Siti web della Pa: sì del Garante privacy alle Linee guida AgID

 
Tratto da www.garanteprivacy.it- 14/03/2022
 
 

Il Garante privacy ha dato il via libera alle modalità per la realizzazione e la modifica dei siti delle pubbliche amministrazioni, proposte dall’Agenzia per l’Italia Digitale (AgID) e contenute nelle nuove “Linee guida di design per i siti internet e i servizi digitali della PA”.

Lo schema delle Linee guida, come evidenzia l’Autorità nel provvedimento, rappresenta un’opportunità per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default.

Nell’esprimere il parere favorevole, il Garante per la protezione dei dati personali ha però indicato la necessità di alcune integrazioni, per assicurare la conformità delle Linee guida al Regolamento e al Codice della privacy.

In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario che nello schema venga indicata l’effettuazione della valutazione d’impatto sulla protezione dati prima di procedere al trattamento e, se del caso, la consultazione preventiva dell’Autorità.

Altre integrazioni riguardano le informazioni sul trattamento dei dati personali, che devono essere concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori.

Massima attenzione, infine, al ricorso a cookie e altri strumenti di tracciamento: lo schema di decreto dovrà espressamente richiamare le Linee guida predisposte dal Garante in materia, assicurando, in ogni caso, la piena fruibilità del sito o del servizio digitale anche quando l’utente non intende prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate.

Le pubbliche amministrazioni, sottolinea l’Autorità, devono valutare attentamente l’effettiva necessità di far ricorso a questi strumenti rispetto alle finalità perseguite, e indicare nell’informativa del sito l’uso di cookie o altri identificatori. Nei rapporti con i fornitori di servizi di hosting o cloud computing, rispetto ai quali la PA agisce in qualità di titolare, qualora essi siano stabiliti in Paesi terzi, occorre rispettare le regole per il trasferimento dei dati personali in tali Paesi.

14 Marzo 2022

La proposta di Argonavis per il backup dei server in cloud

 
Autore: Redazione Argonavis
 

Gli attacchi malware all’interno delle reti sono oggi aumentati così come sono aumentate le perdite di dati sia sui server in linea sia sui server di backup.

Diventa quindi indispensabile che i backup vengano fatti sia sui sistemi interni alle aziende sia all’esterno delle medesime, in modalità off-site, con soluzioni che ne garantiscano l’immutabilità.

Con Veeam Cloud Connect è possibile portare facilmente i backup delle macchine virtuali in un datacenter remoto e sicuro con un semplice click.

La soluzione è dedicata a chi già utilizza Veeam per i backup on-site e permette di usare l’infrastruttura di un datacenter esterno come storage di backup.

 

Argonavis propone l’adozione dei servizi di datacenter di Reevo, partner qualificato Veeam, che dispone di un’infrastruttura Veeam Cloud Connect i cui punti di forza sono:

  • nessuna VPN e backup remoti sempre disponibili: non è necessario avere una VPN con il datacenter ma la stessa console Veeam di gestione permette di creare dei job di backup come se fossero backup locali; i backup remoti su datacenter saranno sempre disponibili anche se l’infrastruttura di backup locale viene danneggiata;
  • modalità agentless: il backup è reso possibile in modalità totalmente agentless grazie all’utilizzo diretto delle API messe a disposizione da VMware;
  • crittografia durante il trasferimento: i trasferimenti sono protetti tramite cifratura e con copie multiple su nodi diversi garantendo la costante accessibilità dei dati;
  • Insider Protection: i dati in cloud, cancellati accidentalmente o in modo malevolo, non vengono eliminati definitivamente ma vengono spostati in un cestino virtuale al quale il solo service provider ha accesso e possono essere da esso ripristinati;
  • Hardened Linux Repository: il cliente può garantirsi l‘immutabilità del dato per il periodo di tempo da lui indicato nella console di Veeam on premise. In questo caso, nell’eventualità di un attacco malevolo, o accidentale, il malintenzionato non potrà in alcun modo cancellare i dati;
  • WAN Acceleration: tecnologia di Veeam che ottimizza il trasferimento dei dati verso siti esterni: lato datacenter la WAN Acceleration è già inclusa nel servizio; lato on premise, il cliente deve essere in possesso della versione Enterprise o Enterprise Plus.

Per ulteriori informazioni o quesiti tecnici: dircom@argonavis.it

1 Marzo 2022

Endian Switchboard 6.2.0 Release

 

La release di Endian Switchboard 6.2.0 aggiunge alla piattaforma una nuova importante funzionalità: il Messaging Center

 

 

Release Highlights:

Ecco le nuove e migliorate caratteristiche di Endian Switchboard 6.2.0:

  • Messaging Center: grazie al nuovissimo Messaging Center, è ora possibile inviare facilmente diversi tipi di comunicazioni agli utenti Switchboard, scegliendo tra vari tipi di messaggio: è possibile selezionare banner, notifiche e agreement e assegnare a ciascuno di loro un colore differente,  a seconda del livello di criticità.
  • Miglioramenti del Firewall: sono stati apportati numerosi miglioramenti all’intera architettura con l’obiettivo di semplificare la creazione, la modifica e la gestione delle regole Firewall.
  • Filtro GeoIP: Una delle aggiunte più importanti è il filtro GeoIP, che permette agli utenti di consentire o bloccare facilmente il traffico da vari paesi.
  • Miglioramenti di sistema: per rendere sempre più efficiente, performante e stabile lo Switchboard, sono stati apportati profondi miglioramenti al codice.

Maggiori informazioni nella pagina Endian Switchboard 6.2.0 Release Notes.

9 Febbraio 2022

Certificato SSL e siti HTTPS: come funzionano

 
 
 
 
 
Autore: Redazione ArgonavisLAB – 03/02/2022
 
 

Un certificato SSL è un certificato digitale che autentica l’identità di un sito web e consente di instaurare una connessione crittografata. SSL è acronimo di Secure Sockets Layer, un protocollo di sicurezza che crea un link crittografato fra un server web e un browser web.

SSL assicura che tutti i dati scambiati fra un client (il browser dell’utente) e un server web (o altro servizio, come ftp, ecc.), in generale fra due sistemi, rimangano impossibili da leggere. Utilizza algoritmi di crittografia allo scopo di rendere irriconoscibili i dati in transito, per impedire agli hacker di leggerli mentre vengono trasmessi sulla connessione.

Per stabilire una sessione tra client e server in modalità https , viene prima eseguita la fase di “handshake SSL” , che prevede

  • Scambio dei certificati pubblici
  • Scambio delle sequenze di byte necessarie per costruire la master secret
  • Verifica dell’autenticità dei certificati
  • Creazione della chiave “master secret” , univoca per ogni sessione e comune a entrambi i sistemi, e che verrà usata per crittografare tutta la sessione di navigazione del client sul server.
  • Messaggio di fine handshake, in cui viene verificato che tutto il processo sia stato regolare e la master secret sia utilizzabile.

Da questo momento può iniziare lo scambio dati tra client e server , tutto il traffico verrà crittografato , impedendo che un intruso sia in grado di leggere il traffico (sniffare), e possa introdursi nella sessione sostituendosi ad uno dei sistemi o di rubare delle informazioni.

Pertanto il certificato SSL assolve a tre funzioni

  • Autenticità: assicura che il server sia chi dice di essere , e non un clone falso.
  • Confidenzialità: definisce una chiave segreta comune ed unica per sessione , usata per crittografare il contenuto del messaggio.
  • Integrità: garantisce che i messaggi tra server e client sia integri e non modificati da un intruso.

La comunicazione SSL tra client e server avviene su quattro fasi

  1. Fase di hello : server e client si scambiano i certificati pubblici e delle sequenze di byte casuali ; il client verifica l’autenticità del certificato inviato dal server.
  2. Processo di costruzione della master secret , la chiave comune unica per ogni sessione, che sarà usata per cifrare il traffico.
  3. Fase di finished : client e server si scambiano il primo messaggio usando la master secret , verificano l’esito positivo e concludono la fase di handshake.
  4. Inizio trasmissione cifrata tra server e client , tramite protocollo SSL.

In conclusione:

Il canale definito durante la fase di SSL handshake è immune da attacchi attivi man-in-the-middle poiché il sistema Server viene autenticato con un certificato digitale.
Il client può comunicare la pre-master secret al sistema server in modo sicuro attraverso la chiave pubblica presente nel certificato del server.

Solo il client e il server , tra cui è iniziata la fase di handshake (tramite il meccanismo chiave pubblica-chiave privata) , possono costruire la stessa master secret, su cui poi si fonda la costruzione di tutte le chiavi segrete adottate nelle comunicazioni successive.

La sequenza corrispondente al pre-master secret viene generata dal client e comunicata per via cifrata al server.  La non predicibilità di questa sequenza è cruciale per la sicurezza del canale SSL.

Il messaggio di finished contiene tutte le informazioni scambiate nel corso dell’handshake. Lo scopo è effettuare un ulteriore controllo sulle comunicazioni precedenti per garantire che queste siano avvenute correttamente, che il client e il server dispongano della stessa Master Secret e che la comunicazione non sia stata oggetto di un attacco attivo.

Scendendo un poco nel dettaglio , abbiamo :

  1. Client hello
  • Il client manda al server un messaggio di “client hello”
  • richiede la creazione di una connessione SSL
  • specifica le prestazioni di “sicurezza” che desidera siano garantite durante la connessione (l’elenco delle cipher suite che e’ in grado di supportare)
  • invia una sequenza di byte casuali.
  1. Server hello
  • Il server manda al client un messaggio di “server hello”
  • seleziona la cipher suite che desidera
  • invia una sequenza di byte casuali
  • Se il client non riceve il messaggio di server hello , il client interrompe la comunicazione
  1. Invio certificato del server
  • Il server invia il suo certificato pubblico (il crt) e i certificati pubblici della catena di certificazione della CA (Intermedi e di root)
  1. Invio del messaggio server hello done
  • Il server invia il messaggio che definisce la conclusione dei messaggi per la definizione del tipo di protezione e relativi parametri.
  1. Verifica dei certificati
  • Il client verifica la data di validita’ del certificato , che la CA sia trust , che la firma apposta dalla CA sia autentica (controllo con la CA). Se il certificato non è stato emesso da una CA pubblica, viene segnalato l’errore e richiesto se accettare comunque il certificato.
  1. Costruzione della pre-master secret
  • Il client genera una sequenza di byte casuali
  • la cifra con la chiave pubblica del server ricevuta nei passi precedenti
  • spedisce la pre-master secret al server
  1. Server e client : Costruzione della master secret
  • Sia il server che il client conoscono le sequenze di byte casuali scambiate tra server e client durante le fasi di client hello e server hello ; e conoscono la pre-master secret
  • Server e client costruiscono la master secret (che sarà uguale per entrambi)
  • L’uso delle sequenze di byte casuali scambiate durante le fasi di hello , client e server) genera una master secret diversa per ogni sessione SSL ; un intruso non può riutilizzare i messaggi di handshake catturati sul canale per sostituirsi in una successiva comunicazione
  1. Message finished
  • E’ il primo messaggio protetto tramite master secret e cipher suite, che i due sistemi si scambiano
  • Il messaggio viene prima costruito dal client e mandato al server
  • Poi il server usando parte del messaggio inviato dal client , costruisce il proprio finished message e lo invia al client
  • nei due invii la struttura del messaggio è la stessa, ma cambiano le informazioni in esso contenute
  1. Fine della fase handshake
  • A questo punto la master secret è utilizzata dal client e dal server per costruire una propria tripla di dati
  • Le triple del client e del server sono diverse tra loro ma note a entrambi i sistemi: ciascuno usa la propria, il che aumenta la sicurezza delle comunicazioni.
  • Client e server sono pronti al colloquio cifrato e inizia la fase del protocollo SSL record
  1. Protocollo SSL record
  • Il canale sicuro approntato dal protocollo SSL handshake viene realizzato dal protocollo SSL record.
  • I dati sono frammentati in blocchi.
  • Ciascun blocco viene numerato, compresso e autenticato mediante l’aggiunta di un MAC cifrato mediate il cifrario simmetrico su cui client e server si sono accordati , trasmesso dall’SSL record utilizzando il protocollo di trasporto sottostante.
  • Il destinatario esegue un procedimento inverso sui blocchi ricevuti:
  1. decifra e verifica la loro integrità
  2. decomprime e riassembla i blocchi in chiaro
  3. consegna all’applicazione sovrastante.

 

Questo articolo, scritto da ArgonavisLAB , ha liberamente preso spunto da vari autori. Si ringraziano Kaspersky Lab e http://pages.di.unipi.it/bernasconi/CRI/ssl.pdf

3 Febbraio 2022

Parte il piano ispettivo del Garante privacy per il primo semestre 2022

 
 
Tratto da www.garanteprivacy.it- 31/01/2022
 
 
 
Riflettori su cookies, smart toys, app “rubadati”
 
 
 
 
 
 

Smart toys, cookie, app “rubadati”. Ma anche siti di incontri, monetizzazione dei dati, database. Sono questi i nuovi settori su cui si concentrerà il piano ispettivo per il primo semestre di quest’anno appena approvato dal Garante privacy.

L’attività di accertamento dell’Autorità, svolta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, verificherà la correttezza dei trattamenti di dati personali effettuati dai siti di incontri, dagli operatori della cosiddetta monetizzazione dei dati, dai produttori e distributori di smart toys e quelli trattati mediante algoritmi e sistemi di intelligenza artificiale. Ma le attività ispettive riguarderanno anche i dati trattati da fornitori di database, la  gestione dei cookies da parte delle piattaforme e dei siti web, l’uso dei sistemi di videosorveglianza.

Ulteriori accertamenti faranno luce sulla corretta individuazione dei titolari e dei responsabili del trattamento in ambiti pubblici e privati, anche in relazione all’utilizzo di app e altri applicativi spia.

Attenzione particolare sarà riservata all’acquisizione di dati personali da parte di app istallate sugli smartphone e alla verifica del corretto trattamento dei dati da parte di app diverse da “Verifica C19”.

Il Garante potrà svolgere ulteriori attività ispettive d’ufficio, o sulla base di segnalazioni o reclami.

1 Febbraio 2022

Blog & News

Categorie