09/09/2016: E’ sicuro il data base CCD?
Le debolezze dell'archivio governativo che permette di analizzare le richieste di visti per l’ingresso negli Stati Uniti. Di Adalberto Biasiotti
Negli ultimi tempi gli esperti hanno messo sotto stretta osservazione un data base, che custodisce i dati biometrici di milioni di persone e probabilmente è nativo biometrico più grande del mondo. In questo archivio vengono memorizzate le informazioni afferenti a chiunque abbia richiesto un passaporto per gli Stati Uniti o visto, negli ultimi 10 anni. Ogni scheda del richiedente contiene dati personali come ad esempio la fotografia, le impronte digitali, il numero di sicurezza sociale, altri numeri identificativi ed anche le scuole che sono state frequentate da soggetti in questione.
In un recente incontro riservato, i gestori di questo archivio hanno scoperto che esso è potenzialmente vulnerabile a attacchi da parte di hacker, che cercano in continuazione di trovare dei sistemi per introdurre negli Stati Uniti dei terroristi o delle spie, senza che essi possano essere correttamente identificati.
Gli esperti hanno dimostrato che, con accorgimenti neanche troppo complicati, è possibile rubare l’identità delle vittime o accedere a dati riservati uno dei punti più critici riguarda la possibilità, per un attaccante, di alterare i dati, che permettono di determinare se uno può approvare una richiesta di rilascio di passaporto o di un visto. Il responsabile dell’archivio ha dichiarato che ogni decisione, afferente al rilascio di visti, rappresenta una decisione con riflessi sulla sicurezza nazionale.
I responsabili hanno anche confermato che effettivamente esistono delle vulnerabilità del sistema, alle quali si sta ora cercando di porre rimedio, ma non è stata fornita alcuna informazione in merito al fatto che i rimedi siano già operativi siano sufficientemente efficaci.
Il sistema consente a utenti autorizzati di inserire raccomandazione note direttamente nella scheda di ogni soggetto richiedente. Il responsabile affermano però che per alterare l’esito di una richiesta di visto, un hacker dovrebbe ottenere un privilegio di accesso abbastanza elevato, rendendo quindi questo tipo di attacco più difficoltoso.
Ciò non toglie che gli organi preposti alla sicurezza nazionale siano oltremodo preoccupati anche perché le dimensioni di questo dato ad esse sono spaventose:
più di 290.000.000 di faide legati al rilascio di passaporti,
184.000.000 di registrazioni afferenti al rilascio di visti,
25.000.000 di registrazioni afferenti a cittadini americani che si trovano all’estero.
Secondo gli esperti, l’imbarazzo compare responsabili hanno affrontato un incontro con gli specialisti informatici costituisce già una prova di qualche palese debolezza. Il responsabile hanno anche affermato che queste debolezze sono da attribuire al fatto che il sistema è nato molti anni fa e è stato progettato, quei tempi, senza prestare sufficiente attenzione ai requisiti di sicurezza antintrusione e senza tener conto della rapidità con cui si evolvono le tecniche di attacco.
Ho raccontato questa storia dei miei lettori per mettere in evidenza come spesso il fatto di non tenere sotto attento controllo il livello di sicurezza del sistema informativo, concepita tempo addietro, può portare a situazioni imbarazzanti, nel migliore dei casi è perfino pericolose, nel peggiore dei casi.
La foto allegata mostra la home page di questo critico sistema informativo.
Adalberto Biasiotti
26/02/2016: Guardare all’Europa - La prevenzione
Il terzo volume della collana pone il confronto tra i sistemi di prevenzione e di salute e sicurezza nei luoghi di lavoro di Danimarca, Germania, Italia e Regno Unito.
26/02/2016: Telecamere finte: sì o no?
Alcune amministrazioni comunali, strette nella tagliola del patto di stabilità, hanno pensato bene di ampliare l’esistente impianto di videosorveglianza, grandemente apprezzato dai cittadini, installando delle telecamere finte. Di Adalberto Biasiotti.
24/02/2016: In arrivo il nuovo Regolamento UE sui DPI
Disponibile il testo non definitivo.
23/02/2016: I quanti e la National Security Agency
Una rivoluzione drammatica: il passaggio dai semiconduttori ai quanti.
22/02/2016: Tour per la Sicurezza sul Lavoro
Un “pellegrinaggio laico” lungo un percorso che attraverserà tutta l’Italia
19/02/2016: Uso delle casseforti: un delicato confine tra safety e security.
Una bimba si è rinchiusa accidentalmente all’interno di una cassaforte con apertura temporizzata. Non è l’unico problema che può coinvolgere questi mezzi forti. Adalberto Biasiotti
18/02/2016: C’era proprio bisogno di questo incontro!
Un incontro con i numerosi soggetti, che sono coinvolti nella sicurezza privati in Italia. Ecco i punti principali. Di Adalberto Biasiotti.
18/02/2016: A Modena la Sicurezza sul Lavoro, in pratica
Convegno gratuito il 25 febbraio.
17/02/2016: Seminario gratuito sulle verifiche periodiche delle attrezzature di sollevamento
“Verifiche periodiche delle attrezzature di sollevamento cose e persone: regime di controllo e criticità”: il 19 febbraio a Bergamo
16/02/2016: Il rischio biologico dei lavoratori all’estero: il Virus Zika
Come gestire il rischio e la sorveglianza sanitaria dei lavoratori che effettuano trasferte lavorative in paesi con scadenti condizioni igieniche. L'esempio del Virus Zika e la raccomandazione Antipolio.
16/02/2016: Come compilare il modello OT24 da presentare entro il 29 febbraio 2016
Pubblicata la Guida alla compilazione del nuovo modello OT24 per ottenere la riduzione del tasso medio di tariffa: la novità della documentazione probante.
15/02/2016: E' incidente stradale in itinere, anche se in bicicletta
Una recente norma della legge 221/2015
15/02/2016: Sanatoria per i Medici competenti cancellati dall'elenco
Pubblicato il decreto che consente ai medici competenti esclusi dall'elenco di completare la formazione ed essere reintegrati
12/02/2016: Gli infortuni sul lavoro e il Sistema Infor.MO
Gli Atti del Convegno “Gli infortuni sul lavoro e il Sistema Infor.MO: analisi delle cause e interventi di prevenzione”
12/02/2016: Quanti droni illegali!
Il 92 % dei droni testati non rispetta la direttiva afferente alle interferenze nelle reti di comunicazione.
11/02/2016: Il GPS funziona troppo bene!
Lo stato dell’arte sul sistema GPS
11/02/2016: ClaRaf 3.0: aggiornato il database VVF
Una nuova versione del database compatibile con il nuovo Codice di Prevenzione Incendi
10/02/2016: Nuovo accordo per i RLS del Settore del Credito
Novità rilevanti che integrano quanto previsto dagli obblighi dettati dal d.lgs. 81/2008.
10/02/2016: Progetto di mappatura dell’amianto nelle scuole
Controllo e gestione del rischio per il personale scolastico e per gli stessi studenti
09/02/2016: Precisazioni su D.Lgs. 81/2008 riferito ai Carri ponte – impianti di sollevamento – verifiche ingegnere esperto
Circolare CNPI chiarisce alcuni dubbi sull’interpretazione della norma UNI ISO 9927-1
88 89 90 91 92 93 94 95 96 97 98