menu di navigazione del network

Cie - Foto portate con chiavetta USB


(Andrea Tironi) #1

Buongiorno a tutti.

Ho letto il seguente link:

il quale dice

Per il cittadino è anche possibile portare una fotografia su supporto digitale USB rispettando, oltre alle suddette caratteristiche, anche le seguenti:

Definizione immagine: almeno 400 dpi
Dimensione del file: massimo 500kb
Formato del file: JPG

Le chiavette usb sono un ideale vettore di infezione, sia dal punto di vista della casualità (un utente che non sa che la chiavetta è infetta e la porta con la sua foto) che dal punto di vista della volontà (un utente che consapevolmente prepara la chiavetta portandola in comune con la sua foto e con lo scopo di attaccare la macchina della CIE e conseguentemente la rete comunale).

Essendo la macchina loggata con utenza amministrativa e nella rete comunale, non è troppo rischiosa questa modalità?

Non sarebbe meglio un invio via email, via app, un caricamento sul sito comunale o su un sito ministeriale previo autenticazione con spid, altro metodo (purchè facile per l’utente e anche fattibile in realtime) migliore di quelli da me proposti?

Faccio delle proposte, solo per sapere cosa ne pensate.

Grazie.

Andrea


(Dario Boriani) #2

A me sinceramente fa un po’ paura e, con i colleghi, abbiamo deciso che, qualora dovesse capitare, apriremo la chiavetta su altro pc in ambiente linux non in rete, trasferendo la foto su un nostro supporto, nella consapevolezza che questo non ci mette al riparo da eventuali rischi e comporta, purtroppo, un aggravio di tempo per l’utenza.


(RobertoB) #3

Essendo la macchina loggata con utenza amministrativa e nella rete comunale, non è troppo rischiosa questa modalità?

Prima di tutto eviterei di fare acquisizioni su PC con utenze amministrative. Anzi limiterei le utenze amministrative ai soli amministratori di sistema riservando un banalissimo “users” per tutti gli altri utenti.

Spesso ci si dimentica che il principio del “least privilege” è il primo bastione contro la maggioranza dei malware.

ciao
r


(Andrea Tironi) #4

Sulla macchina cie teoricamente non è possibile abbassare il privilegio, perlmeno così mi sembrava fosse scritto nel manuale per l’installazione.

Andrea


(RobertoB) #5

Beh sarebbe un bel controsenso scrivere una roba del genere in un manuale di installazione. Per quale motivo non si può abbassare il livello di privilegio dell’utente? Posso capire che servano privilegi elevati per installare driver di dispositivi esterni, ma una volta configurata l’utilizzo del PC e quindi delle USB avviene al livello “users”.


(Ferdinando Traversa) #6

Esatto, bel rischio. Bisognerebbe trovare un’altra soluzione. Secondo me andrebbe fatto un portale online (con corrispondente bot Telegram e Messenger) in cui si inserisce un numero di pratica fornito al momento e da lì si può caricare direttamente la foto dal cellulare. Oppure caricarla già in anticipo su un portale e fornire un codice di accesso al comune.


(RobertoB) #7

No, continuo a non capire perché un PC per l’acquisizione di foto e immagini da chiavetta debba avere l’utenza di lavoro con diritti di Admin.

Evitiamo di inventarci soluzioni iper complicate che implicano maggiori costi sia di realizzazione che di gestione.


(Andrea Tironi) #8

Credo che una risposta ufficiale sia la migliore che si possa avere.

L’utente può essere messo user dal punto di vista tecnico?

Se si, questo migliora la sicurezza in maniera netta anche se non risolve del tutto il problema, del resto è sempre un miglioramento positivo e notevole.

Se no, inserire chiavette è un grosso rischio di sicurezza quindi vanno presi dei provvedimenti di altro tipo (e qui possiamo parlare di ipotesi più o meno efficaci e costose).

Andrea


(Andrea Tironi) #9

6

Potrebbe essere già una parziale risposta. Sembrerebbe che si possa mettere come user purchè abbia gli accessi sulle cartelle indicate, ma aspetto conferma ufficiale.

Andrea


(Istituto Poligrafico e Zecca dello Stato) #10

Grazie per la segnalazione. In realtà l’utenza con profilo di amministrazione è quella di default con la quale viene fornita la postazione, prima di essere inserita all’interno della rete Comunale. Ciascuna postazione di lavoro è poi dotata di una suite di sicurezza con componente centrale installata presso il Ministero dell’Interno. Siamo tuttavia a conoscenza di nuove forme di attacco basate sull’alterazione del firmware del dispositivo di memoria, che potrebbero non essere rilevate (es. “BadUSB”) e siamo al lavoro anche con il Ministero dell’Interno per potenziare ulteriormente i meccanismi di protezione delle postazioni di lavoro e/o definire soluzioni alternative sicure per la fornitura della foto digitale, che possano soddisfare l’esigenza di Comuni e cittadini senza inficiare sulle tempistiche di rilascio del documento.


(Andrea Tironi) #11

Grazie per la risposta.

Come prima mossa di difesa alla portata di tutti è possibile creare un utente per gli operatori e dargli i permessi “user” purchè abbia accesso alle cartelle sopra indicate?

Grazie anche per il lavoro che state facendo, sia di miglioramento della sicurezza che di valutazione di altre possibilità per consegnare le fotografie in formato digitale.

Andrea


(RobertoB) #12

Scusa Andrea ma se sei Admin mi sembra quasi scontato che tu possa creare un’utente con diritti di “users” dandogli le opportune ACL per le cartelle che menzionavi.

Comunque la risposta ufficiale è gradita.


(Andrea Tironi) #13

Che possa è indubbio.

La cosa importante è sapere se il funzionamento della postazione è certificato con utente user.

Andrea


(Andrea Tironi) #14

L’uso della postazione è certificato con utente user?