Competenze e requisiti del DPO - Il problema delle certificazioni

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

L’articolo 37 del Regolamento Europeo 679/2016 prevede la nomina del Data Protector Officer, senza però darne né precisa definizione né esaustiva descrizione della figura. I successivi articoli 38 e 39 indicano la posizione che dovrà assumere all’interno della struttura ed i suoi compiti ma, anche qui, non indicano compiutamente quali caratteristiche debba avere e i suoi requisiti, titoli, attestati e quant’altro. Pertanto, ad oggi, quello che è uno dei soggetti principali della nuova normativa europea in materia di trattamento dati personali, non ha una sua tipizzazione normativa, tant’è che non esiste alcun albo o registro dei DPO e neppure sono state emanate (a livello europeo o dei singoli Stati)  norme che contribuiscano a creare la categoria.

L’unica norma del regolamento che indica caratteristiche e competenze del DPO è il comma 5 dell’articolo 37 che testualmente recita:

Bug di Apple: con un link si può bloccare il Mac e riavviare iOS

La falla di sicurezza è in un componente usato da tutti i sistemi Apple: per l'exploit basta creare un sito web con un CSS particolare. Di per sé pare difficile che questa vulnerabilità possa essere sfruttata per attacchi malware, ciò non toglie che possa diventare una scocciatura. Questo per il semplice fatto che questo bug, scoperto dal ricercatore di Wire Sabri Haddouche, richiede pochissime conoscenze tecniche per essere sfruttato e, per quanto magari non produrrà mai gravi danni, può creare fastidi.

Non è la prima volta...

Non sarebbe infatti la prima volta che falle piuttosto deboli, ovvero che non rischiano di compromettere completamente sistema e dati, vengono usate per "tirare brutti scherzi" o per il mero gusto di dare fastidio. 

Il consenso dell'Interessato ai sensi del GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Deve premettersi e mai perdersi di vista il concetto essenziale che il Regolamento Europeo 679/ 2016 pone al suo centro l’interessato, vale a dire il soggetto che fornisce i propri dati personali a chi dovrà trattarli. A differenza della previgente normativa nazionale, il Regolamento non solo riconosce questa figura espressamente, ma la individua quale titolare di diritti ben precisi: proprio al fine di poter compiutamente esercitare gli stessi, il consenso al trattamento dati a favore dell’interessato, sia che derivi da contratto che da obbligo di legge, deve essere non solo chiaro, ma avere ben determinate caratteristiche. 

In generale il consenso è identificato in: 

“qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento". 

Già da questa definizione emerge come il consenso non possa in alcun modo essere condizionato o soggetto a controprestazioni che rimangono nell’alveo del rapporto tra le parti. Laddove ciò accadesse il consenso non avrebbe validità con la conseguenza dell’impossibilità per il Titolare di provvedere al trattamento dei dati e, molto probabilmente, non poter eseguire i propri obblighi contrattuali.

Ondata di attacchi contro Linux e Windows: in diffusione il malware XBASH

I ricercatori di sicurezza del team Unit42 di Palo Alto Network hanno rilevato una pericolosa ondata di attacchi in grado di creare gravi disfunzione sui sistemi colpiti. Il malware in diffusione è noto come Xbash, attributo al gruppo di cyber criminali "Iron Group", e presenta caratteristiche di virulenza e capacità di auto propagazione nei sistemi Linux e Windows. E' programmato in Python ed è stato convertito in un eseguibile ELF (Linux) approntato abusando di PyInstaller per la distribuzione. E' molto pericoloso anche perchè ha un tasso di individuazione bassissimo.

Che cosa fa?

L'analisi del codice ha reso chiaro che Xbash ha non poche capacità offensive, prima di tutte la

In diffusione nuova variante del ransomware Dharma: attacca i Remote Desktop Service

Durante il fine settimana è stata messa in diffusione una nuova variante della famiglia ransomware Dharma, riconoscibile perché modifica l'estensione dei file criptati in .brr. Il primo a darne notizia è stato il ricercatore di sicurezza Jakub Kroustek che ha twittato il link ad un campione del ransomware su VirusTotal.

Attualmente non c'è possibilità di decriptare gratuitamente i file attaccati da Brr Dharma Ransomware. 

Come si diffonde
Come ogni membro della famiglia Dharma, anche la variante Brr viene installata manualmente sulla

Nonostante i due anni di vita, il trojan "ruba-password" Loki è ancora una minaccia

Loki è attivo da qualche anno e giusto qualche settimana fa è stato visto di nuovo in azione, diffuso in una campagna di spam mirata contro mailbox aziendali. Nei fatti, nonostante ormai sia "una vecchia conoscenza", bisogna constatare come questo trojan sia ancora una minaccia per la sicurezza informatica. 

Loki-Bot: informazioni di base

Loki-Bot è un malware per il furto di password, avvistato ultimamente in the wild non poche volte. Ha la capacità di sottrarre differenti tipi di credenziali e gode di una componente keylogger che gli conferisce un altissimo tasso di successo. Il malware è in vendita, incluso il server C&C, a circa 70 dollari statunitensi, un prezzo molto conveniente. 

Il codice sorgente della v.1 è trapelato nel 2015 e da quel momento è stato usato da centinaia di cyber criminali: appare ormai del tutto impossibile, quindi, risalire allo sviluppatore originale. Il codice è stato ritoccato e riadattato nel tempo, sia per renderlo più efficace sia per adattarlo alle esigenze del singolo utilizzatore. La maggior parte degli antivirus lo intercetta e, proprio per questo, il grosso delle modifiche è finalizzato all'oscuramento del codice e a misure anti virtual-machine. 

Prime osservazioni sul D. Lgs. 101 / 2018: l'adeguamento in Italia al GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Dopo essere stato approvato in Agosto, accompagnato da aspettative disattese su un presunto rinvio nell’applicazione del GDPR, il 4 Settembre è stato pubblicato nella Gazzetta Ufficiale del 10 agosto il Decreto Legislativo 101/2018 contenente le disposizioni per l’adeguamento della normativa nazionale ai principi del Regolamento europeo 2016/679. In questo testo abbozziamo le prime riflessioni e considerazioni.

1. Le sanzioni amministrative
   Il Decreto dovrebbe coordinare le previgenti norme in materia di protezione dei dati personali di cui al D.Lgs. 196/2003, con il nuovo regolamento entrato in vigore nel Maggio 2016 e al quale ogni destinatario avrebbe dovuto adeguarsi entro lo scorso 25 Maggio, data da cui già trova piena applicazione. Il nostro legislatore non è stato certo tempestivo; le norme di coordinamento avrebbero dovuto essere emanate quantomeno contestualmente all’entrata in vigore della normativa europea per evitare sovrapposizioni e problemi interpretativi. Appare pertanto logica, anche se non certo in linea con il dettato europeo, la “raccomandazione” al Garante di essere flessibile e “clemente” nell’erogazione di sanzioni perlomeno fino ad aprile 2019, anche al fine di consentire ai destinatari non solo di adeguarsi completamente alla nuova disciplina, ma anche comprendere che cosa sopravviva di quella precedente e come si coordinino. Coerente in questo senso è anche la possibilità concessa all’interessato di ridurre a 2/5 del minimo edittale stabilito dal D.lgs. 196/2003 le sanzioni per le violazioni antecedenti al 25 maggio 2018, per cercare di abbattere il contenzioso in essere.
   

PyLocky: nuovo ransomware in linguaggio Python colpisce utenti tedeschi, francesi e italiani

Tra la fine di Luglio e l'intera durata di Agosto diversi ricercatori di sicurezza hanno individuato una serie di ondate di email di spam vettrici di un nuovo ransomware chiamato PyLocky. Fin dal nome colpisce l'evidente tentativo di simulare, ma la nota di riscatto conferma il dubbio, il famigerato e tutt'ora irrisolto ransomware Locky: tutti gli esperti di sicurezza però concordano nell'affermare che questo ransomware, che è pensato per colpire utenti francesi, italiani, coreani e tedeschi nel dettaglio, non ha alcun legame con la famiglia di ransomware Locky. 

E' scritto in Python e "confezionato" con PyInstaller, un tool che consente la creazione di eseguibili autonomi da programmi Python. L'uso combinato di Inno Setup Installer (un installer open source basato su script) e PyInstaller rende molto difficile l'analisi statica, anche per le soluzioni basate sull'auto apprendimento (la tecnica non è nuova: qualcosa di simile si è verificato col ransomware Cerber, anche se, in quel caso, veniva usato l'installer NullSoft). 

La distribuzione del ransomware

Come detto, PyLocky viene distribuito sopratutto in Europa. Il fatto che la nota di riscatto (vedi sotto), sia scritta anche in italiano rende chiaro che l'Italia è già stata e continuerà ad essere un campo

Il ransomware GandCrab di nuovo all'attacco... anche in Italia!

C'è un nuovo exploit kit, chiamato Fallout, che viene attualmente usato per la distribuzione del ransomware GandCrab, di trojan downloader e di altri programmi potenzialmente indesiderati (PUP). La prima individuazione di questo exploit risale alla fine di Agosto 2018 e si deve al ricercatore di sicurezza nao_sec: lo ha rintracciato, pronto a sfruttare le vulnerabilità dei computer dei visitatori, su una serie di siti web compromessi. Le vulnerabilità che vengono sfruttate sono:

1. vulnerabilità CVE-2018-4878 di Adobe Flash Player;

2. vulnerabilità CVE-2018-8174 di Windows VBScript

Quando nao_sec ha scoperto l'exploit kit, questo scaricava e installava sul pc della vittima SmokeLoader, che altro non è che un malware che scarica altri malware. Nel caso specifico scaricava CoalaBot e altri malware non identificati. 

"Il file exe eseguito tramite shellcode è "Nullsoft Installer self-extracting archive" spiega nao_sec. "Questo file eseguirà SmokeLoader e altri due file exe". 

Fallout distribuisce GandCrab

Indipendenza del DPO nel sistema GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Il regolamento europeo in materia di protezione dati personali prevede (art.37), che il TITOLARE DEL TRATTAMENTO, vale a dire colui che ha la responsabilità in un’azienda o in un ente della gestione e conservazione dei dati personali, insieme al RESPONSABILE DEL TRATTAMENTO, cioè la figura incaricata dal titolare di gestire materialmente il trattamento dati, debbano nominare un RESPONSABILE DELLA PROTEZIONE DATI: parliamo di quella figura che viene comunemente definita DPO (Data Protection Officer). Si tratta di figure che hanno caratteristiche diverse e sono ognuna soggetta a una specifica disciplina con le proprie distinte responsabilità. In poche parole, mentre il TITOLARE corrisponde al legale rappresentante di un’azienda o di un ente, il RESPONSABILE del trattamento è il soggetto incaricato dal TITOLARE per lo svolgimento materiale delle operazioni di raccolta, gestione, trattamento, comunicazione dei dati.

Il DPO è la figura introdotta dal regolamento 679/2016 e si pone come ponte tra la vigilanza dei processi interni alla struttura e le autorità esterne (in Italia con il Garante della Privacy); ricopre un ruolo di consulenza che gli impone doveri interni, ma anche l’obbligo di attivarsi con gli organismi di controllo per le comunicazioni previste dalla normativa.

La botnet Necurs torna all'attacco: oltre 780.000 email contenenti file dannosi IQY

Necurs è una nostra vecchia conoscenza: una botnet di grandi dimensioni, balzata agli onori delle cronache come infrastruttura di invio di massive campagne di email di spam e phishing, per la distribuzione di ransomware e malware di altri tipi. 

Quest'anno Necurs si è distinta per aver lanciato ben 780.000 email in pochissimo tempo, suddivise in ben 5 campagne tutte contenenti file IQY dotati di svariate funzionalità di attacco. L'uso di file IQY rappresenta, ormai nei fatti, il nuovo e più recente metodo di diffusione di malware. Va detto che probabilmente, nonostante la quantità impressionante di email compromesse inviate, siamo di fronte ad un test: se 780.000 email sembrano molte, sono in realtà assai poche se teniamo di conto che sono inviate dalla botnet che, nell'ultimo trimestre del 2017, è stata responsabile del 60% del traffico di spam mondiale.

Il decreto attuativo del GDPR è stato pubblicato in Gazzetta Ufficiale: nessuna proroga né rinvii.

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy 

L’atteso decreto di recepimento del Gdpr, peraltro già in vigore dalla sua uscita nel 2016 ed al quale le aziende italiane dovevano adeguarsi entro il 25 maggio 2018, è stato pubblicato sulla Gazzetta Ufficiale del 4 settembre 2018. Viene quindi meno ogni possibile alibi per le aziende e i professionisti che hanno finora temporeggiato per adeguarsi alla normativa che sostituisce quasi integralmente la previgente cosiddetta legge sulla Privacy.

E’ pertanto indispensabile adeguarsi alle nuove, stringenti regole a tutela della privacy dei cittadini europei, la violazione delle quali comporta pesanti sanzioni anche di natura economica.

Ciò che emerge dalla lettura del Decreto, che sarà oggetto di approfondita analisi nei prossimi interventi, è che non prevede alcun rinvio, come erroneamente riportato anche da organi di stampa, alla sua entrata in vigore che, pertanto, è prevista al 19 settembre 2018.

Si riporta il link al sito della Gazzetta Ufficiale che contiene il testo del Decreto Legislativo 101 del 10 agosto 2018 >> http://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg

L'estensione per Chrome MEGA è stata compromessa: ora ruba credenziali di login e criptovaluta

Alcuni ricercatori di sicurezza hanno scoperto che l'estensione MEGA per Chrome è stata compromessa. MEGA è una estensione per Chrome per lo storage in cloud: è un'estensione legittima ma, per qualche giorno, la versione diffusa dal Web Store di Chrome non era l'originale. Era infatti stata sostituita con una versione alterata contenente codice dannoso finalizzato al furto di credenziali di login, password, username, email ecc...ma anche allo svuotamento dei conti di criptovaluta Monero. 

Dopo la segnalazione dei ricercatori, i tecnici di Google sono intervenuti rimuovendo l'estensione del Chrome Web store ufficiale e disabilitato l'estensione per gli utenti esistenti. 

N.B: ciò non significa che sia stata disinstallata: consigliamo la disinstallazione dell'estensione. 

L'hack è stato scoperto inizialmente da SerHack, un ricercatore di sicurezza e contributor del Monero Project, che ha immediatamente avvisato via tweet del fatto che la versione 3.39.4 dell'estensione MEGA era stata manomessa. Altri ricercatori di sicurezza hanno immediatamente avviato analisi approfondite dell'estensione e pubblicato i risultati. 

GDPR: i passi fondamentali per l'adempimento

Alessandro Papini - DPO, consulente informatico, CTU del Tribunale di Firenze 

E' arrivata la tanto attesa delega al GDPR, ma, oltre a inserire parecchie precisazioni e sostituzioni formali, questa ha ribadito un concetto preciso: il Regolamento Europeo della Privacy è uno e va rispettato da chiuque tratti dati di qualsiasi tipo a qualsiasi titolo (eccetto rare eccezioni). Chi si aspettava proroghe, esenzioni o periodi di tregua è rimasto di sale: il cambiamento è già iniziato e sarà inesorabile. Al di là delle documentazioni obbligatorie che dovremmo avere per dimostrare la nostra accountability a tutto quanto prescritto dal regolamento, credo che il passaggio effettivamente più importante e più difficile da attuare sia il cambio di mentalità che ogni azienda e ogni professionista italiano dovrà fare...questa sarà la vera rivoluzione.

Purtroppo è ancora troppo frequente trovare nelle aziende, negli studi e nelle attività commerciali falle e criticità di ogni tipo sia per quanto riguarda la sicurezza e organizzazione dei dati digitali che per quelli cartacei: parliamo di problemi a tutto tondo a livello di prevenzione, protezione e di disaster recovery. E' tutto troppo ancora lasciato al caso, tutto molto improvvisato, molto spesso senza neppure avere, almeno a monte, la pianificazione di un esperto IT o di un consulente informatico.

I dati non sono nostri ma ce li hanno prestati gli interessati per fare il nostro business, quindi vanno protetti in modo adeguato. 

La domanda quindi è come possiamo farlo? Facciamo qualche esempio:

In vita e morte del ransomware CryptoNar, sconfitto dopo due giorni di diffusione.

Questa settimana è stata individuata in diffusione una nuova versione del ransomware CryptoJocker, che ha registrato non poche vittime. La buona notizia è che è stato rilasciato molto velocemente un tool di decriptazione gratuito, messo a disposizione delle vittime che vogliano riportare in chiaro i propri file senza pagare alcun riscatto. 

La versione in diffusione si chiama CryptoNar e pare avere, a prima vista, una distribuzione ridottissima, quasi nulla. Nonostante questo, in meno di due giorni ha registrato oltre 100 vittime, quindi alcuni ricercatori di sicurezza hanno optato per studiarne l'algoritmo di criptazione in cerca di punti deboli. Si deve al ricercatore Michel Gillespie la creazione, particolarmente celere, del decryptor gratuito per questo ransomware. 

Che cosa fa CryptoNar?