<div dir="ltr">Buongiorno a tutti,<br><br>Grazie in primo luogo del riscontro alla mia precedente email, che vuole essere un contributo per meglio capire la situazione degli IXP nazionali.<br><br>L'interpretazione delle parole del Garante espressa da Maurizio Goretti, che ringrazio per il gentile e pacato riscontro, è plausibile e per molti versi anche da me condivisibile. E' infatti possibile che vi siano inesattezze temporali nel mio post. C'è però da rilevare che anche altre ben più autorevoli fonti di stampa riportano la notizia con un taglio diverso da quello interpretato da Maurizio. Questo mi lascia quantomeno pensare che vi sia spazio per una certa ambiguità di comprensione nelle parole del Garante, non sappiamo se voluta o meno. Esemplificativo di questo è l'articolo dell'agenzia ANSA che titola (al presente):<br><br>“Cyber-sicurezza, vulnerabili i punti di interscambio internet. Lo evidenzia il Garante delle Privacy, Antonello Soro”<br><a href="http://www.ansa.it/sito/notizie/tecnologia/tlc/2017/03/07/cyber-sicurezza-vulnerabili-punti-di-interscambio-internet_632200df-d5af-496d-8fd7-6809d4f07c49.html">http://www.ansa.it/sito/notizie/tecnologia/tlc/2017/03/07/cyber-sicurezza-vulnerabili-punti-di-interscambio-internet_632200df-d5af-496d-8fd7-6809d4f07c49.html</a><br><br>Magari secondo Valeria Rossi potrebbe trattarsi di un ulteriore caso di fake news opportunamente redatta dall'agenzia ANSA. Io personalmente lo ritengo altamente improbabile :-)<br><br>Vengo rapidamente a ringraziare per il suo riscontro anche Antonio Baldassarra, con cui condivido il piacevole ricordo del nostro incontro a ITNOG2. I miei post sono frutto di una attività autonoma e slegata da qualsiasi affiliazione aziendale. Ultimamente vengono pubblicati in forma amatoriale attraverso la piattaforma di Medium proprio per essere autonomi anche da vincoli pubblicitari e quindi economici (niente clickbaiting). Quello che scrivo è quindi frutto esclusivamente del mio pensiero e della mia interpretazione della realtà, su cui – come nel caso in questione – cerco poi di confrontarmi a 360 gradi e di non sottrarmi mai al dibattito. Penso si tratti di una di quelle forme di libertà di espressione per la quale abbiamo tutti lavorato molto fin dagli anni '90.<br><br>Circa la veridicità delle mie affermazioni cerco sempre di utilizzare i link per riscontrare i fatti e, qualora vi siano errori – come avvenuto per un precedente post – sono sempre pronto ad effettuare le dovute correzioni. Nel caso in oggetto c'è ad esempio il link al video dell'audizione attraverso il quale è possibile ascoltare l'intervento integrale del Garante.<br><br>Dulcis in fundo, per parafrasare un suo stesso precedente messaggio, veniamo a Valeria Rossi. Non nego di aver avuto qualche difficoltà nel comprendere il suo post su questa mailing list ITNOG, che ho quindi riletto più e più volte cercando progressivamente di mettere sempre più a fuoco il suo pensiero. Non ci sono riuscito, lo ammetto. Non sono stato in grado di capire fino in fondo cosa Valeria abbia voluto comunicarmi e da quel poco che ho capito ci sarebbe solo materia per una lunga e sterile polemica, che nulla ha a che vedere con lo spirito del mio messaggio.<br><br>Rimane comunque aperto un dubbio: ma siamo sicuri che le indicazioni ricevute nel 2014 siano quanto di meglio un IXP possa oggi fare in termini di sicurezza?<br><br>Faccio un esempio: mentre scrivevo il post in oggetto ho provveduto – come da mia abitudine - a linkare i siti del NaMeX, del MIX e del TOP-IX all'interno del testo. Con una certa sorpresa ho notato che il sito del MIX a tutt'oggi non implementa ancora la versione TLS.<br><br>Provare per credere: <a href="https://www.mix-it.net">https://www.mix-it.net</a><br><br>Non che la mancanza di un sito sicuro sia un indicatore particolarmente significativo per un IXP, ma è sicuramente emblematico a mio giudizio dell'attenzione che una azienda ripone sulla sicurezza.<br><br>Per concludere ringrazio inoltre Francesco Ferreri per aver riprodotto il testo dell'audizione del Garante, come anche ringrazio Daniele Orlandi per il suo intervento che comprendo ma non condivido: la sicurezza è un processo, non un prodotto, che coinvolge il funzionamento intero di una qualsiasi infrastruttura. Esistono procedure definite come “dual control” oppure “two man rule” o anche “segregation of duties” per evitare che l'attività di un singolo operatore possa trasformarsi in un grosso problema aziendale. Ne è esemplificativo l'ultimo incidente di Amazon di Martedì 28 Febbraio, su cui ho scritto un post specifico.<br><br>Un saluto<div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><font face="monospace, monospace" size="2">-- </font></div><div><font face="monospace, monospace" size="2"> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=</font></div><div><font face="monospace, monospace" size="2"> Dario Centofanti  <dario@Popinga.NET></font></div><div><font face="monospace, monospace" size="2"> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=</font></div><div><font face="monospace, monospace" size="2"><br></font></div><div><font face="monospace, monospace" size="2">[This email may be signed using PGP keyID 82640439 or S/MIME X.509 certificate]</font></div></div></div></div>
<br><div class="gmail_quote">2017-03-08 19:03 GMT+01:00 Dario Centofanti <span dir="ltr"><<a href="mailto:dario@popinga.net" target="_blank">dario@popinga.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Ieri si è tenuta a Roma l'audizione di Antonello Soro, Presidente del Garante per la Protezione dei Dati Personali, presso le Commissioni riunite Affari Costituzionali e Difesa della Camera dei Deputati in tema di difesa e sicurezza dello spazio cibernetico.<br><br>Nell'audizione sono emersi alcuni aspetti critici che riguardano determinate carenze degli IXP italiani relative alle misure di sicurezza adottate.<br><br>Ho quindi scritto su questo argomento un post che vorrei condividere con voi al fine di comprendere meglio la reale situazione della sicurezza di infrastrutture quali MIX, NaMeX e TOP-IX.<br><br><a href="https://login.infomedia.it/le-policy-di-sicurezza-degli-ixp-23c8054efe40" target="_blank">https://login.infomedia.it/le-<wbr>policy-di-sicurezza-degli-ixp-<wbr>23c8054efe40</a><br><br>Grazie in anticipo per ogni contributo che vorrete anche privatamente fornirmi.<br><br>Un saluto<span class="gmail-HOEnZb"><font color="#888888"><div><br><div><div class="gmail-m_6154719142761247417gmail_signature"><div dir="ltr"><div><font face="monospace, monospace" size="2">-- </font></div><div><font face="monospace, monospace" size="2"> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=<wbr>-=-=-=-=</font></div><div><font face="monospace, monospace" size="2"> Dario Centofanti  <dario@Popinga.NET></font></div><div><font face="monospace, monospace" size="2"> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=<wbr>-=-=-=-=</font></div><div><font face="monospace, monospace" size="2"><br></font></div><div><font face="monospace, monospace" size="2">[This email may be signed using PGP keyID 82640439 or S/MIME X.509 certificate]</font></div></div></div></div>
</div></font></span></div>
</blockquote></div><br></div></div>