tag:blogger.com,1999:blog-80531686791936574502024-03-13T12:01:39.080+01:00The Puchi HeraldFrom: thepuchiherald.comThe Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.comBlogger662125tag:blogger.com,1999:blog-8053168679193657450.post-44587342395478883912024-02-08T14:00:00.000+01:002024-02-13T11:40:13.602+01:00Garante & email: se 7 giorni vi sembran pochi<p class="">Non ce la posso farcela!</p><p class="">Ho appena finito di “elogiare” l’AGICOM per l’ennesima implementazione a mentula canis del “piracy shield de no artri”, che mi trovo a dover confrontarmi con la ennesima trovata italica, questa volta del GPDP.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="802" height="151" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image-2.png?resize=802%2C151&ssl=1" alt="" class="wp-image-131054" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image-2.png?w=802&ssl=1 802w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image-2.png?resize=300%2C56&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image-2.png?resize=768%2C145&ssl=1 768w" sizes="(max-width: 802px) 100vw, 802px" data-recalc-dims="1" /></figure><h2 class="wp-block-heading"><a href="https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9978728" data-type="link" data-id="https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9978728" target="_blank" rel="noreferrer noopener">Provvedimento del 21 dicembre 2023 – Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” [9978728]</a></h2><p class="">Intendiamoci io capisco che occorra imporre delle limitazioni per legge sull’uso distorto e non autorizzato di dati, e che queste non necessariamente siano coerenti con gli sviluppi tecnologici, ma ogni tanto metterci un po di cervello non guasterebbe. Qui il riferimento più che al garante va ai DPO e responsabili aziendali che, per mettersi in una “posizione sicura” interpretano certi indirizzi in maniera rigida e decontestualizzata.</p><p class="">Allora vediamo di cosa si tratta questa volta:</p><p class="">A seguito di alcune sentenze, e alle considerazioni che già il garante aveva espresso in passato, il garante stesso si è posto il problema dei cosiddetti “metadati” della posta elettronica. </p><h2 class="wp-block-heading">I metadati</h2><p class="">I metadati sono, fondamentalmente, tutto quello che concerne la descrizione di un messaggio di posta elettronica, fatta eccezione dei contenuti. Vengono ricavati durante la transazione SMTP (il protocollo che serve al trasferimento dei messaggi della posta elettronica), le intestazioni tecniche del messaggio di posta elettronica stesso (fate riferimento ai miei Email files per capirne di più), e i log dei nodi attraverso cui passa il messaggio fino al raggiungimento (o meno) della casella di posta dell’utente.</p><p class="">Questi dati, se non gestiti correttamente ed usati in maniera non legale, possono dare adito a processi che violano la riservatezza di mittente e destinatario, e possono consentire un monitoraggio non legittimo, ad esempio, delle attività dei lavoratori ai sensi dello statuto dei lavoratori.</p><p class="">I metadati quindi possono e devono essere oggetto di attenta considerazione.</p><h2 class="wp-block-heading">Ma</h2><blockquote class="wp-block-quote"><pre class="wp-block-verse">Ma, ettepareva, c'è un ma.</pre><cite>io me</cite></blockquote><p class="">I metadati sono anche fondamentali per il funzionamento delle soluzioni che gestiscono la posta, e tra queste esigenze vi è una roba che, sempre per esigenze anche delle normicciuole sulla protezione dei dati, si chiama sicurezza.</p><p class="">Esiste quindi un esigenza di capire quanti metadati vanno tenuti per preservare le esigenze di riservatezza verso quanti servano per il corretto funzionamento dei sistemi.</p><figure class="wp-block-pullquote"><blockquote><p>Il garante ci da una prima risposta: 7 giorni</p><cite>il garante</cite></blockquote></figure><p class="">Infatti, il Garante ha analizzato (in precedenti provvedimenti) quale fosse il tempo di conservazione dei metadati compatibile con l’attività di raccolta e conservazione degli stessi metadati necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica e che rispettasse il principio di accountability e il comma 2 dell’art. 4 dello Statuto dei Lavoratori. La conclusione del Garante è stata – appunto – in poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore.</p><p class="">Sarei curioso di capire quale sia la componente “tecnica” sottesa a tale valutazione. e metto le virgolette a ragion veduta.</p><p class="">Limitarsi a 7 giorni di metadati è, di per se, una stupidata galattica. Non me ne voglia il garante ed i suoi illuminati esperti, ma evidentemente non hanno mai avuto a che fare con la posta elettronica sia dal punto di vista gestionale che tecnico, e si vede.</p><p class="">Sono pronto a discutere della cosa con qualsiasi “esperto” che ritenga che i 7 giorni siano piu che sufficienti.</p><p class="">Vi sono ottime ragioni per considerare tale finestra temporale inadatta, facciamo qualche esempio:</p><ul class=""><li class="">Cosa succede se occorre fare ricerca di un messaggio, si pensi ad esempio a problematiche legali in cui le email possano essere oggetto della contesa, risalente a problemi anteriori ai 7 (+2) giorni?</li><li class="">Cosa succede se occorre fare troubleshooting di problematiche che si protraggono nel tempo e che richiedono, ad esempio, l’analisi di log di server e MTA?</li><li class="">Cosa succede se occorrono informazioni per monitorare i livelli di sicurezza del sistema?</li><li class="">Cosa succede se per motivi di sicurezza si cerca di capire quale sia la esposizione al rischio degli utenti in funzione delle metriche di attacco che avvengono sulla posta medesima?</li></ul><p class="">Potrei continuare, ma sono sicuro che i più (voglio essere positivo) hanno capito la problematica.</p><p class="">Ma siccome sono duro di comprendonio mi chiedo:</p><pre class="wp-block-verse">Tali metadati hanno esigenze di vita diverse se si parla di un Mail Server o di un security gateway? </pre><p class="">Le due cose solo marginalmente coincidono (la condivisione, ad esempio, del protocollo SMTP e la modifica degli Header di posta)</p><p class="">Alcuni dei metadati citati sono, quantomeno, da meglio definire ad esempio:</p><p class="">Cosa si intende per mittente? il campo “<em>from: </em>” nella intestazione tecnica o il campo “<em>from: </em>” in quella visibile? </p><figure class="wp-block-pullquote"><blockquote><p>No signor tenente non coincidono.</p></blockquote></figure><p class="">e l’ip mittente si intende quello dell’ultimo HoP o quello indicato come iniziale?</p><p class="">E cosi il dominio di provenienza (HELO/EHLO) quale è?</p><p class="">Ovviamente se fossi un pessimo soggetto potrei ricordare che l’alterazione, o la costruzione malevola, di questi metadati è alla base di diversi attacchi perpetrati attraverso la posta elettronica, e siccome sono, fondamentalmente, un pessimo soggetto lo ricordo</p><blockquote class="wp-block-quote"><p class="">I metadati della posta elettronica sono spesso modificati ed alterati da attori malevoli al fine di perpetrare attacchi attraverso tale canale di comunicazione </p><cite>un cattivo soggetto</cite></blockquote><p class="">La conseguenza di questo piccolo punto è, quindi, che il monitoraggio di questi elementi è fondamentale per questioni di gestione della posta, troubleshooting di problematiche e analisi di sicurezza. Pensare che tali esigenze possano essere ricondotte a un 7+2 giorni significa non avere la benchè minima ne pallida idea della realtà tecnica e delle esigenze di sicurezza.</p><h2 class="wp-block-heading">E quindi?</h2><p class="">Li vedo i puristi della “privacy” già si ergono: </p><blockquote class="wp-block-quote"><p class="">le questioni tecniche non devono prevalere sui legittimi diritti e protezione delle lavoratrici e dei lavoratori</p><cite>i DPO duri e puri del GDPR e gli avvocati indefessi dello statuto dei lavoratori</cite></blockquote><p class="">In realtà il garante ha un problema: far si che i metadati siano usati in maniera<strong> legittima e consapevole</strong> da parte dei soggetti.</p><p class="">Il garante stesso da la soluzione al di la della delirante richiesta dei 7+2 giorni: </p><p class="">I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (<strong><em>in particolare, per la sicurezza dei sistemi</em></strong>) avessero necessità di trattare i metadati per un periodo di tempo più esteso (<strong><em>quindi tutti salvo rarissime eccezioni quali gli esperti del garante</em></strong>), dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). </p><p class="">L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore ma non per il metadato in se, ma per l’uso illecito effettuato di dali dati.</p><p class="">Del resto se vogliamo estendere la vexata quaestio al piu generico mondo della posta elettronica, compreso, quindi, il messaggio intero, potremmo per estensione pensare di chiederci se è possibile tenere nella casella di posta dell’utente un messaggio per piu di 7+2 giorni. </p><p class="">Attenzione che in pancia a quel mail-server le informazioni sono, almeno negli assunti indicati dal garante per indicare il metadato, tutti presenti. </p><p class="">La eliminazione, quindi, dei metadati comporterebbe la necessaria eliminazione dei messaggi archiviati nel server nella casella dell’utente. </p><p class="">Certo possiamo fargli creare archivi locali, ma questa non è certo una soluzione che si accompagni alla sicurezza (e se volete ne possiamo parlare).</p><blockquote class="wp-block-quote"><p class="">Spieghi il garante allora agli utenti il razionale di tale vincolo e limitazione 🙂</p></blockquote><p class="">Insomma ad essere chiari le finalità primarie per tenere i metadati per oltre 7+2 giorni, ovviamente, restano troubleshooting di problemi e la sicurezza informatica e i necessari accertamenti da fare a seguito di data breach o comunque incidente sulla sicurezza informatica. Elementi più che validi per ritenere che le indicazioni date siano non sufficienti ne adatte al mantenimento e gestione dei sistemi di posta elettronica.</p><p class="">Ma, occorre dire, il garante stesso non indica un vincolo assoluto nei 7 giorni, ma richiede che retention più lunghe siano poste in essere con la garanzia del rispetto delle tutele previste dal GDPR e dallo statuto dei lavoratori.</p><p class="">Non provateci a dire che non ve lo avevo detto.</p><p class=""></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-57092434283847742992024-02-07T17:51:00.000+01:002024-02-13T11:40:13.797+01:00Ciao ciao AirVPN, grazie Piracy Shield<p class="">Friday rant del mercoledì:<br /><a href="https://www.linkedin.com/feed/hashtag/?keywords=fridayrant&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A7160999141181906944">#</a><a href="https://www.linkedin.com/feed/hashtag/?keywords=fridayrant&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A7160999141181906944" target="_blank" rel="noreferrer noopener">fridayrant</a> <a href="https://www.linkedin.com/feed/hashtag/?keywords=quellidelfascicolop&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A7160999141181906944">#quellidelfascicolop</a> <a href="https://www.linkedin.com/feed/hashtag/?keywords=quellascemenzadellasera&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A7160999141181906944">#quellascemenzadellasera</a><br /><br />io comprendo la esigenza di bloccare la pirateria dei contenuti legittimamente offerti dalle piattaforme che li hanno acquistati, ma talvolta la cura proposta è semplicemente aberrante.<br /><br />Ogni riferimento al nostro Piracy Shield, creata dalla mai doma <a href="https://www.linkedin.com/feed/hashtag/?keywords=agicom&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A7160999141181906944">#AGICOM</a> (ica) è dovuto: l’ennesimo esempio di come implementare male una pessima idea.<br /><br />Non devo neanche scriverci, tutto è già stato scritto qui da <a href="https://www.linkedin.com/feed/hashtag/?keywords=airvpn&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A7160999141181906944"> #AirVPN</a> annunciando che lascia il mercato italiano.<br /><br />Il cosiddetto “Scudo Italiano Anti-Pirateria” è un quadro normativo con regolamento attuativo dell’AGCOM (Autorità Italiana per le Telecomunicazioni) che obbliga gli operatori che offrono servizi in Italia a bloccare l’accesso ai servizi finali attraverso il blocco IP e/o l’avvelenamento DNS. L’elenco degli indirizzi IP e dei nomi a dominio da bloccare viene stilato da organismi privati autorizzati dall’AGCOM (attualmente, ad esempio, Sky e DAZN). Questi enti privati inseriscono le blocking list in una piattaforma specifica. I blocchi devono essere imposti entro 30 minuti dalla loro prima comparsa da parte degli operatori che offrono qualsiasi servizio ai residenti in Italia.<br /><br />Non esiste alcun controllo giurisdizionale e nessun controllo da parte dell’AGCOM. Il blocco deve essere eseguito inaudita altera parte e senza possibilità di reale rifiuto, anche in caso di errore manifesto. L’eventuale opposizione della parte lesa potrà essere proposta solo in una fase successiva, dopo l’imposizione del blocco.<br /></p><blockquote class="wp-block-quote"><p class=""><a href="https://airvpn.org/forums/topic/57256-termination-of-service-in-italy/?do=findComment&comment=229098">Posted Last Monday at 6:45 PM</a></p><p class="">Hello!<br /><br /><strong>We regret to inform you that we will be discontinuing the service to residents of Italy as of February the 19th, 2024.</strong><br />From the above date, any user registering on the platform must declare that he/she is not a resident of Italy. The purchase page will have IP address-based geolocation and will not be served to IP addresses located in Italy. We will not interrupt the service to current subscribers until the natural expiry date and the refund policy will be granted as usual.<br /> </p><p class="">REASONS FOR DISCONTINUATION</p><p class="">The so-called “Italian Piracy Shield” is a legal framework with implementing regulation by AGCOM (Italian Telecommunications Authority) that forces operators offering services in Italy to block access to end services through IP blocking and/or DNS poisoning. The list of IP addresses and domain names to be blocked is drawn up by private bodies authorised by AGCOM (currently, for example, Sky and DAZN). These private bodies enter the blocking lists in a specific platform. The blocks must be enforced within 30 minutes of their first appearance by operators offering any service to residents of Italy.</p><p class="">There is no judicial review and no review by AGCOM. The block must be enforced inaudita altera parte and without the possibility of real time refusal, even in the case of manifest error. Any objection by the aggrieved party can only be made at a later stage, after the block has been imposed. For further details:<br /><a href="https://airvpn.org/external_link/?url=https%3A%2F%2Fwww-wired-it.translate.goog%2Farticle%2Fpiracy-shield-agcom-piattaforma-streaming-pirata-calcio-segnalazioni%2F%3F_x_tr_sl%3Dauto%26_x_tr_tl%3Den%26_x_tr_hl%3Den-US%26_x_tr_pto%3Dwapp" rel="noreferrer noopener" target="_blank">https://www-wired-it.translate.goog/article/piracy-shield-agcom-piattaforma-streaming-pirata-calcio-segnalazioni/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp</a></p><p class="">The above requirements are too burdensome for AirVPN, both economically and technically. They are also incompatible with AirVPN’s mission and would negatively impact service performance. They pave the way for widespread blockages in all areas of human activity and possible interference with fundamental rights (whether accidental or deliberate). Whereas in the past each individual blockade was carefully evaluated either by the judiciary or by the authorities, now any review is completely lost. The power of those private entities authorized to compile the block lists becomes enormous as the blocks are not verified by any third party and the authorized entities are not subject to any specific fine or statutory damage for errors or over-blocking.</p><p class="">By withdrawing service availability from Italy, AirVPN will be able to stay outside the scope of the framework and maintain integrity and efficient operations.</p><p class="">We certainly sympathise with our fellow Italian citizens, and we will be happy to offer advice and alternatives. We would also like to remind them of our more than ten years of support for the Tor network, which is freely accessible even from Italy, and which is becoming increasingly reliable and fast thanks to a myriad of small contributions like ours.</p><p class="">Kind regards and datalove<br />AirVPN Staff</p><cite>AirPN</cite></blockquote><p class="">Insomma neanche nato e piracy shield de no artri già miete successi.</p><p class="">Del resto cosa può andare male a fronte ti tanta genialità, abbiamo pure una safelist per evitare problemi.</p><ul class=""><li class="">certo uno potrebbe far notare che un IP può essere utilizzato da più di un servizio, e alcuni potrebbero essere assolutamente legittimi e quindi “bloccati” senza ragione</li></ul><ul class=""><li class="">uno potrebbe osservare che senza un monitoraggio attento il rischio di avere in blocklist ip importanti per un “errore” o per attività malevola non è nullo (immaginatevi di bloccare 8.8.8.8 o qualche nodo BGP importante)</li><li class="">Uno potrebbe discutere sulla liceità di blocchi che non consentano una contestuale ed immediata opposizione</li></ul><p class="">Ma perchè fermarsi di fronte a certe sciocchezze. La cosa certa che i successi arrivano e qui abbiamo la dimostrazione autoreferenziale indiscutibile ed indiscussa:</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="857" height="477" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image-1.png?resize=857%2C477&ssl=1" alt="" class="wp-image-131041" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image-1.png?w=857&ssl=1 857w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image-1.png?resize=300%2C167&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image-1.png?resize=768%2C427&ssl=1 768w" sizes="(max-width: 857px) 100vw, 857px" data-recalc-dims="1" /></figure><p class="">Che cosa significhi che hanno bloccato 65 DNS lo chiedo agli esperti 🙂</p><p class="">Per ulteriori indicazioni:</p><p class=""><a href="https://www.wired.it/article/piracy-shield-piattaforma-agcom-pezzotto-streaming-illegale/" target="_blank" rel="noreferrer noopener">https://www.wired.it/article/piracy-shield-piattaforma-agcom-pezzotto-streaming-illegale/</a> </p><p class=""><a href="https://www.wired.it/article/piracy-shield-agcom-piattaforma-streaming-pirata-calcio-segnalazioni/#due" target="_blank" rel="noreferrer noopener">https://www.wired.it/article/piracy-shield-agcom-piattaforma-streaming-pirata-calcio-segnalazioni/#due</a></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-56059104670020418252024-02-07T15:54:00.000+01:002024-02-13T11:40:13.924+01:00Grazie Alfredo<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="840" height="549" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image.png?resize=840%2C549&ssl=1" alt="" class="wp-image-131033" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image.png?w=840&ssl=1 840w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image.png?resize=300%2C196&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/02/image.png?resize=768%2C502&ssl=1 768w" sizes="(max-width: 840px) 100vw, 840px" data-recalc-dims="1" /></figure><p class="">mi si conceda un ricordo.</p><p class="">Oggi piango la morte di Alfredo Castelli. A lui devo ore di letture amene, non solo con Martin Mystère. Ma proprio al detective dell’impossibile devo una passione per la curiosità e lo “strano”.</p><p class="">Anche i fumetti, se ben fatti, sono letteratura, e possono aprire le strade alla voglia di imparare.</p><p class="">Il mio mondo oggi è un poco più triste.</p><p class="">Grazie Alfredo, buon viaggio</p><p class=""><a href="https://www.sergiobonelli.it/in-evidenza/2024/02/06/news/addio-ad-alfredo-castelli-1024248/">https://www.sergiobonelli.it/in-evidenza/2024/02/06/news/addio-ad-alfredo-castelli-1024248/</a></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-82635835681971693492024-01-31T22:54:00.000+01:002024-02-13T11:40:14.051+01:00Complottismo a la carte: la terra è un Toroide non un Geoide<blockquote class="wp-block-quote"><p class="">“Il miglior modo di combattere un complottista è presentare una teoria del complotto ancora più assurda”.</p><cite>Su n’ Zu </cite></blockquote><pre class="wp-block-verse">Il problema che incontro è che quelle che mi vengono sono più credibili delle loro.</pre><p class="">A seguito di un recente thread su X stimolato dai negazionisti dello sbarco sulla luna, tra cui alcuni terrapiattisti, ho deciso di fare chiarezza una volta per tutte sulla vera natura della forma del nostro pianeta. Ne è conseguito un thread su X che qui riporto per semplicità espositiva.</p><p class="">La teoria del “<a href="https://twitter.com/hashtag/Terraciambellismo?src=hashtag_click">#Terraciambellismo</a>” propone un concetto rivoluzionario della forma della Terra, ipotizzando che il nostro pianeta abbia la forma di una <a href="https://twitter.com/hashtag/ciambella?src=hashtag_click">#ciambella</a> (o <a href="https://twitter.com/hashtag/toroide?src=hashtag_click">#toroide</a>) con un foro centrale e confutando le balzane ed astruse idee della <a href="https://twitter.com/hashtag/terrapiatta?src=hashtag_click">#terrapiatta</a> o <a href="https://twitter.com/hashtag/terrasferica?src=hashtag_click">#terrasferica</a>. Queste ultime infatti mai sono state adatte a spiegare tutti i fenomeni che incontriamo nella esperienza mondana ma sono frutto di speculazioni non basate su solide basi scientifiche e oggetto di uso da parte dei poteri forti per ingannare le masse.</p><p class=""><a href="https://twitter.com/thepuchiherald/status/1752097241035080006/photo/1"></a></p><figure class="wp-block-image"><a href="https://twitter.com/thepuchiherald/status/1752097241035080006/photo/1"><img loading="lazy" decoding="async" width="900" height="900" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-3.jpeg?resize=900%2C900&ssl=1" alt="Immagine" class="wp-image-131030" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-3.jpeg?w=900&ssl=1 900w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-3.jpeg?resize=300%2C300&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-3.jpeg?resize=150%2C150&ssl=1 150w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-3.jpeg?resize=768%2C768&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-3.jpeg?resize=120%2C120&ssl=1 120w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /></a><figcaption class="wp-element-caption">La terra con il suo satellite</figcaption></figure><p class="">La <a href="https://twitter.com/hashtag/Terra?src=hashtag_click">#Terra</a> è in realtà un toroide, una forma geometrica simile a una ciambella. Questo implica l’esistenza di un grande foro circolare al centro del pianeta, che ha implicazioni uniche per la gravità, il clima, e la navigazione. La forma permette di spiegare tutti i fenomeni noti in maniera chiara ed inequivocabile, ivi comprese le misurazioni effettuate dai #terrapiattisti.<a href="https://twitter.com/thepuchiherald/status/1752097244516331565/photo/1"></a></p><figure class="wp-block-image"><a href="https://twitter.com/thepuchiherald/status/1752097244516331565/photo/1"><img loading="lazy" decoding="async" width="900" height="514" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-1.jpeg?resize=900%2C514&ssl=1" alt="Immagine" class="wp-image-131028" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-1.jpeg?w=900&ssl=1 900w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-1.jpeg?resize=300%2C171&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-1.jpeg?resize=768%2C439&ssl=1 768w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /></a><figcaption class="wp-element-caption">Giro giro tondo, casca il mondo, casca la terra, tutti giù per terra.</figcaption></figure><p class="">Il clima su una Terra a forma di ciambella varia notevolmente. Le regioni intorno al foro centrale ricevono meno luce solare, portando a un clima artico, mentre le aree esterne hanno climi più caldi e temperati. i flussi di aria legati ai differenti gradienti di temperatura della atmosfera trovano qui una chiara spiegazione, cosi come i fenomeni relativi quali venti, tempeste, uragani e via dicendo.</p><p class="">Dal punto di vista scientifico occorre analizzare cosa può avere portato alla formazione di un pianeta toroidale.</p><p class="">La Terra toroidale potrebbe essere il risultato di processi cosmici anomali. Ad esempio, durante la formazione del sistema solare, un evento come l’interazione con un campo gravitazionale anomalo o una collisione con un altro corpo celeste potrebbe aver distorto il pianeta.</p><p class="">O in un lontano passato, un campo magnetico estremamente potente potrebbe aver influenzato la materia in formazione della Terra, dando origine alla sua struttura toroidale. Questo potrebbe, per altro, giustificare il forte campo magnetico terrestre.</p><p class=""><a href="https://twitter.com/thepuchiherald/status/1752097253731262821/photo/1"></a></p><figure class="wp-block-image"><a href="https://twitter.com/thepuchiherald/status/1752097253731262821/photo/1"><img loading="lazy" decoding="async" width="900" height="514" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image.jpeg?resize=900%2C514&ssl=1" alt="Immagine" class="wp-image-131027" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image.jpeg?w=900&ssl=1 900w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image.jpeg?resize=300%2C171&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image.jpeg?resize=768%2C439&ssl=1 768w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /></a><figcaption class="wp-element-caption">La terra toroidale, col buco in mezzo, nel contesto del sistema solare. si osservi in basso la via birrea, di cui si intravede la bianca schiuma</figcaption></figure><p class="">Questo campo potrebbe aver modellato il nucleo fuso e la distribuzione delle masse terrestri durante la fase iniziale della formazione del pianeta rendendo la terra magneticamente attiva non come, ad esempio, Marte e Venere.</p><p class=""><a href="https://twitter.com/thepuchiherald/status/1752097256197484613/photo/1"></a></p><figure class="wp-block-image"><a href="https://twitter.com/thepuchiherald/status/1752097256197484613/photo/1"><img loading="lazy" decoding="async" width="900" height="514" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-2.jpeg?resize=900%2C514&ssl=1" alt="Immagine" class="wp-image-131029" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-2.jpeg?w=900&ssl=1 900w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-2.jpeg?resize=300%2C171&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/image-2.jpeg?resize=768%2C439&ssl=1 768w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /></a><figcaption class="wp-element-caption">Immagine della terra presa dalla superficie lunare dai rettiliani, nel centro visibile il riflesso della terra come appare alla stazione spaziale internazionale</figcaption></figure><p class="">Nei millenni, la struttura toroidale della Terra ha influenzato l’attività tettonica e vulcanica, portando alla formazione di catene montuose e vulcani. Questo ha avuto effetti sulle delle placche tettoniche e sulla formazione dei continenti non spiegabili dal <a href="https://twitter.com/hashtag/terrapiattismo?src=hashtag_click">#terrapiattismo</a> e poco credibili se consideriamo la terra un geoide quasi sferico.</p><p class="">Questa teoria, annunciata negli anni 60 dal grande astrofisico Andrej A. Stokazof, non ha trovato però spazio nei canali di comunicazione ufficiali a causa della riottosa stolidità degli astrofisici tradizionali restii a mettere in discussione le loro teorie balzane a seguito del lauti compensi che la NASA ed il NWO fornivano loro per simulare eventi quali l’atterraggio sulla luna.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="900" height="900" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/GExUQYgWcAAUP1t.jpeg?resize=900%2C900&ssl=1" alt="" class="wp-image-131024" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/GExUQYgWcAAUP1t.jpeg?w=1024&ssl=1 1024w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/GExUQYgWcAAUP1t.jpeg?resize=300%2C300&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/GExUQYgWcAAUP1t.jpeg?resize=150%2C150&ssl=1 150w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/GExUQYgWcAAUP1t.jpeg?resize=768%2C768&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2024/01/GExUQYgWcAAUP1t.jpeg?resize=120%2C120&ssl=1 120w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /><figcaption class="wp-element-caption">Foto originale scattata durante la preparazione dello “sbarco” sulla luna</figcaption></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-19787598648478287732023-12-21T15:37:00.000+01:002024-02-13T11:40:14.179+01:00Buone Feste, Happy Holidays<figure class="wp-block-image"><img decoding="async" src="https://media.licdn.com/dms/image/D4D12AQHS1jtULI5qgw/article-cover_image-shrink_423_752/0/1703166294287?e=1708560000&v=beta&t=Zhy-62kwS22CT9iZyxkAsS8q9760Fpd0tHiU116114s" alt=""/></figure><p class=""><a href="https://www.linkedin.com/in/antonioierano/"></a>Siamo prossimi al Natale!</p><p class="" id="ember35315"><em>We’re Close to #Christmas!</em></p><p class="" id="ember35316">Siamo tutti più buoni!</p><p class="" id="ember35317"><em>Everyone is good!</em></p><p class="" id="ember35318">Come tutti gli anni dovrei avvertirvi di non cadere in truffe, finte collette e cose del genere.</p><p class="" id="ember35319"><em>Like every year, I should warn you not to fall for scams, fake fundraising and things like that.</em></p><div class="wp-block-image"><figure class="aligncenter size-full"><img loading="lazy" decoding="async" width="300" height="168" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/xmas-scam-1-1.jpg?resize=300%2C168&ssl=1" alt="" class="wp-image-130941" data-recalc-dims="1"/></figure></div><p class="" id="ember35320">Ma quest’anno ho deciso di cambiare!</p><p class="" id="ember35321"><i>But this year, I decided to make a change!</i></p><p class="" id="ember35322">Per <strong>#Natale</strong> e <strong>#Capodanno</strong> basta cadere in <strong>#truffe</strong> da sconosciuti.</p><p class="" id="ember35323"><em>For #Christmas and #NewYear, stop falling for #scams from strangers.</em></p><p class="" id="ember35324">Basta <strong>#donare</strong> a persone che non avete mai sentito nominare con storie strappalacrime!</p><p class="" id="ember35325"><em>Stop #donating to people you’ve never heard of with sob stories!</em></p><p class="" id="ember35326">Basta <strong>#credere</strong> ad organizzazioni farlocche!</p><p class="" id="ember35327"><em>Stop #believing in fake organizations!</em></p><p class="" id="ember35328">Basta farvi <strong>#raggirare</strong> da gente ignota!</p><p class="" id="ember35329"><em>Stop letting yourself be fooled by unknown people!</em></p><p class="" id="ember35331">Quest’anno fatti raggirare da chi conosci!</p><p class="" id="ember35332"><em>This year let yourself be fooled by those you know!</em></p><p class="" id="ember35334">Fatti raggirare da me!</p><p class="" id="ember35335"><em>Let me fool you!</em></p><p class="" id="ember35337">Prometto che spenderò tutto per fini egoistici miei.</p><p class="" id="ember35338"><em>I promise that I will spend everything for my selfish ends.</em></p><p class="" id="ember35340">“Offerta libera” (<– giusto per la esigenza di non pagare tasse) minimo 30 euro</p><p class="" id="ember35341"><em>“Free offer” (<– just for the need not to pay taxes) minimum 30 euros</em></p><p class="" id="ember35343">In cambio otterrete, via email, una autentica “denghiu card” fatta con un equivoco template free di word ed entrerete nella mia lista personale di possibili vittime di raggiri.</p><p class="" id="ember35344"><i>In exchange, you will receive, via email, an authentic “thank you card” made with a suspicious free Word template, and you will enter my list of possible victims of scams.</i></p><figure class="wp-block-image"><img decoding="async" src="https://media.licdn.com/dms/image/D4D12AQEkWHyzPj1_Gw/article-inline_image-shrink_1500_2232/0/1703166312334?e=1708560000&v=beta&t=GNUF13XqV9x0auL8rrPmFgQAOhFTOSexT7g7alHH0KQ" alt=""/></figure><p class="" id="ember35348"><strong>#quellascemenzadellasera</strong> <strong>#rant</strong> <strong>#fridayrant</strong> <strong>#buonnatale</strong> <strong>#buonanno</strong> <strong>#buonefeste</strong> <strong>#quellidelfascicolop #happyholydays</strong></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-24650013631336758782023-04-24T23:05:00.000+02:002024-02-13T11:40:14.304+01:00IT vs OT vs Sicurezza: convivenza possibile?<p>Qualche settimana fa ho partecipato ad un interessante evento per CISO. Al di la dell’argomento (per altro estremamente interessante) la cosa simpatica è stata poter discorrere senza vincoli o freni. A tavola (e te pareva che non ne approfittavo per mangiare gratis 🙂 ) tra una chiacchiera ae l’altra si è iniziato a discorrere del difficile rapporto che corre tra il mondo OT ed IT, e di questi con la sicurezza dell’informazione nei suoi vari domini.</p><p>è sempre interessante sentire i vari punti di vista e le varie esperienze dalla voce dei protagonisti della nostra vita digitale, ed è interessante come spesso vi sia una comunità di esperienze che ci permette di definire lo stato (povero) della digitalizzazione in Italia.</p><h2 class="wp-block-heading">IT vs OT il peccato originale.</h2><p>Dall’osservatorio di un CISO è innegabile che OT e IT siano mondi diversi, che usano linguaggi diversi, con diverse esigenze e diverse metriche. Anche i tempi di vita degli oggetti che “vivono” nel mondo OT sono profondamente diversi da quelli che vivono nel mondo IT.</p><p>Criticità diverse, lingue diverse, metriche diverse non possono portare ne ad una facile convivenza ne a una facile comunicazione. Il risultato è una estrema diffidenza tra i due mondi, con l’OT che vede nel suo isolamento una forma di salvaguardia dall’invadenza dell’IT. Purtroppo, come già successe ai difensori dei mainframe, il mondo IT ha aumentato la sua pervasività nel mondo IT rompendo un “felice” isolamento che aveva reso i due mondi due cose diverse.</p><p>Il mantenimento di posizioni difensive da parte del mondo OT rispetto al mondo IT è comprensibile, ma occorre anche ammettere che il mondo OT si è sviluppato prima ma su esigenze e perimetri estremamente ristretti. L’accesso riluttante di componenti IT in questo mondo ha però aperto una finestra su una evidenza poco amata dall’OT: la senescenza di infrastrutture informatiche progettate senza un reale approccio di sicurezza by design e by default il cui cardine di sicurezza è sempre stato basato sull’isolamento e da un approccio security by oscurity.</p><p>Purtroppo questo approccio si è dimostrato, sempre più negli ultimi anni, insufficiente a garantire la sicurezza del mondo OT. Attacchi informatici verso strutture OT si sono moltiplicati con risultati economicamente importanti e non vi sono indicazioni che questo trend sia in diminuzione, anzi.</p><p>I criminali informatici non amano rinunziare a potenziali stream di monetizzazione una volta individuati, e la fragilità di molti sistemi OT sulle nuove tecniche di attacco in uso da queste organizzazioni è un canale interessante.</p><p>Questa vulnerabilità non è data solo dalla pervasività di sistemi IT nel campo OT, ma anche a fragilità specifiche di sistemi disegnati al di fuori di moderni parametri di sicurezza, non fosse altro per l’età di questi sistemi.</p><p>In questo dualismo però l’IT non è senza colpe, se la pervasività è un fatto, cosi come la apertura, la comprensione delle esigenze specifiche dell’OT non è altrettanto diffusa. Il risultato è che l’IT ha replicato, o cerca di replicare, i propri modelli operativi in un ambito differente.</p><p>Avendo i due mondi linguaggi diversi, metriche e spesso linee di riporto diverse la comunicazione risulta estremamente difficile e la resistenza tra i due mondi è ancora molto elevata</p><h2 class="wp-block-heading">La sicurezza un ospite incomodo</h2><p>Dall’osservatorio del ciso esiste però un comune nemico comune sia di OT che di IT, la cui pervasività è percepita come un peso e non come un fattore abilitante al business: la sicurezza dell’informazione.</p><p>Infatti la sicurezza o è vista come un sottoinsieme del mondo IT, cosa che alimenta la diffidenza del mondo OT nei sui confronti, o un elemento estraneo a tutto tondo da entrambe. </p><p>Ho già parlato in passato del fatto che la sicurezza della informazione è campo diverso dall’IT sia in termini di copertura (la cyber security è solo uno dei domini di riferimento) che in termini logici di indipendenza, controllato e controllore non possono coesistere e, in particolare, non può il controllore (la sicurezza) dipendere dal controllato per ovvi conflitti di interesse. la uscita della sicurezza dell’informazione dal dominio IT ha portato da parte dell’IT una “inimicizia” e la rottura di un rapporto nei confronti di chi si occupa di sicurezza, visto come un ulteriore peso, assieme a compliance.</p><p>Le ragioni della inimicizia di IT e OT nei confronti della sicurezza in realtà hanno ragioni più profonde: sistemi disegnati senza tener conto della sicurezza si vedono scoperti proprio nel loro punto di orgoglio, il design. Questo ha portato spesso l’IT (e inizia a vedersi il fenomeno anche nell’OT) a proiettare sulla sicurezza problematiche di design che non competono strettamente alla sicurezza. </p><p>Non è possibile pensare che la sicurezza dell’informazione, nei suoi vari domini, assolva a correttore di errori di design ed implementazione, processi incompleti o fallaci, digitalizzazione mal gestita e mal progettata. Eppure, spesso, questa è la richiesta che arriva alla sicurezza quella di coprire, con il proprio budget, errori di design e processo che sono, in realtà, attribuibili ad IT ed OT.</p><p>Come è facile immaginare questa “tensione” tra le diverse anime fa leva su questioni economiche e politiche interne all’organizzazione che non sono ne di facile ne di immediata risoluzione.</p><p>La percezione della sicurezza informatica come “ostacolo” alle attività di business e non di facilitatore (analogo discorso si può dire per le esigenze di compliance) in realtà è legato al fatto che sicurezza e compliance non sono considerate “ab initio” nel disegno delle infrastrutture ma chiamate ex post a coprire problematiche. Il concetto di disegnare infrastrutture e <strong><em>processi</em></strong> con “privacy e security” inserita “by design” e “by default” è ancora su carta più che reale. E il “business” inteso come la infrastruttura aziendale esterna a IT ed OT non ha competenze o comprensione delle problematiche se non a livello embrionale.</p><p>Esempi virtuosi, intendiamoci, ci sono ma sono eccezioni e non la norma. E quando ci sono l’azienda si ritrova un vantaggio competitivo in quanto aumenta la efficienza operativa e riduce i costi di gestione a fronte di un maggiore modesto costo iniziale.</p><h2 class="wp-block-heading">Il prima, l’adesso e il domani</h2><p>Se il futuro si può considerare da scrivere esiste il problema del pregresso e della gestione del corrente. </p><p>Sul passato si può intervenire solo in modalità reattiva, ovviamente, cercando di porre in atto processi e tecnologie che consentano la copertura di sicurezza delle aree più a rischio. Esistono esigenze varie da analizzare, in questo senso mi vengono in mente la microsegmentazione, il controllo degli accessi remoti da parte di operatori esterni, l’accesso remoto in modalità zero trusted, il controllo e monitoraggio di identità e attack pathway.</p><p>Per il presente si può pensare alla pianificazione della gestione delle risorse iniziando a definire metriche che aiutino le varie anime della azienda a condividere un approccio risk based che permetta di indirizzare le risorse in maniera più efficiente. </p><p>Per il futuro invece occorrerà prima o poi aprirsi ad una collaborazione tra i diversi stakeholder che condividano le esigenze e sappiano sviluppare tecnologie e processi in maniera efficace ed efficiente.</p><h2 class="wp-block-heading">Esiste una soluzione?</h2><p>La possibilità di riconciliare 6 anime (IT, OT, Sviluppo, Sicurezza, Compliance e Business) pur nella dinamica competitiva delle rispettive esigenze (il budget non è infinito e gli interessi vanno mediati) esiste quando si crea un ponte di comunicazione tra i diversi attori. Questa comunicazione è un elemento che non si crea “a tavolino” o “su carta, ma richiede la effettiva condivisione di attività operative e progetti. Far lavorare in gruppi di lavoro congiunto con obiettivi definiti e misurabili i vari elementi consente di definire una lingua comune che prelude a metriche compatibili e comprensibili. </p><p>Ovviamente questo richiede un commitment aziendale forte e una accettazione della sfida da parte dei vari stakeholder che devono accettare di essere “misurati” su questi obiettivi.</p><p>Modestamente mi permetterei di suggerire come primo possibile strumento il “cyber range” inteso come esercizio che consideri la attiva e fattiva partecipazione di tutti i vari stakeholders. Come esercizio di “sicurezza” la “simulazione realistica” di un attacco con le relative conseguenze permetterebbe ai vari soggetti di iniziare a capire le conseguenze delle scelte effettuate e di ripensare ad un futuro più ottimizzato. In questo senso la sicurezza potrebbe offrire alla azienda uno strumento di crescita e di creazione di ponti di comunicazione tra le sue diverse anime con la comprensione di cosa potrebbe accadere a causa di un problema di attacco alle infrastrutture (IT) in termini produttivi (OT) e quindi di business, all’immagine (MKTG e comunicazione) e alle ricadute economiche (finance) e legali. </p><p></p><p>Del resto il problema non è “se” qualcosa andrà male ma “quando”</p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-72916669550000483362023-04-24T15:41:00.000+02:002024-02-13T11:40:14.435+01:00Dati e persone, un binomio indissolubile da considerare.<p><em>Antonio Ieranò, Evangelist cyber Security Strategy, Proofpoint</em></p><p>Nella visione tradizionale, quando pensiamo alla protezione dei dati e alla sicurezza dell’informazione, si tende a considerare le attività di gestione del dato come attività svolte all’interno di un perimetro ben definito e, per questo, con una certa sicurezza intrinseca. Vincoli fisici di accesso alle risorse offrono alcuni livelli di protezione, sia fisica che informatica, spesso considerati robusti.</p><p>Nella realtà il passaggio globale a modelli di lavoro ibridi, forzato anche da concause esterne, ha modificato sensibilmente l’ambiente di riferimento che dobbiamo considerare quando si parla di sicurezza dell’informazione. Gli ultimi due anni e mezzo hanno visto decollare le opzioni di lavoro a distanza, il che a sua volta ha aumentato le potenziali superfici di attacco per un’organizzazione. Con un maggiore utilizzo di piattaforme cloud e di collaborazione, le persone sono ora più che mai la più grande superficie di attacco e sono particolarmente vulnerabili lavorando al di fuori della presunta sicurezza dei loro uffici aziendali.</p><p>Le reti domestiche non sono protette come le reti dell’ufficio, i dispositivi possono essere condivisi con altri e spesso sono ad uso promiscuo (lavoro e personale). I dati ed i sistemi aziendali sono ora accessibili “in cloud” oltre che nei tradizionali datacenter, e la moltiplicazione di percorsi esterni per accedere ai sistemi e risorse aziendali rappresenta un enorme pericolo. Offre agli attori delle minacce più modi per entrare, ma rende anche più difficile tracciare ciò che i lavoratori stanno gestendo.</p><p>Inoltre, le organizzazioni stanno creando e spostando più dati che mai. Ciò a sua volta crea nuove forme di rischio per la sicurezza per le aziende, rendendo difficile capire quando i dati sono a rischio, quale sia il loro valore effettivo e, di conseguenza, implementare i controlli appropriati per mitigare il rischio.</p><p>Quindi, come possono le organizzazioni affrontare queste sfide relativamente nuove per la sicurezza dei dati?</p><h2 class="wp-block-heading">Alle prese con rischi aziendali più ampi<strong></strong></h2><p>La forza lavoro decentralizzata accelera anche i rischi incentrati sulle persone, rendendo la protezione dei dati molto più difficile. Nel 2022, il costo totale medio globale di una violazione dei dati ha raggiunto il massimo storico di 4,35 milioni di dollari, secondo il <a rel="noreferrer noopener" href="https://www.ibm.com/reports/data-breach" target="_blank">Cost of a Data Breach Report di</a> IBM Security. Secondo il rapporto, il lavoro a distanza è in parte responsabile dell’aumento dei costi. Il rapporto ha rilevato una “forte correlazione” tra il lavoro remoto e il costo delle violazioni dei dati. Le violazioni, in cui il lavoro a distanza era un fattore, costano in media 1 milione di dollari in più. </p><p>Le informazioni di identificazione personale (PII) dei clienti sono il <a href="https://newsroom.ibm.com/2021-07-28-IBM-Report-Cost-of-a-Data-Breach-Hits-Record-High-During-Pandemic" target="_blank" rel="noreferrer noopener">tipo di record più costoso compromesso</a> in una violazione dei dati. E questi dati sono preziosi per gli attori delle minacce per furti finanziari, frodi e altri crimini informatici, il che significa che le minacce continueranno a colpire questo tipo di dati e le autorità di regolamentazione continueranno ad aumentare la pressione sulle organizzazioni per proteggerli meglio.</p><p>Il regime normativo in continua espansione è uno dei fattori che fanno aumentare i costi delle violazioni dei dati (si pensi al GDPR) e la necessità di una migliore governance dei dati.</p><p>Un solido programma di governance dei dati deve riconoscere questo ambiente in evoluzione e considerarne le implicazioni rispondendo a domande fondamentali, come ad esempio:</p><ol type="1"><li>Dove vengono archiviati i tuoi dati?</li><li>I tuoi dati sono protetti o regolamentati?</li><li>Come vengono utilizzati questi dati?</li><li>Chi vi ha accesso?</li><li>Come vengono protetti questi dati?</li><li>Come vengono trasmessi alle terze parti coinvolte?</li></ol><h2 class="wp-block-heading">La sfida Insider</h2><p>I dati non si perdono ne escono da soli. Le persone perdono dati perché sono le persone che vi accedono. Il dato non sparisce per sua volontà: viene rubato da un utente malintenzionato esterno che si sia impossessato di credenziali di un utente aziendale, perso a causa di un utente negligente o preso da un dipendente malintenzionato, spesso a un concorrente. È importante, ora più che mai, proteggersi dalle minacce interne.</p><p><a href="https://www.proofpoint.com/uk/resources/white-papers/voice-of-the-ciso-report">Il nostro recente Voice of the CISO Report 2022 ha infatti rivelato che il 31% CISO hanno citato le minacce interne – negligenti, accidentali o criminali – come la minaccia più significativa per la loro organizzazione nei prossimi 12 mesi.</a></p><p>Inoltre, <a href="https://www.proofpoint.com/uk/resources/threat-reports/cost-of-insider-threats">i recenti</a> <a href="https://www.proofpoint.com/uk/resources/threat-reports/cost-of-insider-threats">risultati di Proofpoint e del Ponemon Institute mostrano che, indipendentemente dal fatto che si tratti di negligenza o dolo, le minacce interne costano alle organizzazioni 15,4 milioni di dollari all’anno, in aumento del 34% rispetto al 2020, quando la pandemia ha colpito.</a> </p><p>Per calare la questione in termini italiani si faccia riferimento a questi dati:</p><ul><li>Il 63% delle organizzazioni italiane ha subito un tentativo di attacco ransomware nell’ultimo anno, con il 44% che ha subito un’infezione riuscita. <strong><em>Solo il 38% ha riottenuto l’accesso ai propri dati</em></strong> dopo aver effettuato il pagamento iniziale del ransomware.</li><li>Il 39% delle organizzazioni italiane ha riferito di aver subito perdite di dati a causa di un’azione interna nel 2022.</li><li>Il 18% dei dipendenti italiani ha cambiato lavoro nell’ultimo anno.<strong> </strong> Tra coloro che hanno cambiato lavoro, il 42% ha ammesso di portare con sé i dati.</li></ul><p>Molte organizzazioni hanno dovuto riorientare i loro sforzi tecnologici e di sicurezza dagli ambienti di lavoro on-premise a una forza lavoro completamente remota, con il risultato di una miriade di nuovi problemi che devono essere affrontati. Aver adottato strategie di digitalizzazione pensate per un ambiente “chiuso” in un ambito aperto e diffuso come quello attuale ha ulteriormente indebolito i perimetri difensivi del dato, esposto a processi non sempre compatibili con la nuova realtà.</p><p>Anche se non possiamo attribuire l’aumento complessivo delle minacce interne a un singolo fattore, il passaggio al lavoro da qualsiasi luogo i sempre più frequenti cambi di lavoro hanno entrambi esacerbato questi rischi. Non c’è dubbio che una forza lavoro dispersa crei una maggiore dipendenza dal cloud, una superficie di attacco significativamente più ampia e un indebolimento della visibilità e dell’efficacia dei controlli di perdita di dati legacy. Inoltre, è più facile che mai condividere ed esporre grandi quantità di informazioni sensibili, sia con noncuranza che con dolo.</p><h2 class="wp-block-heading">Affrontare la sfida dei dati ibridi</h2><p>Mentre la maggior parte delle aziende è ormai ben abituata al mondo post-pandemia, molte politiche e procedure non sono ancora aggiornate. I controlli in atto per proteggere i dati, ad esempio, sono stati costruiti principalmente attorno alle pratiche di lavoro tradizionali che spesso prevedono passaggi “cartacei” non replicabili remotamente se non con stampa e re-digitalizzazione del documento processato con la relativa moltiplicazione del rischio di esposizione di dati sensibili.</p><p>In molti casi, le soluzioni tradizionali di protezione dalla perdita di dati (DLP) si sono concentrate su strumenti e perimetri progettati per mantenere le informazioni sensibili all’interno di un ambiente “chiuso” e gli attori malintenzionati fuori. Questo approccio legacy alla DLP si è concentrato sui dati in uso, in movimento e a riposo, senza molto contesto al di fuori di questo.</p><p>Tuttavia, con molte persone che ora operano al di fuori delle tradizionali attività d’ufficio, gli atteggiamenti, i comportamenti e i modi di lavorare sono cambiati. E con esso, anche il modo in cui accediamo e interagiamo con i dati è cambiato. Questo nuovo modo di lavorare richiede un nuovo modo di proteggere i nostri dati sensibili sia dall’esterno che dall’interno. Uno che ponga molta più enfasi sulle persone piuttosto che solo su strumenti e controlli.</p><p>Mentre le politiche e le procedure possono essere in ritardo nel nuovo ambiente di lavoro ibrido, lo stesso non si può dire dei criminali informatici. Gli attori delle minacce non hanno perso tempo, prima capitalizzando l’interruzione causata dalla pandemia e ora affinando le loro esche per colpire gli utenti in ambienti nuovi e potenzialmente meno sicuri. E continuano a prendere di mira le persone, ovunque lavorino. </p><p>Soluzione DLP tradizionali possono individuare attività sospette, ma non forniscono alcuna consapevolezza comportamentale prima, durante o dopo il movimento rischioso dei dati e offrono poco in termini di analisi dei comportamenti rischiosi degli utenti. In altre parole, gli strumenti legacy non possono aiutarti a rispondere al contesto di “chi, cosa, dove, quando e perché” dietro un avviso. Il risultato è un sovraccarico dei team di sicurezza e una visione minima dell’attività reale.</p><p>Una moderna soluzione DLP può aiutare a risolvere questo problema. Può aiutare i team IT a individuare e revocare rapidamente app dannose di terze parti e bloccare attori malevoli noti, indirizzi IP dannosi che potrebbero portare alla compromissione dell’account, account potenzialmente già compromessi.</p><p>Una soluzione moderna deve adattare costantemente il rilevamento, la prevenzione e la risposta al livello di rischio di un utente e alla sensibilità dei dati a cui accede.</p><h2 class="wp-block-heading">Persone, processi e tecnologia</h2><p>Una solida strategia per i dati deve includere una combinazione di persone, processi e tecnologia.</p><p>Sebbene sia fondamentale mettere in atto i controlli tecnologici corretti, il personale è ancora al centro di qualsiasi potenziale perdita di dati. Sono quelli con accesso privilegiato alle tue reti. Sono quelli che inseriscono le loro credenziali nei tuoi sistemi. Inoltre, con oltre il 90% degli attacchi informatici che richiedono l’interazione umana, sono quelli che hanno maggiori probabilità di esporre i tuoi dati ai criminali informatici.</p><p>Ecco perché una moderna soluzione DLP deve tenere conto del comportamento umano, sia in ufficio o fuori.</p><p>Sfortunatamente, questo non è il caso di molti sistemi legacy. La maggior parte vedrà qualsiasi comportamento anomalo (ma magari giustificato o obbligato dal contesto in cui opera l’utente) come una bandiera rossa istantanea, che influisce sull’esperienza utente e costa tempo prezioso ai team di sicurezza.</p><p>In un momento in cui le pratiche di lavoro “normali” possono significare cose diverse da un giorno all’altro, questo approccio non è più adatto allo scopo. Gli ambienti di lavoro remoti e disparati necessitano di soluzioni in grado di monitorare e prevenire in modo proattivo la perdita di dati tra gli endpoint, tenendo conto del comportamento degli utenti, dell’accesso al cloud e delle app di terze parti.</p><p>E tali protezioni adattabili sono solo una parte di un’efficace prevenzione della perdita di dati. Questo approccio incentrato sulle persone deve estendersi anche al tuo programma di formazione. Tutti gli strumenti e i controlli del mondo non bastano da soli. La protezione totale dalla perdita di dati richiede una formazione continua, mirata e adattiva sulla consapevolezza della sicurezza. Formazione che non lascia dubbi sugli utenti sul ruolo che possono potenzialmente svolgere nel ridurre il numero e l’impatto degli attacchi informatici.</p><p>Per implementare tutto questo, quindi, non basta solo inserire una “tecnologia salvifica” ma occorre ragionare per livelli adattando le esigenze di sicurezza alle richieste del business, integrando il programma di governance dei dati alle pratiche di sicurezza ed ai processi di compliance.</p><p>Un approccio a più livelli consente di passare dallo sviluppo e dalla definizione del programma di governance dei dati alla sua manutenzione e ottimizzazione.</p><p>La scoperta, la prima fase di questo approccio, comporta la definizione del controllo iniziale. È qui che si eseguono passaggi quali la qualificazione delle leggi e dei regolamenti applicabili all’organizzazione, la definizione della strategia di protezione dei dati in base ai cicli di vita dei dati, l’identificazione degli utenti a più rischio, l’individuazione dell’impronta digitale, la configurazione dell’inventario globale e l’indicizzazione dei dati.</p><p>Nella seconda fase (rilevamento), si sviluppano funzionalità di controllo ottenendo contesto per tutte le attività, l’intento e l’accesso dell’utente; identificare account compromessi e utenti di phishing; e la classificazione di dati sensibili o regolamentati. Stai anche adottando misure per tenere traccia degli incidenti e raccogliere e acquisire dati da tutte le tue fonti.</p><p>Infine, l’ultima fase (applicazione) riguarda la crescita delle capacità di controllo completo, come la rimozione di dati da posizioni non sicure, la messa in sicurezza dello scambio dei dati con terze parti, l’applicazione di protezioni dei limiti dei dati, l’implementazione della supervisione completa della conformità e così via.</p><p>Suddividendo tutte le grandi domande in passaggi più piccoli e attuabili, stai creando un approccio programmatico che ti aiuta a proteggere i dati in base ai rischi più elevati e ti offre il miglior ritorno sull’investimento. È importante valutare continuamente l’efficacia del programma e ottimizzarlo. Il tuo ambiente è dinamico e le tattiche delle minacce cambiano costantemente.</p><p>I criminali informatici di oggi sono in continua evoluzione, prendendo di mira minacce nuove e sofisticate direttamente alle persone. Anche le nostre difese devono evolversi. In caso contrario, questa è una corsa agli armamenti che non possiamo vincere.</p><p></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-7830153710229213952023-02-07T16:41:00.000+01:002024-02-13T11:40:14.564+01:00Information security o Cyber security?<p>Istigato dal buon Alessandro Bottonelli, mio correo in #quellidelfascicolop mi è venuta voglia di puntualizzare un problema di nomenclatura che mi sta a cuore.</p><p>I termini Cyber Security e Information Security sono spesso usati in modo intercambiabile. Entrambi sono responsabili della sicurezza e della protezione del sistema informatico da minacce e violazioni delle informazioni e spesso la sicurezza informatica e la sicurezza delle informazioni sono così strettamente collegate che possono sembrare sinonimi e, sfortunatamente, vengono utilizzate come sinonimi. </p><p>Se parliamo di sicurezza dei dati, si tratta di proteggere i dati da utenti malintenzionati e minacce. Ora qual è la differenza tra dati e informazioni? </p><p>Un punto importante è che “non tutti i dati possono essere informazioni” i dati possono essere informati se vengono interpretati in un contesto e gli viene dato un significato. Ad esempio “250865” è un dato e se sappiamo che è la data di nascita di una persona (la mia) allora è un’informazione perché ha un significato. Quindi informazione significa dati che hanno un significato.</p><blockquote class="wp-block-quote"><p>Qual è la differenza tra la information security (sicurezza delle informazioni) e la cyber security (sicurezza informatica)? </p></blockquote><p>La sicurezza delle informazioni e la sicurezza informatica sono campi correlati ma distinti che si concentrano sulla protezione di diversi aspetti dei sistemi informativi e tecnologici di un’organizzazione. </p><p>La sicurezza delle informazioni è un campo ampio che comprende tutti gli aspetti della protezione delle informazioni e dei sistemi informativi di un’organizzazione da accesso, uso, divulgazione, interruzione, modifica o distruzione non autorizzati. </p><p>I pilastri su cui si basa sono ovviamente:</p><ul><li>confidentiality</li><li>integrity</li><li>availability</li></ul><p>cui occorrerebbe aggiungere</p><ul><li>non repudiation</li><li>authenticity</li><li>accountability</li></ul><p>La sicurezza delle informazioni include la protezione delle informazioni sensibili, come i dati personali e le informazioni finanziarie, nonché i sistemi e i processi utilizzati per archiviare, trasmettere ed elaborare tali informazioni. All’interno della sicurezza delle informazioni ricadono quindi anche aspetti legati alla protezione del dato sia questo digitale che analogico.</p><p id="tw-target-text">Esempi e inclusione della sicurezza delle informazioni sono i seguenti: </p><ul><li>Controlli procedurali </li><li>Controlli di accesso </li><li>Controlli tecnici </li><li>Controlli di conformità</li></ul><p>La cyber security, d’altra parte, è largamente un sottoinsieme della sicurezza delle informazioni che si concentra specificamente sulla protezione dei sistemi tecnologici e dei dati di un’organizzazione da attori malintenzionati nel cyberspazio. Ciò include la protezione da attacchi di rete, violazioni dei dati e altri tipi di criminalità informatica. La sicurezza informatica include anche la protezione delle infrastrutture critiche, come centrali elettriche e sistemi finanziari, dagli attacchi informatici che espande il perimetro rispetto la Information security. </p><p>Esempi e inclusione della sicurezza informatica sono i seguenti:</p><ul><li>Sicurezza della rete</li><li>Sicurezza delle applicazioni</li><li>Sicurezza nel cloud</li><li>Infrastrutture critiche</li></ul><p>In sintesi, la sicurezza delle informazioni è un campo ampio che comprende tutti gli aspetti della protezione delle informazioni e dei sistemi informativi, mentre la cyber security si concentra specificamente sulla protezione contro le minacce e gli attacchi informatici. Entrambi sono importanti per garantire la sicurezza e l’integrità dei sistemi informatici e tecnologici di un’organizzazione.</p><p>vi torna?</p><p>ciao</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="164" height="291" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/io1.jpg?resize=164%2C291&ssl=1" alt="" class="wp-image-130559" data-recalc-dims="1"/></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-30596573883534846412022-12-20T10:50:00.000+01:002024-02-13T11:40:14.691+01:00Natale, Anno Nuovo, Epifania e lo scam me li porta via.<div class="wp-block-image"><figure class="alignleft size-full"><img loading="lazy" decoding="async" width="300" height="168" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/xmas-scam-1-1.jpg?resize=300%2C168&ssl=1" alt="" class="wp-image-130941" data-recalc-dims="1"/></figure></div><p>E siamo ancora sotto le feste, e ci troviamo ancora a dover ripetere, come tutti gli anni, le stesse cose.</p><p>Chiunque, come me, lavori nel campo della sicurezza informatica sa che non vi è niente di piu remunerativo che far leva sui sentimenti per estorcere dati, denaro o entrambi alle persone.</p><p>E le feste, come le disgrazie, sono un momento fantastico per fare leva sulla percezione ed i sentimenti della gente per trarne profitto.</p><p>Purtroppo il fenomeno non solo diminuisce, ma assume ogni anno nuove vesti e nuove forme, navigando tra social media, email, siti web e pubblicità online.</p><p>Per coprire la mia quota di servizio alla società civile vi condivido un semplice decalogo a prova di informatico per aiutarvi a proteggervi dalle insidie delle feste.</p><p><strong>1. Carte regalo gratuite: </strong>i budget possono diventare limitati quando si trovano regali per i propri cari, quindi qualsiasi sollievo finanziario è il benvenuto. Tuttavia, potresti imbatterti in e-mail o annunci pop-up che offrono buoni regalo gratuiti. Diffidate di queste opportunità allettanti. Sono spesso uno stratagemma per raccogliere le tue informazioni personali che possono essere successivamente utilizzate per rubare la tua identità. </p><p><strong>2. Scambio di regali sui social media: </strong>sei invitato tramite i social media a partecipare a uno scambio di regali, che sembra innocuo e divertente. Perché non dovrebbe esserlo? Se acquisti un regalo da $ 10 per uno sconosciuto, riceverai fino a 36 regali indietro! In realtà è una bufala con la stessa premessa di uno schema piramidale in cui si basa sul reclutamento costante di nuovi partecipanti. Meglio rifiutare rispettosamente qualsiasi invito a partecipare. </p><p><strong>3. Lavori per le vacanze: </strong>non è raro che le persone vogliano fare qualche soldo extra con un lavoro stagionale. Devi solo stare attento alle <strong>truffe sul lavoro, </strong>soprattutto quando i rivenditori e i servizi di consegna spesso hanno bisogno di ulteriore aiuto durante le vacanze. Fai attenzione alle sollecitazioni che richiedono di condividere informazioni personali online o di pagare per un lead di lavoro. </p><p><strong>4. Truffe sui cuccioli: gli </strong>animali domestici fanno grandi regali, ma ci sono molti che dovresti prima considerare. Se decidi che è la decisione giusta, fai attenzione ad adottare un animale domestico online. Potresti finire con un cagnolino o niente. I venditori di animali falsi possono attirarti a pensare che stai prendendo un amico a quattro zampe, solo per prendere i tuoi soldi e non consegnare. </p><p><strong>5. Truffe romantiche: </strong>se quella persona “speciale” che hai incontrato online diventa rapidamente interessata ma in difficoltà e chiede soldi, tieni alta la guardia. I truffatori possono apparire come un soggetto per cui hai sviluppato un interesse romantico, ma con l’intenzione di sfruttare le tue emozioni per il proprio tornaconto. Proteggi il tuo cuore e il tuo portafoglio!</p><p><strong>6. Truffe di viaggio: </strong>sia che tu stia viaggiando per celebrare le vacanze con i tuoi cari o cercando un clima più caldo, i viaggi per le vacanze possono essere costosi. Le occasioni online per offerte migliori possono essere allettanti, quindi assicurati che le offerte siano legittime. </p><p><strong>7. Siti Web fasulli: </strong>lo shopping online è conveniente soprattutto quando si cerca di evitare la corsa allo shopping natalizio. Quando fai acquisti online, assicurati di utilizzare solo siti Web legittimi. I truffatori utilizzano URL molto simili a quelli dei siti legittimi. Controlla sempre l’URL prima di effettuare un acquisto e diffida dei siti in cui il nome del marchio è incluso con URL più lunghi. </p><p><strong>8. Borseggiatori: </strong>mentre la maggior parte dei truffatori tende a concentrare i propri sforzi online in questi giorni, il borseggio avviene ancora. Ricordati di salvaguardare i tuoi effetti personali durante lo shopping, specialmente nelle aree affollate. Nonostante quanto tu possa essere agitato, non lasciare mai le tue cose incustodite. </p><p><strong>9. Regali contraffatti: </strong>quando beni di lusso e altri articoli costosi vengono offerti a un prezzo stracciato o con provenienza discutibile, è probabile che si tratti di merce contraffatta. Raramente si ottiene la stessa qualità di un originale e, in alcuni casi, il denaro finanzia attività illegali come il traffico di droga e il lavoro minorile. </p><p><strong>10. Email malware: </strong>non essere veloce a cliccare! Fare clic sul collegamento sbagliato o scaricare l’allegato di un truffatore può causare la diffusione di malware sul computer. Questo virus informatico o “bug” può rubare informazioni personali o persino tenere in ostaggio il tuo dispositivo a meno che tu non paghi un prezzo. Link e allegati possono presentarsi sotto forma di e-mail o pubblicità pop-up. </p><p>Lo so che le sapete queste cose, ma sono sicuro che l’amico del fratello del cognato del cugino del vostro vicino non è cosi aperto. </p><p>Diffondete ed aiutate il prossimo</p><p>Buone Feste</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="164" height="291" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/io1-1.jpg?resize=164%2C291&ssl=1" alt="" class="wp-image-130566" data-recalc-dims="1"/></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-380861552276122752022-12-09T16:11:00.000+01:002024-02-13T11:40:14.818+01:00RIP Topis (2020-2022)<p> è morto oggi il nostro topino bianco.</p><p>E si io a 57 anni sto piangendo per un topolino. 3 anni sono tanti, era vecchio lo so, ma fa male comunque. </p><p>Riposa in pace e grazie per il tempo che hai speso con noi. </p><p>ci manchi. </p><p>ciao</p><figure class="wp-block-image size-large is-resized"><img loading="lazy" decoding="async" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/Immagine-WhatsApp-2022-12-09-ore-15.32.09.jpg?resize=469%2C615&ssl=1" alt="" class="wp-image-130936" width="469" height="615" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/Immagine-WhatsApp-2022-12-09-ore-15.32.09.jpg?resize=780%2C1024&ssl=1 780w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/Immagine-WhatsApp-2022-12-09-ore-15.32.09.jpg?resize=228%2C300&ssl=1 228w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/Immagine-WhatsApp-2022-12-09-ore-15.32.09.jpg?resize=768%2C1009&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/Immagine-WhatsApp-2022-12-09-ore-15.32.09.jpg?resize=1169%2C1536&ssl=1 1169w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/Immagine-WhatsApp-2022-12-09-ore-15.32.09.jpg?w=1218&ssl=1 1218w" sizes="(max-width: 469px) 100vw, 469px" data-recalc-dims="1" /></figure><p><a href="https://twitter.com/antonioierano/status/1601229398094798848/photo/1"></a></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-64621162304570572832022-12-02T23:38:00.000+01:002024-02-13T11:40:14.945+01:00Limite al contante, PoS ed evasione<div class="wp-block-image"><figure class="alignleft size-full is-resized"><img loading="lazy" decoding="async" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/pexels-photo-6818146.jpeg?resize=473%2C314&ssl=1" alt="a person in black long sleeves tapping the credit card on a pos terminal" class="wp-image-130932" width="473" height="314" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/pexels-photo-6818146.jpeg?w=1880&ssl=1 1880w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/pexels-photo-6818146.jpeg?resize=300%2C200&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/pexels-photo-6818146.jpeg?resize=1024%2C682&ssl=1 1024w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/pexels-photo-6818146.jpeg?resize=768%2C512&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/pexels-photo-6818146.jpeg?resize=1536%2C1024&ssl=1 1536w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/pexels-photo-6818146.jpeg?resize=272%2C182&ssl=1 272w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/pexels-photo-6818146.jpeg?w=1800&ssl=1 1800w" sizes="(max-width: 473px) 100vw, 473px" data-recalc-dims="1" /><figcaption class="wp-element-caption">Photo by Yan Krukov on <a href="https://www.pexels.com/photo/a-person-in-black-long-sleeves-tapping-the-credit-card-on-a-pos-terminal-6818146/" rel="nofollow">Pexels.com</a></figcaption></figure></div><p>Una volta tanto invece di finire dal blog a twitter faccio il percorso inverso ed uso un thread su twitter che ho scritto per svilupparlo un poco nel blog.</p><p>Ultimamente si parla molto delle misure del governo inerenti la disponibilità e modalità di pagamento, in particolare della possibilità data ai negozianti di rifiutare i micropagamenti via carta di credito o bancomat (fino ad un tetto di 60 euro) e di alzare la quota ammissibile di pagamenti in contanti fino ad un tetto di 5000 euro.</p><p>La discussione, nel suo complesso, richiede ovviamente competenze maggiori di quelle che ho (per fortuna gli italiani, tranne me, invece sono tutti economisti, sociologi, allenatori, costituzionalisti, virologi etc, etc) , e quindi non entrerò nel merito di considerazioni di microeconomia o economia sociale che possano andare a favore o contro della decisione, ma mi soffermerò su alcuni punti salienti della discussione che vedo in giro e che, a mio umile giudizio, non contribuiscono a chiarire i termini della questione.</p><p>Va fatta una premessa, le transazioni elettroniche sono facilmente tracciabili e quindi sono uno strumento prezioso nella lotta all’evasione ed al nero. Da qui a richiesta europea di associare al PNRR vincoli che andassero ad incidere sulla evasione (che indirettamente dovrebbe portare alla diminuzione del disavanzo). Purtroppo l’attenzione che si sviluppa anche sui mainstream media in merito è decisamente errata dal punto di vista tecnico.</p><h2 class="wp-block-heading">Evado o non evado, questo è il dilemma</h2><p>Gran parte della discussione legata ad entrambe le decisioni sono incentrate su 2 argomenti che trovo, nel complesso della gestione del discorso, usati in maniera non corretta ed in alcuni casi sopratutto sul lato dei vincoli legati alla accettazione del POS, pretestuosi.</p><p>I due argomenti sono l’evasione e la libertà</p><h2 class="wp-block-heading">L’evasione</h2><p>Una buona fetta della discussione inerente sia il tetto alle transazioni al contante che alla obbligatoria accettazione dell’uso del PoS anche per micropagamenti riguarda l’evasione.</p><p>Ora occorre fare innanzi tutto chiarezza su un paio di punti: il fenomeno della evasione da parte dei fornitori di servizi o di esercenti è abbastanza indipendente dai vincoli di cui si discute. Laddove vi sia evasione questa avviene indipendentemente da tali limiti e obbliga chi “vende” ad alterare la contabilità, cui è soggetto.</p><p>Le transazioni in nero, quindi, sono fuori da questo ambito e vi rimangono. Quello che, eventualmente, potrebbe essere più facile per il commerciante al dettaglio è la microevasione. ma il non battere uno scontrino da pochi euro non credo sia l’obiettivo della lotta all’evasione ne la transazione elettronica sarebbe di aiuto.</p><p>Poco interessante risulta anche la questione dei costi inerenti i pagamenti con mezzi elettronici. Al di la dei racconti che circolano la realtà è che il pagamento elettronico risulta persino più economico della gestione del contante e laddove le “commissioni” fossero un problema non è certo disincentivando i pagamenti elettronici che si migliora la cosa.</p><p>La idea che la categoria dei commercio sia, per altro, intrinsecamente legata alla evasione è tutta da dimostrare, ma in particolare la transazione elettronica dei micropagamenti non indirizzerebbe il problema. </p><p>In realtà, in termini di ricerca della evasione il problema della micro-evasione non è nel negoziante, che assumo emetta scontrino, ma nella fonte del contante dell’acquirente, questa si non tracciabile. </p><p>Le forme di pagamento diretto sono, lato commerciante, tracciabili in quanto quest’ultimo che è tenuto ad una contabilità che limita le vie evasive o elusive. </p><p>Al contrario le transazioni in contanti non sono tracciabili lato acquirente, visto che lo scontrino non è nominativo non c’è modo di associare il flusso di denaro che ha permesso l’acquisto a meno che non si sia in presenza della transazione.</p><p>Comprato un bene e pagato, finisce la possibilità di valutare da dove provenga il denaro usato per la transazione che, invece, il commerciante deve tracciare nei libri contabili. </p><p>Quando parliamo della necessità di tracciare i passaggi di denaro associati al rischio evasione, il riferimento dovrebbe esser messo su chi usa contanti per i pagamenti, di cui risulta quasi impossibile la tracciabilità e non sui commercianti. Siano questi soldi provenienti da lavoro legittimo, elusione, evasione, lavoro nero o profitti illeciti diventa difficile tracciare la fonte.</p><p>Pagare in contanti, quindi, non nasconde la attività del commerciante, ma permette all’acquirente di rimanere “invisibile” alla transazione. </p><p>Le transazioni digitali invece lasciano una traccia associabile all’acquirente in quanto nominative, da qui la possibilità di tracciare la fonte del denaro usato nella acquisizione di beni o servizi.<a href="https://twitter.com/thepuchiherald"></a></p><p>Se il rischio di microevasione quindi dei pagamenti in contanti non è associabile solo a chi vende beni o servizi, che sono comunque in qualche modo misurabili attraverso la contabilità, questo è maggiore se consideriamo chi effettua acquisti.</p><p>In quest’ottica sopratutto l’innalzamento del tetto di uso del contante abbassa la possibilità di tracciare possibili evasioni in maniera oggettiva, mentre la possibilità di rifiutare pagamenti POS per microtransazioni risulta poco utile in termini di monitoraggio. </p><p>Il tradeoff tra l’aumento della non rintracciabilità delle transazioni economiche legate a tale innalzamento (quindi legate percentualmente a potenziale evasione) e le presunte positive ricadute economiche non è argomento su cui ho elementi di analisi e lo lascio quindi ai tifosi dell’una o altra parte</p><p>Per quello che concerne i micropagamenti mi risulta ancora più difficile riscontrare ragioni tali per cui questa sia una scelta premiante dal punto di vista fiscale, ma ne parliamo nel prossimo punto.</p><h2 class="wp-block-heading">La libertà</h2><p>Curiosamente se, errando, per l’evasione la attenzione è rivolta al commerciante, altrettanto erroneamente si rivolge l’attenzione per questioni di presunta “libertà” verso l’acquirente: </p><blockquote class="wp-block-quote"><p>“perchè volete vietarmi di pagare in contanti?” </p><p>“io non voglio essere tracciato” </p><p>“quello che compro sono fatti miei”, </p></blockquote><p>Sono tutte grida associate alle considerazioni di libertà associate sia all’uso piu o meno obbligatoria del POS che all’innalzamento del contante.</p><p>La questione, messa in questi termini, è chiaramente inconsistente per diverse ragioni, vediamone alcune.</p><p>Abolire l’obbligo di accettare pagamenti PoS sotto i 60 euro non inficia in alcun modo la possibilità che c’è sempre stata di pagare in contanti. La idea che tale innalzamento restituisca all’utente una capacità di pagamento prima negata è semplicemente assurdo in quanto in italia non c’è mai stato un vincolo obbligatorio di uso dei sistemi elettronici per i micropagamenti. è vero esattamente il contrario, si è dovuto legiferare per permettere a chi voleva pagare con mezzi elettronici la possibilità di farlo.</p><p>Se si parla di costrizione delle libertà, quindi, eventualmente è a danno di chi vuole usare la carta e non di chi vuole usare il contante.</p><p>Le grida sui sostenitori del pagamento in contanti risultano quindi abbastanza ridicole oltre che inconsistenti, per tacer di chi prova piacere ad andare al bancomat, o allo sportello di banca a prelevare contanti, per finire di chi sente il bisogno (patologico per altro) di essere in contatto diretto col denaro.</p><p>La unica obiezione sensata sarebbe la impraticabilità economica della gestione dei micropagamenti da parte dei commercianti, ma come si diceva prima, questa questione non si risolve certo in questo modo.</p><p>SI apre quindi un problema legato alla fornitura di servizi ed al loro pagamento che risulta discriminatorio per chi preferisce il pagamento elettronico (sono uno di quelli) e si introduce una distorsione del mercato di cui non si capisce la virtù. </p><p>La questione sarebbe, comunque, risibile se fosse lasciata allo sviluppo naturale delle modalità di commercio. Laddove il commerciante iniziasse a sentire che il non accettare pagamenti POS potrebbe comportare un abbassamento del giro di affari vi sarebbe una apertura verso tali modalità. I termini competitivi del mercato quindi potrebbero indirizzare e correggere eventuali distorsioni, se non con la eccezione di alcuni compartimenti particolari come quelli legati ai taxi.</p><div class="wp-block-image"><figure class="alignright size-full is-resized"><img loading="lazy" decoding="async" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/czNmcy1wcml2YXRlL3Jhd3BpeGVsX2ltYWdlcy93ZWJzaXRlX2NvbnRlbnQvam9iNjY1LTA2LXAtbDBtNm9waXkucG5n.png?resize=275%2C275&ssl=1" alt="Taxi car png sticker, old-fashioned" class="wp-image-130933" width="275" height="275" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/czNmcy1wcml2YXRlL3Jhd3BpeGVsX2ltYWdlcy93ZWJzaXRlX2NvbnRlbnQvam9iNjY1LTA2LXAtbDBtNm9waXkucG5n.png?w=1300&ssl=1 1300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/czNmcy1wcml2YXRlL3Jhd3BpeGVsX2ltYWdlcy93ZWJzaXRlX2NvbnRlbnQvam9iNjY1LTA2LXAtbDBtNm9waXkucG5n.png?resize=300%2C300&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/czNmcy1wcml2YXRlL3Jhd3BpeGVsX2ltYWdlcy93ZWJzaXRlX2NvbnRlbnQvam9iNjY1LTA2LXAtbDBtNm9waXkucG5n.png?resize=1024%2C1024&ssl=1 1024w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/czNmcy1wcml2YXRlL3Jhd3BpeGVsX2ltYWdlcy93ZWJzaXRlX2NvbnRlbnQvam9iNjY1LTA2LXAtbDBtNm9waXkucG5n.png?resize=150%2C150&ssl=1 150w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/czNmcy1wcml2YXRlL3Jhd3BpeGVsX2ltYWdlcy93ZWJzaXRlX2NvbnRlbnQvam9iNjY1LTA2LXAtbDBtNm9waXkucG5n.png?resize=768%2C768&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/czNmcy1wcml2YXRlL3Jhd3BpeGVsX2ltYWdlcy93ZWJzaXRlX2NvbnRlbnQvam9iNjY1LTA2LXAtbDBtNm9waXkucG5n.png?resize=120%2C120&ssl=1 120w" sizes="(max-width: 275px) 100vw, 275px" data-recalc-dims="1" /></figure></div><p>La questione dei taxi è un nodo dolente che, per altro, ci contraddistingue in europa. Chiunque abbia un minimo di esperienza all’estero sa che in molti paesi prendere un taxi e pagare con carta è la norma, da noi sembra essere ancora un esercizio difficile e mal digerito dalla categoria. Categoria per altro affetta da ben altre problematiche ben piu serie, come ad esempio il costo ed il numero delle licenze.</p><p>In questo caso una valutazione in merito alla fruibilità del servizio sarebbe più che giustificabile a fronte anche dei malumori della categoria.</p><p>Rimane l’obbligo di pagamento elettronico sopra una certa cifra, in questo caso vi è si una contrazione di un certo grado della libertà individuale che però serve a correggere comportamenti lesivi della comunità. Riduzione che non preclude la capacità di acquisto ma ne vincola le modalità, un vincolo olonomo che comunque non pregiudica l’esercizio del diritto del soggetto di comprare quello che vuole nei termini consentiti dai vincoli imposti dalla legge.</p><p>Un altro cinema è invece legato alla tracciabilità: non volere che il “governo” (entità alquanto astratta in tali ragionamenti) sappia tutto quello che faccio.</p><p>Esisterebbe un fantomatico anelito libertario che porterebbe a voler rinunciare alle forme di pagamento elettronico in nome di una ipotetica invisibilità al sistema.</p><p>Curiosamente queste grida vengono da chi usa cellulari e social media per comunicare, e già qui si potrebbero chiudere le questioni.</p><p>In realtà la questione è ben più seria e limitarla ai pagamenti elettronici è semplicemente ottuso. La questione del tracciamento delle nostre attività appartiene, infatti, ad un dominio molto più ampio di cui, paradossalmente, l’uso delle transazioni elettroniche legate ai micropagamenti è largamente ininfluente.</p><p>Invece che presentare sterili battaglie sul tracciamento dei POS sarebbe opportuno mettersi a discutere più seriamente di quali siano i dati che lasciamo in giro e come questi vengano usati e gestiti, ivi compreso dai governi e dalle istituzioni pubbliche. Il millantato rischio di cui spesso si legge di “ricatto” informatico una volta che tutti i pagamenti siano legati al POS è in realtà già largamente utilizzabile in altri ambiti molto più efficaci. La nostra dipendenza da una, mal disegnata, digitalizzazione è infatti molto più ampia di quello che molti percepiscono.</p><p>Non per colpa, ma spesso per non conoscenza dei termini tecnologici di cui si parla.</p><h2 class="wp-block-heading">Conclusione</h2><p>Sarebbe carino, “<em>semel in anno</em>“, che su questioni cosi strettamente tecniche si instaurasse una discussione non ideologica ma concreta. Sicuramente non su Twitter, ove la concretezza è, nella maggior parte dei casi, mera chimera, ma almeno su canali più tradizionali. Purtroppo mancano gli elementi su cui fare valutazioni concrete e spesso il punto di vista presentato presenta evidenti falle logiche e concettuali che impediscono un fruttuoso confronto.</p><p>Il risultato è che si parla di POS come del Grafene nei sieri o della forma della terra. </p><p>Vedo il lato positivo, molti commenti sono esilaranti 🤣</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="164" height="291" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/io1.jpg?resize=164%2C291&ssl=1" alt="" class="wp-image-130559" data-recalc-dims="1"/></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-73366781050005029742022-12-02T21:00:00.000+01:002024-02-13T11:40:15.073+01:00la pecora e il vaccino<p>Cari “amici” novax e complottisti\negazionisti pandemici, pur essendomi ripromesso di non parlare di vaccini, pandemie e cose assortite ne sul blog ne su social che non siano uno specifico twitter account mi permetto qui stasera, è venerdì, un paio di sconfortate considerazioni</p><p>Mi rendo conto che su Twitter, per la natura stessa del media, la forzatura, l’iperbole e l’ironia sono le cifre stilistiche principali della comunicazione, ed io ne sono un caldo fautore. Ma anche la seriosità di chi non capisce, l’offendersi di chi non comprende, l’incazzarsi di chi non ha argomenti sono diffuse in maniera capillare e su questo sono meno incline e tendo a diventare più sarcastico.</p><p>Conosco la dinamica e limito le interazioni a ciò che mi diverte, considerando la piattaforma poco adatta a ragionamenti complessi. Questo comporta anche il commentare post pubblici che ritengo decisamente sopra le righe.</p><p>Ultimamente, ripensandoci, c’è una cosa che mi disturba, questa mania dei novax di chiamare “pecora” chi ha fatto la scelta consapevole di vaccinarsi contro il covid.</p><p>Chiariamoci subito non sono complottista ne negazionista, non ritengo che il vaccino sia un “siero” malefico gestito da satanisti, e trovo queste posizioni francamente ridicole. </p><p>In linea di massima però, ritengo che una persona possa anche decidere di non vaccinarsi a fronte di considerazioni rischio\beneficio personali. Non stò parlando della posizione dei Novax tout court, ma su specifici vaccini posso anche capire che uno faccia scelte personali diverse dalle mie. </p><p>Certo se la motivazione sono le nanostrutture create col grafene, o la modifica del DNA dubito si possa parlare di scelte razionali, ma come accetto che esistano i terrapiattisti e i complottisti più vari, prendo come soggetti anche questi, portando il tutto nell’ambito del folclore.</p><p>Fuori da quelle motivazioni “surreali” la scelta di vaccinarsi è legata a 2 elementi il beneficio associato alla vaccinazione e il relativo rischio associato. </p><p>Si perchè è innegabile che un rischio vi sia, non conosco farmaco che non abbia controindicazioni, ma anche attraversare la strada presenta un rischio. Tutta la vita è composta da assunzioni di rischio che dobbiamo poter valutare.</p><p>Utilizzando fonti <strong>credibili </strong>ed in base alle nostre conoscenze la assunzione del rischio è una valutazione che si fa e che può essere condivisibile o meno. </p><p>Personalmente ho valutato che, alla luce delle mie competenze e delle informazioni che avevo in mio possesso, i benefici della vaccinazione fossero superiori ai rischi. Si può non concordare su questa scelta, ma, nel caso si voglia poi esprimere un commento negativo in merito, occorre argomentare la cosa con dati reali, considerazioni serie e valutazioni sensate. Se si scivola nel complottismo senza limitismo non si pretenda da parte mia che si usino metriche comunicative che non siano quelle dello sfottò.</p><p>Quello che non capisco è perchè una valutazione “morale” ossia di definizione buono o cattivo, debba essere associata a questa scelta razionale.</p><p>La sola idea che qualcuno definisca “pecore” coloro che hanno fatto la scelta di vaccinarsi denota un approccio diametralmente opposto a quello che ho descritto, non fosse altro che si “pensa” (il virgolettato è voluto) che la controparte non sia in grado di fare una scelta ragionata. Eppure raramente (o quasi mai) vengono proposte argomentazioni che non scivolino sul fonti non riferibili o non controllabili, approcci alla matematica ed alla statistica imbarazzanti (se non sapete cosa sia una correlazione evitate di parlarne o mostrare grafici) o valutazioni morali non si capisce bene collegate a cosa.</p><p>Certo può essere che la mia valutazione sia stata errata, ma al contrario di quello che pensate è frutto di una analisi concreta e non di una accettazione irrazionale. La pecora, nella vostra accezione, invece e chi segue le indicazioni senza avere un approccio critico.</p><p>Orbene quali strumenti avete per determinare che la mia scelta non sia stata una scelta ragionata? Solo il fatto che è diversa dalla vostra? E nel caso siete in grado di mostrare evidenze che non siano la rappresentazione di un vuoto cognitivo ed un approccio fideistico a teorie che non hanno supporto altro se non “il mondo sbaglia e solo noi sappiamo”?</p><p>Se manca questo componente non può esserci confronto perché mancano le basi del confronto stesso, se vi si chiede il dato è perchè è su quello che è stata fatta una scelta e su quello che si deve discutere. Altrimenti si cade nel fideismo e nel complottismo che tutto giustifica e tutto valida, perché la fede diventa metro di interpretazione del reale indipendentemente dalla realtà.</p><p>Intendiamoci so che su twitter non si può arrivare a tanto, ma concedetemelo preferisco essere una pecora senziente che un “libero” ottuso.</p><p>con affetto</p><p>Vostro robot grafenico, 5g-ista, sanguemaionesatonero, sierigenicomutante, globuloimpilato, pluri reazioneavversato nonché satanic idiot NWO sheep “dittaturasanitaria” servant</p><figure class="wp-block-image"><img decoding="async" src="https://abs-0.twimg.com/emoji/v2/svg/1f602.svg" alt="😂" title="Faccina con lacrime di gioia"/></figure><figure class="wp-block-image"><img decoding="async" src="https://abs-0.twimg.com/emoji/v2/svg/1f923.svg" alt="🤣" title="Faccina che ride a crepapelle"/></figure><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="164" height="291" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/io1-1.jpg?resize=164%2C291&ssl=1" alt="" class="wp-image-130566" data-recalc-dims="1"/></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-38858196599085949292022-12-02T18:02:00.000+01:002024-02-13T11:40:15.201+01:00The email files: se 40000 in blocklist vi sembran pochi<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="900" height="506" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/The-email-files-40k.jpg?resize=900%2C506&ssl=1" alt="" class="wp-image-130921" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/The-email-files-40k.jpg?resize=1024%2C576&ssl=1 1024w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/The-email-files-40k.jpg?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/The-email-files-40k.jpg?resize=768%2C432&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/The-email-files-40k.jpg?w=1280&ssl=1 1280w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /></figure><p>Vabbeh giusto un paio di giorni fa mi son trovato a discorrere di una richiesta di un SOC di mettere 40000 domini in una email-blocklist. </p><p>Ho cercato di spiegare che la cosa non ha senso, ma ho trovato una certa rigidità in merito. </p><p>Poi mi sono soffermato un attimo e mi son chiesto: io parlo di sicurezza, ma loro? </p><p>E mi son ricordato di quando cercavo di spiegare che mettere miliardi di regole su di un firewall dimostra solo di non aver capito come si configura un firewall per fare security 😂😁😎<br />Che faccio quindi? un update dell’articolo sotto per mettere alcuni punti in chiaro 🙂</p><figure class="wp-block-embed is-type-wp-embed is-provider-the-puchi-herald-magazine wp-block-embed-the-puchi-herald-magazine"><div class="wp-block-embed__wrapper"><blockquote class="wp-embedded-content" data-secret="5pTkJEKvdf"><a href="https://thepuchiherald.com/the-email-files-blocklisting-la-sottile-arte-di-farsi-del-male-da-soli/">The email Files: Blocklisting, la sottile arte di farsi del male da soli</a></blockquote><iframe class="wp-embedded-content" sandbox="allow-scripts" security="restricted" style="position: absolute; clip: rect(1px, 1px, 1px, 1px);" title="“The email Files: Blocklisting, la sottile arte di farsi del male da soli” — The Puchi Herald Magazine" src="https://thepuchiherald.com/the-email-files-blocklisting-la-sottile-arte-di-farsi-del-male-da-soli/embed/#?secret=gwEQBYBwaM#?secret=5pTkJEKvdf" data-secret="5pTkJEKvdf" width="600" height="338" frameborder="0" marginwidth="0" marginheight="0" scrolling="no"></iframe></div></figure><p><a href="https://thepuchiherald.com/the-email-files-blocklisting-la-sottile-arte-di-farsi-del-male-da-soli/" target="_blank" rel="noreferrer noopener">https://thepuchiherald.com/the-email-files-blocklisting-la-sottile-arte-di-farsi-del-male-da-soli/</a></p><h2 class="wp-block-heading">Blocklisting: un falso senso di sicurezza</h2><p>Per qualche oscuro motivo una buona parte degli operatori di sicurezza informatica è convinta che gli attaccanti siano essenzialmente degli stupidi e che compiano azioni che riconoscerebbe anche un bambino.</p><p>Non riesco a spiegarmi in altro modo la propensione alle liste di blocco, sopratutto quando queste contengono decine di migliaia di entry.</p><p>Bloccare delle entry (tipicamente Indirizzi IP o domini) che sono già state individuate come malevoli è un po come chiudere le porte della stalla dopo che ne sono fuggiti gli animali.</p><p>Se pur vero che in minima parte certe entry, solitamente legate al perdurare di un attacco, possono essere attive, questo non è per sempre. Ma questo lo avevo spiegato in precedenza.</p><p>In compenso la gestione di liste gargantuesche comporta diversi problemi, sia prestazionali che di gestione vera e propria.</p><p>Che sia un email security gateway o un firewall tenere un approccio statico ai filtri raramente denota competenze specifiche nella sicurezza informatica.</p><div class="wp-block-image"><figure class="alignright size-full is-resized"><img loading="lazy" decoding="async" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/manager-complain-worker-vector-illustration-business-cartoon-concept-94838961.jpg?resize=368%2C307&ssl=1" alt="" class="wp-image-130923" width="368" height="307" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/manager-complain-worker-vector-illustration-business-cartoon-concept-94838961.jpg?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/manager-complain-worker-vector-illustration-business-cartoon-concept-94838961.jpg?resize=300%2C250&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/manager-complain-worker-vector-illustration-business-cartoon-concept-94838961.jpg?resize=768%2C640&ssl=1 768w" sizes="(max-width: 368px) 100vw, 368px" data-recalc-dims="1" /></figure></div><p>Detto questo è sempre possibile che vi siano obblighi provenienti da sorgenti che non hanno nessun affinità con la materia, e quindi questo approccio diventa “necessario” alla sopravvivenza.</p><p>I motivi possono essere vari: “legali” o “politici” ma sicuramente non tecnici. </p><blockquote class="wp-block-quote"><p>Ma proprio per questo difficilmente contestabili, mancando le basi minime di comprensione del fenomeno da parte di chi esegue la richiesta.</p></blockquote><p>Quindi assumiamo che sia necessario, ancorché non sensato, dover implementare sui nostri sistemi statiche, stupide, chilometriche ed inutili liste di blocco. Dobbiamo in qualche maniera essere in grado di sopravvivere alla cosa. </p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="350" height="263" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/deja_q_hd_046_resized_6484.webp?resize=350%2C263&ssl=1" alt="" class="wp-image-130922" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/deja_q_hd_046_resized_6484.webp?w=350&ssl=1 350w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/12/deja_q_hd_046_resized_6484.webp?resize=300%2C225&ssl=1 300w" sizes="(max-width: 350px) 100vw, 350px" data-recalc-dims="1" /></figure><h2 class="wp-block-heading">Come sopravviverci?</h2><p>Pur essendoci su internet diversi servizi di RBL mi soffermo qui sulla esigenza, prima espressa, di soddisfare una richiesta di implementare delle liste di blocco chilometriche all’interno del nostro servizio di sicurezza e non accedere a servizi pubblici di RBL.</p><p>Innanzi tutto è necessario ricordare che queste liste sono spesso un inutile accozzaglia di vecchie referenze che poco hanno a che fare col threat landscape corrente, occorre quindi NON affidarsi a queste ultime come unica sorgente di protezione.</p><p>In secondo luogo occorre prepararsi ad avere eventuali falsi positivi, nel malaugurato caso che domini legittimi utilizzati in attacchi finiscano in queste liste che probabilmente non sono sempre aggiornate.</p><p>In terzo luogo occorre che il security gateway che usiamo sia capace di processare queste liste anche in termini di consumo di risorse.</p><p>Il problema è presentato proprio dal fatto che spesso queste liste non sono legate a domini, IP o risorse web usate solo da criminali, ma anche da soggetti legittimi. In questo caso se le liste non sono aggiornate dinamicamente con una certa frequenza rischiamo di bloccare risorse lecitamente usate con le problematiche del caso.</p><p>La cosa è nota da anni, ed è il motivo alla base della diminuzione dell’uso delle RBL come strumento di filtro per meccanismo di analisi più efficienti (come ad esempio la reputazione dinamica delle risorse).</p><p>Le Real-time blackhole list (RBL) note anche come DNS Block List (DNSBL) sono generalmente liste pubbliche che raccolgono domini o IP che hanno una reputazione come emettitori di email illegittime (spam o peggio). Molti servizi su internet offrono questo tipo di liste ma, per mantenersi decentemente aggiornate, di solito non amano che un singolo utente richieda il blacklisting di un numero molto elevato di voci.</p><p>Bloccare un dominio tramite una risorsa pubblica potrebbe generare anche possibili conflitti legali, da qui la attenzione dei gestori di DNSBL alle entry e anche al delisting.</p><p>Ma cosa dobbiamo fare, quindi, se qualche illuminato della sicurezza ci chiede di caricare decine di migliaia di entry sui nostri sistemi?</p><p>La soluzione potrebbe essere legata alla creazione di una RBL interna. </p><p>Sebbene si possa implementare una RBL attraverso un normale DNS server per motivi di performance e di amministrazione è meglio orientarsi a software specifici.</p><h2 class="wp-block-heading">RBL vs Filtri al gateway</h2><p>La domanda potrebbe essere: perchè non implementare direttamente un filtro al gateway invece di usare risorse esterne?</p><p>Ci sono alcuni ottimi motivi per evitare l’approccio diretto al gateway di cui citerò solo 2 banali ed ovvi:</p><ul><li>Performance</li><li>Amministrazione</li></ul><p>Per quello che concerne le performance, difficilmente i security gateway moderni nascono per ospitare liste con diverse migliaia di voci. la ragione è che sono disegnati per fare sicurezza in maniera dinamica, e quindi servizi e risorse sono ottimizzati a quello scopo.</p><p>Dal punto di vista amministrativo, analogamente, a meno che non si disponga,come si diceva in precedenza, di un software specifico la gestione di queste liste è manuale e spesso complicata.</p><p>Utilizzare un software specifico per la gestione delle liste di blocco invece consente di aggirare i due problemi visti sopra demandando al security gateway la sola chiamata di controllo alla RBL.</p><h2 class="wp-block-heading">Concludendo?</h2><p>Pur rimanendo convinto che un approccio basato su interminabili block list sia fondamentalmente errato sotto <strong><em>qualsiasi </em></strong>punto di vista, se proprio non puoi fare a meno di implementare una stupidata di questo tipo cerca la via meno dolorosa:</p><ol><li>Implementa una RBL o DNSBL interna con cui può parlare il tuo Gateway</li><li>Gestisci periodiche verifiche delle entry per evitare che vi possano essere problemi di falsi positivi e legali.</li></ol><p>Vediamo se è l’ultima volta che scrivo di queste cose 😂😎🤣<br /><a href="https://www.linkedin.com/feed/hashtag/?keywords=security&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A7004031674225209344">#security</a> <a href="https://www.linkedin.com/feed/hashtag/?keywords=email&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A7004031674225209344">#email</a></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-91404256811275394632022-11-16T22:08:00.000+01:002024-02-13T11:40:15.330+01:00Ci aspetta una lunga campagna elettorale<blockquote class="wp-block-quote"><p>“Abbiamo finito le elezioni e finalmente i toni diventeranno accettabili e il nuovo esecutivo, a fronte di una situazione difficile dal punto di vista geopolitico ed economico, potrà concentrarsi su priorità ben definite.”</p><cite>unknown</cite></blockquote><p>Davvero?</p><p>In realtà io credo che ci aspetta un lungo periodo di campagna elettorale, quindi rassegnamoci a certi toni e grida e a scelte che non sembrerebbero prioritarie. </p><p>Le ragioni sono connesse alla composizione delle forze in campo, sia dal lato dell’esecutivo e la sua maggioranza, che dal lato della opposizione.</p><p>Se da un lato, infatti, le opposizioni necessitano di visibilità (e FdI ha insegnato che più si grida più si è apprezzati) dall’altro nel governo la lega e Salvini hanno bisogno di recuperare il terreno perso partecipando ai governi precedenti. </p><p>Il peso di questa permanenza ha avuto un riflesso elettorale evidente nei numeri, ed un calo nell’appeal di Salvini sul sulla sua base elettorale. Evidentemente però, internamente alla lega, pur con malumori e distinguo, nessuno ha ancora la forza politica di sostituire Salvini, cui va riconosciuto di aver creato attorno alla sua figura un culto della personalità e dell’uomo forte (si pensi al soprannome che è stato creato ad arte dai suoi esperti di comunicazione) che ha attirato molti elettori.</p><p>Il risultato delle elezioni ha visto parte dell’elettorato leghista muoversi verso Fratelli di Italia che essendo all’opposizione aveva mano più libera nel fare proclami e grida, cosa che, però, in qualche modo vincolerà le sue prossime scelte.</p><p>Per la Lega la questione è ardua, non essendo all’opposizione la unica strada è alzare i toni per far vedere al suo potenziale elettorato (confluito in parte in FdI) il “valore” che non è stato percepito. E la necessità di evidenziare la presenza nell’ennesima compagine governativa la propria immagine pur non creando problemi all’esecutivo.</p><p>Da qui i cavalli di battaglia soliti, con post ed esclamazioni varie, elementi di trionfalismo e populismo puerile. La presenza su twitter della lega, in questo momento, è poco diversa da quella che si aveva in campagna elettorale, si differenzia non per gli argomenti ma per i toni trionfalistici con evidente autoattribuzione. </p><p>Anche le strizzate d’occhio filoputiniane della lega assolvono a questa esigenza in contrapposizione, per altro diretta, a FdI. Una serie di distinguo che serve a marcare il territorio per la sopravvivenza elettorale futura.</p><p>Esiste quindi, all’interno della maggioranza, una esigenza di competere sullo stesso elettorato di riferimento per recuperare o mantenere posizione. Esigenza che va espressa con azioni che diano visibilità e soddisfazione ad alcune aree del loro elettorato di riferimento che, in larga parte, si sovrappone.</p><p>A riprova di ciò sia lega che FdI si contendono ancora le simpatie dell’elettorato novax ed in area di complotto che, pur essendo minoritario, ha un notevole volume comunicativo. </p><p>Certe leve assolvono alla esigenza di avere dei moltiplicatori di comunicazione sopratutto nei social, dove le bolle di comunicazione create dagli algoritmi usati, permettono di amplificare certi messaggi su elettorati ben precisi.</p><p>Questo comporterà una certa radicalizzazione della comunicazione e guiderà alcune scelte dell’esecutivo, come ad esempio i riferimenti alla pandemia o all’immigrazione, canali di sicuro appeal e facilmente spendibili nei social. </p><p>Abbiamo quindi da un lato l’opposizione che deve fare campagna elettorale interna per recuperare consensi e mantenere visibilità, dall’altro due delle 3 compagni al governo che hanno necessità di continuare la campagna elettorale per gestire i movimenti interni. </p><p>La posizione di Forza Italia, in questo momento, rimane defilata, probabilmente a causa della necessità di sistemare le cose in casa propria sapendo che, probabilmente, hanno raggiunto il minimo della loro base elettorale e che sotto difficilmente possono scendere. Il problema di FI non risiede nella possibilità di perdere voti nei confronti di Lega o Fratelli di Italia, ma da come si muoverà e ridefinirà la opposizione. L’identità centrista di FI è infatti l’elemento di distinzione forte rispetto ai due alleati di governo.</p><p>Sarà interessante vedere quale sarà la nuova anima del PD, se prenderà una identità sua o rimarrà un coacervo di istanze anche antitetiche senza avere la capacità di sintesi politica che aveva, ad esempio, la vecchia democrazia cristiana.</p><p>A momento è una scatola “vuota” che aspetta di avere contenuti, quindi al momento si rimane alla genericità di una opposizione di facciata. Del resto la mia impressione è che tutta la campagna elettorale improntata al “loro sono il peggio” nei confronti della compagine che ha vinto fosse l’unico legame interno che unisse le varie anime del PD.</p><p>In questo senso il movimento 5 stelle ha gioco più facile potendo esprimere con meno vincoli posizioni anche più rigide (dualmente a quello che fece fratelli di italia quando era all’opposizione) e strizzare l’occhio anche alle posizioni più filorusse (in diretta concorrenza alla Lega).</p><p>Se il “terzo polo” “centrista” riuscirà ad assumere una valenza politica di riferimento tale da attirare consensi a destra (principalmente in area FI) probabilmente vedremo anche la terza componente dell’esecutivo aumentare la pressione comunicativa. Forse le elezioni regionali, in questo senso, potranno darci indicazioni. certo che i movimenti, ad esempio, in lombardia indicano nell’elettorato di centrodestra un loro target di riferimento.</p><p>Il risultato della situazione corrente è che non è difficile immaginare che ci sarà una polarizzazione ulteriore e un inasprimento dei toni comunicativi tra i vari soggetti coinvolti, recuperando anche argomenti che sembravano “chiusi”. </p><p>Questo perché su alcuni temi importanti, come quelli economici, occorrerà fare scelte non completamente allineate alle promesse elettorali e quindi, in virtù delle esigenze di visibilità, si punterà comunicativamente ad altro.</p><p>Anche perchè tali polarizzazioni sono più facilmente spendibili sia a livello di social media che di “giornalismo politico”</p><p>Vedremo.</p><p></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-54095346345612508372022-11-14T18:25:00.000+01:002024-02-13T11:40:15.457+01:00Un anno vissuto turbolentamente<p>Si può fare un resoconto dell’anno anche se siamo solo a 14 Novembre? E perchè no?</p><p>Innanzi tutto volevo chiedere scusa a chi si fosse chiesto che fine avevo fatto, ma è stato un anno intenso sotto diversi punti di vista: personali, lavorativi e familiari. Ho ridotto sensibilmente la mia presenza qui per motivi di sopravvivenza, metto nei buoni propositi di ritornarci.</p><p>Un anno difficile. Iniziato sotto il segno dalla pandemia della guerra e del cancro per passare alle bollette stratosferiche, ai danni del maltempo, ai problemi di salute in famiglia, fino alle ultime dolorose ma tragicomiche problematiche di salute non posso dire di aver amato quest’anno in maniera particolare.</p><p>Ma, pur nell’ombra una luce si deve vedere, e quindi ho avuto anche soddisfazioni, cose che sono migliorate anche oltre le aspettative ed altre che, col senno di poi, potevano andare peggio.</p><h3 class="wp-block-heading">Dove sono stato?</h3><p>Se la scrittura di un testo lungo mi era diventata estremamente onerosa ho trovato consolazione in twitter dove la mia vena di ironia perniciosa ha casa più consona. Li ho scoperto un mondo divertentissimo tra complottismi, egotismi, e ironia assortita volontaria e non.</p><p>mi è servito per affinare la capacità di far ironia e sarcasmo in pochi caratteri, cosa che per uno che è naturalmente prolisso come me è sicuramente un utile esercizio.</p><p>Ovviamente poi essendo il 2022 sempre il 2020-2 è arrivato Elon a rendere il tutto più interessante portando il cinguettatore sull’orlo forse dell’oblio. 🤣</p><h3 class="wp-block-heading">Cosa ho imparato (se ho imparato qualcosa)</h3><p>Chi mi conosce sa che anche nelle peggiori delle situazioni preferisco la levità di un sorriso alla pesantezza della seriosità.</p><p>Devo dire che ho riscontrato, per l’ennesima volta, che questa cosa spesso e volentieri si scontra con una idea di serietà che è tutta nella forma e non nel contenuto. Non che la cosa mi disturbi, anzi, mi diverte.</p><p>E, ancora una volta, ho trovato riscontro al fatto che pochi usano i numeri per quello che sono, e le interpretazioni più bizzarre sono sempre a portata di mano. Non devo dare mai per scontato che la persona con cui parlo sia in grado di comprendere una statistica o un grafico: va sempre specificato il contesto, la natura dei dati, e come questi sono rappresentati.</p><p>Ma si sa se cosi non fosse dove sarebbe il divertimento?</p><h3 class="wp-block-heading">Propositi per il futuro</h3><p>Al di la di quello ovvio, sopravvivere, direi che vorrei riprendere a frequentare questi lidi, e riprendere il discorso interrotto con gli Email Files ed espandere il perimetro</p><p>Grazie per l’amicizia che ho raccolto in questi mesi, a presto</p><p>Antonio</p><figure class="wp-block-image"><img decoding="async" src="https://media-exp1.licdn.com/dms/image/D4D12AQEWn8Ws-Xguzw/article-inline_image-shrink_1500_2232/0/1668444773578?e=1674086400&v=beta&t=-PLYTyLja0_wzWBkWEWuOhUhvUUaePerjBqiXEeQX3c" alt="No alt text provided for this image"/></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-74768158894632871332022-11-14T18:21:00.000+01:002024-02-13T11:40:15.584+01:00A year lived turbulently<p>Can you make a resume of the year even if we are only on November 14th? And why not?</p><p>First of all, I wanted to apologize to those who had wondered what happened to me, but it has been an intense year from different points of view: personal, work and family. I have significantly reduced my presence here for reasons of survival; I put in good intentions to return.</p><p>A difficult year. It started under the signs of the pandemic and the war, and then cancer to move on to stratospheric energy bills, to the damage of bad weather, to health problems in the family, up to the last painful but tragicomic health problems. I can not say that I loved this year in a particular way.</p><p>But, even in the shadows, a light must be seen, and therefore I also had satisfactions, things that have improved even beyond expectations and others that, in hindsight, could have been worse.</p><p><strong>Where have I been?</strong></p><p>If writing a long text had become extremely expensive, I found consolation in Twitter, where my vein of pernicious irony has a more suitable home. There I discovered a funny world between conspiracies, egotisms, and assorted sarcasm, voluntary and not.</p><p>It served me to refine the ability to make irony and sarcasm in a few characters, which for someone who is naturally long-winded like me is certainly a useful exercise.</p><p>Obviously, being ” 2022″ always ” 2020-2,” Elon arrived to make everything more interesting, bringing the twitterer on the verge of perhaps oblivion.🤣</p><h3 class="wp-block-heading">What I learned (if I learned anything)</h3><p>Those who know me know that even in the worst situations, I prefer the levity of a smile to the heaviness of seriousness.</p><p>For the umpteenth time, I have found that this thing often clashes with an idea of seriousness that is all in form and not in content. Not that it bothers me; on the contrary, it amuses me. </p><p>Once again, I found confirmation that few use numbers for what they are, and the most bizarre interpretations are always at hand. I must never assume that the person I speak to can understand a statistic or graph: I always specify the context, the nature of the data, and how it is represented.</p><p>But do you know if this were not where the fun would be?</p><h3 class="wp-block-heading">Resolutions for the future</h3><p>Beyond the obvious, survive, I would say that I would like to resume attending these shores, and resume the discourse interrupted with the Email Files and expand the perimeter</p><p> Thank you for the friendship I have collected in recent months, see you soon</p><p>Antonio</p><figure class="wp-block-image"><img decoding="async" src="https://media-exp1.licdn.com/dms/image/D4D12AQEmQi4HBqK5_g/article-inline_image-shrink_1500_2232/0/1668445013823?e=1674086400&v=beta&t=FrGeX_uRGqCUbR5zJ_G-HXKodaGPtc3zlSfiVPJF2hw" alt="No alt text provided for this image"/></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-52015868925525575552022-10-19T19:55:00.000+02:002024-02-13T11:40:15.710+01:00Grafene<p>MI ero ripromesso niente politica neanche geo, niente polemiche pandemiche. ma oggi ho visto un video che parlava di <a href="https://www.linkedin.com/feed/hashtag/?keywords=grafene&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A6988552417059459072">#grafene</a> e non ho resistito:</p><p>Sulle note di tristezza (immensa Ornella Vanoni) … la nuova hit Grafene 😂</p><p class="wp-embed-aspect-4-3 wp-has-aspect-ratio"><a href="https://www.youtube.com/watch?v=cVbK6CkDlTY" target="_blank" rel="noreferrer noopener">https://www.youtube.com/watch?v=cVbK6CkDlTY</a></p><figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-4-3 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper"><span class="embed-youtube" style="text-align:center; display: block;"><iframe loading="lazy" class="youtube-player" width="900" height="507" src="https://www.youtube.com/embed/cVbK6CkDlTY?version=3&rel=1&showsearch=0&showinfo=1&iv_load_policy=1&fs=1&hl=en-US&autohide=2&wmode=transparent" allowfullscreen="true" style="border:0;" sandbox="allow-scripts allow-same-origin allow-popups allow-presentation allow-popups-to-escape-sandbox"></iframe></span></div></figure><p>grafeneee 🎵<br />per favore vai viaa 🎶<br />iniettato a mia ziaaa 🎤<br />la trasformi in robot 🎙</p><p>se ti avvici al 5G puoi star sicuro 🎺<br />presto le antenne cresceran 🥁<br />non sei più umano 🎻<br />ma un soggetto triste e oscuro 🎹<br />che poi si vaccinerà 📯</p><p>la la la la,<br />la la la la la la la<br />la la al la la la<br />la la la la la la la<br />la la la la<br />la la la</p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-2744591346398305092022-04-01T10:30:00.000+02:002024-02-13T11:40:15.834+01:00Ramadan Mubarak<p>As the holy month of Ramadan is approaching, I wish all Muslims a blessed Ramadan full of Health, Wealth, and Joy!</p><p>Ramadan Mubarak / Selamat Berpuasa / رمضان كريم</p><p>#ramadan2022 #ramadan #holymonth</p><figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="2000" height="2000" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/04/ramadan-kareem.jpg?fit=900%2C900&ssl=1" alt="" class="wp-image-130635" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/04/ramadan-kareem.jpg?w=2000&ssl=1 2000w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/04/ramadan-kareem.jpg?resize=300%2C300&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/04/ramadan-kareem.jpg?resize=1024%2C1024&ssl=1 1024w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/04/ramadan-kareem.jpg?resize=150%2C150&ssl=1 150w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/04/ramadan-kareem.jpg?resize=768%2C768&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/04/ramadan-kareem.jpg?resize=1536%2C1536&ssl=1 1536w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/04/ramadan-kareem.jpg?resize=120%2C120&ssl=1 120w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/04/ramadan-kareem.jpg?w=1800&ssl=1 1800w" sizes="(max-width: 900px) 100vw, 900px" /></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-509961096368237482022-03-31T23:24:00.000+02:002024-02-13T11:40:15.966+01:00Atti di fede Razionale - Versione Aggiornata<h3 class="wp-block-heading">O di come si sceglie la parte in cui stare</h3><div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://media-exp1.licdn.com/dms/image/C4D12AQHy7dItfUQLeQ/article-cover_image-shrink_423_752/0/1647372383369?e=2147483647&v=beta&t=1V9uyd4xLXljgeqNfmiab_L_WGqQfwJN5DaHzxkTxxw" alt=""/></figure></div><p></p><ul><li>Vecchio Post -Wednesday, December 10, 2008 da <a href="http://thepuchiherald.com/">Thepuchiherald.com</a></li></ul><p>Curiosamente oggi mi ritrovo a rieditare qualcosa che avevo postato anni fa. E sempre oggi ho mostrato nel mio speech del security summit una slides del 2014. Sembra che ultimamente ritirare fuori vecchi scritti sia utile. Visto che tutto cambia per rimanere uguale almeno si ottimizza la produzione.</p><p>Rispetto alla scrittura originale ci sono dei cambi sostanziali di ambientazione: la pandemia e la guerra (su cui per scelta non scrivo o commento) hanno esacerbato alcune reazioni, mentre le mie vicende personali quali il cancro e non ultimo l’odierno femore rotto di mia mamma 86enne hanno irrigidito certi miei atteggiamenti riducendo sensibilmente la mia notoria tendenza al politcally correct espressa nella mia espressione:</p><figure class="wp-block-pullquote"><blockquote><p>“non penso che sei cretino per le cose che dici, penso che dici quello che dici perchè sei cretino”</p></blockquote></figure><p>Ma torniamo al soggetto del post. La idea è chiedere a me stesso come e cosa muove la mia adesione ad una idea. Cosa mi convince, e quali sono i motivi per cui credo ad alcune cose ed altre no?</p><figure class="wp-block-image"><img decoding="async" src="https://media-exp1.licdn.com/dms/image/C4D12AQEZfphlbnOx_w/article-inline_image-shrink_1000_1488/0/1647380204133?e=1654128000&v=beta&t=BYbsoNsZZefxdH6MR-jOul-4ZKgiGPKBWSHu2elH-pw" alt="No alt text provided for this image"/></figure><h2 class="wp-block-heading">Atti di fede Razionale </h2><p>Sappiamo tutto? Abbiamo sempre tutti gli elementi di scelta e di analisi?</p><p>La risposta purtroppo è no, in un mondo sempre più complesso i nostri strumenti di approvvigionamento delle informazioni sono sempre più disparati ma, contemporaneamente, ci allontaniamo sempre di più dalla sorgente del dato.</p><p><em>Si pensi ad esempio alle informazioni oggi reperibili sui social media, la veridicità della fonte è sempre più complessa. I meccanismi di distribuzione della informazioe sui social, ad esempio, privilegia non la veridicità della fonte ma la contiguità tra il nostro punto di vista e le informazioni che vediamo. Questo comporta due fenomeni interessanti: la radicalizzazine del punto di vista, confortato dal riferimento massivo, e la perdita di interesse al controllo della fonte, in quanto sostituita dal contenuto “massivo” delle conferme che riceviamo. La ragione nasce, chiariamoci, non dal desiderio generico di radicalizzare i punti di vista ma da una semplice esigenza di marketing: farti vedere quello che più facilmente ti attrae per poter vendere lo spazio al committente ad un rpezzo più alto. LA comunicazione “a bolle” dei social media quindi è funzionale ad una chiara esigenza di business: targhettizzare la comunicazione di marketing verso le utenze più ricettive al messaggio. Questo ha comportato effetti collaterali legati a come la informazione gira dentro i social media innescando fenomeni sociologicamente abbastanza noti, dalla adesione al “branco” alla responsabilità condivisa. Tutti fenomeni che, con grande dispiacere dei social media immagino </em>😂<em>, hanno portato ad una fidelizzazione ed adesione alla piattaforma che ha aumentato la capacità attrattiva della piattaforma stessa.</em></p><p><em>Il perdere il contatto con la fonte delle informazioni è stato quindi amplificato con anche l’aumentare delle sorgenti cui raccogliere tali informazioni.</em></p><p>Questa è una costante della esperienza umana, la “realtà” che siamo abituati a vedere non è altro che il frutto di una costante reinterpretazione dei dati che riceviamo, nessuno dei dati della nostra esperienza sensibile è, <em>infatti</em>, diretto, tutti sono mediati.</p><p>Dal punto di vista biologico questa cosa è evidente, il nostro cervello rielabora le informazioni sensoriali e ne da una rappresentazione che forma la nostra percezione del mondo esterno. Questa rappresentazione è, per sua natura, una cosa differente dalla realtà, ma è tramite questa rappresentazione che possiamo interagire con l’ambiente che circonda.</p><p><em>Questo meccanismo è evidente, ad esempio, nella visione. Senza questa “reinterpretazione” non potremmo gustarci le animazioni. Spero che tutti sappiano cosa è un frame-rate e che le immagini che vediamo in TV o al cinema sono costruite sfruttando il fatto che il nostro occhio impiega un certo lasso di tempo per “recepire” una immagine che poi viene interpretata dal sistema visivo, e tale sistema produce la sensazione di moto reintepretando le sequaneze di immagini ricevute. Se non lo sapete allora la questione è più grave del previsto </em>🤣😂<em>.</em></p><p>Se paradossalmente la questione dal punto di vista biologico è chiara ed evidente, lo è meno dal punto di vista della comprensione umana del fenomeno. Il meccanismo di rappresentazione del cervello è tale che si ha la sensazione che ciò che “proviamo” sia la realtà, anche se sappiamo che questa “evidenza” altro non è che una rappresentazione e come tale frutto di una elaborazione.</p><p>Se cambiamo i parametri della elaborazione cambia la realtà? La questione è complessa in quanto la realtà non si limita ad elementi semplici, anzi, nulla nella realtà è semplice.</p><blockquote class="wp-block-quote"><p>Ciò che “è”, “è” e non può non essere.</p></blockquote><p>Su questo sillogismo si basa la maggior parte della nostra logica, la sua evidenza era chiara fino a quando la filosofia naturale (la chiamano scienza oggi come oggi) non ha scoperto che un assunto del genere non è più assoluto.</p><p>Se la filosofia ha iniziato a demolire questo postulato da tempo immemore (esagero lo so, ma immemore mi piace come termine), sono la matematica e la fisica che ne hanno decretato la fine; se da un lato la matematica, ad esempio, si è aperta all’irrazionale (<em>in termini matematici, non in termini psichiatrici</em>🤣 ) con l’introduzione dei numeri omonimi, la fisica con il principio di indeterminazione e poi con il dualismo particella onda ha fatto crollare le nostre certezze…</p><p><em>Chiunque abbia un minimo di infarinatura di filosofia e filosofia della scienza queste cose le avrà, probabilmente, già incontrate.</em></p><p>Purtroppo il mondo moderno ha deciso che si possa egregiamente fare a meno di logica e filosofia, come se queste servissero non a darci strumenti di analisi del reale ma fossero oggetti campati per aria ad uso di gente che non ha niente da fare di concreto, e quindi siamo rimasti privi di quegli strumenti basilari che ci consentano di gestire una dicotomia in cui il mondo rifiuta il principio di non contraddizione mentre noi non siamo capaci di pensare senza di esso.</p><blockquote class="wp-block-quote"><p>La realtà non è ciò che percepisco, ma non lo capisco</p></blockquote><p>Il risultato di questo buffo paradosso è che di fatto adottiamo strumenti di analisi logica (<em>non parlo di quella di analisi del testo</em>) inadatti a descrivere la condizione attuale di una realtà che sembra non rispettare le nostre leggi mentali<em>.</em> <em>Il</em> risultato si riflette in un atteggiamento che vincola la nostra esperienza ad atti di fede che ci consentono di interpretare cosa stiamo provando senza esserne sopraffatti.</p><p>In realtà il meccanismo di accettazione fideistica degli strumenti di interpretazione è alla base del nostro processo naturale di apprendimento, nessuno pensa (o dovrebbe pensare) di poter gestire, tramite l’analisi empirica, tutto lo scibile che è costretto a processare per la costruzione del modello della realtà che lo circonda.</p><p><em>Impariamo dai genitori, a scuola, in contesti sociali, sul lavoro. E da questi apprendimenti, anche per emulazione e desiderio di integrazione, formiamo sostanzialmente il nostro bagaglio di verità e costrutti morali ed etici. Bagaglio cognitivo che ci occorre per interpretare, capire, la realtà complessa che ci circonda.</em></p><p>Tutte le volte che affrontiamo un problema partiamo da due posizioni distinte: o non ne sappiamo nulla e, <em>forse</em>, cerchiamo di informarci, o abbiamo già un preconcetto e cerchiamo di confrontare il problema con tale strumento.</p><p>[nota dell’autore, per preconcetto si intende una idea, modello, interpretazione dell’evento fatta a priori e basata sulle nostre precedenti attività o conoscenze]</p><p>[nota dell’autore: non sapere nulla di un argomento non significa sapere di non sapere dell’argomento. I meccanismi associativi per “similarità” spesso ci danno l’imprressione di conoscenza anche su argomenti di cui non sappiamo nulla.</p><p>In realtà entrambi i meccanismi presuppongono che noi si abbia già una serie di dati esperienziali da cui partire, e questi dati sono essi stessi frutto di preconcetto o comunque di rielaborazioni. La imparzialità è una utopia legata al fatto proprio che la nostra esperienza è parziale. Ma questo è nella natura umana, e l’accettazione di tale meccanismo dovrebbe portare allo sviluppo di strumenti di analisi critica della realtà nella forma che vediamo.</p><h3 class="wp-block-heading"><em>Quindi?</em></h3><p>Il problema nasce dal fatto che, in mancanza di modelli cognitivi diversi, ci troviamo a fare delle scelte di accettazione “fideistica” dei parametri di costruzione del modello della realtà. Sono scelte di fede razionale, nel senso che accettiamo per vero un dato in funzione della analisi, più o meno razionale, che facciamo della sua sorgente. Una volta accettato il dato questo diventa postulato della nostra interpretazione della realtà, fino a che non abbiamo la possibilità e la volontà di metterlo in discussione.</p><p>Parole inutili? Filosofia spicciola? Forse si, ma se facciamo mente locale a come noi costruiamo il mondo che ci circonda ci dobbiamo per forza confrontare con il fatto che dobbiamo credere a qualcuno o a qualcosa.</p><blockquote class="wp-block-quote"><p><strong><em>Il reperimento delle informazioni: è vero perché’ ci credo</em></strong></p></blockquote><p>Non potendo vivere in un relativismo assoluto (che, se vogliamo, essendo un assoluto non è relativo) quando siamo di fronte ad un dato lo processiamo come vero o falso in funzione della fiducia che associamo alla fonte che ce lo tramette. Spesso questo atto di fede è inconsapevole, il media o l’habitus culturale in cui viviamo ci portano a fare questa scelta.</p><p>I primi media che ci danno questa sensazione sono i nostri sensi ed il linguaggio. Noi crediamo vero quello che vediamo perché ci fidiamo dei nostri occhi, poco importa il fatto che dovremmo sapere tutti che i nostri “occhi” non vedono la realtà ma la interpretano.</p><p>L’errore visivo è tanto comune quanto non considerato dalla maggior parte della popolazione, anche in ambiti estremmente delicati, si pensi all’uso dei “testimoni oculari” in indagini e processi. Considerati comunemente affidabili sono in realtà spesso in errore.</p><p>Il problema non è, in molti casi, la buona fede, ma il fatto che le attività di processo dell’immagine e le successive elaborazioni (dalla costruzione stessa nel cervello della immagine, che deve per sua natura ridurre la quantità di dati processati tramite assunzioni esperienziali precedenti, alla sua gestione e ricostruzione mnemonica che alterano le “immagini” a causa di referenze ed inferenze di dati esterni e interni) possono portare a Bias non indifferenti rendendo il tasso di errore estremamente alto.</p><p>Cosi come la vista anche il linguaggio ci guida nella scelta di chi fidarci e che dati siamo in grado di processare, se non capiamo una fonte la consideriamo inaffidabile, la “comprensione” linguistica diventa quindi un elemento di discernimento tra il vero ed il falso. Quando si parla di linguaggio dobbiamo fare lo sforzo di considerare l’aspetto sia sintattico che semantico. La questione non è ininfluente, uno dei problemi fondamentali di chi si occupa di information tecnology e security è proprio la assenza di strumenti linguistici da parte dei non addetti ai lavori cui l’IT o <em>la security</em> si <em>rivolgono</em>. Il risultato di tali incomprensioni (più o meno coscienti) porta, ad esempio, alla endemica incapacità di fare calcoli di ROI reale in ambiente informatico, o alla deprimente mancanza di sviluppo di sistemi di organizzazione aziendale che siano confacenti alle possibilità delle nuove tecnologie.</p><p><em>La questione linguistica non è quindi secondaria alla credibilità. Quando parliamo con un Board o semplicemente col nostro capo saremo più efficaci quanto più sapremo creare un ponte tra quello che vogliamo dire e le capacità linguistiche del destinatario. Si tenga presente che le capacità linguistiche sono legate al linguaggio “tecnico” utilizzato negli ambiti specifici. Tutti i gruppi al loro interno tendono ad usare linguaggi autoreferenziali costruiti su esigenze in parte tecniche ed in parte di appartenenza. Il ponte linguistico (la divulgazione) è spesso uno degli elementi mancanti nella comunicazione tra gruppi che appartengono a lingue tecniche diverse. Questo è fondamentalmente il motivo per cui chi si occupa di sicurezza fa fatica a parlare e capire chi si occupa di legge, IT o finanza e viceversa. E, come si diveva prima, se non ci si capisce non ci si “crede”.</em></p><p>Credere a qualche cosa diventa un atto di fede sempre più forte man mano che aumenta la complessità del problema e della analisi che facciamo di esso. Durante gli studi ci fidiamo dei libri di testo, e questi ci portano a rappresentare la realtà in funzione di quello che abbiamo imparato. Questo significa, fondamentalmente, che la nostra percezione del vero è legata a quanto ci fidiamo della sorgente dei dati o del modello che utilizziamo <em>sin dall’inizio della nostra esperienza cognitiva e di apprendimento</em>. Alla fine noi diamo un valore di verità che non è oggettivo ma legato allo storico delle nostre rielaborazioni percettive <em>e pregressi apprendimenti</em>.</p><blockquote class="wp-block-quote"><p>Non è vero perché vero, ma perché lo ritengo tale in quanto ho, ad un certo livello della analisi, dato per veritieri dati forniti da sorgenti esterne (o interne) a me.</p></blockquote><p><em>Dal momento che non possiamo vivere in una costante sensazione di relativismo cognitivo ed esperienziale tendiamo ad assolutizzare queste “verità” come assiomi o postulati che espandono il bias cognitivo alla base.</em></p><p><em>La assolutizzazione delle verità cosi costruite va dal “abbiamo sempre fatto così” al “ho cose più importanti di cui occuparmi”.</em></p><p><em>La questione ha appassionato i filosofi per secoli, pur senza scomdare Kant e la dicotomia tra fenomeno e noumeno possiamo dire che questi temi hanno una rilevanza cognitiva e culturale non indifferente.</em></p><blockquote class="wp-block-quote"><p>Nella parte conclusiva della <strong>Critica della ragion pratica</strong> leggiamo una delle più celebri pagine di Kant che così recita: <<<em>Due cose riempiono l’animo di ammirazione e venerazione sempre nuova e crescente, quanto piú spesso e piú a lungo la riflessione si occupa di esse: </em><strong><em>il cielo stellato sopra di me, e la legge morale in me</em></strong><em>.</em></p></blockquote><p><em>L’uomo buono o cattivo si distinguono dalla adesione alla legge morale assoluta, che è distinta dalla sfera noumenica in cui l’uomo ha dei limiti (anche, se non altro, quelli percettivi).</em></p><p>In questa ottica si corre però un rischio molto grosso: quando la nostra analisi critica aggiunge un valore morale al concetto di “<strong>vero” </strong>o “<strong>falso”</strong>, <em>conseguentemente</em>, il vero o falso diventano “<strong>buono” </strong>o “<strong>cattivo”</strong>.</p><h3 class="wp-block-heading">Complottisti e debunker</h3><p>Un classico esempio di questa deriva è il <em>dualismo </em>complottista – debunker. In questo confronto entrambe le “fazioni” usano strumenti di analisi della realtà analoghi, ma utilizzano una valutazione diversa della analisi delle fonti dei dati e, quindi, della veridicità delle medesime.</p><p>Il problema è se credere a qualcosa ed a chi credere, in funzione di questi assunti si decide quale sia la realtà. Cosi se da un lato il non credere ad alcune fonti legittima la ricostruzione alternativa, dall’altro proprio il credere alla fonti determina la eventuale accettazione. Volendo trascurare la malafede, e quindi l’interesse a modificare volontariamente le informazioni, le analisi di entrambi sono spesso logiche e razionali, salvo il fatto che non riconoscendo l’uno la veridicità dei dati dell’altro, le conclusioni sono possibilmente antitetiche.</p><p>Introducendo però un fattore di analisi morale alla scelta della veridicità del dato si introduce anche una chiave di lettura tale per cui le due fazioni sono certe della malafede (o stupidità) della controparte proprio per il non volere accettare la evidente veridicità del dato di partenza usato per l’analisi.</p><p><em>In questi termini la “assolutizzazione” delle verità di cui si parlava qualche paragrafo addietro assume un valore critico.</em></p><p>La realtà è che entrambe le parti hanno speso ottimi motivi per dubitare o credere alle fonti da cui fanno partire l’analisi ma i loro modelli di ricostruzione della realtà portano spesso ad un “dialogo tra sordi”.</p><p>Questo meccanismo è evidente sia nelle polemiche complottistiche ma anche, ad esempio, nella realtà politica italiana dove il dato oggettivo non solo non esiste ma viene considerata negativamente (anche dal punto di vista morale) anche l’analisi critica delle fonti (mi ricorda la frase: sei critico del marxismo e quindi fascista).</p><p>L’allontanamento dal confronto dialettico per abbracciare una posizione “fideistica” è però psicologicamente riassicurante. Molto piu semplice è credere alla “cattiveria” o “stupidità” dell’avversario che affrontare lo stress cognitivo della messa in discussione della veridicità delle proprie fonti cognitive.</p><p>L’aumentare della possibilità di accedere ad informazioni offerto da internet ha, nei fatti, accuito questo fenomeno aggiungendovi una pesante atteggiamento antiscientifico, dando spazio ed adito a fenomeni, nella forma piu ludica quali il “terrappiattismo” o in derive piu preoccupanti a posizioni tipo i “no Vax”.</p><p><em>Si noti che qui non si discute della “correttezza critica” di certe posizioni, ma del problema della accettazione fideistiche che appare in molti soggetti in merito a una posizione o l’altra.</em></p><p>L’atteggiamento antiscientifico ha portato con se un radicalismo delle posizioni con un rigetto della analisi critica e storica dell’evento in favore di una presa di parte parziale ma “di branco” e “moralmente pesata”.</p><p><em>Si pensi ad esempio al terrapiattismo (ma andrebbe bene anche la terra cava o i rettiliani). La assunzione di veridicità della affermazione è impervia a qualsiasi critica. In assenza di un modello unitario che speghi la fenomenologia esperienziale di cose come le stagioni o il ciclo “giorno notte”, si creano “modelli” specifici per il singolo punto che giustifichino l’atto di fede iniziale, si aggiungono spiegazioni sul fatto che la controparte, in maniera malevola, nega la verità per ragioni più o meno oscure. Neppure rilevazioni specifiche pseudo scientifiche contrarie smuovono il consolidato derivante dall’assuno iniziale che è una verità assoluta e morale. Il risultato è che se non credi sei o stolto o in malafede.</em></p><p>Le conseguenze piu pericolose di questo modo di interagire con la realtà sono legate alla gestione dei problemi; non affrontando il problema per quello che è ma per quello io “voglio-credo” che sia e rinunciando al metodo scientifico di controllo, di fatto non definisco il problema e quindi non sono in grado di determinare una soluzione se non con atti di “fede” estremi.</p><p>Lo stesso atteggiamento di chiusura si ritrova in tutti i settori, informatica compresa, dove sarebbe opportuno invece cercare di creare modelli di confronto dialettico più aperti invece che chiusure aprioristiche o adesioni talebane. Si pensi a Privacy e GDPR come esempi.</p><p><em>Per capirci la natura del problema è estremamente concreta. Si pensi al fenomeno, comune, del ripetersi degli stessi incidenti di sicurezza informatica presso una azienda. Si potrebbe pensare che imparando dall’incidente si mettano in campo soluzioni e processi per mitigare ed indirizzare il problema. Invece, al di la della estremizzazione della risposta all’attacco (spesso sconclusionata quanto erratica), non si cambiano le assunzioni che hanno portato al problema perchè radicate come “verità” (il famosdo ‘abbiamo sempre fatto così’ non ne è che una esternazione) anche per la incapacità di comunicare tra le varie componenti aziendali vincolate ai loro linguaggi settoriali specifici. E come si diceva all’inizio la verità assume una valenza legata al moduoo comunicativo estremamente forte. Del resto il linguaggio tecnico è vincolato ad assunzioni di verità che ne determinano le caratteristiche.</em></p><h3 class="wp-block-heading">Metodo scientifico? Cosa è?</h3><p>Ma perchè il metodo scientifico viene sempre piu rigettato? Uno dei problemi è una fondamentale incomprensione di cosa sia la scienza. Le scienze, non solo quelle naturali, non forniscono verità ma “spiegazioni” dei fenomeni attraverso la modellizzazione e la ripetibilità. I modelli per essere accettati devono avere, almeno, 3 parametri fondamentali:</p><ol><li>partire da dati di analisi definiti in cui vi sono dati di riferimento, assunzioni di processo e risultati di output</li><li>costruire un modello del fenomeno che elaborando i dati definiti produca risultati <strong>ripetibili </strong>e\o <strong>confrontabili</strong></li><li>Una “peer” review che consenta a soggetti <strong>informati </strong>di analizzare dati, modello ed output evidenziando, se necessario errori e correzioni.</li></ol><p>Ora tutti e 3 i punti sono di difficile applicazione nella vita normale in quanto richiedono, a fronte di un problema, di essere in grado di definirne il contorno (e quindi esercitare una azione critica sulla raccolta e processo dei dati), crearne un modello ( e quindi farsi una idea di cosa succede) e, sopratutto, confrontarsi con “esperti” (e quindi mettere in discussione le proprie assunzioni in un confronto paritetico).</p><p><em>Si noti che sia la modellizazione che il fatto che gli output siano ripetibili e\o confrontabili non coincide con la idea classica del metodo sceintifico per esperimento empirico. Se cosi non fosse quasi tutta la fisica teorica del 900 non sarebbe da considerare scienza. In altre parole il metodo scientifico può anche astrarsi dalla realtà empirica.</em></p><p>Risulta evidente come sopratutto la “messa in discussione dei propri assunti in un confronto paritetico” sia la funzione di attrito maggiore, in quanto richiede che vi sia una posizione non morale sul giudizio della eventuale controparte.</p><p><em>Un approccio non “morale” comporta, Ça va sans dire, assumere che la controparte possa comprendere anche il proprio punto di vista a patto di presentarlo in maniera comprensibile (in comunicazione lo sforzo di adattamento maggiore deve essere da parte del mittente che ha i contenuti trasmissivi). Questo vincolo è spesso evidente quando, ad esempio, gruppi aziendali quali IT, Sicurezza, Compliance e Board si confrontano. Non di rado le discussioni partono con un non espresso “ma voi non potete capire”, mentre sarebbe opportuno partire da un “cerco di capire te e tu cerca di fare altrettanto con me, che magari un punto di incontro si trova”.</em></p><p><em>La sicurezza informatica, mio campo elettivo, soffre profondamente di questi problemi. La mancanza di metodo sceintifico è, nonostante molti si crogiolino nel pensare di essere in ambito STEM, evidente ad esempio nella mancanza di risk management che richiede proprio un approccio scientifico con i 3 punti citati in precedenza. Paradossale che proprio l’ambito ove occorre calcolare dimensioni precise e creare modelli si passi il punto in secondo piano.</em></p><p><em>Ma non solo la sicurezza informatica avrebbe bisogno di una “strigliata”, tutto il nostro modo di gestire la veridicità delle fonti andrebbe rivisto, sopratutto quando la distanza tra la fonte e la informazione è ampia (come nel caso dei social media). E si ricordi che trovare una adesione di branco ad una informazione non è avere una peer review che, invece, richiede un confronto e quindi una messa in discussione degli assunti.</em></p><p>Se si usasse l’approccio scientifico anche nella lettura dei giornali e delle notizie “googlate” probabilmente molte delle cose scritte e lette assumerebbero un valore diverso, ma toglierebbe a molti leoni da tastiera, manager assoluti ed indiscutibili, politici portatori del verbo e economisti del miracolo il terreno su cui traggono le loro fortune.</p><p><em>Ma occorre anche essere concreti, la idea che si possa analizzare tutti i pezzi di informazione cui siamo connessi è improbabile. Biologicamente abbiamo bisogno di semplifficare il flusso informativo che, altrimenti, ci schiaccerebbe. Quindi una certa parte di relativismo quando leggiamo le informazioni e le assumiamo è opportuno. Del resto anche al fonte più credibile potrebbe sbagliare, almeno parzialmente.</em></p><figure class="wp-block-image"><img decoding="async" src="https://media-exp1.licdn.com/dms/image/C4D12AQFgvkgWCV7LxA/article-inline_image-shrink_1500_2232/0/1647380048256?e=1654128000&v=beta&t=9zqAl9UWUyxpD_7otyHM9bI8LsHbqu0RJq-YEH67rCE" alt="No alt text provided for this image"/></figure><p><em>meditate gente meditate 🙂</em></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-36032257767315381232022-03-07T01:18:00.000+01:002024-02-13T11:40:16.099+01:00The email Files: Edizione Speciale- la email ai tempi della guerra.<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="900" height="506" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva1.jpg?resize=900%2C506&ssl=1" alt="" class="wp-image-130617" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva1.jpg?resize=1024%2C576&ssl=1 1024w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva1.jpg?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva1.jpg?resize=768%2C432&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva1.jpg?w=1280&ssl=1 1280w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /><figcaption>Non è un bel momento in generale per il mondo, e questo numero degli “The email files” avrei preferito non doverlo scrivere.</figcaption></figure><p>Ma occorre essere concreti, e così ho deciso di scrivere un numero dedicato al minimo di igiene che occorre implementare per la mail in caso di guerra, o operazione militare speciale. </p><p>Non mi interessa da che parte state, le valutazioni qui espresse sono generali, la sicurezza informatica ha le sue ragioni che sono indipendenti da fedi, credi o appartenenze. Spero quindi che leggiate queste note per quello che sono, semplicemente alcuni consigli per gestire con maggiore sicurezza il media di comunicazione più diffuso ed usato.</p><h2 class="wp-block-heading">Un minimo di contesto.</h2><figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="900" height="506" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva2.jpg?resize=900%2C506&ssl=1" alt="" class="wp-image-130618" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva2.jpg?resize=1024%2C576&ssl=1 1024w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva2.jpg?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva2.jpg?resize=768%2C432&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva2.jpg?w=1280&ssl=1 1280w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /></figure><p>Mentre nei media mainstream per lungo tempo si è sollevata la leggenda dell’hacker solitario, con cappuccio, merendine, e schermo verde, il mondo reale è abbastanza diverso.</p><p>La realtà che muove la sicurezza informatica è molto più complessa, l’hacker solitario è una immagine romanzata e poco credibile. Questo, intendiamoci, non vuol dire che non possano esserci individui particolarmente dotati che lavorano in maniera solitaria, ma che la maggior parte del contesto in cui si muovono i rischi informatici è molto più legato a gruppi organizzati che a tali soggetti.</p><p>Soprattutto in termini di cybercrime e cyberwarfare la presenza di gruppi organizzati è una nozione consolidata tra chi si occupa di questi ambiti.</p><p>Le considerazioni che seguiranno fanno riferimento principalmente alla mail, ma per larga parte sono estendibili ad altri ambiti.</p><p>Il motivo di questa edizione speciale è, di per sé, evidente: siamo, al di là delle sottigliezze linguistiche, di fronte ad uno stato di guerra e questo comporta una escalation di alcune dinamiche che vanno considerate e gestite.</p><h3 class="wp-block-heading">Rischiamo qualcosa?</h3><figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="900" height="506" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva3.jpg?resize=900%2C506&ssl=1" alt="" class="wp-image-130619" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva3.jpg?resize=1024%2C576&ssl=1 1024w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva3.jpg?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva3.jpg?resize=768%2C432&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/Diapositiva3.jpg?w=1280&ssl=1 1280w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /><figcaption>Dovrei dire che le norme di sicurezza minime andrebbero implementate sempre, a prescindere dalle crisi geopolitiche. Ma sono cosciente che chi non si è mai preoccupato della sicurezza delle proprie informazioni e dei propri dati, che non capisce il valore sotteso agli asset digitali, che non ha idea di dove risieda ed in cosa consista la propria proprietà intellettuale possa trovare difficoltà a reagire di fronte all’alzarsi della paura di attacchi che, proprio in quanto non compresi, suonano ancora più spaventosi.</figcaption></figure><p>Allora cerchiamo di fare un poco di chiarezza:</p><p>La posta è ancora il primo vettore di comunicazione in campo entreprise, ed uno dei vettori più diffusi a livello personale. è anche uno degli obiettivi spesso usati per sviluppare attacchi sia in ambito aziendale che personale.</p><p>Le motivazioni sono diverse, ma al lato tecnico si sovrappone il lato umano. Le email sono lette da esseri umani e quindi la vulnerabilità umana è uno dei bersagli di attacco.</p><p>Se lo sfruttamento di tali vulnerabilità in campo criminale assolve a funzioni prettamente di guadagno economico, in tempo di guerra si aggiungono problematiche legate alla disinformazione, spionaggio e anche cyber-warfare.</p><p>In particolare va osservato come la commistione tra attività di cyber warfare e criminali portate avanti da alcuni attori possa spostare, a parità di tecnologia usata, obiettivi e quindi danni. Se un obiettivo economico, tipico del cybercrime, è legato all’acquisizione di soldi ma non alla distruzione della vittima (anzi meglio se si può tornare a batter cassa), uno di warfare può essere invece orientato all’annullamento delle capacità operative del bersaglio.</p><p>Tutto questo non è compatibile con la favoletta dell’Hacker, ma è compatibile con una realtà molto più complessa.</p><p>Anche limitandosi alle notizie apparse recentemente la cosa dovrebbe oramai essere entrata nella comprensione dei più. Qualcuno avrà sentito delle affermazioni del gruppo di cyber-criminali “conti” che ha dichiarato la sua adesione alle azioni russe, mentre il collettivo “anonymous” si è schierato a favore della resistenza in Ucraina.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130621" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>Ora “conti” è una organizzazione che è dedita da anni ad attività di criminalità informatica (principalmente attacchi ransomware) di cui si sapeva ci fossero legami con l’intelligence Russa, ma fin ad ora non c’era stata una dichiarazione esplicita in tal senso da parte di “conti”. </p><div class="wp-block-image"><figure class="alignright size-large is-resized"><img loading="lazy" decoding="async" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/index.jpeg?resize=303%2C166&ssl=1" alt="" class="wp-image-130622" width="303" height="166" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/index.jpeg?resize=1024%2C561&ssl=1 1024w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/index.jpeg?resize=300%2C164&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/index.jpeg?resize=768%2C421&ssl=1 768w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/index.jpeg?w=1280&ssl=1 1280w" sizes="(max-width: 303px) 100vw, 303px" data-recalc-dims="1" /></figure></div><p>“Anonymous” invece è un collettivo di “Hacktivisti” che ha avuto momenti di notorietà nei mainstream anche le attività solte in occidente. All’interno della galassia “Anonymous”, decentrata e non organizzata in termini assoluti, è nota da tempo anche la presenza di gruppi con legami al mondo occidentale, sia stati che organizzazioni “private”.</p><p>La realtà è che la commistione tra gruppi di hacktivism, spesso dediti al defacing, ddos e data exfiltration, cybercriminali, principalmente dediti ad attività di criminalità informatica tipo gli attacchi ransomware, e gruppi dediti al cyber warfare orientati spesso a spionaggio o danneggiamento delle infrastrutture (stuxnet ricorda qualcosa?) è nota da anni, non è certo una novità delle ultime 2 settimane. Addirittura per alcuni stati, come la corea del nord, tale commistione funge anche come meccanismo di approvvigionamento di valuta per finanziare strutture interne.</p><p>la situazione è quindi simile a quella descritta nell’immagine sottostante.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image-1.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130623" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image-1.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image-1.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image-1.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>Insomma dalla narrazione del singolo hacker alla realtà corre una certa differenza. diciamo che una definizione delle attività correnti sarebbe più correttamente quella descritta sotto:</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image-2.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130624" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image-2.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image-2.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/03/image-2.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>che rappresenta in maniera più fedele quello che accade negli ultimi anni.</p><h2 class="wp-block-heading">La posta ai tempi della guerra.</h2><pre class="wp-block-verse">Ma come ci aiutano queste informazioni nel gestire la posta?</pre><p>Andiamo per gradi, cosi ci capiamo.</p><p>Il mondo descritto sopra è così da qualche anno, quindi, per quando sia difficile da credere, le cose da implementare non variano molto da una situazione di guerra ad una di pace per la posta. Quello che cambia, principalmente, è la esposizione al rischio che aumenta dal lato cyber warfare. questo significa che a fronte, come si era detto prima, di attacchi che usano tecnologie analoghe a quelle di tempo di pace, l’obiettivo potrebbe diventare non quello economico ma quello di fermare o distruggere le capacità operative della vittima.</p><p>Ovviamente non tutti hanno gli stessi rischi, ci sono obiettivi più esposti ed alcuni meno esposti. Ma considerando che le tecniche in uso sono analoghe a quelle normalmente usate alcune osservazioni vanno fatte.</p><h3 class="wp-block-heading">Social Engineering</h3><p>Dal phishing alla BEC c’è da aspettarsi che il numero di attacchi sia crescente, e che i temi relativi alla guerra, ai profughi, alle conseguenze economiche della crisi corrente, ed anche alle polemiche politiche sarà in rialzo.</p><p>Le aziende che hanno attività nei teatri di scontro potrebbero vedere anche un aumento della pressione di attacchi sulla supply chain.</p><p>Una differenza rispetto le operazioni normali, è che la commistione tra cybercrime e cyber-warfare potrebbe spingere l’attaccante a utilizzare la vittima come testa di ponte per effettuare l’attacco verso una terza parte.</p><p>Per quello che riguarda le infrastrutture critiche, ricordo che stiamo parlando ancora della posta elettronica, ci potrebbe essere invece lo sviluppo di un attacco lasciato quiescente. Questi target sono spesso obiettivo degli attori di cyber-warfare, il cui modus operandi è spesso esteso su tempistiche diverse rispetto alle attività di cybercrime.</p><h3 class="wp-block-heading">Account Takeover</h3><p>Essendo la posta un meccanismo che si basa, alla ricezione, principalmente sulla fiducia di riconoscimento del ricevente nei confronti del mittente, le attività di account takeover sono estremamente efficienti perché permettono di aumentare il livello di fiducia sui contenuti perché provenienti da una fonte “credibile”.</p><p>Ricevere un messaggio da un mittente noto è infatti un meccanismo molto facile per creare un vincolo di fiducia.</p><h3 class="wp-block-heading">Malware ed altre schifezze</h3><p>Ebbene sì, il malware continua ad arrivare e ad essere utilizzato. Niente di nuovo sotto il sole, ma il rischio di un aumento anche da questo punto di vista è realistico. Il malware può essere deliverato in diversi modi:</p><ul><li>tramite attachment</li><li>tramite file associato ad una URL</li><li>tramite codice malevolo su una landing page</li><li>…</li></ul><p>e via dicendo.</p><p>Occorre quindi avere un poco di attenzione.</p><h2 class="wp-block-heading">Cosa fare?</h2><p>In realtà siamo in un clima di Business As Usual con un livello di rischio più alto. Il che significa che le cose che si sarebbe dovuto fare in tempi normali, adesso diventa ancora più impellente implementarle in maniera corretta.</p><p>vediamo di dare qualche indicazione:</p><ol><li>occorre avere un sistema di protezione della posta avanzato, che sia in grado di offrire analisi su social engineering (esempio phishing, BEC) , malware, e che offra capacità di sandboxing contro il malware<ol><li>antivirus aggiornato</li><li>malware detection in modalità aggressiva</li><li>Protezione su URL attiva sia in modalità preventiva ma anche e soprattutto “at click time” per contenuti compromessi post delivery</li><li>meglio avere accesso a sistemi di Threat intelligence per monitorare, almeno, che tipo di threat actor sta attaccandovi.</li></ol></li><li>approccio cautelativo sulla gestione dei file<ol><li>Non far passare gli eseguibili MAI</li><li>fare scansione di tutto, limitare le eccezioni al minimo indispensabile</li><li>nel dubbio metti in quarantena</li><li>quello che non si può scansionare (file criptati, zip con password, file danneggiati) non va consegnato direttamente all’utente ma esploso in maniera protetta</li></ol></li><li>Usate un approccio restrittivo sui protocolli di email authentication:<ol><li>Onorate le policy DMARC “reject” e “quarantine”</li><li>Quarantenare gli SPF hard fail</li><li>Quarantenare errori DKIM</li></ol></li><li>Marcate le email provenienti dall’esterno in maniera che siano riconoscibili<ol><li>aggiungete una nota ad inizio email (nessuno legge fino alla fine) che evidenzi le email provenienti dall’esterno</li><li>se non si possono creare note almeno cambiate il subject\oggetto</li></ol></li><li>Verificate se serva una regola Anti-spoofing per bloccare almeno per i domini di cui siete sicuri non vengano generate email al di fuori dei vostri mailserver</li><li>Vietate lo scambio di posta per lavoro da parte di domini di email pubbliche (ex gmail, libero) a meno che non sia strettamente necessario</li><li>Verificate su canali di comunicazione alternativi (una telefonata vi salva la vita) tutte le richieste “inusuali” tipo cambio IBAN, solleciti pagamenti, comunicazione credenziali</li><li>Utilizzate sistemi di remediation automatica, nessun sistema è perfetto, non considerare la remediation vuol dire non ragionare in termini di sicurezza.</li><li>Formate gli utenti ed alzate il loro livello di attenzione.</li><li>Limitate al massimo le safelist, riducendole in numero e in termini di utenti cui le applicate. Se possibile non fate safelist che coinvolgono tutti gli utenti, leggetevi “the email files” sul safelisting</li></ol><p>Insomma diciamocelo, non sono regole fuori dal mondo. A parte il riferimento alla threat intelligence il resto dovrebbe essere BAU (non nel senso del cane ma di Business as Usual).</p><p>Niente panico ma un minimo di norme di sopravvivenza, che in realtà funzionano anche in tempo di pace.</p><p>Buona serata</p><p>Antonio</p><p></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-72003762861492356862022-03-04T15:25:00.000+01:002024-02-13T11:40:16.227+01:00Avviso ai naviganti<p>Avviso ai naviganti:</p><p>data la situazione corrente di guerra in corso, residuo pandemico, il carico di lavoro e la mia personale condizione oncologica ed ontologica (non è un errore di battitura, mi hanno tolto un tumore al colon ad inizio anno ma non mi va di parlarne e ho troppo da fare, ma va bene scherzarci sopra) ho ridotto drasticamente lo spazio per la pazienza quindi:</p><p>1) cercherò di non entrare nel merito delle questioni geopolitiche e\o pandemiche e\o socio-economiche correnti, fattasi eccezione per l’uso, garantito dalla costituzione, di sana ironia e malcelato sarcasmo di fronte ad evidenti baggianate. Quindi non escludo innoqui perculamenti, che non significano necessariamente un giudizio morale negativo nei confronti del perculato.😎</p><p>2) ho pazienza limitata, chi non accetta il lazzo (che in italiano potrebbe essere tradotto come “scherzo”) e si offende o, analogamente, usa l’ingiuria e l’offesa per sostenere le sue posizioni nei miei confornti, potebbe finire bloccato. Non per colpa sua, ma per la mia lungimirante esigenza di proteggere le mie comunicazioni in periodo di scarsa pazienza.</p><p>3) le mie comunicazioni aperiodiche potrebbero essere ancora più aperiodiche del solito, abbiate pazienza.</p><p>4) ho comprato un ampli per chitarra nuovo, e quindi potrei decidere di impegnare un poco del mio poco tempo libero su cose ben piu importanti che dissertare sulle vicende del globoterraqueo.</p><p>5) ricordatevi che il mio approccio “non ti considero cretino per le cose che dici, ma considero che dici certe cose perchè sei cretino” vale sempre anche e sopratutto per me stesso, figuriamoci per gli altri.</p><p>6) se non mi conosci, non sai la mia storia o le mie esperienze prima di fare commenti almeno va a vedere la mia bio, che non riporta tutto ma almeno un minimo dovrebbe farti capire chi chi parli cosi risparmiamo entrambi tempo ed energie.</p><p>7) se pensi che mi possa sentire intimidito per il tuo ruolo o supponenza, magari ti stai sopravvalutando un poco troppo, ma non per te… è che ho ben altre cose più impellenti di cui preoccuparmi.</p><p>8) se ti ho già bloccato (successo 2 giorni fa l’ultimo caso) non vedrai questo messaggio, ma eventualmente chiedi a qualcuno di leggertelo 😂🤣</p><p>9) Se non riesco a rispondere a messaggi o post in tempi accettabili è a causa dei punti 1-8.😋</p><p>10) comunque sia voglio bene e rispetto la maggior parte di voi, anche se non tutti 🤣😂😋</p><p>ed anche oggi ho fatto un decalogo, spero che <a href="https://www.linkedin.com/in/ACoAAAADLnoBVohClK-SJJvgagc8ey845fcuiYM">Alessandro</a> apprezzi lo spirito evangelizzatore che mi pervade.</p><p>Notice to sailors:</p><p>given the current in-progress war situation, pandemic residue, the workload, and my personal oncological and ontological condition (it is not a typo, they removed a colon cancer at the beginning of the year, but I don’t want to talk about it, and I too much to do) I drastically reduced the space for patience so:</p><p>1) I will try not to enter into the merits of current geopolitical and/or pandemic and/or socio-economic issues, except for the use, guaranteed by the constitution, of healthy irony and ill-concealed sarcasm in the face of blatant nonsense. So I do not exclude harmless percolations, which do not necessarily mean a negative moral judgment towards the percolated</p><p>2) I have limited patience; those who do not accept the joke (which in Italian could be translated as “joke”) and are offended or, similarly, use insult and offense to support their positions against me could end up blocked. Not his fault, but my far-sighted need to protect my communications in times of lack of patience.</p><p>3) my aperiodic communications could be even more aperiodic than usual, be patient.</p><p>4) I bought a new guitar amp, and therefore I might decide to spend some of my little free time on things much more critical than disserting on the events of the globe.</p><p>5) remember that my approach, “I do not consider you stupid for the things you say, but I consider that you say certain things because you are stupid,” is always valid also and above all for myself, let alone for others.</p><p>6) if you do not know me, you do not know my history or my experiences before making comments. At least go and see my bio, which does not report everything. Still, at least a minimum should make you understand who you’re talking to so we both save time and energy.</p><p>7) if you think I may feel intimidated by your role or arrogance, maybe you are overestimating yourself a little too much, but not for you … it’s just that I have much more urgent things to worry about.</p><p>8) if I have already blocked you (it happened two days ago in the last case), you will not see this message, but possibly ask someone to read it to you 😂🤣</p><p>9) If I can’t reply to messages or posts at an acceptable time, it is because of points 1-8.😋</p><p>10) however it is, I love and respect most of you, even if not all 🤣😂😋</p><p>and even today, I made a decalogue; I hope Alessandro appreciates the evangelizing spirit that pervades me.</p><p><strong>#vaccatadellasera</strong> <strong>#quellidelfascicolop</strong></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-64883375709834285932022-02-24T19:21:00.000+01:002024-02-13T11:40:16.351+01:00Ucraina Ukraine<p>Non sono un esperto di geopolitica, come non sono un esperto di pandemie e quindi mediamente mi asterrò dal fare commenti (pur avendo idee precise in merito) su quello che stà avvenendo in Ucraina cosi come non commento le vicende pandemiche.</p><p>Ma so che la guerra fa schifo, fa male e può anche ammazzarti, e so che farà soffrire persone che conosco e a cui voglio bene.</p><p>Non posso che sperare per il meglio.</p><p>I am not an expert in geopolitics, just as I am not on pandemics. Therefore, I will refrain from making comments (despite having precise ideas about it) on what is happening in Ukraine as I do not comment on the pandemic events.</p><p>But I know that war sucks, hurts, and can even kill you, and I know it will hurt people I know and love.</p><p>I can only hope for the best.</p><p>😔</p><p>#ucraina #ukraine #ukrainecrisis #ukraineconflict</p><p></p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-71393174200680636022022-02-22T19:24:00.000+01:002024-02-13T11:40:16.477+01:00(Mia personale) lettera aperta alla Agenzia per la Cybersicurezza
Nazionale<p>Published on February 22, 2022</p><figure class="wp-block-image"><img decoding="async" src="https://media-exp1.licdn.com/dms/image/C4D12AQE78dWzTCRQ2A/article-cover_image-shrink_423_752/0/1645543185775?e=1651104000&v=beta&t=eGgVStxOIIM1SBWxnNZr8z9OTUrJm-7Obb2IS4kZc0M" alt=""/></figure><p></p><p> Spett <a href="https://www.linkedin.com/company/agenzia-per-la-cybersicurezza-nazionale/?lipi=urn%3Ali%3Apage%3Ad_flagship3_detail_base%3B%2BESE6tfjQ6iGvkT2MoB%2FPQ%3D%3D">Agenzia per la Cybersicurezza Nazionale</a>, Gentilissimo Prof <a href="https://www.linkedin.com/in/ACoAAADJer8BJqfhLdmRU711pm0Ml5kPLil6lhc">Roberto Baldoni</a>:</p><p>Mentre leggiamo gli sviluppi futuri della appena nata Agenzia per la Cybersicurezza Nazionale, noi che lavoriamo in questo settore da anni siamo presi da due fuochi contrapposti:</p><ul><li>da un lato la speranza che finalmente in Italia cambi qualcosa in merito all’approccio sulle questioni inerenti la sicurezza informatica</li><li>dall’altro il timore che si replicheranno meccanismi ormai consolidati e verticistici che hanno portato spesso ad una adesione formale ma non sostanziale alle esigenze del paese in merito a tale sicurezza.</li></ul><p>Intendiamoci, le colpe non sono interamente da afferire ai governi e le amministrazioni passate. Deficienze culturali e scarsa competenza sui temi della digitalizzazione sono piaghe non solo della PA ma di tutto il comparto produttivo italiano, che soffre, fatte le dovute eccezioni, di una arretratezza digitale strutturale.</p><p>Se davvero vogliamo avere successo in un percorso in cui la digitalizzazione diventi davvero digitalizzazione e non mera aggiunta di componenti digitali, spesso mal progettati, su processi analogici, se davvero vogliamo davvero introdurre l’accountability (che non vuol dire attribuzione delle colpe, ma “responsabilità” nel senso più alto: decisionale e di indirizzo), se realmente vogliamo che la sicurezza dell’informazione diventi una componente chiave nello sviluppo nel nostro substrato industriale e della pubblica amministrazione occorre mettere i piedi per terra ed affrontare la realtà.</p><p>La disproporzione tra il “percepito” e la “realtà” in cui l’Italia si trova in termini di coscienza e conoscenza digitale è molto elevata. E questo è legato a diversi aspetti prima citati, ma anche ad un approccio che è sempre stato legato ad una adesione “formale” e non “sostanziale” alle esigenze del paese.</p><p>Non si tratta delle solite lamentele di un gruppo di “nerd” slegati dalla realtà. Si tratta di problematiche concrete, che hanno anche colpito le capacità del sistema paese di competere da pari in un mondo ove l’informatica è oramai una conditio sine qua non.</p><p>Una incapacità di vedere che ci ha portati ad essere il terzo paese in termini di attacchi ransomware, mentre la consapevolezza digitale è ai livelli più bassi d’europa.</p><p>Gli stipendi e le possibilità di carriera sono solo uno degli aspetti per cui molti hanno dovuto o voluto trasferirsi all’estero.</p><p>La mancanza della percezione del “valore” della sicurezza informatica e della competenza ed esperienza richiesti è uno degli elementi, ma la mancanza di un mercato che punti sulla qualità ed il riconoscimento della importanza di tali competenze è un’altro fattore non trascurabile.</p><p>E su questi non si lavora solo in termini di “stipendio”. Già in passato si fecero tentativi, in altri settori, di far rientrare i cervelli con scarsi risultati. Questi rientrano solo se oltre al lancio momentaneo di programmi di corto respiro che possano fingere da “specchietto delle allodole” esiste una concreta volontà di creare un ambiente adatto alla loro permanenza.</p><p>Un ambiente che favorirebbe anche la crecita interna delle competenze che servono.</p><p>Mentre aspettiamo che arrivi il 2023 con il personale assunto dalla Agenzia, perchè questa sia di utilità reale e fattiva, e che possa incidere in maniera positiva sulle esigenze oramai non rimandabili del sistema paese occorre realizzare che non sono 300 esperti che rientrano o vengono assunti che potranno cambiare le cose.</p><p>Il paese, e la sicurezza informatica, non ha bisogno solo di Penetration Tester o Ethical Hackers, che pur essendo elementi importanti nel discorso della sicurezza informatica non ne coprono completamente tutti gli aspetti. Abbiamo bisogno di manager competenti, di strutture apicali che comprendano e sappiano valutare i rischi informatici con una prospettiva che tenga conto delle loro esigenze di business e delle necessità del paese.</p><p>Ma occorre anche capire che la creazione di queste risorse richiede tempi e attività che non possono venire da un approccio apicale che dia, in maniera astratta, indicazioni che poi non possono essere calate nella realtà.</p><p>Occorre immergersi nella realtà del paese e capirne quale sia il concreto livello di comprensione, maturità, competenza e necessità.</p><p>Non ho dubbi che, data la provenienza del dott. Baldoni, esistano già forti legami, ad esempio, col mondo universitario, ma questo non basta.</p><p>In questo senso il coinvolgimento delle associazioni di categoria in un virtuoso rapporto di scambio di informazioni che, da un lato, delinei le esigenze e dall’altro le difficoltà, sarebbe da auspicarsi come tavolo permanente di confronto.</p><p>E, altresì, sarebbe necessario aprire tavoli diretti con i vendor che fanno digitalizzazione e sicurezza al duplice scopo di avere un quadro chiaro di quali siano le esigenze da parte del paese in termini di sicurezza da trasmettere ai vendor, e quale sia il percepito dei vendor in merito a tali esigenze contestualizzati alle tecnologie correnti, trend di sviluppo, e, perchè no, anche suggerimenti ed esperienze.</p><p>Infine ci sono coloro che da anni lavorano alla sicurezza informatica anche qui in Italia, e che hanno maturato una esperienza ed una visione chiara di quali siano i limiti e le esigenze da indirizzare nel paese che potrebbero fornire ai 300 giovani e forti, all’agenzia ed al paese intero un supporto di comptenze ed esperienze che fin troppo è stato, se non trascurato, non valutato pienamente. Penso a persone che lavorano nei molteplici aspetti della sicurezza e che hanno competenze sui vari domini, ivi compresa compliance o aspetti di informatica legale.</p><p>In questo senso mi viene facile nominare #clusit, #aipsi, #aipsa ma anche altre associazioni che sul territorio da anni cercano di portare consapevolezza e conoscenza, penso ancora a ruota libera a eventi di valore assoluto come #HackIngBo.</p><p>Spett. Agenzia, se vogliamo che il vostro sia un esercizio non teorico ma un concreto supporto al paese occorre allora aprirsi sin da subito al paese stesso, e se è vero che vi sono risorse preziose che sono all’estero, è anche vero che non ascoltare i territori e le loro esigenze è un approccio che non può portare altro che alla compliance di carta e non alla reale e feconda collaborazione che sola può indirizzare le problematiche culturali e di conoscenza che in questo momento pongono il nostro paese in una non soddisfacente posizione in termini di sicurezza informatica.</p><p>Forse 300 persone, tra cui neolaureati, potranno mettere in moto il motore della agenzia, ma questa non inciderà nel paese se nel paese non porrà radici, ascolto e comprensione.</p><p>cordialmente</p><p>Antonio Ieranò</p><p>PS: grazie per chi ha avuto la voglia, la pazienza ed il tempo di leggere. In questo caso i commenti sono ben voluti, che è ora di rimboccarsi le maniche e mettere in moto il cambiamento.</p>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-43816267802962430792022-02-19T22:48:00.000+01:002024-02-13T11:40:16.603+01:00The email Files: La posta secondo la posta<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130574" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /><figcaption>Dopo aver parlato per un po di posta elettronica discorrendo di “safe” e “block” list incomincio a rendermi conto che forse un passo indietro si rende necessario, e quindi mi pongo la domanda: ma tu sai come funziona la posta?</figcaption></figure><p>La risposta varia generalmente in funzione di chi riceve la domanda e, nella maggior parte dei casi, è sbagliata.</p><p>Questo basso livello di comprensione di come funziona la posta elettronica è in realtà una delle ragioni del suo successo. Mandare email è facile per un utente qualsiasi, persino per un manager IT, non c’è molto apparentemente da capire.</p><p>Purtroppo, non capire come funziona un sistema apre la porta anche ad errori gestionali, incomprensioni, aspettative errate, mostruosità da DPO e amenità associate.</p><p>Ora per capire un minimo come funziona la posta ho deciso di partire dal livello di comprensione di un utente medio, per poi passare dalla visione di un IT manager per finire al è punto di vista della posta medesima.</p><p>Introduciamo quindi i primi soggetti che ci introdurranno nel dorato mondo della posta elettronica.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-1.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130576" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-1.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-1.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-1.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>Siccome vorrei che la lettura di questo articolo fosse accessibile ai più, proprio per venire incontro alle nuove esigenze linguistiche, analogamente all’uso di safe e bloc list ho deciso di rendere aperto il mondo dei nostri test non definendo nessun orientamento di sorta.</p><p>Per cui i nostri generici soggetti saranno Ann* e Ug*</p><p>Siccome confesso di avere problemi di dizione quando occorre citare i soggetti, eviterò di nominarli se non in qualche riferimento obbligatorio che mi rifiuterò di leggere ad alta voce. (ROTFL)</p><h2 class="wp-block-heading" id="la-posta-secondo-gli-utenti">La posta secondo gli utenti</h2><p>Immaginiamo ora che i nostri due tester (il vantaggio di uso di un termine inglese qui è puramente linguistico) siano usi mandarsi reciprocamente dei messaggi di posta elettronica.</p><p>Entrambi i soggetti usano probabilmente un programma per la posta elettronica (ad esempio Microsoft outlook) o una interfaccia web (Gmail, Microsoft OWA, Libero scegliete voi). Probabilmente non sono in grado di distinguere il fatto che è una app, un software o una interfaccia web sempre di client parliamo, ma si sa, queste sono cose da tecnici.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-2.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130578" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-2.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-2.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-2.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>Di quale sia il contorno ed il contesto della posta ai nostri due utenti importa molto poco.</p><p>A loro è stato insegnato che per mandare un messaggio di posta occorrono 3 cose:</p><ol><li>dire a chi si manda la posta con un indirizzo del tipo nome@unarobadopo.xx</li><li>mettere un oggetto, insomma il titolo della email.</li><li>scrivere qualsiasi cosa, aggiungere testo immagini, file, cotechini e via dicendo</li></ol><p>Tutto il resto è assimilabile alla magia ed alle categorie della magia si associano le percezioni ed aspettative relative, in particolare:</p><ol><li>la posta è istantanea, come mando arriva</li><li>se leggo che il messaggio arriva da “pippo” deve essere “pippo” che la ha mandata</li><li>se c’è un allegato prima clicco e poi penso, che se “pippo” me lo manda un motivo ci sarà</li><li>se c’è un link ci clicco, del resto anche il web è magico (e le pagine sono pagine vere)</li></ol><p>Questa percezione è estremamente radicata, del resto chi di noi conosce in dettaglio come funzionano gli SMS (ok non si usano più) o uazzap?</p><p>In compenso l’uso è così semplice che con la posta si mandano messaggi, appuntamenti, si gestiscono contenuti sensibili, si archiviano informazioni sensibili, personali, coperti da Proprietà Intellettuale e via dicendo.</p><p>Insomma, nella nostra posta viene raccolta la maggior parte delle informazioni che coprono la nostra vita lavorativa ed in parte privata e la gestiamo con la consapevolezza di chi utilizza uno strumento magico.</p><h2 class="wp-block-heading" id="la-posta-secondo-gli-it-manager">La posta secondo gli IT manager</h2><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-3.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130579" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-3.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-3.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-3.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>Per fortuna gli IT manager hanno una visione della posta ben più complessa ed articolata. Introducono nella equazione il concetto di Mail Server.</p><p>Ora cosa sia un mail server non è comunque chiarissimo, è un oggetto che colleziona le caselle di posta degli utenti e che manda e riceve posta su internet.</p><p>I più tecnicamente savi hanno anche la percezione che tra il client di posta, outlook ad esempio, e il mail server (ad esempio Exchange) esista una comunicazione gestita da un protocollo con un nome esoterico, tipo MAPI nel caso di server di posta Microsoft. Non cito Office365 volutamente per non creare angosce emotive (dover citare Exchange online come componente va al di là della percezione di molti)</p><blockquote class="wp-block-quote"><p>Intendiamoci, prima che si levi l’ondata di indignazione per aver osato citare un prodotto Microsoft esistono diversi protocolli che possono gestire la transazione client server, se nel mondo Microsoft MAPI va alla grande (fa tutto lui, anche la configurazione del client) in altri casi si devono usare cose più complesse tipo SMTP per l’outbound e IMAP o POP per l’inbound (se volete posso anche parlare di queste cose in un post futuro, chiedete e vi sarà dato).</p></blockquote><p>Una delle maggiori differenze tra un utente standard ed un IT manager è la percezione, da parte di un IT manager, che il fatto che un messaggio sembri arrivare da un certo mittente perché presente nel campo “FROM: ” non è una garanzia.</p><p>Egli, ella, el* è consapevole che vi siano anche casi in cui può arrivare posta “pericolosa”. Una volta si chiamava SPAM, oggi si è scoperto che la posta è anche vettore di ben altri pericoli di cui, se volete, parleremo in seguito.</p><p>Dal punto di vista del funzionamento del sistema spesso la comprensione del mondo legato alla posta elettronica solitamente si ferma al mail server.</p><p>Già questo potrebbe dare adito a concetti interessanti in ottica gestionale, ad esempio:</p><ol><li>quanto importanti sono i servizi di posta elettronica all’interno dei miei processi di business?<ol><li>uso la mail con i miei clienti?</li><li>uso la mail con i miei fornitori?</li><li>uso la mail per fini marketing?</li><li>…</li></ol></li><li>quale è la mia esposizione al rischio su questo canale?</li><li>quanti dati business critical sono contenuti nello store del mio mail server?<ol><li>quanta proprietà individuale è contenuta nel datastore del mail server?</li><li>quante informazioni “critiche” per il business?</li><li>…</li></ol></li><li>come differenzio la gestione dei dati personali rispetto quelli aziendali contenuti nel mio mailserver?</li><li>Che impatti ci sono sul GDPR collegati alla gestione delle caselle di posta elettronica?</li></ol><p>Ovviamente sono sicuro che queste ed altre osservazioni sono comuni in fase di disegno e manutenzione dei sistemi postali da parte del management.</p><p>Il problema è che dopo il mail server la percezione di cosa sia la posta elettronica ritorna a quella magica dell”utente finale.</p><p>La percezione di “istantaneità” ad esempio è comune, la idea di “non posso bloccare in nessun modo la posta” anche. Ma avendo una scarsa comprensione dei meccanismi che governano la posta difficilmente sono in grado di fare analisi coerenti.</p><h2 class="wp-block-heading" id="la-posta-secondo-la-posta">La posta secondo la posta</h2><p>Se dovessimo chiedere ai sistemi di posta elettronica cosa sia la posta elettronica probabilmente avremmo una descrizione un poco più complessa.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-4.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130582" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-4.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-4.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-4.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>La visione che la posta ha di sé stessa sicuramente è più complessa.</p><p>Questa “complessità” copre quasi tutte le cose viste prima, da come sia formattata una e-mail a come sia gestita la distribuzione dei messaggi di posta.</p><p>Purtroppo, questa comprensione è fondamentale per poter gestire e securizzare correttamente i sistemi, quindi occorrerebbe capire almeno le basi.</p><p>La prima cosa che balza all’occhio è che il mondo della posta non si ferma al server di posta elettronica. tutti i sistemi di posta elettronica, infatti, hanno bisogno di una componente che formatti i messaggi in una modalità trasmissibile su internet.</p><p>Il protocollo utilizzato per trasportare la posta si chiama SMTP (Simple Mail Transfer Protocol) ed ha caratteristiche specifiche che vanno considerate su cui farò considerazione dopo.</p><p>La prima cosa importante da capire è che la gestione delle caselle di posta è cosa diversa dalle problematiche di invio e ricezione dal server stesso.</p><p>La trasmissione della posta verso l’esterno è, invece, gestita da connettori che utilizzano il protocollo SMTP.</p><p>Quando scriviamo una mail sul nostro client questo la formatta e invia al mail server, che si incarica della sua gestione (storage, distribuzione interna, distribuzione esterna). Se il messaggio deve essere mandato al di fuori del server di posta, questo incarica la componente di gateway SMTP per trasferire il messaggio verso la destinazione prevista.</p><p>I nodi SMTP possono essere molteplici e seguono una catena che arriva fino alla destinazione finale: il connettore SMTP del mail server che contiene la casella dell’utente cui è stato inviato il messaggio.</p><p>Per garantire questa transazione occorrono diversi elementi: la presenza sui DNS di elementi che consentano la “traduzione” del dominio di posta in un server (tipicamente gli MX record) protocolli accessori che permettano la identificazione dei mittenti (SPF o DMARK) o la firma di contenuti (DKIM), fino a sistemi di encryption (SMIME) ed altro.</p><p>La trasmissione di un’email è quindi una questione relativamente complessa. Relativamente significa che molti di questi elementi sono però “opzionali” ed alla fine il protocollo SMTP permette l’invio di un messaggio semplicemente inviando i comandi manualmente senza effettuare controllo alcuno di veridicità.</p><h2 class="wp-block-heading" id="come-e-fatto-un-messaggio-di-posta">Come è fatto un messaggio di posta.</h2><p>Iniziamo a capire come sia realmente fatto un messaggio di posta. L’email di posta che riceviamo ed apriamo in outlook è molto più complesso di quello che sembra. </p><p>Ma capire cosa sia realmente ci permette di capire quali possano essere le problematiche di gestione e sicurezza di un sistema di posta sia lato utente, che lato IT manager ed infine (ma si spera lo sappiano già) di coloro che si occupano di sicurezza informatica.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-5.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130584" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-5.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-5.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-5.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /><figcaption>PS: L’e-mail nella immagine è indirizzata a me e ne autorizzo la visione, non sto violando quindi i miei diritti e la mia confidencialita.</figcaption></figure><p>Quello che dobbiamo capire è che tra quello che vediamo e quello che c’è in background ci sono delle differenze sensibili.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-6.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130586" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-6.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-6.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-6.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>Quando apriamo un messaggio su outlook, webmail o client di vostra preferenza quello che vediamo è una rappresentazione delle informazioni contenute nel reale messaggio.</p><p>le prime cose che solitamente si notano sono:</p><p>chi manda il messaggio, rappresentato dal campo <strong>FROM</strong>: (Da:)</p><p>a chi è inviato il messaggio rappresentato dal campo <strong>TO</strong>: (A:)</p><p>l’oggetto del messaggio, solitamente del testo che dà indicazioni dei contenuti, ma oggi in grado anche di mostrare elementi grafici.</p><p>Il corpo del messaggio, che contiene immagini, link, colori.</p><p>Eventuali attachment (allegati) che espandono i contenuti dei messaggi di posta elettronica in formati di qualsiasi tipo.</p><p>La vera struttura del messaggio la possiamo vedere nella immagine seguente.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-7.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130587" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-7.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-7.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-7.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>Se vediamo nel dettaglio cosa contenga questa roba complessa possiamo sentirci intimiditi, per la vostra tranquillità quindi evidenzierò le componenti che servono.</p><p>iniziamo da chi manda la email.</p><p>Nell’esempio di outlook vediamo un mittente, ma se guardiamo nella struttura reale della email vediamo che il mittente è</p><p><strong>From: “=?UTF-8?B?UHJpbWEgQXNzaWN1cmF6aW9uaQ==?=” <support@offertemadeinitaly.it></strong></p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-8.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130588" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-8.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-8.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-8.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>Come da aspettarci troviamo il campo TO: che in questo caso coincide con quello visibile su outlook.</p><p><strong>To: antonio.ierano@ierano.it</strong></p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-9.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130590" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-9.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-9.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-9.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>interessante è notare che dopo il campo TO: troviamo il campo <strong>Reply-to:</strong></p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-10.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130591" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-10.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-10.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-10.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><p>Questo campo </p><p><strong>Reply-To: </strong></p><p>Serve a indicare in caso di risposta a chi deve essere mandata la risposta <strong>INDIPENDENTEMENTE </strong>da quanto contenuto nel campo <strong>FROM</strong>:</p><p>infine, abbiam il subject, l’oggetto.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-11.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130592" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-11.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-11.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-11.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /><figcaption><strong>Subject: =?UTF-8?B?UkMgYXV0byBhIHBhcnRpcmUgZGEg?=</strong><br /><strong> =?UTF-8?B?c29saSAxNDIgZXVyb3==?=</strong></figcaption></figure><p>Come si vede è abbastanza diverso da quello che si vede nel messaggio aperto su outlook.</p><p>cosa significa questo?</p><p>Significa, semplicemente, che quello che si vede nelle intestazioni tecniche della e-mail non corrisponde a quello visibile.</p><p>In effetti le email hanno due intestazioni una tecnica in uso al protocollo SMTP ed una visibile rappresentata dal client di posta.</p><p>La relazione tra le due intestazioni è nulla, nel senso che le due sono indipendenti e non esiste nessun vincolo di relazione tra i campi equivalenti delle due intestazioni.</p><p>La intestazione tecnica, quindi, non è visibile a livello di client di posta, ma a che serve?</p><p>Gli header tecnici sono il frutto della conversazione che hanno i gateway SMTP di posta. Ne riporto in basso una versione semplificata.</p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="800" height="450" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-12.png?resize=800%2C450&ssl=1" alt="" class="wp-image-130593" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-12.png?w=800&ssl=1 800w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-12.png?resize=300%2C169&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/image-12.png?resize=768%2C432&ssl=1 768w" sizes="(max-width: 800px) 100vw, 800px" data-recalc-dims="1" /></figure><h2 class="wp-block-heading" id="i-limiti-ed-i-pregi-dell-smtp">I limiti ed i pregi dell’SMTP</h2><p>Come scrivevo sopra la trasmissione tra i nodi di posta viene gestita dal protocollo SMTP che, prima di ogni invio, deve gestire un Handshake.</p><p>Lo scopo di questa transazione è quello di preparare la comunicazione tra mittente e destinatario e di fornire un responso in merito alla transazione stessa.</p><p>Tutte le informazioni trasferite sono in chiaro, il protocollo non esegue nessuna forma di encryption o offuscamento, né di controllo di veridicità delle informazioni trasmesse se non in maniera estremamente limitata.</p><p>La mancanza di controllo da parte del protocollo sulla veridicità dei dati trasmessi implica che tali controlli, opzionali, siano interamente in carico al nodo di destinazione.</p><p>La mancanza di verifica o certificazione del mittente consente la trasmissione di traffico da parte di qualunque sorgente, le specifiche di protocollo, infatti, non vincolano nessuna caratteristica specifica in carico al mittente.</p><p>Ogni voce dello scambio genera da parte del server di destinazione, un codice che identifica la corretta trasmissione della componente di informazione che serve a costruire la mail, o l’eventuale errore.</p><p>Una osservazione che dovrebbe destare l’interesse di chi vuole capire come funziona il meccanismo è che una mail viene considerata consegnata da parte del mittente solo se a sequito del QUIT ottiene un 250 come codice di risposta. Questo significa che una mail viene considerata “consegnata” dal mittente solo ed esclusivamente quanto l’intero flusso del messaggio viene accettato dal destinatario.</p><h2 class="wp-block-heading" id="tutto-chiaro-peccato-che">Tutto chiaro, peccato che…</h2><ul><li>il mail from della sessione SMTP non è quello che legge l’utente </li><li>il dominio dichiarato in HELO\EHLO può non corrispondere al dominio visibile nel mail from dell’utente </li><li>il protocollo non esegue nessun controllo di veridicità sui dati trasmessi dal mittente, questi sono eventualmente in carico a servizi opzionali del destinatario</li><li>il protocollo non esegue nessun controllo sulla identità del mittente</li><li>i comandi trasmessi in una sessione SMTP sono in chiaro</li><li>la transazione SMTP può contenere campi ulteriori tra cui «reply to:» e cose del genere </li><li>dopo DATA si può mandare di tutto e di più, ivi compresi mittente e destinatario visibili nel client di posta </li><li>l’integrazione di Mime nel campo DATA consente di mandare formati non testuali, ecco come ci arrivano l’e-mail in HTML </li><li>l’HTML ci consente grafica, caratteri diversi, componenti di codice attivo non visibile…</li></ul><p>Ok non ho spiegato tutto, ma lo scopo non è darvi il dettaglio ma fornire una base per poter postare in futuro osservazioni, indicazioni, suggerimenti analoghi a quelli fatti per “safe” o “block” list con un minimo di confidenza che se manca abbiate un riferimento per comprendere il quadro tecnico di cui si parla.</p><p>Tra gli argomenti che vorrei toccare prossimamente negli E-mail files ci sono: </p><ul><li>E-mail design for dummies: le 4 o 5 cose che devi assolutamente sapere</li><li>I protocolli di autenticazione, da SPF a DMARC</li><li>Cosa serve e come funziona un security gateway, </li><li>Il caso per l’encryption: come, dove, cosa e perché</li><li>Perché se temete che i servizi di reputation blocchino le e-mail non avete capito nulla di come funziona il protocollo SMTP né dei vincoli di legge sulla accettazione obbligatoria di messaggi di posta elettronica </li><li>Perché se non capite la differenza tra E-mail gateway e server di posta non siete in gradi di fare nessuna considerazione in merito al GDPR (ma solo perché non potete fare valutazioni di rischio se non avete idea di cosa state valutando)</li><li>Dal Phishing alla sicurezza</li></ul><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="164" height="291" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/io1.jpg?resize=164%2C291&ssl=1" alt="" class="wp-image-130559" data-recalc-dims="1"/><figcaption>meditate gente meditate</figcaption></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0tag:blogger.com,1999:blog-8053168679193657450.post-75006949912265994702022-02-10T10:09:00.000+01:002024-02-13T11:40:16.737+01:00L'email security come tecnologia abilitante alla gestione del rischio<p>Il 25 Febbraio alle 10, #Accenture e #Proofpoint spiegano come l’email security possa rappresentare una tecnologia abilitante alla gestione del rischio.<br />Vuoi partecipare?<br />Iscriviti qui, ti aspettiamo: <a href="https://lnkd.in/epn2AdcS">https://lnkd.in/epn2AdcS</a></p><p><a href="https://www.linkedin.com/feed/hashtag/?keywords=proofpoint&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A6897454869544804352">#proofpoint </a><a href="https://www.linkedin.com/feed/hashtag/?keywords=accenture&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A6897454869544804352">#accenture</a> <a href="https://www.linkedin.com/feed/hashtag/?keywords=peopleisthenewperimeter&highlightedUpdateUrns=urn%3Ali%3Aactivity%3A6897454869544804352">#peopleisthenewperimeter</a></p><figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="900" height="299" src="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/25-Feb-Accenture-Proofpoint.jpg?resize=900%2C299&ssl=1" alt="" class="wp-image-130567" srcset="https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/25-Feb-Accenture-Proofpoint.jpg?w=1001&ssl=1 1001w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/25-Feb-Accenture-Proofpoint.jpg?resize=300%2C100&ssl=1 300w, https://i0.wp.com/thepuchiherald.com/wp-content/uploads/2022/02/25-Feb-Accenture-Proofpoint.jpg?resize=768%2C255&ssl=1 768w" sizes="(max-width: 900px) 100vw, 900px" data-recalc-dims="1" /></figure>The Puchi Heraldhttp://www.blogger.com/profile/08338174989322259481noreply@blogger.com0