[ITNOG] Le vulnerabilità degli Internet eXchange Point italiani

Dario Centofanti dario@popinga.net
Gio 9 Mar 2017 14:42:10 CET


Buongiorno a tutti,

Grazie in primo luogo del riscontro alla mia precedente email, che vuole
essere un contributo per meglio capire la situazione degli IXP nazionali.

L'interpretazione delle parole del Garante espressa da Maurizio Goretti,
che ringrazio per il gentile e pacato riscontro, è plausibile e per molti
versi anche da me condivisibile. E' infatti possibile che vi siano
inesattezze temporali nel mio post. C'è però da rilevare che anche altre
ben più autorevoli fonti di stampa riportano la notizia con un taglio
diverso da quello interpretato da Maurizio. Questo mi lascia quantomeno
pensare che vi sia spazio per una certa ambiguità di comprensione nelle
parole del Garante, non sappiamo se voluta o meno. Esemplificativo di
questo è l'articolo dell'agenzia ANSA che titola (al presente):

“Cyber-sicurezza, vulnerabili i punti di interscambio internet. Lo
evidenzia il Garante delle Privacy, Antonello Soro”
http://www.ansa.it/sito/notizie/tecnologia/tlc/2017/03/07/cyber-sicurezza-vulnerabili-punti-di-interscambio-internet_632200df-d5af-496d-8fd7-6809d4f07c49.html

Magari secondo Valeria Rossi potrebbe trattarsi di un ulteriore caso di
fake news opportunamente redatta dall'agenzia ANSA. Io personalmente lo
ritengo altamente improbabile :-)

Vengo rapidamente a ringraziare per il suo riscontro anche Antonio
Baldassarra, con cui condivido il piacevole ricordo del nostro incontro a
ITNOG2. I miei post sono frutto di una attività autonoma e slegata da
qualsiasi affiliazione aziendale. Ultimamente vengono pubblicati in forma
amatoriale attraverso la piattaforma di Medium proprio per essere autonomi
anche da vincoli pubblicitari e quindi economici (niente clickbaiting).
Quello che scrivo è quindi frutto esclusivamente del mio pensiero e della
mia interpretazione della realtà, su cui – come nel caso in questione –
cerco poi di confrontarmi a 360 gradi e di non sottrarmi mai al dibattito.
Penso si tratti di una di quelle forme di libertà di espressione per la
quale abbiamo tutti lavorato molto fin dagli anni '90.

Circa la veridicità delle mie affermazioni cerco sempre di utilizzare i
link per riscontrare i fatti e, qualora vi siano errori – come avvenuto per
un precedente post – sono sempre pronto ad effettuare le dovute correzioni.
Nel caso in oggetto c'è ad esempio il link al video dell'audizione
attraverso il quale è possibile ascoltare l'intervento integrale del
Garante.

Dulcis in fundo, per parafrasare un suo stesso precedente messaggio,
veniamo a Valeria Rossi. Non nego di aver avuto qualche difficoltà nel
comprendere il suo post su questa mailing list ITNOG, che ho quindi riletto
più e più volte cercando progressivamente di mettere sempre più a fuoco il
suo pensiero. Non ci sono riuscito, lo ammetto. Non sono stato in grado di
capire fino in fondo cosa Valeria abbia voluto comunicarmi e da quel poco
che ho capito ci sarebbe solo materia per una lunga e sterile polemica, che
nulla ha a che vedere con lo spirito del mio messaggio.

Rimane comunque aperto un dubbio: ma siamo sicuri che le indicazioni
ricevute nel 2014 siano quanto di meglio un IXP possa oggi fare in termini
di sicurezza?

Faccio un esempio: mentre scrivevo il post in oggetto ho provveduto – come
da mia abitudine - a linkare i siti del NaMeX, del MIX e del TOP-IX
all'interno del testo. Con una certa sorpresa ho notato che il sito del MIX
a tutt'oggi non implementa ancora la versione TLS.

Provare per credere: https://www.mix-it.net

Non che la mancanza di un sito sicuro sia un indicatore particolarmente
significativo per un IXP, ma è sicuramente emblematico a mio giudizio
dell'attenzione che una azienda ripone sulla sicurezza.

Per concludere ringrazio inoltre Francesco Ferreri per aver riprodotto il
testo dell'audizione del Garante, come anche ringrazio Daniele Orlandi per
il suo intervento che comprendo ma non condivido: la sicurezza è un
processo, non un prodotto, che coinvolge il funzionamento intero di una
qualsiasi infrastruttura. Esistono procedure definite come “dual control”
oppure “two man rule” o anche “segregation of duties” per evitare che
l'attività di un singolo operatore possa trasformarsi in un grosso problema
aziendale. Ne è esemplificativo l'ultimo incidente di Amazon di Martedì 28
Febbraio, su cui ho scritto un post specifico.

Un saluto

-- 
 =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
 Dario Centofanti  <dario@Popinga.NET>
 =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

[This email may be signed using PGP keyID 82640439 or S/MIME X.509
certificate]

2017-03-08 19:03 GMT+01:00 Dario Centofanti <dario@popinga.net>:

> Ieri si è tenuta a Roma l'audizione di Antonello Soro, Presidente del
> Garante per la Protezione dei Dati Personali, presso le Commissioni riunite
> Affari Costituzionali e Difesa della Camera dei Deputati in tema di difesa
> e sicurezza dello spazio cibernetico.
>
> Nell'audizione sono emersi alcuni aspetti critici che riguardano
> determinate carenze degli IXP italiani relative alle misure di sicurezza
> adottate.
>
> Ho quindi scritto su questo argomento un post che vorrei condividere con
> voi al fine di comprendere meglio la reale situazione della sicurezza di
> infrastrutture quali MIX, NaMeX e TOP-IX.
>
> https://login.infomedia.it/le-policy-di-sicurezza-degli-ixp-23c8054efe40
>
> Grazie in anticipo per ogni contributo che vorrete anche privatamente
> fornirmi.
>
> Un saluto
>
> --
>  =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
>  Dario Centofanti  <dario@Popinga.NET>
>  =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
>
> [This email may be signed using PGP keyID 82640439 or S/MIME X.509
> certificate]
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.itnog.it/pipermail/itnog/attachments/20170309/7b8197e1/attachment.html>


Maggiori informazioni sulla lista itnog