Stefano Gazzella : 15 Settembre 2025 07:29
Quando si parla di sicurezza delle informazioni bisogna prima prendersi un respiro e concepire che bisogna immergersi più a fondo dei sistemi informatici e delle sole informazioni direttamente espresse. Riguarda tutte le informazioni e tutti i sistemi informativi. Quindi bisogna prendere decisamente un bel respiro perché altrimenti è naturale trovarsi con qualche giramento di testa che porta a non considerare quanto viene comunicato a voce, tutto ciò che è possibile dedurre, ad esempio.
E se noi siamo in ammanco di ossigeno, chi invece sta progettando un attacco contro di noi – anzi: contro un cluster entro cui malauguratamente siamo inclusi, perché raramente potremmo essere dei fiocchi di neve speciali per un cybercriminale e comunque non sarebbe una bella cosa – ci ha già pensato su. E quando raccoglie informazioni con alcune tecniche di OSINT non è che sta applicando qualcosa di esoterico ma, volendo semplificare, sta prendendo ciò che abbiamo lasciato disordinatamente in giro per utilizzarlo contro di noi.
Infatti, il nostro pensiero fondamentale per proteggerci sempre e per pianificare un sistema di difesa efficace dovrebbe essere: qual è il peggior impiego che si può fare con queste informazioni? E lasciar galoppare il pensiero verso quegli scenari che coniugano indesiderato e possibile. Consentendo così di adottare le cautele del caso.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Possiamo ritenerla un’ovvietà, ma è il caso di ripetere il concetto: ogni informazione vale.
Se non per noi, per chi potrà farne uso contro di noi.
Fatto questo preambolo, vediamo che c’entra con l’out-of-office, ovverosia quel messaggio di risposta automatica che avvisa dell’indisponibilità temporanea di un utente.
L’informazione che deve essere veicolata con un out-of-office è che non siamo disponibili. Eventualmente, anche l’indicazione di un indirizzo per gestire le questioni pendenti e a cui inviare comunicazioni.
E fin qui, tutto giusto. Ma spesso capita di dire qualcosa di più. Dall’indicazione del periodo di indisponibilità, al motivo per cui siamo assenti. E se il primo può essere se non necessario necessitato dal contesto, la motivazione dell’assenza può costituire un problema non solo di sicurezza ma anche di privacy.
Il contenuto dell’out-of-office deve pertanto non eccedere gli scopi, quindi bene indicare il periodo d’assenza e male, se non malissimo, il motivo. Quale che sia il motivo, dall’essere senza benzina, avere una gomma a terra, il crollo della casa, l’inondazione o le cavallette…beh, comunicarlo è eccedente rispetto agli scopi dell’out-of-office.
Lato GDPR viola il principio di minimizzazione, e potrebbe anche fornire determinate informazioni del lavoratore che non dovrebbero essere diffuse (es. lo stato di salute). Lato sicurezza, vedi sopra sul fornire elementi informativi in eccesso e la capacità di un attaccante di mescolarli in un cocktail letale. O pericoloso.
Direi niente male. In pratica, con una semplice mossa come un out-of-office male impostato si va a colpire sia il lavoratore che l’organizzazione.
Nelle linee guida del Garante Privacy per posta elettronica e internet in ambito lavorativo, risalenti al 2007, viene indicato come contenuto del disciplinare interno l’inserimento di una specificazione circa:
le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell´attività lavorativa in caso di assenza del lavoratore stesso (specie se programmata), con particolare riferimento all´attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
fra le quali rientra mettere a disposizione del lavoratore la funzione di risposta automatica, lasciando che l’eccezione sia l’intervento del datore di lavoro mediante amministratore di sistema o altro incaricato (ad es. nel caso in cui l’assenza perduri o non sia programmata).
Questo è un modo per fornire sia informazioni trasparenti al lavoratore sia tutte le istruzioni affinché l’assenza venga gestita in modo sicuro. Ovviamente in modo chiaro, preciso. E non con giochi di specchi e leve che poi sappiamo benissimo come vanno a finire.
E se non siamo un’azienda o un’organizzazione? Non servirà redigere un disciplinare interno, ma piuttosto agire in maniera disciplinata. Tenere conto cioè di quegli elementi di rischio e non abbandonare mai comportamenti sicuri recitando quel “tanto cosa vuoi mi possa capitare“, che spesso è una sfida alla murphologia.
La quale, ricordiamo, prevede un assioma fondamentale: «Se qualcosa può andare storto, lo farà».
Fact: vale anche per un out-of-office gestito male.
Stefano GazzellaI XV Giochi Nazionali della Cina si sono aperti con uno spettacolo che ha unito sport e tecnologia. Tra i protagonisti, robot capaci di suonare antichi strumenti di bronzo, sistemi di intelligenza art...
Un worm auto-propagante, denominato IndonesianFoods, è stato scoperto in npm. Genera nuovi pacchetti ogni sette secondi. Secondo Sonatype, il malware ha già creato oltre 100.000 pacchetti e questo n...
Molti di noi sono cresciuti con Hiroshi Shiba, di Jeeg robot d’acciaio che parlava con il defunto padre, il Professor Senjiro Shiba, scienziato e archeologo all’interno di un grande elaboratore. I...
Il traffico globale, come sanno i lettori di RHC, viaggia per la maggior parte sotto il mare. Secondo TeleGeography, istituto specializzato nelle telecomunicazioni, nel mondo sono attivi più di 530 s...
Un’analisi condotta negli ultimi mesi aveva evidenziato come l’evoluzione dei sistemi di intelligenza artificiale stesse raggiungendo un punto critico per la sicurezza informatica, con capacità r...
