Category Archives: Sicurezza informatica

NeXtQuotidiano > Due cose che non sapete di Hacking Team

(da neXtquotidiano del 20 luglio 2015)

Della vicenda Hacking Team si è scritto veramente molto, sondando quasi tutti gli aspetti critici: sicurezza informatica, terrorismo, spionaggio, concorrenza, ecc. C’è un tema, però, che non mi sembra sia stato trattato adeguatamente. Tendiamo a credere che i clienti dell società milanese fossero soltanto Stati, magari anche ostili, ma non è così. Perché, pur senza gradi proclami, sono state scoperte fatture emesse a Carabinieri, Polizia Postale e GICO (Guardia di Finanza).

Ma è chiaro che difficilmente queste Forze dell’Ordine, che svolgono attività anche di polizia giudiziaria, agiscono d’iniziativa, specie intercettando (perché è di intercettazioni che parliamo). Mi sembra che nessuno abbia scritto o pronunciato la parolina magica: Magistratura. Che gli inquirenti chiedano sempre maggiori strumenti per accertare e perseguire reati è un dato di fatto. A tale proposito, mi sembra si possano possano menzionare due episodi recenti, passati un po’ in sordina, ma, secondo me, assai significativi, specie se letti insieme alle notizie concernenti Hacking Team.

La prima risale a qualche mese fa. Con la (solita) occasione dell’antiterrorismo (chi si ricorda il decreto Pisanu del 2005, anno del’attacco a Londra?), qualcuno prova a far passare norme che vanno ad incidere, non poco, sulla sfera privata dei cittadini, ben al di là delle indagini per terrorismo. A denunciare il tentativo di “legalizzazione” del virus di stato è Stefano Quintarelli, intervistato da Arturo di Corinto per Repubblica. Poi, fortunatamente, tutto è rientrato e il decreto è stato convertito senza l’inserimento di quelle temute e pesanti modifiche alla disciplina delle intercettazioni, anche telematiche.

La seconda notizia risale al mese scorso. Il 26 giugno la VI sezione penale della Cassazione deposita le motivazioni della sentenza 27100/2015 in tema di “virus/trojan di Stato” o “captatori informatici”. La sentenza, al di là delle raffinatezze giuridiche, dimostra che gli inquirenti hanno utilizzato strumenti illegali, vietati dalla legge, dalla Costituzione e delle norme sovranazionali, per spiare i cittadini. Con una piccola app installata sullo smartphone si è potuto prendere il completo controllo dell’apparecchio, spiando i cittadini ben al di là delle regole poste a regola delle intercettazioni. Sorge oggi il lecito sospetto che quegli strumenti fossero forniti proprio da società come Hacking Team (o simili) per il tramite delle Forze dell’Ordine cui è stata emessa fattura. La guardia contro gli abusi investigativi non deve essere abbassata, neppure quando passano per un apparentemente innocuo emendamento.

Posted in neXt, Reati informatici, Sicurezza informatica | Tagged , | Leave a comment

Alles Klar, Herr Kommissar?

Il sito Commissariato di P.S. Online (sportello delle sicurezza degli utenti nel Web) si propone – nobile scopo – di aiutare il “cibercittadino”ad essere telematicamente sicuro.
Tra le altre cose, è presente una sezione appositamente dedicata agli approfondimenti, perché chi conosce i rischi della Rete è certamente più in grado di porre in essere condotte di autodifesa rispetto a chi non sa nulla di “quel mondo là”.
Insomma, che si cerca di creare un po’ di consapevolezza sulle minacce telematiche. Intento lodevole.
Peccato che ci siano degli scivoloni, quello più clamoroso (e grave) è in tema di “hacking“.

Cracker

Io, personalmente, ci vedo due errori macroscopici:
– la distinzione tra hacker e cracker verterebbe soltanto sullo scopo di lucro che muove i secondi e non i primi;
– entrambe le figure sarebbero punibili per la legge italiana.
Siamo nel 2015 e si è scritto sin troppo sul tema. Io non sono uno di quelli che santificano a prescindere il mondo dell’hacking.
Da un lato perché credo che occorra mantenere sempre un atteggiamento critico, evitando di subire, appunto, acriticamente le “autodefinizioni” degli interessati, onde evitare di legittimare, a priori, ogni fatto compiuto sotto una certa bandiera. In quanto giurista che si occupa della materia, ritengo di dover argomentare razionalmente e schiettamente, non per compiacere il mio interlocutore.
Specie perché, in effetti, col tempo le cose sono un po’ cambiate, l’approccio di taluni è divenuto assai meno romantico ed esistono delle zone grige di confine assai estese. Però, lo smanettone (mia personale traduzione di “hacker”, non certo perfetta, ma credo abbastanza condivisibile) è certamente una figura positiva, qualora stia nei confini della legge.
Ciò premesso, dire semplicisticamente che un cracker è un hacker mosso da fini di lucro è offrire una definizione fuorviante.
Siamo sempre nel 2015 e l’utente telematico deve sapere che la vera distinzione tra le due figure riguarda i fini, ma con qualche precisazione in più rispetto al mero lucro.
L’hacker agisce per meri motivi di studio (è una cosa che non si può tacere), per il cracker i fini sono i più disparati (di lucro, ma anche di danneggiamento, terroristici, ecc.), consapevolmente e volutamente illegali.
Tuttavia, il cracker ha certamente un’origine hacker, ma è malevolo: il cracker, insomma, è un hacker cattivo (così come meglio visto).
Da ciò consegue che l’affermazione (peraltro non dimostrata, giuridicamente) secondo cui “entrambe le figure, per la legge italiana, sono punibili” contiene un grave errore di fondo.
E’ inaccettabile, logicamente e giuridicamente, ritenere di poter sanzionare uno status (hacker o cracker) di per sé.
Occorre, invece, badare al caso concreto, alla condotta, all’evento, all’approccio e alle motivazioni che vi stanno dietro.
In tal senso, il Commissariato online non sta facendo un buon lavoro.

Posted in Reati informatici, Sicurezza informatica | Tagged , , | 1 Comment

neXt > Cosa ci insegna la storia delle foto rubate ai vip

Lunedì 1° settembre è partito neXt quotidiano, ma ne ho già parlato.
Il giorno dopo ho scritto il mio primo, piccolo contributo, credendo in un prodotto nuovo, non tenuto all’obbedienza verso i grandi gruppi editoriali.
E’ una scommessa anche per me.
Ecco il mio primo contributo, telegrafico.

(da neXt quotidiano del 2 settembre 2014)

Doveva accadere, prima o poi. Qualcuno sospetta si tratti di una trovata pubblicitaria o che le cose non siano andate esattamente come riferito in prima battuta. Sta di fatto che il problema c’è, eccome: ed ha le sue belle implicazioni giuridiche. Parlo del “Celebgate”: centinaia di account riconducibili ad altrettante VIP violati e saccheggiati, con conseguente diffusione di migliaia di immagini (fotografie e video) intime.

Ma cos’è il “cloud”? Pochi lo sanno, eppure lo abbiamo tutti sul nostro smartphone, sul nostro computer. Cloud significa nuvola e il “cloud” è, appunto, un sistema composto da nuvole-spazi Web nei quali vengono caricati e decentrati tutti i nostri dati affinché li possiamo raggiungere da qualsiasi dispositivo. La posta elettronica, in certe sue specifiche configurazioni, ne è il primo esempio, non è difficile capirlo. Il problema è che ben pochi sanno di mettere in cloud i propri dati perché i nostri sistemi sono spesso impostati per farlo di “default” e senza che l’utente ne sia consapevole. Spesso, peraltro, è possibile evitare tali funzionalità soltanto andando a scavare nei meandri del sistema.

Ma, a ben vedere, indipendentemente dai precisi contorni della vicenda che rimane un po’ fumosa ed ambigua, lo “scandalo” sta avendo due effetti positivi. I produttori di software (delle app per smartphone, in primis) si troveranno costretti a rivedere i propri prodotti, rendendoli più sicuri, in un certo qual modo più “etici”. Gli utenti, invece, da oggi saranno più consapevoli e non esiste alcuna politica di sicurezza senza, appunto, consapevolezza. Brutto da dirsi, ma la tecnologia non è per tutti.

Posted in neXt, Privacy e dati personali, Reati informatici, Sicurezza informatica | Leave a comment

Veri e falsi segreti

Ieri, su Repubblica, è uscito un articolo assai allarmistico sulla sicurezza delle nostre trasmissioni telematiche e telefoniche (queste ultime, ove instradate – come è oramai usuale – via IP).
L’allarme sarebbe contenuto in un dossier “segreto” del Garante per le tutela dei dati personali inviato al governo.
Il punto sarebbe la vulnerabilità degli Internet eXcenge Point (IXP), in poche parole gli “snodi”, gli “svincoli” delle comunicazioni telematiche.
Stamattina, purtroppo non ricorso su quale emittente radiofonica, ho sentito la voce di Andrea Monti, col quale mi trovo spesso d’accordo.
In estrema sintesi:
– il dossier è tanto “segreto” che lo sanno anche quelli di Repubblica (e, soprattutto, esiste veramente?;
– gli IXP risultano ben protetti, ma il problema è la “chiusura”, la “segretezza” dell’hardware (specie nella sua componente firmware) perché così non possono essere rilevate eventuali “porte” di accesso non documentate e predisposte dal produttore hardware a fini indefiniti.
In buona sostanza Andrea ci vuole dire che non esiste alcun sistema sicuro se non è totalmente conosciuto o conoscibile. E l'”open” rappresenta l’unica via.
Difficile non essere d’accordo.

Posted in Sicurezza informatica | Tagged , | 1 Comment

Firmare online

Nicola Porro, sul suo blog del Giornale, scrive un violenta invettiva contro le password robuste.
In pratica, si lamenta che su qualche sito, spero di una banca o qualcosa del genere, ogni mese è “costretto” a reimpostare password le cui regole, secondo lui, sono assurde. Certe procedure sono antipatiche anche a me, ma occorre sapere perché esistono.
Ragionando degli informatici che sarebbero i nuovi comunisti, si pone una serie di domande. Sbaglia, però, la prospettiva perché non è lui ad essere più o meno libero di di mettere una password semplice, ma chi gestisce il sito, vale a dire, in legalese, il “titolare del trattamento dei dati personali”.
Se il titolare non predispone un sistema dotato di un certo livello di sicurezza, paga; civilmente e anche penalmente. Lo dice la legge, precisamente il d.lgs. 196/2003, con relativi allegati.
Conclude così: “ps e se qualcuno si azzarda a dire qualcosa sul rischi truffe e bla bla bla, sono disponibile a firmare on line una volta per tutte un’assunzione di responsabilità per furto di password“.
Bene, lo faccia, ma “firmare online” non ha alcun valore giuridico, è soltanto demagogia.

Posted in Privacy e dati personali, Sicurezza informatica | Tagged , , | Leave a comment

Amarcord Interlex

Interlex è stata sicuramente una rivista telematica innovativa, una cosa molto “avanti”, nata da Manlio Cammarata subito dopo l’avvento commerciale della Rete in Italia.
Pensate un po’ che è stata la prima realtà internettiana a divenire, già nel 1997, testata registrata.
Purtroppo, ultimamente, si è un po’ persa, ma è abbastanza naturale visto che lo spirito degli innovatori di Internet è sempre in movimento.
Ci rimane un invidiabile archivio.
Oggi, facendo un po’ di egosurfing, ho trovato questa mia cosa, proprio del 1997
Parlavo di alcuni aspetti critici della disciplina dl software. Erano anni molto fecondi per la materia. L’anno prima era stata approvata la l. 675/96 sulla tutela dei dati personali (con pesanti interventi sugli aspetti informatici del trattamento).
Così, si stava chiudendo un primo ciclo ideale comprendente anche il software (1992), i reati informatici (1993) e le banche di dati (1999).
Amarcord: non trovo espressione più suggestiva.

Posted in Diritto d'autore, Privacy e dati personali, Reati informatici, Sicurezza informatica | Tagged , , , | Leave a comment

Cloud, privacy, compliance (autopromozione)

Il 25, a Milano, con Axioma.
Un evento formativo non gratuito, ma spero molto interessante su un argomento, quello del cloud computing, tanto attuale quanto delicato anche sotto il profilo legale.

Posted in Privacy e dati personali, Sicurezza informatica | Tagged , , | Leave a comment

Phishing: quando la banca deve pagare

La banca (nella fattispecie le Poste Italiane) deve garantire l’accesso ai conti online esclusivamente ai soggetti autorizzati.
In caso di utilizzo di credenziali carpite mediante phishing, dunque, deve rimborsare il correntista.
E’ questo, in estrema sintesi, l’orientamento del Tribunale di Palermo in una decisione, resa in sede civile, pubblicata da Diritto e Processo.
ineccepibile, a mio parere.

Posted in Reati informatici, Sentenze e sentenzine, Sicurezza informatica | Tagged | 8 Comments

Rimborso o scherzetto?

Dopo la pubblicazione dei redditi online, in diversi hanno “promesso” risarcimenti. Stamattina mi arrivano due email identiche con un allegato zip (apparente). Puzza di bruciato lontano in miglio. Ho fatto qualche piccolissimo accertamento.
Il collega menzionato pare non esistere, l’indirizzo di provenienza fa riferimento ad un dominio di un ortofrutta (sic), l’italiano è buono (ma non perfetto) mentre il “giuridico” lascia un po’ a desiderare (i dati di reddito non sono sensibili).
Non ho verificato i numeri di telefono, ma qui, per cautela, non li metto. E cosi’ anche l’indirizzo del presunto “Studio Legale No Profit.
Ecco il testo. Okkio… non aprire l’allegato.
***************

ROMA li 10/06/2008

Alla cortese attenzione dei Cittadini Italiani,

Dopo la decisione del Garante per la Privacy sulla vicenda dell’elenco dei contribuenti pubblicato sul sito dell’Agenzia delle Entrate, abbiamo il piacere di informarvi che abbiamo vinto la battaglia.

Alla luce del provvedimento del Garante, milioni di Cittadini Italiani i cui dati sensibili sono stati violati, possono finalmente ottenere il risarcimento dei danni subiti.

Per tale motivo abbiamo predisposto il modulo in allegato che tutti i cittadini Italiani devono scaricare, compilare, e inviare per ricevere l’immediato risarcimento di 1.000 Euro

per ciascun familiare per la grave violazione della privacy subita.

Distinti Saluti.

Avv. Claudio Corbetta

Studio Legale No Profit
Viale
00195 Roma
Tel. 06
Fax. 06

Posted in Sicurezza informatica, Varie | 5 Comments

Via libera ai professionisti della security?

L’On. Folena ci notizia che in Commissione e’ passata una modifica al ddl C. 2807 sui ciber crimini (ratifica della Convenzione di Budapest). Si tratta, in particolare, dell’art. 615-quinques c.p. gia’ previsto dal nostro Codice, appunto, ma che per necessita’ di ratifica si vuole/deve modificare.
Questo il testo passato in Commissione e, per quanto dettomi, approvato in Aula alla Camera (nel blog non c’e’, mi e’ arrivato di straforo):

“Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti, ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329”.

Come ci spiega il parlamentare, il pericolo scampato starebbe nell’esclusione di sanzioni penali per chi della sicurezza informatica (in particolare, dello studio dei malware) ne fa professione o studio non dannoso (e non stupido e vandalico diletto).
Il realta’, il problema non e’ nuovo. Sin dalla l. 547/93 (la legge che ha introdotto, in Italia, i reati informatici) esisteva questo genere di perplessita’ tanto che, molto opportunamente, Carlo Sarzana Di Sant’Ippolito (padre della legge) intervist0′ l’allora Guardasigilli (Giovanni Conso). Per chi ama i riferimenti bibliografici, pur su carta: Sarzana di S. Ippolito C., 1995, Comunità virtuale e diritto: il problema dei Bulletin Board System, in Diritto e Procedura Penale, 372-377.
Si sosteneva l’operativita’ dell’art. 51 c.p. (esercizio di un diritto), ma, con il dovuto rispetto, la tesi non mi ha mai convinto.
Questo nuovo testo (dire, comunque ancora in iter e non so se terminera’ prima delle elezioni), mi sembra piu’ chiaro.

Posted in Reati informatici, Sicurezza informatica | 6 Comments