guida in materia di sanzioni amministrative previste dal Reg. 2016/679/EU. Le sanzioni amministrative pecuniarie rappresentano un elemento centrale del nuovo regime introdotto dal Regolamento per far rispettare le norme, in quanto costituiscono una componente importante dell’insieme di strumenti di…
Una delle novità con cui si è concluso il 2017 è stata, senz’altro, l’introduzione di nuove features sul social network Facebook. Il 19 dicembre, infatti, la piattaforma ha annunciato due importanti novità: un aggiornamento del sistema di suggerimento dei tag nelle fotografie; nuove tecnologie per il riconoscimento facciale rivolte, da un lato, ad agevolare utenti…
Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000. Qui si affrontano i termini fondamentali relativi alla continuità operativa, spesso oggetto di confusione. Non si forniscono metodi per pianificare e attuare la continuità. Nulla vieta di usare altri termini, ma è…
Qualunque analisi in tema di sicurezza con riferimento alla normativa sulla protezione dei dati personali rimanda immediatamente alla necessità di adottare adeguati interventi di tipo informatico a protezione dei dati oggetto di trattamento. L’approccio è corretto ma, specie alla luce del nuovo Regolamento europeo in materia di protezione dei dati personali (meglio noto con l’acronimo…
IL SOCIAL ENGINEERING “Ingegneria sociale significa usare il proprio ascendente e le capacità di persuasione per ingannare gli altri, convincendoli che l’ingegnere sociale sia quello che non è oppure manovrandoli. Di conseguenza l’ingegnere sociale può usare le persone per strappare loro informazioni con o senza l’ausilio di strumenti tecnologici”. Questo è quello che si legge…
Come ormai tutti sappiamo, il phishing consiste in un tentativo di truffa che mira a sottrarre informazioni e dati sensibili (in genere mediante compilazione di un form) facendo leva sulla buona fede dell’utente che ritiene legittima la provenienza della richiesta. I componenti chiave coinvolti saranno inevitabilmente il tipo di authority che entra in contatto con…
In questo articolo ci occuperemo della ricerca di sequenze di istruzioni presenti nella piattaforma Android (su sistemi ARM) al fine di sfruttare delle vulnerabilità nelle applicazioni, con attacchi di tipo ROP, aggirando i principali sistemi di sicurezza. Gadget: cosa sono e a cosa servono Gli attacchi di tipo Return Oriented Programming (ROP, vedi Riquadro 1)…
Il tentativo di proteggere la Privacy oltre i confini dello stato Il 25 maggio 2018 entrerà in vigore il GDPR (General Data Protection Regulation), regolamento 679/2016 dell’Unione Europea [1] che, in quanto tale, non necessita di alcuna legislazione applicativa degli stati membri, diventando subito realtà alla sua scadenza di attuazione. E’ il primo tentativo per…
Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine