Il Domain Name System, d’ora in avanti DNS, è uno dei protocolli fondamentali alla base di Internet. Il suo scopo è risolvere un “nome” facilmente ricordabile e gestibile da una persona, in un “indirizzo IP” associato alla risorsa informatica da raggiungere. Oltre a permettere una facile e semplice gestione da parte delle persone, la separazione…
Il contratto: una base giuridica da esplorare L’articolo 6 del Regolamento UE 2016/679 (GDPR) espone le basi giuridiche sulle quali fondare un trattamento lecito di dati personali da parte del titolare. Tra le sei basi giuridiche (dalla lettera a) alla lettera f) del primo paragrafo) quella che merita di essere analizzata più in profondità, nel…
Regioni, Province autonome e società controllate devono ancora impegnarsi per il pieno rispetto del principio di responsabilizzazione. Le imprese e gli enti pubblici analizzati dalle Autorità per la protezione dei dati personali di 18 Paesi – inclusa l’Italia – mostrano generalmente di aver ben compreso i concetti base del principio di accountability. Tuttavia, permangono criticità…
Il Cross-Site Request Forgery (CSRF) è un attacco web invisibile che sfrutta le sessioni autenticate per eseguire azioni non autorizzate. Esploriamo le sue origini, le sue tecniche e le migliori pratiche di protezione, tra cui l’uso di token, l’attributo SameSite per i cookie e la validazione degli header HTTP. Scopriamo qual’è il modo migliore per…
Per i data center sono molto note le norme dell’Uptime institute e l’ANSI TIA-942. L’Uptime insititute certifica i data center sulla base delle loro caratteristiche di disponibilità. La certificazione può essere data su quattro livelli (tier), corrispondenti a caratteristiche architetturali sempre più rigorose e, di conseguenza, a sempre più elevati livelli di disponibilità del data…
I firmware vengono utilizzati in contesti molto diversi tra loro: si va dai costituenti di un’infrastruttura industriale ai dispositivi del mercato consumer. In questo articolo vedremo come analizzare un firmware alla ricerca di possibili vulnerabilità. Bisogna tener conto che in questi casi: la sicurezza non è un requisito, si preferiscono le prestazioni, un costo basso…
Molti credono che la sicurezza informatica sia un ambito relegato alle grandi società, alle banche oppure a sempliciotti che pagano un riscatto in bitcoin per non vedersi pubblicati sul web in atti osceni[1]. La verità è che l’importanza della Cyber sicurezza è direttamente proporzionale alla nostra dipendenza dalla tecnologia, in parte “fisiologica” e dovuta all’evoluzione;…
Una qualche premessa impone di soffermarsi sulla “digitalizzazione”, intesa nel suo aspetto organizzativo e produttivo del processo di sviluppo delle tecnologie dell’informazione e della comunicazione ad uso della Pubblica Amministrazione (P.A.). La digitalizzazione è capace di aumentare l’integrazione dei servizi fra le diverse amministrazioni e l’interazione degli utenti (facilitando l’accesso ai dati), con lo scopo…
Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000. In merito di selezione del personale, la ISO/IEC 27001 e la ISO/IEC 27002 dedicano il controllo 7.1.1 con titolo, in inglese, “Screening”. Il controllo prevede, semplificando, due sotto-controlli per la selezione del…
Siamo al quarto articolo che ho voluto dedicare alle peculiarità delle perquisizioni dirette alla ricerca di evidenze informatiche, ovvero alle operazioni poste in essere immediatamente dopo quella che abbiamo definito l’individuazione del target. Dopo l’individuazione del target iniziano i veri problemi: già, perché, dopo averlo individuato, nasce il problema di comprendere se effettivamente quel target…
Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine