09/09/2016: E’ sicuro il data base CCD?
Le debolezze dell'archivio governativo che permette di analizzare le richieste di visti per l’ingresso negli Stati Uniti. Di Adalberto Biasiotti
Negli ultimi tempi gli esperti hanno messo sotto stretta osservazione un data base, che custodisce i dati biometrici di milioni di persone e probabilmente è nativo biometrico più grande del mondo. In questo archivio vengono memorizzate le informazioni afferenti a chiunque abbia richiesto un passaporto per gli Stati Uniti o visto, negli ultimi 10 anni. Ogni scheda del richiedente contiene dati personali come ad esempio la fotografia, le impronte digitali, il numero di sicurezza sociale, altri numeri identificativi ed anche le scuole che sono state frequentate da soggetti in questione.
In un recente incontro riservato, i gestori di questo archivio hanno scoperto che esso è potenzialmente vulnerabile a attacchi da parte di hacker, che cercano in continuazione di trovare dei sistemi per introdurre negli Stati Uniti dei terroristi o delle spie, senza che essi possano essere correttamente identificati.
Gli esperti hanno dimostrato che, con accorgimenti neanche troppo complicati, è possibile rubare l’identità delle vittime o accedere a dati riservati uno dei punti più critici riguarda la possibilità, per un attaccante, di alterare i dati, che permettono di determinare se uno può approvare una richiesta di rilascio di passaporto o di un visto. Il responsabile dell’archivio ha dichiarato che ogni decisione, afferente al rilascio di visti, rappresenta una decisione con riflessi sulla sicurezza nazionale.
I responsabili hanno anche confermato che effettivamente esistono delle vulnerabilità del sistema, alle quali si sta ora cercando di porre rimedio, ma non è stata fornita alcuna informazione in merito al fatto che i rimedi siano già operativi siano sufficientemente efficaci.
Il sistema consente a utenti autorizzati di inserire raccomandazione note direttamente nella scheda di ogni soggetto richiedente. Il responsabile affermano però che per alterare l’esito di una richiesta di visto, un hacker dovrebbe ottenere un privilegio di accesso abbastanza elevato, rendendo quindi questo tipo di attacco più difficoltoso.
Ciò non toglie che gli organi preposti alla sicurezza nazionale siano oltremodo preoccupati anche perché le dimensioni di questo dato ad esse sono spaventose:
più di 290.000.000 di faide legati al rilascio di passaporti,
184.000.000 di registrazioni afferenti al rilascio di visti,
25.000.000 di registrazioni afferenti a cittadini americani che si trovano all’estero.
Secondo gli esperti, l’imbarazzo compare responsabili hanno affrontato un incontro con gli specialisti informatici costituisce già una prova di qualche palese debolezza. Il responsabile hanno anche affermato che queste debolezze sono da attribuire al fatto che il sistema è nato molti anni fa e è stato progettato, quei tempi, senza prestare sufficiente attenzione ai requisiti di sicurezza antintrusione e senza tener conto della rapidità con cui si evolvono le tecniche di attacco.
Ho raccontato questa storia dei miei lettori per mettere in evidenza come spesso il fatto di non tenere sotto attento controllo il livello di sicurezza del sistema informativo, concepita tempo addietro, può portare a situazioni imbarazzanti, nel migliore dei casi è perfino pericolose, nel peggiore dei casi.
La foto allegata mostra la home page di questo critico sistema informativo.
Adalberto Biasiotti
13/10/2014: L’ISO pubblica documenti informativi sulla revisione della ISO 9001
13/10/2014: Requisiti e modalità di abilitazione del personale destinato a svolgere funzioni di sicurezza sugli impianti a fune in servizio pubblico
10/10/2014: Un progetto per l’evidenza dei costi della non tutela in edilizia
09/10/2014: Nuovi dati sulla relazione tra l’uso dei telefoni cellulari e i tumori cerebrali
08/10/2014: Sentenza 9 settembre 2014 n. 37312: è obbligatorio conservare in azienda gli attestati dell’avvenuta formazione dei lavoratori
08/10/2014: Attestazione di lettura degli articoli: come funziona?
L’attestazione di lettura degli articoli e d’iscrizione alla newsletter: uno strumento per dimostrare l’aggiornamento delle conoscenze in merito alle prescrizioni legali, normative e tecniche, alle competenze professionali e l’informazione dei lavoratori.
07/10/2014: Assicurati contro gli infortuni anche i volontari impegnati negli enti locali
07/10/2014: Fondimpresa: nuove strategie per potenziare la formazione dei lavoratori
06/10/2014: La scuola sicura. Lo sviluppo delle competenze di sicurezza nei curricula scolastici
03/10/2014: Nuovo elenco dei soggetti abilitati per l'effettuazione delle verifiche periodiche
03/10/2014: La ricerca dell’Inail al servizio della sicurezza della macchine industriali
02/10/2014: Le novità normative comunitarie in materia di attrezzature a pressione
02/10/2014: Amianto alla Olivetti: secondo i pm i vertici della storica fabbrica sarebbero intervenuti in ritardo per tutelare i lavoratori
01/10/2014: Pubblicata la delibera per la riqualificazione e messa in sicurezza degli edifici scolastici
Pubblicata la delibera per la riqualificazione e messa in sicurezza degli edifici scolastici
30/09/2014: Pubblicato il decreto sul differimento dell’entrata in vigore del decreto sul servizio di salvataggio e antincendio negli aeroporti
Pubblicato il decreto sul differimento dell’entrata in vigore del decreto sul servizio di salvataggio e antincendio negli aeroporti
29/09/2014: Fare in modo che le imprese si adoperino per la sicurezza e la salute sul lavoro.
17/09/2014: Pubblicato il Decreto di Aggiornamento dell'elenco delle malattie professionali per le quali è obbligatoria la denuncia
Ministero del Lavoro e delle Politiche Sociali - Decreto 10 giugno 2014 - Approvazione dell'aggiornamento dell'elenco delle malattie per le quali è obbligatoria la denuncia, ai sensi e per gli effetti dell'articolo 139 del Testo Unico approvato con decreto del Presidente della Repubblica 30 giugno 1965, n. 1124 e successive modificazioni e integrazioni.
15/09/2014: Pubblicato il decreto che individua i modelli semplificati per la redazione di POS, PSC, PSS e fascicolo dell'opera
Pubblicato il nuovo decreto interministeriale del 9 settembre 2014
14/07/2014: Firmato il decreto di ricostituzione della Commissione consultiva permanente
30/06/2014: La possibilità di partecipare al premio “Imprese per la sicurezza” scade il 5 luglio
Scade il 5 luglio 2014 la possibilità di partecipare al Premio Imprese per la sicurezza di Confindustria e Inail.
112 113 114 115 116 117 118 119 120 121 122