#387 – Louvre insicuro – Garante Privacy

Ho letto la notizia e il primo pensiero è stato ai film della Pantera Rosa o Taxxi, dove si prende bonariamente in giro la Gendarmerie francese. Se non avete mai visto Taxxi di Besson, male, dovreste recuperarlo.
Poi ho pensato che l’analogia di un furto realizzato in modo apparentemente così facile in un museo così famoso sarebbe potuto essere un ottimo spunto per tornare a parlare di sicurezza informatica, le similitudini erano davvero interessanti.
Non avevo ancora scritto la puntata ed ecco che escono davvero problemi strutturali informatici ai sistemi di sicurezza del Louvre.
La puntata si è scritta quasi da sola.

Questa puntata è stata realizzata grazie alle indispensabili donazioni di generosi ascoltatori
Gli abbonati
Lorenzo
Edoardo
E le donazioni spot
Marco
Maurizio
Emanuele
Oscar
Paolo
Per sapere come far parte di questo elenco e tutti i vantaggi che ne potete avere, c’è la sezione dedicata prima del tip.

Questa è una nuova sezione del podcast, in poche righe, in ogni puntata, vi racconto o descrivo una parola o un acronimo tecnologico, così da rendervelo più facile.
Se avete una parola o un acronimo che vorreste sentire sviscerato in questa sezione, sapete come contattarmi.

Visto che parliamo di sistemi di sicurezza, l’acronimo di oggi è DVR, che sta per Digital Video Recording.
Un tempo tutte le telecamere di sorveglianza registravano su sistemi a nastro, prima in analogico, poi in digitale, nastri che finivano, andavano sostituiti, archiviati, gestiti, riciclati.
Con l’avvento degli algoritmi di compressione video e dei dischi fissi, ce ne sono di fatti apposta per scritture continue dei flussi dati provenienti dalle telecamere, sono nati i sistemi che hanno sostituito il nastro con i dischi fissi. Ecco i DVR.
Il flusso video viene registrato su un disco fisso e quando diventa vecchio o il disco si riempie, viene cancellato per far posto ai video nuovi.
Si può accedere al disco per rivedere i video anche mentre sta registrando e si possono gestire le telecamere e le loro registrazioni anche da remoto.
Mi raccomando con accessi sicuri e password serie.

Oltre ad ascoltare il podcast ogni settimana potete interagire con me e con la community usando vari canali.
Trovate tutti i link nelle note di ogni episodio, il gruppo Slack, gli account Social e la mail, potete scegliere il canale che preferite per dirmi quello che volete.
Leggo tutti e se siete educati rispondo.

Riassunto di cosa è successo, per non dimenticarlo e riderci un po’ su.
Durante un normale giorno di apertura del museo del Louvre a Parigi, un furgone con un cestello, rivelatosi poi rubato, si è avvicinato ad una finestra del museo dopo averci parcheggiato sotto, con tanto di coni segnalatori.
Alcune persone con i classici gilet da cantiere, arrivati alla giusta altezza, aiutati da una smerigliatrice, hanno forzato una finestra, sono entrati e, sempre con l’aiuto di una smerigliatrice, come lo chiamo io, flessibile o come l’ho sentito chiamare in un video di youtube, frullino, hanno forzato una teca con dei gioielli del valore di poco meno di 20 milioni di euro.
Sottolineo nuovamente che lo hanno fatto in pieno giorno con il museo aperto.
Hanno preso i gioielli, sono usciti dalla finestra, sono tornati al piano strada e, su due scooter, si sono dileguati.
Le prime notizie dicevano che gli allarmi in quella sezione erano difettosi, scattavano spesso inutilmente ed erano stati disattivati.
Arrivati a questo punto avevo già la puntata in mente.
Ho lavorato per anni a fare il consulente e la quantità di posti dove sono stato in condizioni simili era elevatissima.
Sistemi operativi non aggiornati, perché tanto cosa vuoi che succeda.
Firewall installati in modo, diciamo, superficiale, pensando che l’utilità fosse solo sulla carta e non reale.
La gestione delle password completamente allo sbando, con policy inesistenti, post-it ovunque, password conosciute da tutti, in certi casi persino accessi senza password.
Dove ho lavorato fino a meno di 4 anni fa ho avuto da discutere con il presidente ottuagenario perché per lui era solo una perdita di tempo mettere la password nel suo computer, lui voleva accedere come a casa: accendeva il computer ed entrava facendo click sul suo nome.
Io sono sempre stato quello che, a detta loro, portava sfortuna, dicendo sempre cosa sarebbe potuto succedere in caso di mancato uso di basilari regole di sicurezza.
Mi sarebbe servito il furto al Louvre come esempio.
Visto? Se disattivate la sicurezza che scatta quando non deve, al posto di ripararla e tenerla attiva, ecco che i ladri entrano e non se ne accorge nessuno.
Invece ho dovuto vivere con una wifi in produzione senza password per 7 lunghi anni.
Fin qui il paragone era facile e ben utilizzabile.
Vale anche per casa vostra, in ambiente molto meno aziendale e molto meno enterprise.
Se avete un sistema di sicurezza che non funziona, qualunque esso sia, la videosorveglianza, l’antifurto, il salvavita sull’impianto elettrico, il segnalatore delle perdite di gas o altro, fatevi il favore di non disattivarlo, ma di ripararlo e metterlo nuovamente in funzione. O di sostituirlo se non riparabile.
Poi le cose succedono.
E se avete il gas a casa e non avete un sensore che suona in caso di perdita, andate a comprarlo.
Vale anche per la rete.
Se qualcosa si rompe e per far funzionare qualche dispositivo dovete ridurre le regole di sicurezza, non va bene. Riparate il guasto e non riducete le regole di sicurezza.
Faccio un esempio.
Ad un certo punto le telecamere non funzionano più.
Se disattivate l’isolamento dalla rete che avete fatto solo per loro dalla vostra rete di casa, riprendono a funzionare.
Non lasciate questa sicurezza disattivata.
Andate a cercare perché non funzionano più e sistemate il problema.
Sarebbe potuta finire qui.
Ma dopo qualche giorno, e qui va bene che io non faccio puntate subito dopo certi eventi, viene fuori che le password di accesso a certi sistemi erano “louvre” e quelle ai sistemi di “Thales” erano “thales”.
Se non lavorate nel settore non lo sapete.
Ma la maggior parte delle PMI, piccole medie imprese, come password di servizi aziendali, ha il nome dell’azienda. O il cognome o il nome del titolare.
Anche per servizi esposti.
Oppure, in certi casi, espone servizi senza password.
Perché, io credevo fosse una cosa tutta italiana, vige la regola del “cosa vuoi che succeda?”
Evidentemente è una cosa mondiale.
Lo dico a voi IT manager, lo direi anche al mio vecchio capo, che teneva tutte le password in un foglio excel con le celle in nero su testo nero così quando lo apriva nessuno poteva leggerle quando faceva copia-incolla, ed erano tutte con il nome dell’azienda, tranne quelle che imponevo io.
Ovviamente si vedevano quando le selezionava.
Per voi IT manager, usate delle password decenti, mettete delle policy per imporlo anche agli utenti, se scoprite che se le passano, fate in modo che capiscano che non è una cosa sana, non nel 2025, non in azienda, non a casa loro, da nessuna parte.
Usate un password manager a livello aziendale.
Imponetelo ai vostri fornitori, di ogni servizio, che sia esposto o meno.
La cura delle password deve essere pari alla cura che si ha dei denti, della salute propria e dei propri cari, vanno scelte, usate e gestite bene.
Lo dico a voi, imparate a gestire le vostre password, anche se non dovete controllare il sistema di sicurezza del Louvre.
Ditelo ai vostri figli, insegnateglielo come gli insegnate ad andare in bicicletta o ad attraversare la strada.
Gestire le password non è una cosa da nerd, fa parte della vita di tutti, va imparata subito e deve essere gestita sempre bene.
Se siete insegnanti, spiegatelo ai vostri studenti.
Usate un password manager, usate password lunghe e complesse, diverse tra i vari servizi e che non riconducano a voi, mai.
Non dite le vostre password a nessuno, amici, parenti, compagni e compagne. Non chiedetele. Se qualcuno insiste per averle, fate in modo di non avere più a che fare con quella persona.
L’ho detto in molte puntate di questo podcast, sembra che io sempre quello noioso, continuerò a ripeterlo, è una cosa importante.
Poi, in ambito professionale rubano 20 milioni di euro di gioielli o in ambito personale entrano nella vostra mail, vi rubano l’identità, aprono una linea di credito ed entrate nella lista dei cattivi pagatori.

Produco, registro e pubblico questo podcast con passione da oltre 10 anni, e la vostra generosità è la spinta per continuare a farlo quasi ogni settimana. Ogni vostra donazione è importantissima e in cambio vi invierò i gadget ufficiali del podcast!
Ecco come potete fare

Potete contribuire tramite Satispay, SumUp, PayPal, bonifico o RevTAG se avete un conto Revolut. Ricordate di compilare il modulo per ricevere i gadget!
Con soli 3€ al mese, avrete accesso alle puntate extra dedicate ai sostenitori, se donate usando un modo diverso da paypal scrivetemi per avere il link alla puntata.

Fate i vostri acquisti su Amazon usando i link sponsorizzati che trovate sul sito, una piccola parte arriva al podcast./

Se cercate un gestore di connettività super affidabile, provate Ehiweb! Li consiglio vivamente: offrono di tutto (FTTH, FTTC, SIM, fibra aziendale, VoIP), hanno un supporto clienti eccezionale e tutti i loro dipendenti sono tutti a tempo indeterminato. Non tornerete più indietro! Sono davvero una bella azienda! Usate il link sponsorizzato sul sito oppure telefonate e dite che vi mando io.

Per l’Hosting del vostro sito, c’è ThirdEye, che ospita con grande professionalità il sito del podcast da anni. Una garanzia! I contatti sono sul sito.

Tutte queste informazioni le trovate anche al link pilloledib.it/sostienimi

Non so se ve l’ho già detto. Io adoro ascoltare Caccia che racconta storie. Qualunque storia, sempre.
Potessi, lo ospiterei qui nel podcast a fargli raccontare qualche storia tecnologica.
Credo sarebbe un sogno.
Ma mi accontento di ascoltare il suo podcast che fa al Post, Orazio, dove prende le notizie e racconta delle storie intorno.
Oggi vi consiglio la sua puntata sull’evento del Louvre e sulla gestione delle password.
Una delle storie riguarda la condivisione di una password di un account Netflix tra due persone che si lasciano, la seconda, la più interessante, invece, verte intorno all’attentato dell’11 settembre, torri abbattute, persone ammazzate e password di molte aziende perse, forse all’epoca non esisteva neanche il concetto di password manager, sono passati quasi 25 anni.
Il modo in cui sono riusciti a recuperarle spezza il cuore e fa riflettere.
Ecco, Caccia riesce a parlare in modo poetico anche di password, chissà se riuscirebbe a farlo di VPN o di backup, non ho alcun dubbio.
Sono qui che ti aspetto.
Intanto, per favore, voi ascoltatori, non fate come hanno fatto alcuni suoi ascoltatori, non mandategli le password, non si fa.

Non si può mai stare tranquilli, mai.
Il capitolo di attualità oggi non parla di AGCOM, né di leggi strane e controverse europee, ma del Garante Privacy, che, per tutto quello che è successo, ha perso ogni credibilità.
Proprio quel Garante Privacy che dovrebbe stare lì a controllare se le aziende rispettano il GDPR, se i dati sono trattati in modo congruo, che fa i controlli, che bacchetta, che commina sanzioni, che emette regolamenti a difesa delle persone e dei loro dati.
Questo ente, che non è una sola persona, ma un intero ufficio composto da molte persone, è imploso su sé stesso quando il Segretario Generale del Garante della Privacy ha chiesto di violare ogni legge sulla privacy proprio nei confronti di tutti i dipendenti dell’ufficio del Garante della Privacy.
Racconto breve.
Esce una puntata di report con alcune informazioni uscite dagli uffici del Garante.
Il segretario del garante si arrabbia moltissimo e vuole sapere chi è stato.
Allora chiede al dirigente della sicurezza informatica, il responsabile dell’IT, in parole povere, di poter avere accesso ai dati per capire chi ha dato le informazioni.
Cosa chiede?
Come lo chiede?
Chiede una copia di tutti i dati aziendali, posta, log, share di rete, accessi alle VPN, tutto, da quando esiste il garante.
Vi ricordo che il Garante è quell’ente che ha chiesto a tutte le aziende italiane di limitare i log della posta aziendale a 21 giorni creando non pochi problemi.
E ha anche detto che se non c’è policy aziendale consegnata ai dipendenti, le caselle di posta non possono essere controllate dal datore di lavoro.
Bene, l’ufficio del Garante non ha quella policy.
Insomma, ha chiesto di violare una serie consistente di leggi, sulle quali lo stesso ufficio fa enforcement, controlli e sanziona aziende.
Già questo è un problema.
Ma ne arriva un altro.
Chiede di avere tutto su DVD, nello specifico su uno o più DVD.
Esatto, su DVD.
Guardate il calendario, siamo nel 2025.
Un DVD contiene 4,7GB di dati.
Questa persona non ha idea di quanti dati possa avere tutto l’ufficio.
A questo punto la persona in carico al sistema informatico ha risposto in modo perfetto, protocollando la risposta dicendo che la richiesta violava la legge, che non esiste una policy per accedere alle mail dei dipendenti e soprattutto che per salvare tutti i dati, circa 100TB, servirebbero 20mila DVD, circa 4000 ore uomo per masterizzarli e un ordine di fornitura per averli.
Ho fatto due conti.
20 mila DVD sono una torre alta circa 10 piani di un palazzo residenziale, 30 metri. Senza contare le custodie.
Sempre senza custodie, il peso di tutti quei supporti è circa 300kg.
Con le custodie arriviamo a 900kg.
4000 ore lavorative sono 500 giorni, quasi 2 anni lavorativi.
Sicuramente ci va tempo per masterizzarli, ma quanti masterizzatori andranno bruciati per scrivere tutti quei dischi?
E poi, una volta avuti, come li consulti 20 mila DVD?
Quanta ignoranza tecnologica c’è in questa richiesta?
Come facciamo a ritenere credibile una multa da un ente che non rispetta le leggi che proprio lui dovrebbe far rispettare?
Come se l’addetto alle multe per divieto di sosta vi facesse una multa per aver lasciato una ruota che tocca la linea di delimitazione del posto auto, mentre lui ha lasciato l’auto sul posto dei disabili e intanto è andato a farsi un aperitivo al bar.
Il documento di risposta è uscito sui giornali ed ecco che il Segretario si è dimesso.
Ma i dipendenti hanno chiesto all’intero collegio di dimettersi.
Anche in un ente che dovrebbe essere indipendente e assolutamente ligio e trasparente abbiamo visto una enorme colata di cacca.
La credibilità ormai è azzerata.
Sta andando tutto in pezzi.
Io parlo da tecnico, ma anche tutto il resto intorno.
Giusto per chiudere, nei lavori precedenti, se un Presidente avesse chiesto una cosa del genere a un IT manager mio capo, lui sarebbe arrivato da me girandomi la richiesta come attività da fare, senza porre obiezioni.
E, alle mie rimostranze tecniche e legali mi avrebbe detto “se il capo chiede, noi eseguiamo”.
La lettera che abbiamo letto sui giornali è un caso non comune.

Questa puntata di Pillole di Bit è giunta al termine, vi ricordo che se ne può discutere nel gruppo Slack e che tutti i link e i riferimenti li trovate sull’app di ascolto podcast o sul sito, non serve prendere appunti.
Io sono Francesco e vi do appuntamento a lunedì prossimo per una nuova puntata del podcast che, se siete iscritti al feed o con una qualunque app di ascolto vi arriva automagicamente.

Grazie per avermi ascoltato

Ciao!