Certificati SSL su Safari validi per non più di 398 giorni

In occasione del CA/Browser Forum, il 19 febbraio 2020, Apple ha annunciato che dal 1° settembre 2020 il suo browser web Safari accetterà solo a certificati SSL con una validità di non più di 398 giorni.

I certificati SSL emessi fino al 31 agosto 2020 con una validità di due anni potranno essere utilizzati fino alla loro scadenza.

La validità consigliata dei certificati SSL è già cambiata diverse volte nel corso degli anni.
Dopo una decisione presa al CA/Browser Forum a marzo 2018, i certificati SSL possono avere una validità massima di due anni.
Ma se si vorrà che il proprio sito sia compatibile su tutte principali piattaforme , sarà necessarie tenere conto della decisione di Apple.

Configurare Kaspersky Security for Windows Server per Chrome

Kaspersky Security for windows server è una applicazione studiata appositamente per proteggere al meglio i Sistemi Operativi Windows Server.

Kaspersky Security for windows server contiene accorgimenti tecnici in grado di non rendere necessario il riavvio del sistema operativo in caso di installazione o aggiornamento, limitare il carico di lavoro sui server, ma allo stesso tempo garantire una protezione ottimale grazie a moduli espressamente progettati per proteggere sistemi operativi Server, come Anti Cryptor, che impedisce ad altre macchine infette da Ransomware, la possano cifrare tutti i documenti delle cartelle condivise ed Exploit Prevention.

Exploit Prevention

Il componente Exploit Prevention, tiene traccia dei file eseguibili eseguiti dalle applicazioni potenzialmente vulnerabili.

Se si verifica un tentativo di esecuzione di un file eseguibile da parte di un’applicazione vulnerabile non eseguito dall’utente, la protezione Kaspersky , blocca l’esecuzione di questo file.

Google Chrome e Edge Chromium

A partire dalla versione 79, i browser Google Chrome e Edge Chromium utilizzano il meccanismo di integrità del codice Microsoft. Questo meccanismo impedisce la modifica del codice del browser e blocca eventuali exploit dei processi Edge e Chrome.

Le librerie di terze parti, inclusa la libreria Exploit Prevention, non possono essere caricate nello spazio degli indirizzi di un browser che sta utilizzando il meccanismo di integrità del codice Microsoft.

Soluzione per la configurazione

Per visualizzare correttamente le pagine del sito Web, disabilitare la libreria Prevenzione exploit per i processi chrome.exe e msedge.exe

Aprire Kaspersky Security Center.
Andare su Managed devices → Policies.
Aprire la politica per Kaspersky Security 10 for Windows Server policy.
Selezionare la sezione Real-time server protection.
In Exploit Prevention premere Settings.

Premere la scheda Protected processes e cercare i processi chrome.exe e msedge.exe
Togliere la spunta da questi due processi e premere ОК.

Salvare la politica di Kaspersky Security 10 for Windows Server.

In questa maniera Exploit Prevention non potrà più lavorare su Google Chrome e Edge Chromium, ma sarà possibile aprire correttamente le pagine web.

Autore
Angelo Penduzzu
Questar blog

Vulnerabilità CVE – 2020-0674: Kaspersky ti protegge

Una nuova vulnerabilità per Internet Explorer, identificata con il codice CVE-2020-0674 , che affligge la libreria jscript.dll, è stata scoperta recentemente.

Attualmente Microsoft non ha ancora rilasciato una patch ufficiale per risolvere il problema, che potenzialmente ha un impatto molto elevato sul dispositivo della vittima.

Kaspersky Security for Windows Server, grazie al modulo Exploit Prevention permette di mitigare il rischio legato a questa vulnerabilità che affligge il modulo jScript.

Per ridurre la superficie di attacco e le possibilità di sfruttare la vulnerabilità in attesa del rilascio della patch, suggeriamo di aggiungere il file JScript.dll nella lista dei moduli vietati per il processo iexplore.exe

Per proteggere il tuo server dalla vulnerabilità CVE-2020-0674 segui i seguenti passaggi :

Apri Kaspersky Security Center.
Vai in Managed devices → Policies.
Apri la politica di Kaspersky Security for Windows Server.
Vai nella sezione Real-time server protection.
Nella sezione Exploit Prevention, premi Settings.

Seleziona Prevent vulnerable processes exploit ed abilita la modalità Terminate on exploit.

Apri la scheda Protected processes, trova iexplore.exe nella tabella e premi Set exploit prevention techniques.

Successivamente seleziona Apply selected exploit prevention techniques.
Aggiungi jscript.dll all’elenco dei Deny modules e premi OK.

La vulnerabilità CVE-2020-0674 permette ad un attaccante di iniettare ed eseguire, nella memoria dalla maccchina della vittima del codice arbitrario, che verrà eseguito con gli stessi permessi dell’utente che ha aperto la pagina.

Affinché la vulnerabilità venga sfruttata è sufficiente che la vittima apra una pagina web o una mail con il codice in grado di sfruttare la vulnerabilità.

Per approfondire con maggiori dettagli suggeriamo di consultare la nota pubblicata dal sito ufficiale Microsoft.

Autore
Angelo Penduzzu
Questar blog

PA: il Garante Privacy chiede più tutele per chi segnala gli illeciti

Parere favorevole alle linee guida Anac sul cosiddetto “whistleblowing”, ma con alcune integrazioni

Adottare ulteriori misure per proteggere l’identità di chi segnala riservatamente condotte illecite e quella dei presunti autori, delineare più precisamente i fatti che possono essere segnalati con il “whistleblowing” nella Pa, definire meglio il ruolo dei soggetti coinvolti.

Queste sono alcune delle condizioni e osservazioni indicate dal Garante per la privacy nel parere sulla bozza di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001, (c.d. whistleblowing)”, predisposta dall’Anac.

Le Linee guida – rivolte ai datori di lavoro in ambito pubblico, ma contenenti anche indicazioni per l’inoltro di segnalazioni da parte di dipendenti di imprese fornitrici di beni o servizi per la Pa – specificano le misure tecniche di base che le pubbliche amministrazioni, titolari del trattamento dei dati, dovranno adottare ed eventualmente ampliare, tenendo conto degli specifici rischi del trattamento e nel rispetto dei principi di privacy-by-design e privacy-by-default.

Il testo delle linee guida era stato inizialmente posto dall’Autorità anticorruzione in consultazione pubblica e poi integrato sulla base di una positiva collaborazione con il Garante per la privacy, così da rafforzare la tutela della speciale riservatezza dell’identità del segnalante e delle informazioni che facilitano l’individuazione di fenomeni corruttivi nella Pa.Tale collaborazione aveva portato anche a delineare meglio, ad esempio, il ruolo dei fornitori di applicativi e servizi informatici utilizzati per l’acquisizione e la gestione delle segnalazioni, nonché a proporre accorgimenti specifici per evitare la tracciabilità del segnalante.

Il parere favorevole del Garante privacy è però condizionato – anche alla luce degli esiti di attività ispettive avviate nel corso del 2019 proprio nei confronti dei principali soggetti (società informatiche, pubbliche amministrazioni) che trattano dati nell’ambito del whistleblowing – all’introduzione di specifiche modifiche che possano evitare di compromettere la corretta gestione delle segnalazioni.

Al fine di incrementare l’utilizzo e la fiducia in questo strumento, il Garante ha chiesto, ad esempio, che nelle Linee guida vengano circoscritte e definite meglio le condotte segnalabili con il “whistleblowing”, così da evitare che gli uffici che gestiscono le segnalazioni rischino di trattare illecitamente i dati delle persone citate, magari perché riferibili a casi non previsti dalla normativa anticorruzione. Dovranno poi essere specificati meglio – seppure con alcune limitazioni a tutela dell’identità del segnalante – i diritti garantiti dalla normativa privacy anche all’autore del presunto illecito.

Dovrà inoltre essere limitata al “responsabile della prevenzione della corruzione e della trasparenza” la possibilità di associare la segnalazione all’identità del segnalante. Nel parere è indicato, tra l’altro, che occorre specificare meglio il ruolo svolto nel trattamento dei dati dai soggetti (sia interni all’amministrazione, sia esterni come l’Autorità giudiziaria e la Corte dei Conti) che possono conoscere le informazioni contenute nelle segnalazioni riservate.

Il Garante ha infine chiesto all’Anac di rafforzare nelle Linee guida le misure tecniche e organizzative necessarie per tutelare l’identità del segnalante, utilizzando, ad esempio, protocolli sicuri per la trasmissione dei dati, abilitando accessi selettivi ai dati contenuti nelle segnalazioni, ed evitando che la piattaforma invii al segnalante notifiche sullo stato della pratica, in quanto tali messaggi potrebbero consentire di svelarne l’identità.

Fonte
Garante per la Protezione dei Dati Personali

Lavoro: è illecito mantenere attivo l’account di posta dell’ex dipendente

Lavoro: è illecito mantenere attivo l’account di posta dell’ex dipendente

Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo.

Questi i principi ribaditi dal Garante per la privacy nel definire il reclamo di un dipendente che lamentava la violazione della disciplina sulla protezione dei dati da parte della società presso la quale aveva lavorato.

L’ex dipendente contestava, in particolare, alla società la mancata disattivazione della email aziendale e l’accesso ai messaggi ricevuti sul suo account. L’interessato era venuto a conoscenza di questi fatti per caso, nel corso di un giudizio davanti al giudice del lavoro promosso nei suoi confronti dalla sua ex azienda, avendo quest’ultima depositato agli atti una email giunta sulla sua casella di posta un anno dopo la cessazione dal servizio.

Dagli accertamenti svolti dall’Autorità è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente.

Il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

L’adozione di tali misure tecnologiche – ha spiegato il Garante – consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).

Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.