56 Responses

  1. avatar
    giovanninacci at |

    Per la serie: "la vendetta dello sciacallo cibernetico" :)))

    Reply
  2. avatar
    Jackallo at |

    .. e guarda caso la notizia viene confermata proprio adesso.. 😉

    Reply
  3. avatar
    giovanninacci at |

    Vero, è stata appena confermata la smentita di poco fa.

    Reply
  4. avatar
    AllegraBrigata at |

    "guarda caso la notizia viene confermata proprio adesso"

    Perchè, Jack?

    D.

    Reply
  5. avatar
    Jackallo at |

    Il partito degli "scettici" comincia a prendere sempre più piede in America e, pertanto, bisogna giustificare la montagna di soldi messa a budget per questo settore. Quale modo migliore c'è per dimostrare che la minaccia "cyber" è più che reale, se non ammettendo che un attacco rilevante è addirittura già avvenuto e ha compromesso sia la rete non riservata (NIRPNet) che, soprattutto, quella riservata (SIRPNet) del DoD..?!? 😉
    In realtà, come scrivevo già tempo fa in un altro post, della violazione dei sistemi della Difesa e/o delle infrastrutture critiche nazionali, e quindi della consistenza di questa minaccia, ce ne potremo accorgere (noi tutti ma anche gli amministratori di questi sistemi critici) solo quando effettivamente verrà posto in essere il primo atto palese di cyberwar.
    Lo so che sembra strano, ma per chi viola sistemi usare questi metodi di mascheramento a seguito della compromissione di sistemi informatici complessi è quanto di più normale possa esistere.
    Il solo modo per fermare un "hacker" (per usare il termine che si sente sui giornali) è pensare come lui.. e non sperare che sia lui ad adattarsi al pensiero dei politici, degli strateghi o dei giornalisti.

    Reply
  6. avatar
    giovanninacci at |

    Signori, sfatiamo una buona volta questo mito che l'hacker attui prassi di pensiero e ragionamento così largamente dissimili (o disarticolate) dalla media di tutti gli altri "sistemi cibernetici" (ovvero, in primis, gli umani)…

    Diversamente, al variare del contesto, saremo sempre nella condizione di "non saper pensare" come qualcuno/qualcosa.

    Parere mio eh… ;))

    Reply
  7. avatar
    Jackallo at |

    .. no, dico solo che normalmente un hacker ha uno o più schemi di ragionamento (e azione) nel momento in cui svolge il proprio "lavoro", difficilmente comprensibili per chi non ha mai violato un sistema. Ma ovviamente lo stesso ragionamento vale per i medici, i politici (non tutti, eh..!), i giornalisti, gli avvocati, e così via..

    Reply
  8. avatar
    giovanninacci at |

    Oh, ecco, ci siamo!

    Leggendo quel che scrivi, non mi rimane altro che constatare – con Gioia e Letizia insieme – la tua effettiva, spero definitiva, conversione alla formalizzazione ontologica degli oggetti informazionali interagenti (ovvero… l'Infosfera) e al relativ o abbandono dell'uso improprio del prefisso "cyber" :))

    Alla fine ti ho convinto  😀

    Reply
  9. avatar
    Jackallo at |

    ..ehmmmm.. si…… quello che ha scritto tu, più una coca-cola media per me e tanti cyber-saluti.. :)

    Reply
  10. avatar
    giovanninacci at |

    la coca-cola no perchè il termine contiene una parola che rientra nella "black list" del firewall 😀

    Reply
  11. avatar
    utente anonimo at |

    non sono stai gli hacker ma noi noi siamo i borg

    Reply
  12. avatar
    Frattaz at |

     FAS releases the SIShub! Check it out today — it's the one stop shop for everything SIS — and join the SIS network!

    http://www.fas.org/blog/sis/

    Reply
  13. avatar
    AllegraBrigata at |

    Jack,
    devo pensare che mi stai dando ragione?
    Ricordi quel vecchio post….

    R.

    Reply
  14. avatar
    Silendo at |

    Credo che Jack non lo ricordi. In tal caso, Jack, te lo ricordo io.

    PS non è una minaccia, eh :))

    Reply
  15. avatar
    giovanninacci at |

    "Mi ricordo quel vecchio post e le corse di una Bianchina
    con l'amico mio più sincero uno sciacallo dal muso nero
    …"

    Mbè che c'è? Che solo Folgore può avere i colpi di sole?

    Reply
  16. avatar
    AllegraBrigata at |

    Grazie, Sil!

    R.

    Reply
  17. avatar
    AllegraBrigata at |

    ah ah ah no, Giovanni, anche un Ufficiale di Marina ha diritto ad averne.
    Se non li avete voi, in effetti, chi altri???
    :))

    R.

    Reply
  18. avatar
    giovanninacci at |

    Questo è del tutto… VERO!
    :))

    Reply
  19. avatar
    Jackallo at |

    Roberto, a parte che io al gruppo "Allegra Brigata" darei ragione sempre e a priori (non so perchè..! :) ..), però io resto sempre dell'avviso che la minaccia non sia sovrastimata, anzi.. 😉
    (se era questo il post a cui ti riferisci.. altrimenti chiederò lumi)

    Reply
  20. avatar
    giovanninacci at |

    infatti dire "sovrastimata" è dire poco…
    :)))

    Reply
  21. avatar
    AllegraBrigata at |

    Caro Jack,
    i colleghi AllegriBrigatisti saranno contenti.
    In un vecchio post scrissi che prescindendo dalla reale pericolosità temevo ci fossero altri interessi, economici, alla base del "fenomeno cyber".
    Tu che ne pensi?
    La mia non è una domanda DA esperto ma è una domanda AD UN esperto, anzi DUE: te e Giovanni.
    Grazie.

    Roberto
     

    Reply
  22. avatar
    giovanninacci at |

    Roberto carissimo,
    provo ad essere serio per un momento (lo so che non ci credete… :) comunque… io non sono un gran esperto di "cyber-roba"… O quantomeno non sono un grande esperto di questa accezione di "cyber" (nemmeno dell'altra, in verità…).

    Provo comunque a esplicitare il mio pensiero "ingenuo" e sicuramente non priva di fallacie (termine inteso in senso "tecnico", ovvero del ragionamento che sembra "logicamente corretto" ma non lo è :))

    Dunque, alla base di tutto secondo me c'è la percezione. Più abbiamo una percezione completa di un "sistema" qualsiasi e più ci può sembrare critica una failure di quel sistema.

    Ovvero: prendiamo la minaccia di due aerei dirottati e fatti schiantare su obiettivi sensibili, visibili, significativi insomma. Se sono americano e vivo a New York o in una qualsiasi altra grande città, ho una certa percezione della minaccia. Se vivo a Londra ne ho un'altra ancora, a Parigi ancora un'altra, così come a Roma.

    Se vivo a Castelvecchio Subequo, ne ho ancora una (probabilmente assai blanda…) Mentre se vivo oltre il circolo polare artico, ho una percezione reale ancora più blanda. E comunque SICURAMENTE non adeguata alla realtà.

    In altre parole, tatticamente parlando, della minaccia dei jet fatti schiantare su un grattacielo, in questo ultmo caso, non me ne frega praticamente nulla.

    Della inter-rete invece – e con essa tutti i "devices" a vario titolo rientranti nella funziione di "connettività" (cellulari, pc, smartphone, etc.etc.) – abbiamo una percezione DIRETTA, IMMEDIATA e sopratutto COSTANTE.

    Essendo la connettività è perciò ormai un valore esteso, riconosciuto e condiviso,  l'idea che questo "sistema" possa essere messo in pericolo da "agenti (o sistemi) interagenti" ovvero la minaccia di una failure significativa di questo sistema la percepiamo – appunto – come diretta, immediata e – di nuovo soprattutto – costante.

    Anche quello sopra il circolo polare artico, col suo PC attaccato a internet con un telefono satellitare (boh! :))), sente la minaccia come IMMINENTE.

    Ora è ovvio che – diciamo così – "lucrare" su una situazione del genere è cosa abbastanza facile. E redditizia.

    Ora io non dico che la minaccia non esista. Non ho fatto studi approfonditi in questo campo e d'altra parte non ne sarei certo capace.

    Quello che io dico è che bisogna stare attenti a non far passare la sacrosanta NECESSITA' INTRINSECA di misure sicurezza informatica, dei sistemi informatici e delle reti  (che, in quanto realizzati da uomini, possono avere delle falle) come una reale minaccia (in senso strategico del termine) strutturata e "cibernetica" (quest'ultimo termine significa tutt'altro, e viene usato in questi casi solo per comodità o… pigrizia tecno-culturale :))).

    Diversamente possiamo chiamare minaccia qualsiasi cosa ci risulti utile chiamare così.   

    La necessità – oserei dire "sistemistica" (ma il termine è limitante) – di sicurezza dei sistemi informatici è un problema tecnologico. Nel senso che la convenienza (culturale, economica, ecc..) ci ha convinti ad impiegare per scopi "critici" sistemi e tecnologie che non furono progettate per quegli scopi.

    L'IP, internet, la sua architettura topologica e il modello di connettività costituiscono una risorsa comoda, economica, tutto sommato funzionale. L'esigenza di sicurezza è un servizio che è stato implementato dopo.

    Se siamo davvero così strategicamente dipendenti da QUESTA risorsa, non è forse possibile che ci sia stato a monte  un fraintendimento delle sue possibilità? Una barchettina fatta con la carta piegata naviga per un po', ma prima o poi affonda.

    Ed il fatto che la carta sia igroscopica non può essere definito una "minaccia". E nemmeno il fatto che qualcuno possa sfruttare malignamente questa… debolezza.

    Vi chiedo scusa per la lunghezza del post,  eventualmente per le baggianate e sicuramente per gli errori di ortografia :))) E' da molto che non scrivevo un post "serio" (o quantomeno che a me sembrasse tale :)))) ed ho perso un po' la mano*.

    Saluti carissimi a tutti!

    * per non parlare della pensione…

    Reply
  23. avatar
    Jackallo at |

    .. ahhhhhh..! si, si.. adesso ricordo, Roberto.
    Allora ti devo dare assolutamente ragione. Gli interessi economici ci sono e sono anche più che rilevanti ormai.

    PS: Esperto..? Ma chi.. io..?!? Se me l'avessi detto di persona, mi sarei commosso.. :)

    Reply
  24. avatar
    giovanninacci at |

    Questo Giacallo è troppo modesto…

    Reply
  25. avatar
    Jackallo at |

    Giovanni ha scritto: "la convenienza (culturale, economica, ecc..) ci ha convinti ad impiegare per scopi "critici" sistemi e tecnologie che non furono progettate per quegli scopi.
    L'IP, internet, la sua architettura topologica e il modello di connettività costituiscono una risorsa comoda, economica, tutto sommato funzionale. L'esigenza di sicurezza è un servizio che è stato implementato dopo.
    "

    .. eccellente..! sono assolutamente d'accordo su questo tuo pezzo. Il problema è che le soluzioni per cambiare questo stato di cose ci sono e anche da tempo (fine anni '90), ma non vengono utilizzate. Adesso che c'è troppa dipendenza e compenetrazione tecnologica nel nostro tessuto sociale il problema è molto più che serio e i Governi (America in testa) si stanno organizzando. Un po' in ritardo, ma meglio tardi che mai.

    "Ed il fatto che la carta sia igroscopica non può essere definito una "minaccia". E nemmeno il fatto che qualcuno possa sfruttare malignamente questa… debolezza.".. su questa parte, invece, non sono d'accordo. Se io fossi un generale e mandassi in guerra i miei uomini con una fionda, io sarei una "minaccia" per la sicurezza dei miei uomini (e non solo).. e di certo qualcuno si dovrebbe lamentare che questa "debolezza" dei miei uomini  venga sfruttata a suon di proiettili e morti. IMHO, ovviamente.. :)

    Reply
  26. avatar
    giovanninacci at |

    C'hai ragione Jack 😉 Ma il problema non è solo quello della inadeguatezza delle risorse (la quale colpa – della inadeguatezza – non è ovviamente delle medesime: un coltellino svizzero va benissimo per aprire le noci… ma già con le noci di cocco ci vuole qualcosa di più sonsistente ;))

    Il problema è di valutazione del contesto.

    Tornando al mio esenpio, se l'ammiraglio manda i suoi uomini in mare con la barchetta di carta (sapendo bene come andrà a finire…) non ha senso che dia l'ordine a tutto l'equipaggio di indossare H24 i giubbotti di salvataggio. Voglio dire… sulle prime può anche funzionare:))) ma poi – ovviamente – no… di conseguenza non si può dar la colpa alla carta, appunto, di non essere resistente all'acqua.

    L'igroscopicità dell'acqua e l'ammiraglio che esagera col brandy, non sono "minacce" in senso stretto. Sono criticità (debolezze…) del sistema. Al limite la "minaccia" – in senso ampio e non "tecnico-strategico" è non rendersi conto o SOVRASTIMARE o SOTTOSTIMARE [:)))))))] le debolezze (ma come anche i punti di forza).

    Tornando al tema del post… quel che secondo me occorerebbe fare è:
    1) puntare su una revisione dell'assetto tecnologico dei sistemi e delle reti sensibili/critiche (come dico sempre, "internet" non è l'unico "network di reti" (bella questa… :))) che esista ;);
    2) puntare su un concetto di sicurezza informatica da un punto di vista sistemistico (il che dovrebbe, tra l'altro, servire anche alla efficienza generale dei sistemi…) e di networking delle reti "civili"
    3) aumentare la qualità del software relativamente ai parametri della sicurezza, continuità (edl servizio), integrità (delle informazioni)
    4) approcciare ai temi di internet, alle reti, agli utenti, alle informazioni, agli agenti/enti informativi interagenti insomma, sulla scorta delle cognizioni "ontologgizzanti" :))) apportate dalla Teoria dei Sistemi ed altre (quella wieneriana, quella di Floridi relativa alla infosfera e all'information ethics, ecc.)

    Voglio dire: pensare, parlare, discutere romanticamente di "internet" come se fosse qualcosa creato da esseri di un'altra galassia è – al giorno d'oggi – francamente… una minaccia! :)))

    Le teorie ci sono, le tecnologie ci sono, le modalità per implementarle ci sono, le menti ci sono, ecc. ecc..  Che vogliamo fare? Discutere ancora di "cyberdramamticità" o di "way of thinking" degli Hacker (che sembrano essere gli unici ad aver capito questa cosa)?

    Saluti a tutti :)))

    Reply
  27. avatar
    AllegraBrigata at |

    Grazie ragazzi.
    Giovanni, solo una domanda. Ho capito male o tu preferisci parlare di "vulnerabilità" dei sistemi piuttosto che di minaccia?

    R.

    Reply
  28. avatar
    giovanninacci at |

    Si Roberto, nel senso che passare per una "minaccia" una palese "inadeguatezza intrinseca" è davvero un errore strategico…

    Se vado in moto senza casco a 250 km/h è normale che mi buco la faccia e gli occhi di moscerini… ma questo non vuol dire che la mia faccia o i moscerini, in quanto tali, siano una minaccia 😀

    Oddio… la mia faccia forse si

    Reply
  29. avatar
    AllegraBrigata at |

    Parli di moto d'acqua, giusto?
    😉

    R.

    Reply
  30. avatar
    giovanninacci at |

    eh beh si :)

    Reply
  31. avatar
    utente anonimo at |

    Salve a tutti,
    io credo che se si mette una nave di carta in mare questa è certamente una vulnerabilità intrinseca e non una minaccia. La vulnerabilità è una deficienza dell'organizzazione o del sistema, non di una minaccia, cioè la causa potenziale di un accadimento, incidentale e non voluto. Questo secondo logica, ma anche standard e linee guida internazionali. Poi, nella risk analysis, possiamo partire esaminando, indifferentemente, le une o le altre (minacce o vulnerabilità), per esaminare le conessioni tra esse ed adottare le necessarie contromisure, ma questa è un'altra storia… . La categoria "minaccia di intrusione", quindi, deve avere associate varie vulnerabilità, oppure il sistema è indifendibile.

    Reply
  32. avatar
    Jackallo at |

    Scusate, io purtroppo continuo a non essere d'accordo.
    E siccome sono certo che chi sbaglia il ragionamento sono io, mi dareste una definizione di minaccia dal punto di vista strategico, perchè magari o io non la conosco bene o diciamo la stessa cosa.. :)

    Reply
  33. avatar
    giovanninacci at |

    "ti  taglio la gola!" = MINACCIA
    "

    Reply
  34. avatar
    giovanninacci at |

    "un giorno o l'altro morirai di vecchiaia!" = NON MINACCIA

    La criticità (o vulnerabilità) è sia nel primo che nel secondo caso. Con la differenza che nel secondo caso la vulnerabilità è PALESE (tutti se deve da morì…) mentre nel primo caso PUO' non esserlo ;))

    P.S.: scusate mi si è diviso il post :))

    Reply
  35. avatar
    Jackallo at |

    Giovanni, prendendo questa tua definizione, tutto e niente può essere "minaccia".
    Faccio un esempio. Mettiamo che io sia capace di costruire in casa una bomba atomica. Non la uso e non ho nessuna intenzione di usarla, voglio solo fare il "figo" con il mio gruppo di amici del "Circolo amici dell'accelerazione particellare", che venendo a cena da me vedono il mio nuovo "soprammobile". Se costruirla fosse legale, io teoricamente non sarei una "minaccia" per l'incolumità pubblica, perchè manca completamente l'intenzione di… minacciare qualcuno con quest'arma (ovvero di usare la bomba atomica).
    Ma per il diritto penale così non è. Esistono infatti i cosiddetti reati di "pericolo" (divisi in pericolo "concreto", "presunto" o addirittura "astratto"), che sanzionano la condotta al di là della realizzazione dell'evento e/o anche dell'intenzione reale di nuocere, per il solo fatto che potenzialmente quelle condotte sono, appunto, una "minaccia" (anche non "diretta", come nel caso del tuo "ti taglio la gola!"). Nei reati di pericolo, infatti, l'offesa è rappresentata dalla probabilità del danno e, dal punto di vista criminale, la tutela viene anticipata proteggendo un determinato bene giuridico per il sol fatto di essere stato messo in una situazione di potenziale pericolo.
    E allora, se stanno così le cose e io mi ricordo un po' di diritto penale, non posso accettare da un punto di vista legale la tua definizione di minaccia strategica.

    Ora, passando al mondo dei bit, la "bomba atomica" di turno potrebbe essere una rete di migliaia di zombie network capaci di "tirare giù" con un DDoS la maggior parte delle reti del sistema Difesa o delle infrastrutture critiche nazionali. Oppure potrebbe essere un'arma ancora più "fine e sofisticata" come un exploit "zeroday" sfruttabile da remoto e capace di farmi "uplodare" moduli malevoli nel kernel del sistema operativo bersaglio che mi fanno prendere possesso della macchina (a livello kernel) e, in questo modo, mi rendono assolutamente "trasparente" agli Intrusion Detection System e a tutti i sistemi di sicurezza posti in essere dagli amministratori.
    Possedere queste "cyber-weapon" (scusa, ma non scrivevo "cyber" da troppo tempo!) è allora una minaccia..? Si.. e no!
    Si, perchè, a mio avviso, al di là della mia intenzione di usarle o meno, questi "strumenti" sono in "astratto" una "minaccia" (pericolo) alla sicurezza dei sistemi informatici (al di là se siano essi della Difesa o del computer di "casa jackallo").. un po' come lo è un fucile detenuto da una persona non autorizzata per l'incolumità pubblica.
    No, perchè manca una norma specifica che lo preveda.
    Il Codice penale, infatti, all'art. 615-quater prevede che:
    "Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro 5.164".
    .. e ancora, l'art. 615-quinquies, statuisce che:
    "Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329".
    Allo stato attuale, allora, occorre provare (anche solo in "astratto") la volontà di danneggiare, ma non è escluso che un giudice potrebbe già oggi punire il "pericolo" derivante dal possesso di questi strumenti (ormai vere e proprie "armi"). Siamo difronte, lo si comprende bene, ad un vuoto normativo e giurisprudenziale, ma non per questo, a mio avviso, stiamo gestendo la questione giuridica in maniera coerente. Infondo, manca solo una presa di coscienza del mondo virtuale, della sua imprescindibilità e della consistenza nel mondo reale delle azioni illecite commesse nel mondo virtuale.

    Bene. Fissato il primo punto critico (mancanza di norme), occorre ancora riflettere sul fatto che, sempre IMHO, in realtà il tutto nasce dal fatto di aver sottostimato le potenzialità della rete Internet e che, come giustamente hai detto tu, ci siamo ritrovati a far gestire tutte le nostre informazioni (sensibili e non) da "tecnologie" e "protocolli" nati per scopi assolutamente diversi da quelli per cui noi oggi stiamo discutendo. Presupponendo che tutti sappiate come è nata Internet e per quali scopi, mi preme tornare a sottolineare che "tecnologie" e "protocolli" idonei esistono e anche da molto tempo. La Cina e l'NSA, ad esempio, si sono sviluppati il loro sistema operativo partendo da una distribuzione di GNU/Linux, perchè hanno compreso che forse quello proprietario a finestre non era proprio il più idoneo in ambienti mission critical. I "protocolli" per trasmettere le informazioni in materia "sicura" ci sono (IPv6, VPN, algoritmi di cifratura per la navigazione), ma non si capisce perchè non vengono quasi mai utilizzati. Io una riposta ce l'ho: non vengono utilizzati perchè non si percepisce il mondo virtuale come una minaccia per la sicurezza nazionale. Non si percepisce che usiamo tecnologia inadatta e che chi la utilizza mette in pericolo (sempre meno "astratto") la solidità di una rete deputata a far transitare informazioni sensibili e/o a gestire servizi essenziali. Di conseguenza, anche chi non provvede pone in essere una "minaccia" (sempre meno in "astratto") alla sicurezza dei sistemi.
    Quello che cerco di spiegare, allora, è che, secondo me, chi conosce le "vulnerabilità intrinseche" di un software, di una rete e/o di un sistema (o le debba conoscere per la posizione che ricopre) e comunque utilizza o lascia che vengano utlizzati quei software, quei protocolli di rete e/o quelle tipologie di sistemi insicuri pone in essere una "minaccia" per la sicurezza di quei sistemi e di quelle informazioni ad un livello incrementale in cosiderazione della sensibilità delle informazioni che in essi transitano e/o vengono custodite.
    My 0.02 cents.. 😉

    Reply
  36. avatar
    AllegraBrigata at |

    Terra terra, in questo settore io vedo la minaccia come il pericolo proviente dall'azione dannosa di un soggetto nei nostri confronti.
    Una vulnerabilità è una nostra debolezza.
    R.

    Reply
  37. avatar
    Jackallo at |

    Comunque, invece di leggere le mie fesserie, date un'occhio a questa notizia:
    https://www.fbo.gov/index?s=opportunity&mode=form&id=cf11e81b7b06330fd249804f4c247606&tab=core&tabmode=list&

    Ad un mese dalle prime vicende legate al sito Wikileaks, l'agenzia amerciana DARPA (Defense Advanced Research Projects Agency) ha reso pubblico un progetto volto a dare la possibilità al Dipartimento della Difesa americano di individuare e fermare agevolmente la copia e, più in generale, la fuoriuscita di informazioni… sensibili e classificate dai computer militari e governativi.
    Il progetto si chiama CINDER (Cyber Insider Threat Program) e mi sembra molto interessante e ben fatto.

    Reply
  38. avatar
    Jackallo at |

    Roberto, sono assolutamente concorde con questa tua visione del termine "minaccia", soprattutto perchè tiene conto che l'azione dannosa "nei nostri confronti" può provenire da qualsiasi soggetto, ivi comprso un interno.. cosa MOLTO comune nel settore informatico, molto più dell'attacco esterno (almeno nelle società private, di cui ho contezza diretta).
    A questo punto, dovresti trovarti d'accordo con il mio post precedente. Penso.. :)

    Reply
  39. avatar
    AllegraBrigata at |

    Giovanni, non capisco una cosa. Stai dicendo che il problema è dovuto al fatto che Internet viene usato come rete di comunicazione di dati sensibili pur non avendo fondamentali elementi di sicurezza? E' corretto?

    Davide

    Reply
  40. avatar
    giovanninacci at |

    "Frate Jack" (frate nel senso di "fratello" :) quel che scrivi ha perfettamente senso 😉 Sull'analisi legale il capo indiscusso sei tu, non mi sognerei mai di dire una parola contro 😀 (e nemmeno di pensarla :))

    Ma mi viene da far questo esempio: sulle armi da fuoco "civili" che vengono esportate in america, deve esser scritto sul fusto o sulla canna "please read user manual before use".

    Questo perchè – chi può saperlo meglio di te 😉 – secondo la prassi della giustizia americana (ammesso che in america si possa parlare di una "Giustizia" così come la intendiamo noi) se io accidentalmente mi sparo con la mia arma posso citare in giudizio il fabbricante per il fatto che ha costruito un'arma che… spara.

    Ora se noi quell'arma invece che nell'armadio blindato la teniamo a giro in casa, e il bimbo la prende e si spara… l'arma medesima non è una minaccia, ma è una minkiata averla tenuta a giro! Ovvero c'è stata una failure – ovvero nella vulnerabilità – nel sistema di sicurezza (non nel sistema "arma", che invece ha funzionato benissimo :)))

    ora, se un tipo lascia una pistola carica a giro per casa perchè vuole volontariamente uccidere il figlio, è ovvio che costui costituisca una minaccia per il figlio :))) Ma sicuramente non lo è la pistola! 😀

    Tant'è che la frase "sotto la minaccia delle armi" è semanticamente fallace ;)))

    La frase giusta sarebbe "sotto la minaccia dell'USO delle armi" 😉
    Siamo d'accordo su questo?

    Allo stesso modo, perciò, diciamo che consideriamo la frase  "(sotto la) minaccia cibernetica (o informatica o telematica, ecc.)" come una minaccia fallace (ovvero una NON minaccia), mentre consideriamo la frase "(sotto la) minaccia dell'USO della cibernetica o informatica o telematica, ecc.)" come una minaccia effettiva.

    Proviamo un a mettere da qui un punto fermo e ragioniamo sulla cosa: come cambiano le considerazioni (strategiche, tattiche e anche tecnologiche) nel caso dei due assunti?

    Ci preoccuperemmo più dell'arma (che spara perchè non può far altro che quello… :) o dell' attore e del suo comportamento? E se qualcuno ci spara con una pistola, cosa diciamo… che ha usato ai nostri danni una "debolezza intrinseca" del sistema arma?

    La mia deduzione a naso, è che se una tecnologia è così… "critica" -come la pistola- beh… allora con quella tecnologia non ci si fa giocare i bimbi.

    E NON C'E' NESSUNO SFORZO TECNOLOGICO CHE POSSIAMO FARE PER RENDERE COSI' TANTO SICURA QUELLA TECNOLOGIA al punto da per poterlo invece fare (P.S.: cos'era nel film "Dredd, il giudice sono io" che c'era un'arma che riconosceva la mano del "padrone"? :))))

    Per la inter-rete è la stessa cosa. Se costruirsi reti e sistemi "ad hoc" è un problema pegli Stati, per i Dipartimenti della Difesa, per i Servizi, per le reti delle Infrastrutture Critiche, se è per loro così tanto irrinunciabile attaccare la caldaia del Ministero della Difesa ad internet… beh… poi non ci si può lamentare se qualcuno lava il ponte della "la barchetta di carta" con l'acqua di mare. 

    Allora la mia bandiera di combattimento è questa: "non confondiamo la necessità -sacrosantissima- di sicurezza informatica e dei sistemi (di tutti i sistemi, anche quelli informatiVI e non solo quelli informatiCI…) con il fraintendimento delle possibilità operative, in contesti di elevata criticità, di tutta una generazione di tecnologie (forse più di una), cosa che porta – ovviamente – ad un certo sconcerto (scusate il bisticcio :)) nel momento in cui ci si accorge della cosa.

    E soprattutto nel momento in cui ci si accorge che anche altri (i cattivi) si sono accorti della stessa cosa…

    Salutoni carissimi!

    P.S.: ma il Vate com'è che non ci conforta, in un modo o nell'altro, in queste analisi? :))))))

    Reply
  41. avatar
    giovanninacci at |

    Si Davide. Le inter-reti, ovvero il sistema di reti interagenti in un determinato istante "x" (insomma, quello che riconosciamo perchè impiega il protocollo "IP" o altri protocolli variamente incapsulati, comunemente denominato "internet" :) non è, strutturalmente parlando e dati alla mano, progettato per garantire uno strato di sicurezza "bastante". Che sia stato progettato da Darpa o che abbia avuto dei natali militari, non ha grossa importanza: non è detto che siccome una cosa serve per applicazioni militari è sicura (anzi, forse deve essere insicura di default… :)))

    E secondo me non è tanto lo scambio di informazioni sensibili quanto la interconnessione e l'interazione con altri "sistemi" sensibili.

    Poi, ripeto, che sia un sistema economico e funzionale siamo tutti d'accordo ;))

    Reply
  42. avatar
    Jackallo at |

    Giovanni, ma io sono assolutamente d'accordo che la minaccia è nell'uso che se ne fa dell'exploit, quindi nel soggetto che lo compila e che lo "runna", e non nella tecnologia, che è solo una vulnerabilità (intrinseca)..! Per questo alla fine del mio post pongo l'accento sulle persone e non sulla tecnologia.. 😉
    Per questo dicevo che, mi sa mi sa, io e te diciamo le stesse cose con parole diverse: io in "informatichese-legalese" e tu in "semantichese".. :)

    Reply
  43. avatar
    utente anonimo at |

    scusate ma non fanno prima a calibrare gli invertitori di fase ed allineare i sensori?

    Reply
  44. avatar
    giovanninacci at |

    L'importante è non incrociare MAI i flussi.
    Porta male!
    😉

    Reply
  45. avatar
    utente anonimo at |

    che scoperta è normale

    Reply
  46. avatar
    giovanninacci at |

    gli errori peggiori spesso si fanno sulle cose più banali…

    Reply
  47. avatar
    Jackallo at |

    .. dicevo io che stava durando da un po' troppo il post "serio".. 😉

    Comunque, vi vorrei ricordare che è altrettanto importante che il fliusso canalizzatore stia flussando…! :)

    Reply
  48. avatar
    giovanninacci at |

    dipende se è azionato o meno lo stravolgitore di coppia…

    Reply
  49. avatar
    utente anonimo at |

    penso che dovrebbero abbassare un po il flusso canalizzatore mi sembra indispensabile

    Reply
  50. avatar
    giovanninacci at |

    Se Jack mi conforta con la sua conoscenza legale, mi pare di ricordare che solo il Vate, con suo Decreto Imperiale Urgente (sebbene anche non motivandolo), può prendere una decisione del genere.

    Ma potrei sbagliarmi…

    Jack?

    Reply
  51. avatar
    utente anonimo at |

    c'è anche da ricordarsi che la polarizzazione del flusso deve combaciare con l'allineamento assimetrico del condotto stesso

    Reply
  52. avatar
    giovanninacci at |

    assolutamente, assolutamente 😉

    Reply
  53. avatar
    utente anonimo at |

    ahahahahahha

    Reply
  54. avatar
    AllegraBrigata at |

    Hai ragione, Giovanni.
    Solo il Vate può!
    :)

    R.

    Reply
  55. avatar
    Frattaz at |

    A parte l'incrociare i flussi ;)….Che  gran bella discussione è venuta fuori!

    Reply
  56. avatar
    Jackallo at |

    .. grazie Frattaz..! Merito di Roberto e Giovanni però..

    Reply

Leave a Reply


(obbligatorio)