******************************************************
IT SERVICE
MANAGEMENT NEWS – GENNAIO 2022
******************************************************
Newsletter mensile su sicurezza delle informazioni, gestione dei servizi IT,
qualità.
E' possibile dare il proprio contributo e diffonderla a chiunque.
IT Service Management News di Cesare Gallotti è rilasciata sotto licenza
Creative Commons Attribution 4.0 International License
(creativecommons.org/licenses/by/4.0/deed.en_GB). Bisogna attribuire il lavoro
a Cesare Gallotti con link a http://www.cesaregallotti.it/Newsletter.html.
E' disponibile il blog http://blog.cesaregallotti.it.
La newsletter è inviata via MailUp, offerta da Team Quality S.r.l.
Per iscriversi, cancellarsi e leggere l'informativa privacy: http://www.cesaregallotti.it/Newsletter.html.
Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei
dati personali.
******************************************************
Indice
00- Libro "Sicurezza delle informazioni - Edizione 2022"
01- Vulnerabilità in log4j
02- Sito di ACN
03- Antivirus con crypto miner
04- QR code falsi
05- Aggiornamento Linee guida EDPB sulle notifiche delle violazioni
******************************************************
00- Libro "Sicurezza
delle informazioni - Edizione 2022"
Nei prossimi giorni dovreste trovare il libro che ho aggiornato:
- su https://store.streetlib.com/
per il formato digitale (pdf e epub);
- su https://www.youcanprint.it/store
per il formato cartaceo.
Mentre invio questa newsletter sto completando le ultime cose e ho appena
scoperto che streetlib non permette più di caricare il pdf in automatico.
Insomma... il mese prossimo sarò più preciso sulle edizioni disponibili e su
dove trovarle.
******************************************************
01- Vulnerabilità
in log4j
E' noto che non mi occupo di questioni eccessivamente tecniche, ma la
vulnerabilità trovata in log4j è decisamente importante. Intanto un articolo
esplicativo (e tecnico):
- https://www.lunasec.io/docs/blog/log4j-zero-day/.
Riassumo dal SANS NewsBites del 10 dicembre: Una vulnerabilità nel log4j può
essere sfruttata per l'esecuzione di codice da remoto (RCE). Mantenuta
dall'Apache project, log4j è una libreria per realizzare funzioni di log. Essa
è usata in molti servizi cloud e prodotti. Un attaccante può scrivere una
stringa in una richiesta http; se l'applicazione tiene il log della stringa con
log4j, questo può essere ingannato e connettersi a un server dell'attaccante e
scaricare codice che sarà eseguito dal servizio. La vulnerabilità ha codice
CVE-2021-44228.
Questa vulnerabilità dimostra un problema di sicurezza non indifferente: è
preferibile usare librerie e strumenti sviluppati da altri (purché competenti),
in modo da sviluppare autonomamente e male le stesse soluzioni, ma se le
librerie più diffuse sono compromesse, tantissimi servizi saranno vulnerabili.
Ecco quindi che l'uso di soluzioni sviluppate da altri non ci deve esimere dal
tracciarle (ecco a cosa serve l'asset inventory!), monitorarle, verificare se
sono costantemente mantenute. In altre parole: non vengono a costo zero, anche
se sono free. E a questo punto mi è venuto in mente che anche questa è una
lezione che andrebbe spiegata per bene a tutti coloro che lavorano nel o con
l'IT.
Ulteriore articolo tecnico è quello del CERT del Governo svizzero:
- https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/.
******************************************************
02- Sito di ACN
Grazie a Silvestro Marascio di DFA, vengo a conoscenza del fatto che l'Agenzia
per la cyberscicurezza nazionale ha avviato il suo sito web:
- https://www.acn.gov.it/.
Al momento non c'è quasi niente, ma sono fiducioso che le cose arriveranno.
******************************************************
03- Antivirus con
crypto miner
Da Crypto-Gram di gennaio 2022, leggo che l'antivirus Norton 360 adesso include
un cryptominer:
- https://krebsonsecurity.com/2022/01/norton-360-now-comes-with-a-cryptominer/.
Il mio dubbio è che se la sicurezza si raggiunge anche con la semplicità,
questo principio non è seguito da un prodotto antivirus che fa anche altro.
Ci sono anche altre questioni sollevate dall'articolo (il fatto che non si
capisce bene chi ci guadagna a parte la Norton e i rischi per persone non
sufficientemente attente alla sicurezza che sono incentivate a usare servizi
con problemi di sicurezza da conoscere).
******************************************************
04- QR code falsi
Da Crypto-Gram di gennaio 2022, leggo la notizia "US Police Warn of
Parking Meters with Phishing QR Codes":
- https://www.bitdefender.com/blog/hotforsecurity/us-police-parking-meters-phishing-qr-codes/.
Mi stavo chiedendo da tempo perché non avevo ancora sentito parlare di queste
frodi. Sono stato, purtroppo, accontentato.
In sintesi: sui parchimetri è possibile trovare QR code che indirizzano a un
sito per pagare il parcheggio. Però il sito è falso e l'incasso (e forse anche
il numero di carta di credito) va a finire ai frodatori.
******************************************************
05- Aggiornamento
Linee guida EDPB sulle notifiche delle violazioni
EDPB ha aggiornato a dicembre 2021 le "Guidelines 01/2021 on Examples
regarding Personal Data Breach Notification":
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en.
La prima versione era di gennaio 2021 e all'epoca non le avevo segnalate.
E' ovviamente necessario leggerle, anche perché i casi possono essere usati
come minacce da considerare nella valutazione del rischio e per ciascuno di
essi sono anche elencate le misure di sicurezza. Insomma: queste linee guida
possono essere usate per verificare la completezza delle propria valutazione
del rischio e valutare l'adeguatezza delle misure di sicurezza.
Grazie a Chiara Ponti per averlo segnalato agli Idraulici della Privacy.
******************************************************
EONL