Connect with us

Editoriali

Cloud Nazionale: oltre ai datacenter, c’è il software

Pubblicato

in data

Tempo di lettura: 3 minuti.

Il numero crescente di incidenti informatici che hanno coinvolto aziende private di carattere strategico e istituzioni pubbliche, soprattutto del settore sanitario, hanno riacceso la discussione di media e politica sulla necessità di un cloud nazionale al fine di proteggere adeguatamente i dati personali dei cittadini e delle istituzioni stesse.

Sembra tuttavia che l’argomento principale sia limitato all’infrastruttura fisica, ossia datacenter, server e reti di connessione, mentre poco o nulla si è detto riguardo ciò che su tali infrastrutture deve girare, ossia il software.

In effetti qualche parola si è spesa, parlando in particolare di crittografia e di chiavi di criptazione, ma l’argomento è stato trattato in modo alquanto naïf.

Quando si parla di cloud, occorre considerare che tutti i sistemi che lo costituiscono oltre a interagire tra loro interagiscono con sistemi esterni, sia direttamente ad esempio tramite servizi erogati da terzi (mappe, risorse grafiche, risoluzione di domini) sia indirettamente (ad esempio tramite servizi che sincronizzano l’orologio-calendario interno alla macchina).

Tutte queste interazioni costituiscono la superficie d’attacco che va considerata quando si fa la valutazione del livello di rischio del sistema cloud.

E’ evidente che già a questo livello di discussione il concetto di “cloud sovrano” sia da ridimensionare.

Dal punto di vista funzionale, il cloud è un sistema dinamico che permette di adeguare l’offerta di infrastruttura sulla domanda di servizio in un dato istante e in un dato luogo. Per questo nella stragrande maggioranza dei casi le macchine su cui girano i servizi sono macchine “virtuali” che possono essere spostate e moltiplicate a seconda della necessità, anche senza preavviso: la domanda di un dato servizio sono maggiori durante un click-day (eventualità che comunque ci auguriamo di vedere il meno possibile in futuro) che, per esempio, durante ferragosto. Le istanze di una CDN vengono spostate nei datacenter più geograficamente vicini agli utenti che le richiedono; per questo, sommato al fatto che l’utente di una pubblica amministrazione non è necessariamente ubicato sul suolo nazionale, potrebbe essere controproducente avere tutte le istanze raggruppate sul territorio nazionale o, peggio, in un unico datacenter. Turisti e connazionali ubicati all’estero avranno probabilmente frequente necessità di accedere a tale cloud.

Dunque riunire esclusivamente su infrastrutture nazionali tutti i servizi non solo è utopico, ma potrebbe essere anche poco efficiente, se non altro per questioni legale alla geografia.

Dal punto di vista della sicurezza, intesa come robustezza agli attacchi, una sola infrastruttura nazionale potrebbe essere un grandissimo punto debole: il concetto di ridondanza va applicato a tutte le risorse coinvolte in modo da non creare il “Single point of failure” che è di solito il più ghiotto tra i bocconi di un ipotetico avversario.

Come detto, l’argomento relativo alle risorse non hardware è stato limitato al discorso relativo alla crittografia. Questo è secondo me senza senso e fuorviante.

La crittografia moderna funziona perché si è abbandonato il concetto di nascondere l’algoritmo di cifratura; in realtà da secoli si è capito che una buona crittografia funziona se e solo se sono le chiavi ad essere segrete, mentre, viceversa, il consenso nel considerare l’algoritmo come robusto è un requisito fondamentale. Non ha quindi senso parlare di “Crittografia nazionale”, se non nel senso di inquadrare il tutto in un concetto che coinvolge non tanto gli algoritmi quanto piuttosto le procedure dietro la gestione di accessi alle risorse confidenziali. Gestire correttamente sottochiavi, accessi, credenziali e soprattutto la revoca delle stesse, è un punto critico di tutta la discussione.

Resta un punto dolente e assolutamente prioritario in tutta questa discussione.

Il software

Oggi il software di server e client è costituito a volte da centinaia di micro-componenti la cui natura e provenienza è la più disparata. Un meme assai famoso nel settore dell’infosec mostra una costruzione fatta di numerosi blocchi che poggiano su un singolo mattone “mantenuto gratuitamente da un ignoto sviluppatore in Illinois”. Esso descrive benissimo la situazione di software e sistemi in tutto il mondo.

L’incidente con il componente Log4j lo dimostra pienamente. Ci vorranno probabilmente anni prima che tutti i componenti critici che ne fanno uso siano aggiornati, e di qui ad allora si moltiplicheranno i casi di violazione attraverso questa vulnerabilità.

E’ dunque prioritario, prima ancora che discutere di infrastrutture, che la pubblica amministrazione si doti di un framework di lavoro costituito da procedure, prassi, linee guida, e infine anche moduli software che garantiscano una corretta gestione dei sistemi e delle infrastrutture su tutti i livelli; ed è prioritario anche che siano ridotte sensibilmente le migliaia di componenti utilizzate nelle varie amministrazioni con un set di moduli software comuni che siano analizzati, censiti, monitorati e soprattutto mantenuti, fin dalla loro introduzione nel framework, al fine di gestire correttamente il loro uso e il loro ciclo di vita, identificando e correggendo le eventuali vulnerabilità prima che esse vengano sfruttate per violare i sistemi del cloud nazionale.

Questi punti sono, secondo il mio parere e la mia esperienza acquista negli anni sul campo, molto più critici. Abbiamo una PA che risulta spesso anni luce indietro rispetto ai privati, sia dal punto di vista tecnologico che ancor più dal punto di vista della gestione. E’ molto più grave avere servizi gestiti con orario da sportellista o con procedure mutuate dal mondo analogico che avere i server ubicati in un’area geografica rispetto ad un’altra.

Editoriali

Solo ora si accorgono del problema televoto e giornalismo musicale

Pubblicato

in data

Amadeus Geolier Sanremo 2024
Tempo di lettura: < 1 minuto.

Leggo molte critiche al “cartello di giornalisti” che ha boicottato la vittoria di Geolier a Sanremo. Sono davvero convinto che sia andata così, ma sono certo della tanta “colleganza” che oggi predica bene, ma ha sempre razzolato male per quel che concerne il discorso di “cartello”.

E non riguarda solo la musica, ma anche il calcio, la politica … quindi di cosa parliamo?

Qualche settimana fa fui molto chiaro: chi tratta moda, spettacolo, musica e gossip non si può considerare giornalista.

Chi lo fa dal punto di vista della critica diversamente lo è e vi assicuro che assistiamo a tanti giornalisti sportivi, che hanno visto milioni di partite, e non capiscono di calcio. Vediamo chi dei nostri farà un esposto all’Ordine per quel collega che ha commentato di non far votare la Campania.

Altra cosa: il 90% dei giornalisti che la criticano, non avrebbe avuto il coraggio di fare quell’indegna domanda, ma fondata, a Geolier sul risultato ottenuto “più per i suoi ospiti che per la sua performance”.

Così come hanno fatto più danni dei ladri di polli sanremesi quelli che hanno applaudito Presidenti del Consiglio e Ministri della Sanità nefasti.

Prosegui la lettura

Editoriali

Geolier a Sanremo rutta in napoletano. Perchè è un problema per i nativi digitali

Pubblicato

in data

Geolier Sanremo
Tempo di lettura: < 1 minuto.

Parliamoci chiaramente, questo qui, Geolier, è diventato famoso per una canzone che descrive il livello di tamarraggine napoletana che si manifesta “rint a n’audi nera opaca” dove magari ci si sballa pure.

Nello stesso brano cita tutte marche di lusso … che rappresentano quello stile di vita a cui ambiscono le baby gang che ieri hanno occupato la prima del tg5 nonostante a Napoli siamo in un periodo d’oro rispetto al resto del paese.

Amadeus quest’anno farà come la De Filippi, punta sul lato più becero della napoletanità fatto di lusso a debito che poi si sposa con il mondo degli influencer e della moda. Conferma anche di sapersi nascondere bene dietro l’equazione “è seguito, quindi può anche essere pericoloso e di scarsa qualità, ma è forte

Che poi è il modello che i genitori evitano di caldeggiare per i propri figli, ma puntualmente vengono smentiti da social e tv. E la risposta è “il ragazzo fa numeri”.

Tra l’altro, il monologo in napoletano dell’anno scorso al festival ha anticipato la sua presenza ed era davvero pessimo, tanto da farmi prendere le distanze da un mio compaesano.

Questa non è Napoli e soprattutto non è l’evoluzione della napoletanità da tramandare alle nuove generazioni.

Perchè qui non si discute Geolier l’artista, che merita di fare il suo percorso e di vincere Sanremo, ma di Geolier che parla a nome dei napoletani. Ognuno si sceglie gli ambasciatori che merita, di certo non è una casa di moda o un affarista come Amadeus che decidono chi debba rappresentare un’intera città.

 

Prosegui la lettura

Editoriali

Giovanna Pedretti: tra giornalismo, fiction e debunking a chiamata

Pubblicato

in data

giovanna pedretti
Tempo di lettura: < 1 minuto.

Dinanzi la morte c’è bisogno di rispetto. Troppo presto per parlare in modo definitivo della storia di Giovanna Pedretti che si è tolta la vita nel giorno in cui c’era più di un dubbio sulla veridicità della recensione che aveva portato alla ribalta lei e la sua pizzeria dopo aver difeso disabili e gay.

C’è però da dire che spesso leggiamo sui social frasi “mitologiche”, pensieri storici (che spesso vengono attribuiti ad altri personaggi) oppure storie di pura enfatizzazione di eventi create dal nulla.

Tutto questo va contro la verità fattuale, quella che i giornalisti dovrebbero conoscere, ma preferiscono passarla in secondo piano quando si tratta di fare clamore e conversioni.

Se la magistratura scoprirà che la notizia della recensione è falsa, cosa penserete?

Che Giovanna si è tolta la vita per colpa di una bugia o di una verità?

E la colpa di chi sarà?

Di chi ha accertato la verità … oppure di chi ha cercato clamore con una bugia?

Prosegui la lettura

Facebook

CYBERSECURITY

Notizie24 ore fa

Risolta vulnerabilità zero-day kernel di Windows sfruttata da Lazarus

Tempo di lettura: < 1 minuto. Risolta vulnerabilità Kernel Windows sfruttata dall'APT nordcoreano Lazarus come zero-day: aggiornare per sicurezza.

Notizie2 giorni fa

Kaspersky, vulnerabilità negli Smart Toy, rischi per bambini. Ecco cosa fare

Tempo di lettura: 2 minuti. Kaspersky denuncia una vulnerabilità in uno dei tanti smart toy a disposizione dei bambini, aprendo...

Notizie3 giorni fa

Il Dipartimento dell’Interno USA hackera i propri sistemi Cloud

Tempo di lettura: 2 minuti. Un organo di controllo del governo USA hackera i sistemi cloud del Dipartimento dell'Interno in...

Notizie4 giorni fa

Nuova Minaccia Cyber in Europa: SPIKEDWINE e il Backdoor WINELOADER

Tempo di lettura: 2 minuti. SPIKEDWINE lancia attacchi cyber in Europa con il backdoor WINELOADER, mirando a funzionari con legami...

CISA CISA
Notizie4 giorni fa

CISA nuovi avvisi ICS e linee per la formazione nella cybersecurity

Tempo di lettura: < 1 minuto. CISA emana avvisi per la sicurezza dei sistemi di controllo industriale e lancia una...

mata malware mata malware
Notizie5 giorni fa

Malware TimbreStealer si diffonde tramite truffe phishing

Tempo di lettura: 2 minuti. TimbreStealer, un nuovo malware, si diffonde tramite truffe phishing legate al tema delle tasse, prendendo...

Notizie6 giorni fa

Nuova minaccia nel Cyberspazio: steganografia e Remcos RAT

Tempo di lettura: 2 minuti. UAC-0184' utilizza steganografia per diffondere RAT Remcos, ampliando i bersagli a entità extra-ucraine

Ultimate Member Wordpress Ultimate Member Wordpress
Notizie6 giorni fa

Ultimate Member: vulnerabilità critica SQL in Plugin WordPress – AGGIORNARE SUBITO

Tempo di lettura: 2 minuti. Scoperta vulnerabilità critica SQLi in plugin WordPress 'Ultimate Member', minacciando oltre 200.000 siti. Aggiornamento urgente...

FCKeditor FCKeditor
Notizie6 giorni fa

Hacker sfruttano CMS FCKeditor vecchio di 14 Anni per “avvelenamento” SEO su siti governativi e educativi

Tempo di lettura: 2 minuti. Gli hacker stanno sfruttando FCKeditor, un editor CMS obsoleto, per compromettere siti governativi ed educativi...

Notizie7 giorni fa

Tutto ciò che devi sapere sulla Direttiva NIS2 e quali obblighi prevede

Tempo di lettura: 2 minuti. Scopri come adeguarsi ai nuovi obblighi di cybersicurezza introdotti dalla Direttiva NIS2 dell'UE contro le...

Truffe recenti

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste2 settimane fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia2 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie3 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie4 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie4 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie5 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie5 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie5 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online5 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Notizie5 mesi fa

Nuovo avviso della Polizia Postale: attenzione allo “Spoofing telefonico”

Tempo di lettura: 2 minuti. Attenzione ai tentativi di truffa tramite "Spoofing telefonico": la Polizia Postale avvisa e fornisce consigli...

Tendenza