Lo dichiara Microsoft: World è vulnerabile.

Parte tutto dal codice sviluppato per i file RTF, è qui in fatto che è stata rilevata un bug attraverso il quale si possono fare non pochi danni.

Tanto ciò detto la società Microsoft ha pubblicato il Security Advisory 2953095 su una nuova vulnerabilità scoperta in Word, un bug non da poco visto che riesce a colpire anche da remoto quando si aprono questi file con estensione RTF "degradati".

In molti potrebbero pensare che questa vulnerabilità non è particolarmente dannosa in quanto si tratta di file il cui utilizzo è in forte decrescita nel tempo, ma occorre fare una riflessione molte volte si leggono mail con grazie all'apporto specifico dell'engine di word 2010.

Diamo a Cesare quel che è di Cesare per cui ringraziamo il "security team" di Google, che per primo ha individuato e reso pubblico questo Bug. Ma sempre nell'ottica di dare a Cesare quel che è di Cesare rileviamo con preoccupazione che anche stavolte, ed ormai troppo spesso, la casa madre di questi software Microsoft arriva dopo e solo dopo una denuncia specifica.

In tutto questo Microsoft, si limita a consigliare di applicare il fix in grado di disabilitare l'apertura dei file .RTF.

E mentre Microsoft studia adottiamo du e regole molto semplici

• Disabilitare l'apertura dei file RTF in Microsoft Word
• Leggere le email in formato testo normale.

Di seguito come gestire l'apertura dei file con outlook testo prelevato dalla pagina ufficiale microsoft per office

Lettura dei messaggi in formato testo normale

È possibile disattivare la formattazione, le immagini e i collegamenti per tutti i messaggi che vengono aperti in Microsoft Outlook 2013.

1. Fare clic sulla scheda File.
2. Fare clic su Opzioni.
3. Fare clic su Centro protezione e quindi su Impostazioni Centro protezione.
4. Fare clic su Sicurezza posta elettronica.
5. In Visualizzazione come testo normale selezionare la casella di controllo Visualizza tutti i messaggi standard in formato testo normale.

Per includere i messaggi con firma digitale, selezionare la casella di controllo Visualizza tutti i messaggi con firma digitale in formato testo normale.

 NOTA    Se si desidera visualizzare il messaggio di testo normale nel formato originale, fare clic sulla barra informazioni e scegliere Visualizza in formato HTML o Visualizza in formato RTF.

Sintesi della metodologia d'impatto per il riordino dei siti istituzionali

Di seguito un breve estratto della metodologia per lo studio di conformità dei siti.

La metodologia nasce per le P.A. centrali e/o locali, ma è indubbia la sua utilità anche nel privato e soprattutto per quei privati che sviluppano la propria attività anche e con operazioni di marketing. La metodologia consta di tre fasi procedurali che non bloccano mai l’operatività del sito/portale e che al termine di ogni fase apporta subito le eventuali modifiche riscontrate e concordate.

Prima fase – Studio e formalizzazione di eventuali carenze amministrative e tecniche

In questa fase vi è uno studio del sito e della sua rispondenza ai parametri di:

principi dell’amministrazione digitale

accessibilità

trasparenza e verifica della partecipazione del cittadino

Adeguamento alla Privacy

Valutazione dei requisiti di sicurezza adottati

Qualità del web

Qualità della comunicazione

Rispondenza all’eventuale normativa regionale oltre che ai dettami nazionali.

Seconda fase – verifica dei contenuti del/i siti ed eventuale razionalizzazione degli stessi

In questa fase si provvede a verificare i contenuti dei siti ed a verificare se ci sono altri siti istituzionali che gestiscono gli stessi contenuti, questo anche al fine di eliminare ridondanze sia in termini di contenuti scritti sia in termini di url che gestiscono lo stesso sapere.

Le attività primarie in questa fase sono riconducibili a:

censimento dei contenuti

verifica della qualità espositiva sul sito

verifica di ridondanze di contenuti e di siti

Verifica delle regole per la gestione dei contenuti

Questa fase termina oltre che come presumibile con un riordino di quanto prima esposto, con la consegna all’ente di un manuale per la gestione dei contenuti letterari nei vari siti di appartenenza.

Terza fase – Aggiornamento dei contenuti, della piattaforma e verifica costante visibilità

In questa fase conclusiva si progettano le regole per la determinazione della vita del sito in modo che con il passare del tempo non diventi obsoleto e non si discosti dalle regole e dai dettami legislativi e tecnici.

Le attività sostanziali di questa fase rientrano nella:

Gestione ed aggiornamenti dei contenuti

Modi

Regole

Tempistica

Verifica in linea della visibilità

Criteri e regole per la determinazione di tale passaggio

Come si costruisce un servizio on line

Come si accede ad un servizio on line

Verifica con l’utenza della qualità del servizio.

L’accessibilità dei siti web e la legge italiana

Forse non tutti sanno che nel lontano 2004 il nostro legislatore in un momento di lucidità ha stabilito che l’accesibilità dei siti web sia un parametro obbligatorio per i siti istituzionali.

Il tutto a seguito alla pubblicazione della Legge 9 gennaio 2004, n. 4 “Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici”.

Con il termine “accessibilità” si intende (significato estratto da wikipedia) “la capacità di un dispositivo, di un servizio o di una risorsa d’essere fruibile con facilità da una qualsiasi categoria d’utente”, calato nella nostra realtà informatica e soprattutto per i siti internet quanto detto significa che gli stessi devono essere sviluppati secondo le regole (adottate in un documento detto linee guida) internazionali.

Stranamente in Italia queste linee guida sono state addirittura ampliate e ciò non può farci che piacere.

Realizzare un sito accessibile è sicuramente un obbligo (inutile dire poco rispettato) all’interno degli enti pubblici, ma dovrebbe essere cosa buone e giusta rendere tali anche tanti siti privati, che a tutti gli effetti rivestono carattere di pubblico servizio visto i servizi che erogano, sto pensando alle banche alle assicurazioni ecc..

Purtroppo ad oggi realizzare un sito internet accessibile non è cosa da poco anche perché le università non si prodigano molto su tali linee. Se si sviluppa attraverso CMS anche open source come Drupal o Joomla si possono già in partenza scegliere dei template adatti alle caratteristiche W3C, diversamente occorre sicuramente rivolgersi ad un esperto della tematica, perché occorrono competenze specifiche riguardo all’architettura delle informazioni e per quanto riguarda il codice che deve superare non pochi test per essere veramente dichiarato accessibile.

Come già detto precedentemente, ed in altri articoli, in Italia i siti delle pubbliche amministrazioni e comunque i siti istituzionali rappresentano un panorama sconcertante rispetto alle leggi in materia ma in modo particolare rispetto alle regole sull’accessibilità.

Non ci dilunghiamo sulle architetture sviluppate partendo da zero, ci dedicheremo invece ai CMS. Un CMS è un applicativo software installato sul server dove viene installato il sito internet e che permette a più utenti, di gestire i contenuti del sito senza dover conoscere le regole della programmazione web.

Concentriamoci sui vantaggi che  un CMS mette a disposizione degli sviluppatori prima e degli amministratori poi che non sono pochi:

• E’ sempre prevista la gestione multi utente.
• Ogni utente ha la sua profilazione che permette accessi sicuri e personalizzati.
• Permette di gestire in modo separo la grafica dai contenuti.
• Semplice gestione dei menu e dei contenuti che possono essere inseriti e aggiornati da remoto tramite un normale browser web (per esempio Firefox o Internet Explorer).
• Risparmio nei costi di gestione.
• Esistenza di moduli aggiuntivi per funzionalità del sito (calendari, newsletter, campi di ricerca, sondaggi, ...).

Tutto quanto appena detto è conforme con le regole del W3C, si tenga però presente che i CMS sono europei e validi quindi per tutti i paesi, in Italia invece le regole sono più restrittive e quindi a volte non basta per essere compliance con le regole scegliere un template qualsiasi.

Sui requisiti dell’accessibilità si tenga presente che siamo in presenza di una legislazione in movimento, tanto che ex-digitpa il 26 marzo 2013 ha pubblicato ulteriori modifiche alle regole firmate dal Ministro Profumo.

Nel caso specifico I nuovi requisiti, validano quanto dichiarato in materia di accessibilità a livello internazionale. I requisiti sono stati ridotti, passando da 22 a 12, allineando l’Italia alle linee guida WCAG 2.0 redatte dal World Wide Web Consortium (W3C) nell’ambito del Web Accesibility Initiative (WAI).

In sostanza i metodi per la verifica tecnica diventano meno stringenti sotto l’aspetto della conformità del codice per la produzione di pagine web e adeguati alle nuove tecnologie per l’aggiornamento e la realizzazione dei siti delle PA.

Tra i progetti che vedono cms accessibili secondo la normativa italia vi è sicuramente Joomla Fap  di cui vi riportiamo alcuni parametri.

SCOPO DEL PROGETTO

Rendere conforme alla legge "Stanca" il FE di Joomla 2.5 e successive

CONTENUTO DEL PROGETTO

• un template conforme
• un componente per le accesskey
• un plugin per correzioni varie

E’ importante segnalare che Joomla mette a disposizioni molto materiale, in italiano, per quanto attiene allo sviluppo di siti web con questa tecnologia.

Privacy e rapporti con gli USA

Probabilmente sull'onda, ormai passata, del Datagate ma l'europa comincia a gestire la privacy dei propri cittadini nei confronti dei colossi USA

Più che un articolo un piccolo resoconto da approfondire sulle decisioni prese, lo trovate sul sito del'associazione nazionale difesa della privacy.

http://www.andip.it/index.php/34-articoli-dal-web/60-parlamento-europeo-e-rapporti-con-gli-usa

Dal dato singolo, all'informazione riservata. Privacy: un bel problema per le banche.

La banche avevano trenta mesi, ormai ne rimangono poco più di 3, per organizzarsi tecnicamente e trovare e mettere in piedi una soluzione tecnologica che abbia come scopo tutelare i propri clienti rispetto al trattamento illegittimo dei dati personali.

Mai come in questo momento, in un settore specifico come quello bancario nasce e si fa sentire sempre più importante la problematica alla protezione dei dati ma anche e soprattutto la protezione dei dati visti nella loro riservatezza.

E ciò sta portando alla luce non poche attività relative a controversie in questo settore, controversie civili, ma molto spesso gli utenti anche allo scopo di essere più veloci nel giudizio, portano i procedimenti denuncia direttamente davanti all’autorità del Garante.

Da tempo portiamo avanti una campagna di sensibilizzazione sui termini della privacy e da tempo insistiamo che a volte, anzi spesso, un insieme di dati anche non sottoposti a tutela diventano riservati se l’uso finale che ne viene fatto non è conforme alle norme.

Nello specifico è proprio quello che sta succedendo alle banche che da un lato, per numero non indifferente, vede i propri lavoratori comunicare spesso a titolo di favore la situazione creditizia, la presenza di mutui o quant’altro a solo titolo di favore, dall’altro l’istituto fa un uso spropositato e scorretto dei dati derivanti da altre banche dati come ad esempio “la centrale rischi”.

Il Garante per la tutela del trattamento dei dati personali, si è visto costretto ad intervenire rispetto alle cattive pratiche degli istituti e nel particolare, con provvedimento del maggio 2011 ha introdotto l’obbligo a carico di tutti gli istituti bancari di tracciare e conservare le attività sui dati da parte del proprio personale preposto dettando l’obbligo di conservare e tracciare le attività sui dati, anche in termine di sola lettura.

Attenzione il provvedimento riveste una importanza considerevole sia perché tocca una delle caste di maggior potere ma anche e soprattutto perché con esso cessa la discrezionalità che fino ad ieri veniva riconosciuta agli istituti nel merito di queste specifiche operazioni per assolvere alle disposizioni di vigilanza per le banche in materia di conformità alle norme adottate con data del 10 Luglio 2007 dalla Banca d’Italia.

Un ulteriore aspetto importante di questo provvedimento è che mette fine alla interpretazione delle attività di sicurezza rispetto alla gestione delle semplici visualizzazioni, tecnicamente inquiry, rispetto ai dati del cliente. Si è infatti sancito in via definitiva che le banche devono aggiungere al log nel quale gestiscono le operazioni “nette”, per capirci quelle che a vario titolo modificano qualcosa sul conto del cliente anche tutti quei log di tracciatura inerenti la semplice richiesta di informazione sullo status del cliente.

Ma nello specifico vediamo cosa deve essere conservato e tracciato sul log (quindi tecnicamente come deve essere aggiornato il SIEM), che si riempirà dei seguenti valori

• Codice identificativo dell’incaricato che ha effettuato l’operazione di accesso ai dati
• Data e ora dell’operazione
• Identificativo della postazione di lavoro utilizzata
• Dati adeguati per il riconoscimento del cliente (NDG)
• Tipologia del rapporto contrattuale (c/c Mutuo, fido, …) del cliente a cui si riferisce l’operazione

Il tutto è previsto che sia mantenuto in conservazione per un periodo non inferiore ai 24 mesi e il Titolare ha l’obbligo di una ispezione all’anno con lo scopo di verificare la corrispondenza delle misure organizzative da un alto e tecniche dall’altro.

Interessante poi a livello di sicurezza informatica è poi l’introduzione, attraverso sistemi di allert, della filosofia di Data  Anomaly Detection, che nello specifico obbliga le banche a monitorare in modo preventivo e quindi eventualmente procedere alla segnalazione, di eventuali comportamenti strani come potrebbero essere gli accessi ripetuti a singolo clienti o fasce di clienti, da parte del proprio personale. Con questa attività di monitoring e di allert la banca e per essa il titolare del trattamento si rende conto in anticipo se ci sono accessi sospetti ai dati o quanto meno non giustificati.

Poco spazio a dubbi ed interpretazioni quindi e gli istituti bancari so sono ritrovati con nuove e più stringenti misure di sicurezze che prevedono per il caso di mancato rispetto sanzioni che possono arrivare fino a 180.000,00 euro a carico del titolare del trattamento 

OpenID Connect Standard. Riparte il cloud?

Che il mondo cloud, da sempre, non decolli anche a causa delle non chiare tecnologie e responsabilità che vi girano attorno è ormai una affermazione riconosciuta da tutti.

Ed è su queste affermazioni che prende forma e sostanza OpenID Connect Standar un protocollo per garantire una gestione trasparente e sicura delle autenticazioni sia agli utenti che alle aziende e ai siti interessati ad adottare la nuova tecnologia.

Il tutto è opera della OpenID Foundation che ha annunciato la nascita di questo standard che ha come scopo quello di classificare, mettere insieme e gestire le connessioni autenticate esistenti sul web.

Purtroppo, dietro questa idea si è subito mosso il mercato e quindi invece di fare dello standard un punto di partenza, altre aziende si stanno muovendo per creare il loro standard sulle autenticazioni, ed è quindi prevedibile che sarà il caos, anche perché alcune delle filosofie messe in campo sono anche in “guerra” fra di loro.

Sia ben chiaro per noi, intesi come utenti, è necessario e basilare per la sicurezza che nasca uno standard sicuro chi poi ne abbia i diritti di sfruttamento ci interessa poco ed è una bega che lasciamo volentieri agli altri.

Ma nel concreto di cosa stiamo parlando?

Parliamo di protocolli sicuri come OAuth 2.0 and TLS , che nello specifico permetterebbe ai siti web, che vogliono gestire una rea sicura di fare un vero e proprio outsourcing delle procedure di autenticazione utente a Identity Provider (IP) selezionati.

Questa regola, se vogliamo anche semplice, mira a garantire la connessione tra sito web/azienda e utente andando oltre il processo di autenticazione.

OpenID Connect ha lo scopo di fornire un modo semplice e standard per esporre ed esternalizzare il sito effettuando il login nell'applicazione di quegli operatori che investono in infrastrutture di autenticazione e di sicurezza e che hanno le competenze specialistiche necessarie per gestire in modo sicuro sign-in e individuare gli abusi.

Naturalmente per dare un giudizio ultimo dobbiamo aspettare di conoscere bene l’architettura di tale organizzazione, ma già il fatto che il mercato lo chieda e sembra aspetti questo standard con entusiasmo è sicuramente un primo passo soprattutto verso quelle piattaforma cloud che a fronte di investimenti, anche considerevoli, non riescono a decollare.

Prima tutti a parlare di whatsapp, adesso tutti a discutere dei limiti legali di whatsapp.

C'è voluta l'acquisizione di whtasapp da parte di facebook per portare questo strumento di messaggistica all'attenzione delle persone e verificarne i limiti legali.

Del resto un acquisizione milionaria (in dollari) come questa deve per forza poggiarsi su un business di mercato molto alto e con possibilità di sviluppo ancor maggiori, è inutile nascondersi dietro un dito oggi tutti sul mercato vogliono approdare con piattaforma esistenti o nuove sulle strutture di instant messaging e chiamate a basso costo.

Oggi però, in virtù del risalto mediatico dato all'acquisizione della maggiore piattaforma in tal senso, anche l'Unione Europea, si interessa alla cosa, noi diremmo finalmente si rende conto che su quel mercat c'erà la giungla, e anticipa nuove e più serie indagini per valutare le conseguenze dell'operazione sulla privacy.

Purtroppo adesso si va verso una nuova deriva legislativa che potrebbe apportare più danni della cura, infatti non essendo ancora entrato in vigore il regolamento europeo della privacy che dovrebbe uniformare almeno le linee guida in materia, paradossalmente tutti gli attuali 28 responsabili della protezione dei dati (europei) potrebbe aprire la sua indagine individuale.

Parliamoci chiaro meglio cosi che niente anche perchè qui si parla di basi di dati con numeri di telefono mail e quant'altro forse tra le più grandi al mondo.

Questa acquisizione ci da la possibilità di parlare della maggiore piattaforma di IM, ma ricordiamoci che non è l'unica e soprattutto questa tecnologia aumenterà con numeri significativi. Per il momento oltre a whatsapp la più famosa è Hangouts di google.

Adesso questa piattaforma si apre e si rivolge anche alla telefonia vera e propria e questa nuova impresa apre nuove frontiere legali, in alcuni casi completamente nuove.

Che qualcosa stia succedendo su questa piattaforma lo abbiamo potuto constatare nei giorni immediatamente successivi all'acquisizione di whatsapp da parte di facebook, infatti gli utenti hanno dovuto sopportare due giorni di blocco quasi totali, accompagnati già da messaggi deliranti che invitavano a mandare ulteriori messaggi alla rete per verificare i nuovi server.

Per il momento la politica di privacy di facebook come di whatsapp sono una falla inimmaginabile adesso speriamo che il garante, anzi i garanti si muovano nel gestire il tutto, per il momento ricordiamo a tutti che in Italia si sottosta al D.lgs 196/2003.