31 lug/ago/set 2015
Anno VI
light
sicurezza informatica e delle informazioni
IDENTITÀ DIGITALE Tutto quello che avreste voluto sapere su SPID
PRIMO PIANO A tu per tu con Massimo Vulpiani
SCENARI La sicurezza dell’ambiente virtuale
Edisef s.r.l. ROC n°17883 ISSN 2037 - 5611 Pubbl. mensile registrata presso il Tribunale di Roma il 7/10/2010 n°379 Poste Italiane S.p.A. Spedizione in abbonamento postale - 70% Roma Aut. n. C /RM/109 2010
INDICE
4 PRIMO PIANO
ATTUALITÀ
6 Quando la sicurezza è una questione di maturità Massimo Vulpiani, Robert Griffin
9 Lo sfruttamento del firmware delle unità a disco rigido e a stato solido
CYBERCRIME
9
James Walter, Alexander Matrosov
Non si arrestano le frodi creditizie in italia: 25.500 casi nel 2014
13
Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/ store di applicazioni per il tuo cellulare (iTunes, App storr, Android market, Blackberry Appworld, Ovi store, ecc.).
Information Security n. 31 lug/ago/set 2015
QR
Maria Luisa Cardini
1
INDICE
16
IDENTITÀ DIGITALE
Tutto quello che avreste voluto sapere su SPID Andrea Sassetti
19
WEB SECURITY
Sicurezza, occhi puntati sull’accessibilità al dato
Information Security n. 31 lug/ago/set 2015
Giuseppe D’Amelio
2
SCENARI
21 La sicurezza dell’ambiente virtuale Morten Lehn
EDITORIALE
di Maria Giulia Mazzoni Direttore Responsabile
SE IL DATO SANITARIO FINISCE NEL MIRINO dovuti al fatto che le informazioni legate alla salute dei pazienti sono dieci volte più preziose rispetto ad altre. Un trend, quindi, destinato ad una sensibile impennata nei prossimi anni, visto soprattutto il massiccio utilizzo di device mobili da parte di medici e pazienti. Le cartelle cliniche informatizzate, le app medicali e i tablet, sempre più parte integrante della vita lavorativa dei nostri medici, rappresentano dunque una nuova sfida in materia di sicurezza che, soprattutto alla luce dell’importanza dei dati in essi contenuti, è imperativo vincere attraverso una grande attenzione al problema e soprattutto con una maggiore consapevolezza di esso. Una questione di maturità quindi, come sottolinea Massimo Vulpiani che dalle pagine della nostra rivista ha commentato i risultati di un altro importante report diffuso recentemente da RSA, perché quando siamo di fronte ad un attacco è importante, certo, valutarne la pericolosità, ma lo è altrettanto non prenderlo sotto gamba. Conoscere le proprie potenzialità di difesa, aggiornarsi e tenere sempre alta la guardia è quindi tanto importante quanto conoscere nei dettagli la pericolosità del proprio nemico. Soprattutto, e lo scoprirete proseguendo la lettura, se questo si chiama Equation Group, protagonista di un altro interessante approfondimento che troverete in questo numero, assieme ad un’analisi di CRIF sulle frodi creditizie in Italia, ad un articolo in cui Andrea Sassetti ci spiegherà tutto quello che dovremmo sapere su SPID, e ad altro ancora. Buona lettura. u
Information Security n. 31 lug/ago/set 2015
Se la sicurezza informatica è da sempre al centro dei pensieri di aziende di ogni tipo, costantemente impegnate a garantire l’inaccessibilità dei propri dati sensibili, c’è un settore che, forse nemmeno troppo inspiegabilmente, risulterebbe più in pericolo di altri, quello della sanità. A rivelarlo è il “2015 Healthcare Drill-Down Report” di Raytheon Websense che riporta una situazione più che allarmante: nel 2014, infatti, sono stati registrati attacchi sistematici ai sistemi informativi ospedalieri per un totale di un seicento per cento in più rispetto alle precedenti rilevazioni. Il mercato della sanità si deve quindi scontare, rivela sempre il report, con un numero di incidenti informatici maggiore del 340% rispetto alla media degli altri settori industriali. Numeri impressionanti,
3
COMITATO CONSULTIVO
www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA Raoul Chiesa - Founder, Security Brokers Inc. Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell’Università degli Studi dell’Aquila e Presidente del Centro Ricerche Themis Mauro Cosmi - Value Team S.p.A Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell’Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L - Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter
Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali Elio Molteni - Presidente AIPSI, ISSA Italian Chapter Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - KEY DATA ANALYICS - Practice Manager Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria Stefano Zanero - Responsabile Tecnico, Secure Network
PER COLLABORARE La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tiff, pdf o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Piazza Pio XI, 62 - 00165 ROMA
Information Security Anno V - n. 31 Luglio/Agosto/Settembre 2015 Direttore Responsabile Maria Giulia Mazzoni Collaboratori Alberto Blasi, Sarah Ferri Grafica e impaginazione Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Marco Bompiani ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00 BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434 Siti internet www.edisef.it www.informationsecuritynews.it Abbonamenti Piazza Pio XI, 62 00165 Roma Tel. 06 6626717 Fax 06 66013885 Abbonamenti 06 61774006 e-mail: info@edisef.it Finito di stampare nel mese di Settembre 2015 presso: C.S.R. SRL TIPOGRAFIA Via di Pietralata, 155 00158 Roma