Date post: | 03-May-2015 |
Category: |
Documents |
Upload: | mafalda-cicci |
View: | 214 times |
Download: | 0 times |
Un PC in rete e non protetto per 3 settimane:
Esperimento Microsoft (2005)5 milioni di accessi non autorizzati18 milioni di messaggi spamPubblicità per 13.000 siti web13 aziende individuate
Informazioni sugli attacchi
86,9% virus 35,2% intrusioni nel sistema A seguito di attacchi subiti:
20,5% blocco dei sistemi informativi 14% rallentamento delle attività 6,6% arresto totale delle attività 13,1% la perdita di dati 9% danneggiamento o modifica
Fonte uff. Stampa Microsoft - 2005
Affidabilità
1 ora (50 min) in laboratorio 8 minuti spostamento 2 minuti accensione dei pc 10 minuti per ripristinare 2-3 PC sabotati 5 minuti per riportare all’ordine i ragazzi 5 minuti per avviare il software 15 minuti di lezione 5 minuti spegnimento e spostamento
Definizione
La "Sicurezza" è un processo che deve garantire:
la riservatezza delle comunicazioni l'integrità di dati e applicazioni
modificabili solo da coloro che ne hanno la titolarità
la disponibilità continua del sistema
Proprietà
Per mezzo delle reti locali si "trattano" dati che non vengono considerati pubblici
Da proteggere per garantire le seguenti proprietà: confidenzialità: i dati devono poter essere
esaminati solamente dagli addetti al loro trattamento;
integrità: i dati non devono essere alterati, sia che risiedano stabilmente su un solo sistema, sia che vengano trasmessi.
Cosa proteggere e da chi
Il Curioso: vuole capire che tipo di dati e di sistema avete
il Malizioso: mettere fuori uso il vostro sistema o renderlo non operante
la Concorrenza: interesse nei dati che avete sul vostro sistema
lo Sfruttatore: sfruttare il vostro sistema attività illecite (spam)
L’ Intrusore di alto profilo: usarlo come base di appoggio per penetrare in altri sistemi o rendersi anonimo
Il dipendente o lo studente: modificare a suo vantaggio le informazioni
Virus, Trojan, Worm, Malware, Spyware: software che agiscono per conto terzi
Hacker e Cracker
Il volto degli autori dei reati informatici: hacker e cracker
Il termine hacker viene utilizzato generalmente con un significato prettamente negativo, anche se il New Hacker's Dictionary di Eric S. Raymond definisce come hacker colui che ama esplorare le possibilità offerte da un sistema informativo e mette alla prova le proprie capacità.
Cracker è invece colui che agisce con l'intenzione violare la legge allo scopo di causare danno.
Contesto paradossale
Proviamo ad immaginare di trovarci, in qualità di spettatori invisibili, in una classe di scuola media superiore un po’ particolare…
L’insegnante sta spiegando ai ragazzi come utilizzare in modo efficace i motori di ricerca, ma i suoi studenti (e non solo loro) sembrano interessati a tutt’altro: sono affascinati dalle nuove possibilità che Internet ha messo loro disposizione.
La compagna di banco
Pierino con il suo nuovo cellulare scatta una fotografia a Francesca.
La fotografia, scattata a scuola, viene poi inviata (upload), sempre da scuola, su un sito (con aggiunta di apprezzamenti).
La famiglia sporge denuncia. Delitto non informatico, presumibilmente
violazione della privacy L675 (tutela dell'immagine) e diffamazione art 595 cp.
Il sito degli Hacker
Mirko, scarica da un sito un software ed esegue tentativi di Port Scanning - Brute Force - Denial of Service;
incappa in un sito pubblico protetto da firewall; scatta la procedura di allarme e la denuncia (automatica nel
caso di server pubblici); delitto informatico (accesso abusivo ad un sistema
telematico ed informatico art 615 ter cp). Giorgio, sui canali IRC, trova le istruzioni per diffondere un
virus e lo invia per scherzo via e-mail; delitto informatico (diffusione di programmi diretti a
danneggiare od interrompere un sistema informatico art 615 quinquies cp).
Download a tutti i costi
Un gruppo di studenti usa eMule per scaricare delle musiche per il loro lavoro di storia;
con lo stesso programma Katia scarica film in prima visione;
anche in segreteria usano eMule con il quale scaricano e ascoltano musica;
violazione legge sul diritto d’autore; comportamenti non conformi alla policy dell'ente; eMule contiene Spyware: Sicurezza
compromessa per la rete della segreteria!!!
Il brutto voto Uno studente decide di vendicare un brutto voto; da scuola partono (attraverso internet) email con
apprezzamenti offensivi verso la casella di posta privata e/o la casella di posta della scuola;
lo spamming o il mail bombing sono reati informatici; ingiuria art 594 cp. (comunicando con una persona); il cellulare della prof viene inserito in un messaggio su
newsgroup a carattere pornografico, si scatena il finimondo e la sfortunata insegnante deve sporgere denuncia;
delitto non informatico, presumibilmente diffamazione art 595 cp. (comunicando con più persone) e molestie art. 660 cp.
Giochi dei “Grandi”
Un allievo si diverte un nel vedere le tracce di navigazione lasciate dai prof e dai tecnici:
scopre che, quando i laboratori sono senza gli studenti, gli adulti navigano su siti “proibiti”
In segreteria un dipendente durante l'orario d'ufficio gioca in borsa
Un docente passa il tempo a organizzare viaggi e a vendere francobolli su ebay
comportamenti non conformi alla policy dell'ente.
Il Conto
È molto facile collezionare molti reati con poco sforzo: violazione della privacy e della tutela dell’immagine; diffamazione; accesso abusivo ad un sistema informatico e
telematico; diffusione di programmi diretti a danneggiare od
interrompere un sistema informatico; utilizzo non conforme alla policy della scuola; violazione della legge sul copyright.
Reati
La normativa italiana, prendendo spunto da quella europea si è espressa riguardo a questa tematica prevedendo due tipologie di comportamenti: reati non informatici reati informatici
Inoltre possiamo ancora individuare comportamenti non conformi alla politica di utilizzo della rete dell'ente.
Reati non informatici Sono da considerare reati non informatici tutti quei reati o
violazioni del codice civile o penale in cui il ricorso alla tecnologia informatica non sia stato un fattore determinante per il compimento dell’atto: ingiuria; diffamazione; minacce e molestie; trattamento illecito dei dati personali; violazione della privacy; violazione dei diritti d’autore.
Reati informatici Sono da considerare reati informatici tutti quei reati o
violazioni del codice civile o penale in cui il ricorso alla tecnologia informatica sia stato un fattore determinante per il compimento dell’atto:
accesso abusivo ad un sistema informatico e telematico;
diffusione di programmi diretti a danneggiare o interrompere un sistema;
danneggiamento informatico; detenzione abusiva di codici di accesso a sistemi
informatici o telematici; frode informatica.
Comportamenti non conformi
Con l’espressione comportamenti non conformi si vogliono indicare tutti quei comportamenti o atteggiamenti informatici non “adatti “ai contesti lavorativi o di studio.
Il fatto di visitare siti a sfondo pornografico (soggetti maggiorenni) utilizzando il proprio pc da casa non è reato e per questo non può essere punibile.
Ma se questa navigazione viene fatta sul posto di lavoro o nell’aula computer della scuola potrebbe diventare un comportamento oggetto di contestazione.
Policy dell’Ente
Il comportamento “non conforme” potrebbe non essere contestabile se il dipendente o l’alunno non hanno mai firmato un documento di divieto esplicito.
Le policy non sono altro che regole condivise per l’uso della Rete che definiscono una linea di condotta precisa e chiara a cui tutti gli utenti devono attenersi.
Il datore di lavoro può chiarire che il visitare siti pornografici o giocare in borsa sul posto di lavoro sono comportamenti non conformi alle finalità lavorative, non morali e non adatti al contesto.
Vengono utilizzate a fini privati risorse (computer, collegamenti telefonici) di proprietà e pagati dall’azienda o dalla scuola.
Autenticazione
“Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.”
Non cedibile a terzi
“Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi”.
PrivacyRavvedimento operoso
L'omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell'Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l'arresto sino a due anni o l'ammenda da 10 mila euro a 50 mila euro, e l'eventuale "ravvedimento operoso" di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l estinzione del reato).