RSS

Archivi tag: riservatezza

Cosa dimostra l’indagine nata dal servizio di Report su Microsoft ECM

01 Feb

L’indagine aperta per l’ipotesi di accesso abusivo a sistema informatico nei confronti di un tecnico ministeriale del distretto torinese, per come la vedo io, ha già avuto un effetto di rilievo: confermare le lacune nella gestione del sistema finito sotto la lente di Report. Le notizie diffuse nelle scorse ore, infatti, evidenziano che il ministero si è reso conto di quegli accessi solo dopo averne avuto notizia dalla trasmissione televisiva, e non da un alert interno.

Osservatori ed esperti del settore lo hanno evidenziato in tutti i modi: Microsoft ECM non è una cimice o un software-spia (definizioni errate date da alcuni), è uno standard di Endpoint Management, un prodotto regolarmente disponibile sul mercato e utilizzato in tutto il mondo per normalissime e necessarie operazioni di monitoraggio dello stato di un computer, distribuzione di aggiornamenti di sicurezza, installazione di software, supporto tecnico da remoto.

I vertici del Ministero hanno dichiarato che non può essere utilizzato per attività di controllo remoto senza il consenso degli utenti, ma questo non è un impedimento tecnico, poiché è stato riscontrato che notifiche e richieste di consenso agli utenti possono effettivamente essere disattivate. Certo, queste disattivazioni lasciano tracce che possono essere rilevate, ma il punto è proprio questo: vengono effettivamente rilevate?

Stiamo parlando dell’infrastruttura informatica del Ministero della Giustizia, di cui fanno parte i computer di magistrati che trattano dati molto riservati: se fosse attivo un controllo sulla disattivazione di notifiche e richieste di consenso, con l’invio dei relativi alert a figure responsabili della sicurezza dell’infrastruttura, dovrebbero scattare immediatamente le necessarie procedure di verifica, dando prova dell’efficacia della governance del sistema. In questo caso, invece, l’indagine della Procura è scattata in seguito a un esposto del Ministero della Giustizia datato 24 gennaio, dopo la pubblicazione – avvenuta il 21 gennaio da parte di Report – del video in cui il GIP di Alessandria Aldo Tirone spiega di aver consapevolmente fatto effettuare alcune prove con il supporto di tecnici informatici.

Queste evidenze, purtroppo, non trasmettono solo la smentita dell’impossibilità di disattivare notifiche e richieste di consenso all’utente, ma vanno ad un livello più alto, escludendo l’esistenza di un controllo efficace su eventuali disattivazioni non dichiarate. In questo momento, quindi, nell’occhio del ciclone sta finendo chi ha segnalato una seria vulnerabilità organizzativa, mentre l’attenzione dovrebbe puntare ad individuare e affrontare i problemi che l’hanno generata

 
Lascia un commento

Pubblicato da su 1 febbraio 2026 in news

 

Tag: , , , , , , , , , , , , , , , ,

Ministero della Giustizia e Microsoft ECM sotto la lente di Report

26 Gen

Il servizio anticipato da Report nei giorni scorsi sul software di controllo installato nei computer del Ministero della Giustizia ha suscitato perplessità e preoccupazioni nei magistrati, sul fronte politico e nell’opinione pubblica. Prima di esprimermi ho atteso la messa in onda del servizio, per vederne il contenuto e formarmi un’opinione basata su informazioni più complete. Risultato: il vero problema non è tanto il software, quanto la mancanza di informazioni – o di chiarezza – sulla sua governance.

Le premesse, agli occhi e alle orecchie di un tecnico informato estraneo alla vicenda, indicavano essenzialmente che, per la gestione centralizzata di tutti i computer del Ministero, viene utilizzato Microsoft ECM, un software che per sua natura è utile, legittimo e regolarmente utilizzato in molte organizzazioni sia pubbliche che private, descrizione che i giornalisti di Report hanno dato correttamente, specificando che non si tratta di un software-spia, anche se alcune testimonianze nel servizio lo hanno etichettato in modo errato e fuorviante con termini come “cimice” e “trojan di Stato”.

Per inciso: quando dico “tutti i computer del Ministero” parlo di circa 40mila computer utilizzati da tutti coloro che lavorano alle dipendenze del Ministero. Un contesto in cui è necessario gestire l’inventario di hardware e software, avere il controllo delle licenze, programmare ed eseguire tutti i dovuti aggiornamenti per la sicurezza ed effettuare operazioni di helpdesk. Un’infrastruttura di grandi dimensioni richiede una gestione centralizzata di queste esigenze: per comprensibili difficoltà logistiche, non è pensabile che questa gestione sia affidata a un tecnico, ma sarebbe complesso anche per un team di tecnici pronti a intervenire fisicamente su ogni singolo pc.

Microsoft ECM consente di superare questi limiti e, tra le varie funzionalità, prevede quella di Remote Control, ad esempio, progettata ovviamente per effettuare assistenza tecnica da un altro dispositivo. Generalmente, prima di un intervento effettuato da remoto, è previsto che l’utente dia il consenso all’attività e accetti il collegamento. Tuttavia, è effettivamente possibile impostare un’opzione che permette di avviare quel collegamento anche senza consenso e questo è chiarito dalla stessa Microsoft che, nella documentazione tecnica, spiega esplicitamente che lo strumento “può anche monitorare gli utenti senza il loro permesso o consapevolezza” a seconda di come viene configurato.

Il software include anche strumenti di Software Metering per raccogliere dati sull’uso del computer (è possibile rilevare quali applicazioni vengono aperte, per quanto tempo e da quale utente, in background e senza notifiche all’utente) e permette di effettuare, sempre senza interazioni con l’utente, attività approfondite di ispezione su configurazione di sistema, utenti, file a scopo di inventario di hardware e software, così come l’esecuzione di script e comandi da remoto per estrarre informazioni o file senza che appaia nulla sullo schermo dell’utente.

I vertici del Ministero dichiarano che Microsoft ECM non può essere utilizzato per attività di controllo remoto senza il consenso degli utenti, ma questo è un impedimento procedurale e non tecnico, poiché è stato riscontrato che le notifiche e le richieste di consenso agli utenti possono effettivamente essere disattivate. Le possibilità di accesso “stealth” ad un pc dipendono dalla disattivazione intenzionale di questi controlli e di tutte queste operazioni, ovviamente, resta traccia. A quanto pare, tuttavia, nessuno rileva queste tracce, ne’ chiede conto di queste operazioni, come è stato dimostrato dai test effettuati da un giudice – il gip di Alessandria Aldo Tirone – con la collaborazione di un tecnico informatico interno, che per mesi e in più occasioni ha effettuato varie prove di collegamento remoto senza riscontrare alcun tipo di alert e, in seguito, senza ricevere alcuna segnalazione da chi dovrebbe avere la governance del sistema.

Occorre dunque considerare un aspetto importante: queste caratteristiche di Microsoft ECM, se non vincolate, lo rendono più adatto alla gestione dei dispositivi di organizzazioni che, per loro natura, trattano dati meno riservati e sensibili. Pensiamo ad esempio ai computer collegati ai display che mostrano i dati di arrivi e partenze presenti in aeroporti e stazioni ferroviarie, oppure a totem informativi o pubblicitari: in sintesi, è lo strumento ideale per la gestione di postazioni non presidiate (e che quindi non hanno un utilizzatore che deve dare un consenso alle attività di aggiornamento o manutenzione).

Sorgono quindi di conseguenza almeno due domande. La prima: per quale motivo, nel 2019, per la gestione e la manutenzione software dei computer del Ministero della Giustizia a tutti i livelli – da quelli amministrativi fino a quelli in uso ai magistrati – la scelta è caduta su Microsoft ECM? La seconda: come vengono gestite le informazioni relative alle operazioni effettuate senza trasmettere segnalazioni agli utenti?

Ricevere risposta a tali quesiti potrebbe, forse, contribuire a rendere meno fondate le perplessità sorte su questo software e a trasmettere la percezione di un Ministero che ha il controllo della situazione. Sicuramente una soluzione che consenta una gestione ottimale delle attività di supporto, manutenzione e aggiornamento è necessaria ad una realtà come quella del Ministero della Giustizia, soprattutto pensando alla sicurezza dei dati e ricordando che in un recente passato ci sono stati episodi allarmanti come l’attacco messo in atto nel 2024 dall’hacker Carmelo Miano, che riuscì a violare i server del Ministero della Giustizia, della Guardia di Finanza e di Telespazio, non con software di controllo remoto, ma utilizzando credenziali reali di magistrati e personale amministrativo carpite grazie a un malware trasmesso ai pc di due dipendenti del Ministero. Probabilmente privi di aggiornamenti o adeguate protezioni.

 
1 Commento

Pubblicato da su 26 gennaio 2026 in news

 

Tag: , , , , , , , , , , , , , , ,

Password: scocciatura o serratura?

18 Nov

Nella classifica delle password più utilizzate, l’Italia si distingue (poco): mentre a livello mondiale resta saldamente in testa l’inossidabile “123456“, noi ci differenziamo con “admin” (dimostrando anche un discreto complesso di superiorità: l’admin è l’administrator, l’utente principale, il profilo con permessi di accesso “onnipotenti”). Ma in realtà la fantasia è poca, come si vede dal parallelo tra le top ten “Tutti i Paesi” e “Italia”. Perché nonostante siamo nel 2023, non tutti hanno maturato la consapevolezza che oggi, nell’era in cui tutto viene digitalizzato (dai documenti al conto corrente bancario), la password è la versione digitale della chiave – o della combinazione – che apre la cassaforte in cui conserviamo i nostri dati personali.

Si noti inoltre – sempre dalle classifiche qui riportate – quanto tempo serve per decifrare le password di uso comune: nel 70% dei casi basta meno di un secondo per aggirare l’ostacolo. Una menzione d’onore meritano però gli utenti che hanno scelto UNKNOWN, che danno più filo da torcere ai malintenzionati. Ovviamente uno dei criteri più diffusi resta sempre quello di utilizzare il proprio nome, ma nessun nome ricorrente potrà mai vantare presenze pari alle password più standard del mondo.

La debolezza della password è un problema? Sì perché, come detto sopra, le password sono le chiavi. Chiavi di casa digitali, del conto in banca, del computer. Se le perdiamo – o se ne perdiamo il controllo al punto da permettere a un’altra persona di impossessarsene e farne un utilizzo illecito – sapete meglio di me cosa può accadere: dal furto di informazioni a quello di identità, passando per i reati contro il patrimonio, le probabilità di subire un danno concreto sono direttamente proporzionali alla facilità di individuazione della parola chiave.

Le password devono essere complesse, e il più possibile slegate e indipendenti da qualunque informazione che ci riguarda: meglio pensare a qualcosa di differente dal nome (nostro o di qualcuno di famiglia, animali domestici inclusi), dalla data di nascita e da qualsiasi informazione che possa essere facilmente individuata, per conoscenza diretta o indiretta.

I criteri di composizione delle password devono andare in altre direzioni. Ad esempio si può pensare ad una frase, considerando le lettere iniziali di ogni parola che la compone e giocando con maiuscole e minuscole, usando anche lettere alternate a numeri e aggiungendo caratteri speciali. Oppure è possibile ricorrere a un generatore di password (come Roboform) e affidarsi alla sua scelta, senza utilizzare informazioni riconducibili a informazioni personali. Quando le password diventano tante e diventa difficile gestirle, anziché scriverle su un post it o in un foglio Excel, è il momento di affidarsi ad una soluzione di password management, cioè di qualcosa che possa aiutare a gestirne l’inventario e a recuperarle all’occorrenza. Una soluzione efficace e gratuita ad esempio è Devolutions Hub Personal.

Mai sottovalutare l’importanza delle password. Se pensate alle informazioni personali gestite dalle applicazioni installate su uno smartphone, ad esempio, capite bene quanta parte della vostra vita ha bisogno di password sicure: account social media, posta elettronica, conto corrente bancario, fascicolo sanitario elettronico, identità digitale. La possibilità che le nostre informazioni personali finiscano nelle mani sbagliate ci deve far riflettere: meglio una sola password, facile, da utilizzare per tutti gli account (che una volta rubata apre ai malintenzionati tutte le porte), oppure tante password complesse, diverse per ogni account?

 
Commenti disabilitati su Password: scocciatura o serratura?

Pubblicato da su 18 novembre 2023 in news, privacy, security

 

Tag: , , , , , ,

ChatGPT, bloccata ma accessibile. In modo legale

03 Apr

Semaforo rosso acceso davanti a ChatGPT da parte del Garante Privacy che la scorsa settimana ha disposto la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società americana che gestisce la piattaforma. È bene chiarire, però, che il provvedimento riguarda il divieto di raccolta e trattamento di dati personali, non l’accesso a ChatGPT, che è stato bloccato per iniziativa della stessa OpenAI, non del Garanre.

In sintesi le motivazioni del provvedimento sono l’assenza di un’adeguata informativa agli utenti sulla raccolta di dati personali degli interessati, la mancanza di motivazioni alla base delle attività di raccolta e conservazione massiccia di dati personali (in parole povere, non spiegano perché raccolgono i dati personali senza informarli) e la mancanza di una “barriera” che impedisca ad utenti minorenni di accedere al servizio. Sì, anche il fatto che può raccogliere, memorizzare e comunicare informazioni non corrette, che non possono essere modificate nell’interesse di chi è titolare di quei dati.

ChatGPT, come dicevo sopra, non è stata resa inaccessibile dal Garante: è stata OpenAI ad aver disabilitato l’accesso in via cautelativa agli utenti in Italia, e per questo provvederà ai dovuti rimborsi degli utenti che hanno acquistato un abbonamento. Impegnandosi al rispetto delle leggi sulla protezione dei dati personali, l’azienda dichiara di voler ripristinare l’accessibilità della piattaforma il prima possibile.

E’ possibile aggirare la chiusura di questo “cancello”? Certo, utilizzando una VPN che non permette a ChatGPT di conoscere la provenienza dell’utente. Ed è una soluzione lecita, perché è stata OpenAI a bloccare l’accesso, non un’autorità italiana 😉

Chiaramente, oltre ad utilizzare la VPN, l’account che accede non deve dichiarare di essere italiano. E chi ha a cuore la riservatezza dei propri dati si documenterà in modo da utilizzare una VPN che – magari per sostenere la propria gratuità – sfrutta comunque i dati personali dell’utente. Qui di attenzione, altrimenti si torna… al punto di partenza.

 
Commenti disabilitati su ChatGPT, bloccata ma accessibile. In modo legale

Pubblicato da su 3 aprile 2023 in news

 

Tag: , , , , , , , ,

Amazon Astro, il “follower” elettronico

29 Set

Si chiama Astro ed è stato presentato ieri da Amazon come un simpatico robot domestico, che gira per casa come un cucciolo curioso, muovendosi grazie alle sue tre ruote e con la sua testa – uno schermo – con due occhioni che cercano di dargli espressività. In pratica è un Echo Show con il “dono” della mobilità, che in più può “obbedire” al comando di spostarsi verso una determinata posizione della casa e riconoscere una persona (che Astro può identificare con un sistema di riconoscimento facciale), per portarle un oggetto, oppure per interagire attivando videochiamate o ancora trasmettere avvisi e allarmi relativi a compiti di videosorveglianza.

Al netto del design – più simpatico che sofisticato – sono però emerse molte perplessità sul “prodotto”, evidenziate da Motherboard: l’importanza del riconoscimento facciale per il suo funzionamento è nel mirino di coloro che sono più attenti alla tutela della riservatezza dei dati personali (per gli amici, la privacy) e lo stesso vale per le informazioni che Astro raccoglie in merito al comportamento dell’utente. Soprattutto perché, a quanto pare, questo “cucciolo elettronico” soffre di alcuni “problemi di gioventù” tutt’altro che trascurabili.

Tra le funzionalità che avrebbero necessità di migliorie, se non di un upgrade di rilievo, ci sarebbe innanzitutto il sistema di riconoscimento delle persone (che analizza e memorizza i volti di ogni persona rilevata nell’ambiente in cui si trova), che sarebbe “decisamente difettoso” e renderebbe quindi non affidabili alcune caratteristiche, come le funzioni di videosorveglianza. Altri aspetti critici consisterebbero nella possibilità di identificare ostacoli o pericoli sul suo percorso, per la presunta incapacità di Astro di riconoscere correttamente una scala e, quindi, di muoversi con il banale rischio di cadere. Quindi, stando a quanto dicono su Motherboard, vede poco e rischia di fare danni.

Vedremo in seguito se Amazon sarà in grado di risolvere i dubbi (non di poco conto) sollevati. Per quanto riguarda le perplessità sulla riservatezza, non c’è nulla di nuovo o diverso da quanto scritto da me in un post di due anni fa, dal titolo: si chiamano assistenti vocali perché assistono.

Si chiamano assistenti perché assistono

 
Commenti disabilitati su Amazon Astro, il “follower” elettronico

Pubblicato da su 29 settembre 2021 in news

 

Tag: , , , , , , , , , , , ,

Facebook at Work ora si chiama Workplace

11 Ott

Con un colpo di scena assolutamente ininfluente, il già annunciato Facebook at Work è stato ribattezzato Workplace by Facebook.

Per il resto vale quanto già scritto nel mio post di fine settembre:

Considerazione non superflua: è necessario essere consapevoli che si tratta di un sottoinsieme di Facebook, prima di pensare di utilizzarlo per comunicare informazioni riservate. E’ una questione di sicurezza tutt’altro che trascurabile perché, sebbene l’utilizzo sia interno all’azienda, il livello di controllo esercitabile sulle operazioni compiute e sui dati memorizzati su quella piattaforma sarà sempre comunque inferiore a qualunque altro sistema amministrato internamente. Pertanto è bene porre la massima attenzione a non trasformarlo in un database di dati aziendali importanti, critici o sensibili. Per il bene vostro e della realtà per cui lavorate.

 
3 commenti

Pubblicato da su 11 ottobre 2016 in Internet, news

 

Tag: , , , , ,

La privacy su Facebook? Dipende da “molti altri fattori”

03 Ott

Qualche anno fa, un mese dopo essermi iscritto a Facebook, nella sezione persone che potresti conoscere il social network mi ha proposto una persona che effettivamente conoscevo, mai contattata prima su FB: si trattava di CR (ne riporto solo le iniziali), una conoscenza occasionale, titolare di una struttura alberghiera in cui avevo alloggiato in Francia un anno prima con la mia famiglia. Tra me e CR, però, non ci sono mai stati contatti diretti, ne’ telefonate, ne’ mail, non abbiamo amici comuni ne siamo legati da gruppi o altri insiemi di utenti su Facebook. Gli unici contatti erano stati intrattenuti da mia moglie (che non è iscritta a Facebook), attraverso il suo indirizzo mail personale, che naturalmente non ho mai utilizzato. Risalendo cronologicamente a tutte le mail dei dodici mesi precedenti, ho trovato solo un paio messaggi – ricevuti da mia moglie – che riportavano il testo dei messaggio che lei aveva a sua volta ricevuto da CR.

Nella mia posta in arrivo, quindi, le uniche informazioni relative a CR erano contenute in due forward (due messaggi inoltrati). Con l’opzione trova amici sapevo che era possibile dare in pasto a Facebook i contatti, affinché li cercasse nei propri database. Ma nella mia rubrica di contatti non esiste alcun record relativo a CR.

Dunque, come faceva Facebook a propormi un’amicizia probabile, ma pressoché impossibile da recuperare secondo i canali dichiarati e ufficiali? Una casualità? Per carità, può darsi… ma de che?

Tempo dopo, sempre tra le persone che potresti conoscere, ecco la foto di un’altra persona, ER. Non è che la conosca, diciamo che la conosco di vista, è il cognato del mio amico MD (che non è iscritto a Facebook). Prima di vedere la sua foto non sapevo nemmeno quale fosse il suo cognome, io ed ER non siamo mai entrati in contatto diretto, non ho il suo indirizzo mail ed escludo che lui abbia il mio, sul social network non abbiamo amici comuni ne’ altre possibilità di essere aggregati su Facebook per altri motivi (nessuna preferenza comune, nessun like, niente, abitiamo a migliaia di km di distanza, quindi nemmeno le reti di Facebook ci potrebbero unire e lui dichiara di non aver mai cercato amici importando i propri contatti). Nella mia posta in arrivo non ci sono tracce del suo indirizzo, ma in passato è possibile che il mio amico MD mi abbia inviato almeno una mail che contenesse, nei destinatari o nel testo, il nome o l’indirizzo di ER.

Anche qui, dunque, Facebook mi ha proposto un’amicizia probabile, possibile, ma non rilevabile dai canali dichiarati e ufficiali. Quindi a cosa mi sono trovato di fronte, a un’altra casualità?

E com’è che, nel tempo, si sono ripetute molte altre casualità di questo tipo, ossia trovare su Facebook proposte di entrare in contatto con persone che effettivamente potevo conoscere, ma con le quali non avevo mai avuto contatti rilevabili dalla mia rubrica (fonte dichiarata da cui poter attingere dati)?

Facebook spiega che in persone che potresti conoscere “le persone vengono visualizzate in base agli amici in comune, alle informazioni relative a lavoro e istruzione, alle reti di cui fai parte, ai contatti che hai importato e a molti altri fattori”. Nei contatti che ho importato – per chi non se li ricorda, Facebook ha una cronologia – queste persone non ci sono mai state. Quindi, per le casualità di cui parlo, devo pensare che dipendano da quei molti altri fattori,  un po’ difficili da capire, non essendo neppure accennati nella Normativa sull’utilizzo dei dati pubblicata da Facebook, ma che potrebbero essere spiegati con un’analisi dei contenuti delle mail più invasiva di quanto sia ufficialmente dichiarato.

Non c’è da stupirsi, dal momento che – come scrive Marco oggi sul New Blog Times – Facebook fa largo uso di tecniche di Data Mining. E chissà cos’altro fa, per ottenere il maggior numero di informazioni possibili per profilare al meglio i propri utenti…

Per cui, oltre all’usuale prudenza che dovrebbe essere costante in tutto ciò che facciamo sui social network, suggerisco serenamente di utilizzare, per Facebook, un indirizzo mail apposito, che non viene utilizzato per altro.

 
1 Commento

Pubblicato da su 3 ottobre 2012 in business, news, privacy, social network

 

Tag: , , , , , , , ,