Ormai è da un pò che si sa, con la direttiva “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014)“ il garante della Privacy italiano ha recepito la cosiddetta “EU Cookie Privacy Law” ed entro il 2 giugno tutti i siti si dovranno adattare a questa direttiva.

Di per se uno potrebbe anche pensare che questo non si un male, anzi, che sia una tutela corretta nei confronti degli utenti, e per molti punti di vista non possiamo che approvare anche noi.

in effetti cosa dice questa roba? 

Che se voglio profilarti (tradotto : fare in modo che

se cerchi sul servizio X dei nuovi paperotti di

gomma per il bagnetto poi quando entri su quello

Y ti venga proposta la pubblicità per acquistare

paperotti di gomma) almeno devo avere la buona

grazia di dirtelo prima, dirti come tratto i tuoi dati

e darti una scappatoia per permetterti di non

subire questo trattamento.

Non solo nulla di male, ma anzi, una certa attenzione all’utente che alla fin fine non fa male , vero?

Peccato che, come al solito, viviamo in Italia, e quindi tra il dire e il fare c’è di mezzo ben più che “e il”…

Cosa devo fare infatti io, titolare del sito XYZ (compreso il blog dei gatti di famiglia) per essere a norma?

1. Pubblicare una mia Privacy policy. che va scritta e messa bene in evidenza.
2. Inserire sul mio sito un qualche sistema che permetta di accettare o rifiutare l’invio di cookie (i pezzettini di software che permettono di identificarmi) da parte del sito
3. Se il mio sito non usa solo “Cookie tecnici” ma anche “Cookie di profilazione” devo notificare la mia Privacy Policy (il documento che ho scritto al punto 1) al garante della privacy

e qui inizia a cascare l’asino…

perché che cosa sarebbe un “cookie tecnico” e un

“cookie di profilazione” diventa veramente un

inferno da capire.

Parliamoci chiaro:

non esiste un sito oggi, che non utilizzi in qualche

modo dei cookie che potrebbero venire

considerati “di profilazione”:

volete usare Google Analytics per vedere le statistiche del vostro sito ? potrebbe essere considetto un cookie di profilazione.
Google Fonts? idem.
i pulsanti per dire “mi piace questo articolo” su Facebook ? pure.

Per assurdo, anche il fatto di permetterti di registrarti sul mio sito per mille motivi , compreso amministrarlo, e permetterti di “essere ricordato”, si fa con un cookie che potrebbe venire considerato “di profilazione”.

e a questo punto si inizia a diventare matti perché ci sono due “cosucce” che non sono state considerate finora, cioè

1. comunicare la propria Privacy Policy al garante non è gratis, ma una operazione che costa 150 € a botta di “diritti di segreteria”
2. se non lo fai e il garante pensa che tu usi cookie di profilazione, le multe sono cifre astronomiche: si parla di 120/150.000 €. e prima paghi e poi si discute
3. nonostante mille interpretazioni diverse, visto la brillante assenza di comunicazioni ufficiali del garante in merito, nessuno può veramente darti la certezza di cosa il garante consideri “cookie di profilazione”

insomma, se uso un sistema che permette a Google o a Facebook di profilare passando per il mio sito, devo o non devo spendere 150 € MINIMO di bolli solo per mandare via telematica e firmata digitalmente questa benedetta “privacy policy” ? e se voglio permettere al mio utente di registrarsi e di farsi ricordare?

oggi, a nostro avviso, non c’è una risposta possibile e seria a questa domanda, ma solo mille interpretazioni differenti più o meno autorevoli o più o meno sbandierate, ma chi dovrebbe dire l’ultima parola (e quindi rischiare di smettere di incassare a pioggia 150 € di diritti di segreteria o 150.000 € di multa) se ne sta tranquillamente zitto e anche nelle sue FAQ ben si guarda da dare risposte certe.

In giro si parla di una voce delle FAQ che dice :

14. Chi è tenuto a fornire l’informativa e a richiedere il consenso per l’uso dei cookie?

Il titolare del sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

Il che sembrerebbe dare finalmente l’agognata “liberatoria” a chi semplicemente usa tutti quei Cookie di Profilazione “degli altri” (cioè praticamente tutti noi) ma poi subito dopo…

15. L’uso dei cookie va notificato al Garante?

I cookie di profilazione, che di solito permangono nel tempo, sono soggetti all’obbligo di notificazione, mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.

insomma, il cane si morde di nuovo la coda, e dà

ben poche certezze.

Intanto comunque sarà il caso di ricordarsi che almeno la privacy policy e la possibilità di blocco dei cookie non possono essere evitati, e che magari potrebbe essere una buona occasione per verificare se si è fatta manutenzione al proprio sito.

Perché con 150.000 € di possibile multa, in un paese dove prima paghi poi discuti con lo stato, non è facile fare di conto.

Se vuoi saperne di più puoi andare alla nostra pagina dedicata a questi servizi! oppure contattarci per una consulenza utilizzando il form sottostante.

RIPE Network Coordination Center, l’ente che gestisce l’infrastruttura di Internet in europa, ha iniziato a distribuire gli ultimi “sgoccioli” di indirizzi IPv4 disponibili.

Per chiarire, l’indirizzo IP è, semplificando terribilmente, l’equivalente internet dell'”indirizzo di casa”, e senza quello non ci si collega a Internet, esattamente come senza un indirizzo di casa il postino non saprebbe come consegnarvi la posta.
Per ovviare alla fine degli IPv4 sono anni ormai che è disponibile (almeno in via teorica) l’IPv6, protocollo che aumenta il numero di indirizzi disponibili in modo gigantesco, ma che, pur restando compatibile col 4, presenta fortissime differenze rispetto alla versione precendente.

Per spingere verso l’adozione di IPv6 RIPE NCC ha iniziato a fare pagare (e non poco) gli indirizzi IPv4, unico modo riconosciuto valido per spingere la gente fuori dall’inerzia, da quell’atteggiamento del tipo “tanto io ce l’ho, cavoli degli altri, perche’ devo preoccuparmene?” o peggio ancora “IP? rete? perche’ dovrebbe riguardarmi?”

La risposta è che adesso, se continuate a non fare niente in merito, semplicemente pagherete questo privilegio. e sempre di più man mano che passa il tempo.
Peraltro mentre chi e’ in IPv6 raggiunge senza problemi chi è in IPv4, il viceversa non e’ sempre garantito, quindi rimanere in IPv4 significa trovarsi man mano in una internet sempre più piccola mentre la “internet versione 6” continua a crescere.

Che sia giunto il momento di pensarci un attimo?

Continuiamo a ricevere chiamate preoccupate per la backdoor recentemente scoperta negli apparati Juniper basati su ScreenOS, ci sembra quindi il caso di chiarire ulteriormente la situazione.

In primo luogo chiariamo subito il punto principale:

Tutti i nostri clienti con un contratto di assistenza sui firewall hanno già ricevuto da tempo l’aggiornamento che risolve il problema, e non devono fare niente altro in merito.

 

Detto questo, vediamo di capire cosa è successo.

Il 18 Dicembre 2015, 4 giorni fa, Juniper pubblica un avviso di sicurezza in cui avverte tutti i propri clienti del fatto che è stata scoperta una falla di sicurezza nelle versioni dalla 6.2.0r15 alla 6.2.0r18 e dalla 6.3.0r12 alla 6.3.0r20 di ScreenOS per cui, conoscendo un nome utente valido, ci si può collegare al firewall in SSH dando una password “conosciuta” ed accedere con i pieni diritti di amministratore del sistema, rendendo pertanto possibile riprogrammare il firewall come si desiderava.

Oltre a ciò era possibile in quelle versioni del sistema leggere il traffico criptato delle VPN attraverso particolari accorgimenti.

Contestualmente Juniper rilascia una versione di ognuno dei software compromessi in cui il problema era stato risolto e consiglia di applicare tale patch il prima possibile; oltre a ciò rilascia anche la versione 6.3.0r21 del software che si lascia definitivamente alle spalle la problematica.

 

Chiariamo ancora: le versioni precedenti e successive a quelle indicate non erano affette dal problema.

 

Su tutti i firewall che la supportano (tutti quelli sotto contratto di assistenza) abbiamo pertanto provveduto IMMEDIATAMENTE a installare la versione 6.3.0r21, ben prima che la password “conosciuta” venisse resa pubblica.

Chi ha un vecchio apparato non piu’ sotto manutenzione con noi dovrebbe in primo luogo valutare il fatto di aggiornarlo con un apparato più recente (vuol dire che quello in loro possesso ha ben più di 5 anni e forse sarebbe il caso di valutarne molto seriamente la sostituzione per obsolescenza), ma comunque se usa versioni di ScreenOS precedente, tipo la 5.4.0, non è affetto da QUESTO particolare problema, sebbene è facile che sia affetto da altri visto che sono anni che tali versioni non vengono più aggiornate.

Ora, spiace dirlo e ribadirlo a tutti coloro che trovano una gioia segreta da questo problema, e sono pronti a puntare il dito verso Juniper e i suoi apparati di sicurezza, ma questo tipo di cose, che si voglia o no, capita a TUTTI coloro che fanno apparati di sicurezza prima o poi, ed è il motivo per cui diciamo sempre che

 

un firewall non è una “scatola magica” che può essere abbandonata al suo destino sperando che continui imperterrita a fare il suo lavoro.

 

La sicurezza non è uno “stato” che può venire raggiunto e spuntato con un bel segno di “check” e dire “fatto, non devo fare più nulla”, bensì un processo in costante cambiamento ed evoluzione.

E se il fatto di avere adottato un firewall di qualunque genere è sicuramente un buon inizio, non può certo essere considerato una “fine” per nessuno in questo processo.