TORNA ALLA HOME PAGE

 
 
 
 

 In collaborazione con:

Istituto Tecnico Industriale
Basilio Focaccia
Salerno

 
 •Software
 
 •Internet
 
 •Globalizzazione

 Gli atti

Sabato 25 gennaio 2003
ore 16-19

Sicurezza - Hacker
Guardie e ladri o conservatori e innovatori?

 

RELATORI:

Dott. Rocco Alfano

Dott. Domenico Foglia

Ing. Vito Giallorenzo

Dott. Maurizio Panella

Simo Sorce

MODERATORE:

Sac. Dott. Nello Senatore

PROVOCATORE:

Dott. Ettore Panella

Dott. Panella: L’hacker è stato visto in tantissimi modi e normalmente nessuno conosce la differenza tra hacker e cracker (?), praticamente tra l’hacker positivo e il cracker che è quello che può commettere dei reati o fare degli errori. C’è qui una ragazza russa, che possiamo definire un hacker, in Russia certi libri erano proibiti, racconterà la sua esperienza, per capire meglio l’hacker. Spesso in alcuni film, ad esempio Nirvana, l’hacker ha avuto una connotazione positiva, in casi di regimi illiberali l’hacker rappresenta forse l’unica soluzione per avere, nel suo caso, testi in inglese e superare i paletti che vengono messi dai regimi.

Caterina: Ho trovato l’informazione sulla mia laurea, la letteratura come Moby Dick era vietata, perché non c’era molta libertà, ho trovato il testo inglese originale, che non potevo trovare nelle biblioteche. Ho fatto ricerche su Internet.

Dott. Panella: Ma perché un testo come Moby Dick era vietato secondo te?

Caterina: Perché è letteratura vecchia.

Dott. Panella: Ma che c’è di censurabile in Moby Dick?

Don Nello Senatore:Caterina non è una hacker. Il problema che si pone è questo. La motivazione giustifica tutte le azioni o anche una motivazione buona crea sempre reato, ma non è il caso di Caterina. Una motivazione come quella di Caterina, che va a squarciare la rete per introdursi in certi tipi di biblioteche, commettendo reato, ma la motivazione giustifica e non è più reato?

Dott. Alfano: Appartengo a una sezione della Procura della Repubblica che si occupa di reati informatici. E’ interessante capire la differenza che c’è fra hacker e cracker. Il caso della ragazza non è un caso di pirateria informatica. Mentre il reato informatico non conosce confini, invece la legislazione, soprattutto quella penale conosce i confini dettati dal principio di statualità del diritto penale, quindi ogni stato si dà delle proprie regole, ha individuato alcune figure delittuose di reati informatici, e spesso questo crea dei problemi di coordinamento tra le varie discipline sul punto. Sono stato colpito molto dalla differenza fra hacker e cracker e ho cercato di documentarmi su un sito, e ho trovato questa definizione: gli hacker seguono una sorta di codice cavalleresco, fanno hacking seguendo un’etica ben precisa, mai fare danni, mai rubare, mai farsi scoprire, solo una sfida pratica di intelligenza, nessun intento criminale., l’hacker vuole penetrare nel sistema per assimilare conoscenza sul sistema e su come esso lavora. Non sono pericolosi, non hanno alcuna intenzione criminale, vogliono solo imparare, dal sistema in cui accedono, traendone nozioni sul funzionamento dello stesso, essendo questa l’unica vera maniera per imparare come davvero opera. Invece, si dice ancora, i crackers sono i pirati, vandali informatici, mediocri hacker, tendono a riunirsi in una specie di società segreta per commettere reati. Allora, io dico già provocatoriamente, perché mi rendo conto che molti di voi hanno questa differenza ben chiara, e l’idea che il pirata è colui che liberamente gode di questi beni, quali la cultura o i libri, a cui normalmente non si può accedere. Provocatoriamente dico che questa differenza dal punto di vista giuridico, tecnico giuridico non esiste, quindi sgombrate il campo da questa distinzione. Per l’ordinamento italiano anche l’hacker è un soggetto che compie dei reati. Mi rendo conto di andare contro quella che può essere l’aspettativa di questo convegno, ma il mio ruolo è provocatorio, è quello di chi applica la legge, poi ne possiamo discutere, possiamo arrivare alle motivazioni di chi applica l’agire.

Dott. Panella: Abbiamo invitato un cracker, ma essendoci un magistrato potevano esserci problemi di incompatibilità, e non è venuto.

Simo Sorce hacker: Il dottore ha fatto una distinzione che va per la maggiore oggi, secondo cui hacker è colui che penetra nei sistemi, io vengo da una filosofia molto lontana, il MIT, nasce 20 anni fa con Richard Starman, che è stato anche il fondatore del software libero e della source foundation. In quel senso l’hacker non aveva nulla a che fare con la penetrazione dei sistemi, con pratiche illegali. Il termine hack in inglese vuole dire semplicemente smontare, fare a pezzi, cioè cercare di capire come funzionano le cose, qualcuno lo ha utilizzato per giustificare la penetrazione nei sistemi, nel senso di cercare di capire. Ma secondo e sono scuse, quelle persone sono dei cracker, perché ogni penetrazione va a violare un domicilio informatico. Per me essere hacker, anche se non mi definisco hacker, sarebbe una presunzione, comunque l’hacker non lavora necessariamente con l’informatica, sono tutte quelle persone che sono curiose sulle proprie cose, non su quelle degli altri e cercano di capire come funzionano nei minimi dettagli, a volte a limite del maniacale, per me nell’informatica significa addirittura studiare il kernel, i microprocessori, le architetture, nei minimi dettagli. Le prime esperienze hacker arrivano non dall’informatica, ma da quando ero piccolo, mi smontavo le radio, scambiando transistor cercavo di capire come funzionassero le cose. Questo è essere hacker, ma oggi il termine hacker ha preso tutta un’altra accezione. Io lavoro per la sicurezza tra l’altro.

Dott. Panella: In realtà tutti quelli che facevano gli hacker sono poi finiti nella sicurezza, perché è più facile conoscere le tecniche.

Simo Sorce Hacker: Chi arriva ad avere una grossa conoscenza, ha tutte le competenze per contrastare quello che fanno altri.

Dott. Panella: Qui ho un articolo di Punto Informatico, 100 milioni di dollari, una proposta di legge americana del nov. 2002, vorrebbe conferire a chi sviluppa tecnologie capaci di aggirare le censure cinesi e vietnamite. A questo punto, l’America è quella più dura e repressiva con gli hacker, ma siete dei criminali o degli eroi? C’è una schizofrenia, ultimamente. In certe occasioni, come negli USA, si danno dei soldi per superare certe barriere. Perché molti film sugli hacker danno una visione così positiva?

Simo Sorce: Tutto è legato all’utilizzo che si fa delle tecnologie. Quando si parla di scoprire tecniche per effettuare intrusioni, bisogna distinguere anche il metodo con cui si ottengono. Se uno le ottiene con uno studio privato , nella propria rete, con propri macchinari, non commette nessun reato. Cosa che invece non ha senso, è farlo sulle cose altrui. Gli Stati Uniti hanno un motivo politico e strategico che li spinge ad arrivare a mezzi estremi. Poi nel campo dell’informatica si esagera facilmente, perché è una materia poco conosciuta.

Dott. Panella: (all’hacker) mi risulta difficile capire come si possa entrare in un sistema, non è che sono i tecnici della sicurezza che non configurano bene le proprie macchine, piuttosto che un’abilità dell’hacker?

Simo Sorce: I sistemi informatici oggi sono molto complessi, le persone normali non sono abituate a trattare con sistemi così complessi. Si arriva a queste complessità, perché nel mondo fisico ci sono delle barriere dovute alla materia, quindi trattare la materia è estremamente difficile, costoso etc. Nell’informatica le strutture diventano facilmente complesse, se pensiamo a quante linee di codice abbiano oggi i sistemi operativi senza arrivare alle applicazioni, ci accorgiamo che le costruzioni sono estremamente complesse. Questo vuol dire che introdurre errori, non volontariamente, diventa abbastanza probabile. Quello che si fa quando si cerca di fare intromissioni informatiche, generalmente è quello di sfruttare errori nella programmazione di sistemi, sistemi operativi, server e ultimamente anche client e sfruttare gli errori per eseguire quel codice che normalmente dà accesso a quelle funzionalità che normalmente non sono previste dal programma. C’è un’abilità di chi scopre questi problemi, c’è un problema di sicurezza, ci sono degli errori e ci sono persone in grado di trovarli e in caso patologico, di sfruttarli.

Ing. Gianlorenzo, tecnico della Cisco: Noi abbiamo a che fare molto con i service provider e gli attacchi tipici che vengono fatti ai service provider sono attacchi dos, un attacco dos è un sovraccaricare le macchine in modo tale da renderle incapaci di rispondere alle richieste di servizio degli utenti.

Dott. Panella: questo non implica nessuna abilità, c’è soltanto il fatto di saturare con delle richieste continue un server.

Ing. Gianlorenzo: Dipende dal livello in cui si opera, fare un attacco dos ad una macchina molto semplice, ad un web server poco protetto è semplice, ma fare un attacco dos ad una macchina molto ben protetta è più difficile. Uno dei più evoluti attacchi dos, è quello del DDOS, cioè quello che un hacker bravo riesce a fare è crearsi una serie di macchine che lui userà poi per fare gli attacchi e mandare delle richieste fasulle a queste macchine fingendo di essere la macchina che lui vuole attaccare. Se voglio attaccare starnet.it, mando una richiesta ad un numero impressionante di macchine che ho già selezionato, queste macchine a loro volta risponderanno e manderanno una risposta a starnet, quello che succede è che io con un link da 600 k riesco poi a ridirigere 13 MB di traffico, ma anche di più a starnet.it.

Dott. Panella: questo è più come quello che rompe la vetrina o una cabina telefonica. In genere nei film si vede sempre l’attacco realizzato in maniera molto semplice, cioè si entra nel sistema. Ti è mai capitato di confrontarti con persone di questo tipo?

Ing. Gianlorenzo: Ci sono due livelli in cui si opera, c’è il livello di trasporto dati, networking, quello che fa Cisco, che è il prendere il pacchetto e portarlo alla macchina di destinazione. Noi operiamo a quel livello, cerchiamo di non fare arrivare il pacchetto dell’hacker al server di starnet. Se l’hacker riesce a passare questa misura di sicurezza entra in gioco la sicurezza del server stesso, del sistema operativo. Le problematiche che possono essere in quel server possono venire exploited, cioè si sfrutta l’errore del codice per entrare, installare quel che vogliono, rubare informazioni. Un hacker che vuole entrare in una macchina e prendersi le password, i dati di un conto corrente, devi innanzitutto riuscire a fare arrivare i suoi pacchetti lì, in quel caso esistono vari sistemi di prevenzione e poi deve riuscire ad avere la fortuna e la bravura di trovare un server che ha una vulnerabilità nota e un amministratore di rete che o non la conosce ancora questa vulnerabilità o comunque non ha applicato la patch, cioè il fix.

Dott. Ettore Panella: Durante la tua carriera hai mai conosciuto qualcuno che avesse cercato di superare la macchina che stava sotto il tuo controllo?

Dott. Maurizio Panella: Più di uno. Ci sono diversi tipi di attacchi. Mi è capitato di vedere attacchi verso macchine UNIX. Molto spesso le aziende o i privati non hanno adeguate misure di sicurezza, quindi la cosa più facile non è andare a scoprire l’errore all’interno del codice, ma la configurazione di queste macchine. Solo grandi aziende che possono permettersi un certo fatturato da dedicare alla sicurezza, possono proteggersi seriamente.

Dott. Ettore Panella: Adesso noi con l’ADSL stiamo dando a tutti una connessione continua di internet, con dei computer che possono diventare dei server. Questo è un problema?

Dott. Maurizio Panella: Certo, è un problema. L’ADSL è un mezzo di trasporto dati, in realtà con questo tipo di connessione “è più facile” che un hacker riesca ad entrare nel sistema, questo perché essendo una macchina in rete 24 ore su 24 è facile che questa macchina possa prendere dei “virus” o dei Troyan, e da lì l’hacker può avere accesso a questa macchina e configurarla come meglio crede. Un esempio, questa persona chatta, l’altra persona vuol fare vedere la sua foto, dall’altro lato quella persona che ingenuamente vuole conoscere la persona con cui sta chattando, clicca sulla foto, che in realtà non è una foto, ma un troyan, programma che si installa nel sistema automaticamente e inizia a mandare una serie di informazioni verso l’hacker che le sfrutta per entrare nel sistema ed iniziare a configurare quella macchina come meglio crede. Questo potrebbe essere un hacker e non un cracker, perché in realtà queste persone riescono ad impadronirsi del mouse o della tastiera, senza fare danni. Una cosa importante a livello di sicurezza per le macchine, è che quando si è sotto attacco non si deve perdere la calma, nel senso che è già molto difficile scoprire l’hacker, quindi bisogna individuare che si è sotto attacco, e poi bisogna intraprendere una serie di misure, dal logging, dallo sniffing di tutti i pacchetti per capire quanto più è possibile da dove arriva e da chi arriva l’attacco. Molto spesso le persone hanno paura, chiudono il computer creando ancora più problemi, magari l’hacker ha messo dei programmi che quando ripartirà il sistema bloccheranno tutto. E’ importante bloccarlo senza farsene accorgere dall’hacker stesso.

Don Nello Senatore: Si è creata una specie di confusione, il dott. Alfano dice che hacker o cracker commettono sempre reato, questo deve essere fatto capire ai ragazzi, altrimenti si può arrivare a pensare che avendo una buona intenzione nulla è reato, invece non è così. Dobbiamo riflettere sulle motivazioni.

Dott. Alfano: Non mi voglio soffermare su una serie di elementi tecnici e giuridici sulla configurazione dei reati, l’input che voglio dare è questo. Prima ho sentito parlare di intervento su cose proprie, su dati propri, di attacco DOS al fine di danneggiare dei sistemi informatici, però mi sembra di capire che forse si guarda al dato informatico in una maniera che a mio avviso è un po’ datata, nel senso che il dato informatico non è soltanto il dato capace di avere una valutazione patrimoniale, non c’è solo questo, non c’è solo un bene patrimoniale da tutelare, il sistema informatico, telematico, ma vi è anche quello che viene definito dominio personale, cioè il dominio informatico, l’acquisizione di una serie di dati, notizie, conoscenze, che appartengono ad un soggetto, quel soggetto ha il diritto di vederselo tutelato quel patrimonio, acquisito grazie alle proprie capacità. E’ un po’ quello che successe con i libri, con la differenza che il libro è più facilmente tutelabile perché ha una sua materialità, invece il dato informatico è un dato che sfugge al contatto sensoriale ma va tutelato da un ordinamento moderno e civile. Quindi non c’è soltanto il problema della valutazione patrimoniale di un dato informatico, ma c’è il problema della tutela della riservatezza di dati informatici contenuti sullo strumento, sul mezzo informatico, ma che sono conoscenze scientifiche, politiche, economiche. Questo modo di valutare il dato informatico è moderno, è nuovo e la tutela di un ordinamento moderno, si deve necessariamente estendere anche a questo dato, a questa visione di riservatezza. E quindi, vengo a spiegare perché l’hacker, che entra in un sistema ma non lo danneggia, ma l’hacker in quel sistema non ci può entrare, perché ci sono dei dati che sono il frutto di un prodotto di elaborazione scientifica, di originalità culturale, di una innovazione tecnologica, in cui chi non ha partecipato a quel prodotto non ha il diritto di entrare. Dunque se si entra in questi dati, vi si accede in maniera abusiva e si commette un reato, come nell’art. 615 ter, di accesso abusivo in un sistema informatico, che non a caso, il nostro legislatore, in un tentativo di recuperare un vuoto legislativo che c’era con una legge del 93, ha modellato sulla falsa riga della legge che c’era sulla violazione del domicilio, tanto è vero che prevede come due ipotesi concrete per poter accedere ad un sistema protetto, chi vi accede abusivamente, violando i sistemi di sicurezza, oppure chi potendovi accedere in passato, quindi in maniera legittima, ne è stato escluso dal titolare del bene, non esce da quel sistema e sono i due modi di aggressione identici che troverete nell’articolo 615 che va a tutelare il vecchio domicilio personale. Ora questa configurabilità di questa responsabilità anche per il reato di domicilio informatico è fondamentale, è questo l’errore di partenza che io ho visto in questa impostazione hacker, colui che in maniera libera, quasi da gentiluomo, cerca di entrare e di aumentare il mondo delle conoscenze, e il cracker è colui che danneggia. La ratio dell’ordinamento è la tutela di questo dato informatico moderno, di questa banca di conoscenza, ed i n virtù di questa tutela esiste il reato di cui all’art. 615 ter, ed è per questo motivo che anche quello che io definisco impropriamente hacker, è uno che commette un reato.

Dott. Ettore Panella: Qui c’è un discorso da fare. Internet lo possiamo paragonare ad un circolo privato, che si è sviluppato, con una mentalità, un modo di vivere che era proprio di ricercatori che si conoscevano, poche persone, il fatto di entrare in un sistema altrui non significava una violazione di domicilio, ma era un modo per migliorare, poi ad un certo punto, e qui è la vera distinzione, per cui non capiamo, c’è stata una forte immissione delle aziende della nuova economia, c’è stato un assalto alla diligenza, questi nuovi guru della nuova economia hanno visto questa prateria fertile, con pochi accampamenti, e hanno mandato la cavalleria sterminando tutti, portando dei valori che non erano quelli originali. C’è stata una mutazione genetica, la disquisizione del dottor Alfano è giusta, c’è la legge, ed è un reato, ma non capiremmo perché l’hacker ha questa doppia visione, perché forse effettivamente c’è stata una mutazione genetica e una diversa destinazione di un mezzo che prima era puramente accademico, di conoscenza, di amicizia.

Simo Sorce Hacker: Il termine hacker purtroppo ha cambiato il suo significato. Sono totalmente d’accordo con il dottor Alfano, tranne che in una cosa, la novità, è vero che fare violazione informatica è come fare violazione di domicilio, avere nuove leggi forse non era necessario. Hacker aveva una volta un significato che non aveva nulla a che vedere con problemi legali, era semplicemente sperimentare, ma mai intrusioni. Quando è nato questo termine le reti informatiche non esistevano, quindi le intrusioni erano impossibili, gli unici sistemi condivisi erano i sistemi main frame ma tutte le persone accedevano a quegli stessi privilegi. Nel momento in cui si è cominciato a produrre documentazioni, esperienze personali, ovviamente si è passati da un mondo in cui si parlava di calcoli scientifici nelle macchine all’università a tutto il resto, e quindi ci ricollega alle leggi che tutelano la privacy, la proprietà, le creazioni artistiche etc. etc.

Luca Gambetta, uno dei fondatori del Linux User Group di Salerno: fermo restando il rispetto del dato privato, questo è un momento in cui le novità informatiche sono parecchie e forse ci si trova spaesati di fronte a queste novità e bisogna cercare ordinarle o stigmatizzarle per poter dire che è nuovo ed è cattivo. La scienza si è sempre evoluta andando contro le regole, pensiamo a Galileo. Se un’azienda deve tutelare i propri interessi, deve farlo perché c’è chi cerca di entrare nei sistemi, allora come fa, uno che vuole tutelarsi a conoscere come entrare nel sistema e quindi sapere come reagire, proprio perché prima ha provato, ed è entrato negli altri sistemi. Nello stato attuale noi deleghiamo l’uso della forza alla polizia oppure agli organi deputati, però un sistemista come fa a formarsi? Chi gli dà la possibilità?

Domande:
Il legislatore prevede sanzioni anche a carico dell’utente che non difende sufficientemente i dati in suo possesso, come l’assicurazione che non mi risarcisce il furto della macchina perché avevo lasciato le chiavi nel cruscotto. Esiste un insieme minimo di difese per cui un utente in possesso di dati deve implementare affinché sia più complicato per un hacker intervenire.
Cosa lascia un hacker in un altro computer?
Quando un beta testing avanzato diventa violazione del copyright?

Risposta del dott. Panella: Il beta test è quello che testa il software di un’azienda. Ogni software nel momento in cui viene rilasciata la prima versione, è piena di buchi, di imperfezioni che possono avere una diminuzione della capacità. Allora si utilizzano degli utenti, il cosiddetto utente stupido, per testarlo e segnalare eventuali errori, che nella prima versione, la versione beta, abbondano. Quindi non credo ci sia una violazione del diritto di copyright.

Dott. Rocco Alfano: Il nostro sistema penale si basa sul principio della tassatività della norma incriminatrice, noi non possiamo essere puniti per qualcosa che non è stato deciso dal legislatore in maniera precisa, è poiché la violazione di domicilio, il vecchio 615 era configurata in modo esclusivamente fisico, estenderla anche ad una violazione di domicilio informatico sarebbe stata una anomalia del sistema ed un’analogia non consentita dal sistema informatico. Quindi la novità normativa era necessaria. Per quanto riguarda il discorso dell’utente mi sembrava di capire dalla domanda, per come era posta, che aveva un vizio di partenza, cioè, si diceva che l’utente dovrebbe aumentare la propria soglia di cautela, dovrebbe adottare dei sistemi di protezione più elevati, se non lo fa, dovremmo quasi punire anche l’utente, se questa è una logica ammissibile per il risarcimento del danno, in un’ottica civilistica, potrebbe anche esserci questa come valutazione di un eventuale concorso in un’ipotesi di responsabilità civilistica, ma dal punto di vista penale, il ragionamento non può essere posto, è come se si chiedesse, poiché oggi ci sono molti ladri in giro, dobbiamo tutti chiuderci con delle cancellate di ferro e se non lo facciamo peggio per noi. Dal punto di vista della tutela giuridica penalistica, cioè della libertà di scegliere dove, come e quando stare, nel caso della libertà de domicilio personale, così come la libertà di scegliere dove, come e quando sfruttare dati informatici sarebbe un paradosso non consentito dal nostro ordinamento, il nostro ordinamento si deve preoccupare di tutelare chi ha un bene giuridico che è quello del dato del sistema informatico, e rispetto a questo sarà lui a scegliere tutti i mezzi e gli strumenti necessari per tutelarsi in prima persona, ma non possiamo far ricadere sull’utente una sorta di mancata tutela. Mi sembrerebbe errata questa ottica. L’ultima risposta, nella realtà concreta, un caso simile non mi è capitato. Mi è capitato qualcosa di simile. Vi era una elaborazione di un sistema, alcune persone lavoravano per un’azienda, che aveva brevettato un sistema informatico che gestiva magazzini di ferramenta. Queste persone si sono licenziate dalla ditta, hanno abusivamente acquisito quei dati, sui quali avevano lavorato quando erano in rapporto di dipendenza con l’altra società, lo hanno elaborato meglio e lo hanno commercializzato. Da qui è nata una querela da parte del titolare. Abbiamo fatto una serie di indagini. Bisogna verificare l’elemento innovatore, cioè il sistema elaborato aveva qualche cosa di nuovo rispetto al sistema precedente , allora siamo di fronte ad un nuovo prodotto, per le leggi di copyright ben poteva il secondo utilizzarlo e registrarlo. Se manca l’aspetto innovativo ma vi è la novità, che è una novità prevedibile di sviluppo del sistema originario, è una sottile differenza, ma esiste, in questo caso non è un nuovo prodotto, ma è una elaborazione con delle migliorie del prodotto originale. Applicando questo stesso principio al problema che lei poneva bisognerebbe verificare se nel momento in cui si tenta di entrare in questi sistemi e si trova una barriera di accesso, e in virtù di quella barriera di accesso si costruisce, si elabora qualcosa di innovativo, che potrebbe essere un sistema di protezione per altri, allora è un discorso, ma se dopo l’ostacolo che si è trovato nel tentare di entrare si toglie solo quel di più che ci permette poi di fare entrare in quel sistema, anche innovandolo, ma non portando una novità creatrice, in questo caso saremmo di fronte ad un accesso abusivo, di fronte ad un sistema di sicurezza già installato e tutelato. E’ una mia personale opinione.

Dott. Ettore Panella: Secondo me, Francesco sta parlando di un falso problema, l’autore del software ha dei diritti, che sono dei diritti morali e patrimoniali. Nel momento in cui, per quanto riguarda i diritti economici, cioè dello sfruttamento del software, è lo stesso a disporne, cioè dice provate a bucarlo. In quel momento non c’è violazione, l’altro caso è diverso, lì è una questione di plagio per quanto riguarda la questione del software. Lì è possibile arrivare allo stesso risultato, cioè allo stesso software ad esempio con altri linguaggi. In Italia il software è tutelato col diritto d’autore, e non con il diritto brevettuale, quindi c’è una differenza tra gli USA e l’Europa.

Ing. Gianlorenzo: I test anche avanzati su qualsiasi macchina vengono fatti e possono essere fatti. Quindi se tu prendi un router Cisco in casa tua, puoi farci quello che vuoi, ed è come se io compro una porta blindata, la porto nel mio garage e la distruggo. L’exploit di un bug può essere fatto in maniera maligna, o benigna. Un bug che ci è stato ed è noto è sul sito Cisco, l’SNMP, un problema che poteva buttar giù tutto internet, è stato scoperto da un’università finlandese. La cosa è stata diffusa in maniera appropriata e non è successo nulla. E’ stata una cosa che ha portato beneficio a tutti. Mentre i famosi virus Code red, Ninda, che sono stati scoperti, pubblicati su siti di hacker, erano programmini che tutti potevano prendere e hanno creato danni per milioni. Te ne accorgi perché non ti connetti più, non controlli la posta. L’utente se ne accorge, l’operatore se ne accorge perché ci sono sistemi di monitoring, che controllano la macchina e ti riportano degli errori, che possono essere memoria, CPU, mancanza di connettività, macchina che va in crash e fa un reset. Son tutti indizi di un attacco, a quel punto si va a guardare il traffico, si chiama sniffing in gergo, io riesco a vedere il traffico che passa sulle reti, nelle macchine, si fa un percorso a ritroso e si risale a chi sta mandando questi pacchetti. Internet è aperto, ognuno ha un indirizzo, che usa la stessa nomenclatura in tutto il mondo, quindi io posso risalire all’indirizzo IP. Quando sono risalito all’indirizzo IP, a seconda di come questo indirizzo viene assegnato, posso risalire fisicamente a dove era l’utente in quel momento. Se per esempio, ti connetti da casa a Telecom, Telecom ti dà un indirizzo IP, che è logato, cioè loro hanno da qualche parte scritti i tuoi dati.

Dott. Ettore Panella: E con la privacy? Se io visito un sito, l’amministratore di sistema lo sa?

Ing. Gianlorenzo: Se ci sono delle macchine configurate per salvare queste informazioni si. Un Firewall che ispeziona tutto quello che succede, tutto il traffico può vedere quale pagina web è stata visitata da un certo indirizzo IP. Non viene fatto sempre, un service provider se vuole può farlo ed è anche molto semplice.

Dott. Maurizio Panella: Si inizia un’analisi per capire da dove proviene l’attacco, molto spesso però il tuo dominio di competenza è limitato, per esempio all’Italia, e allora c’è un’unità mondiale che si chiama CERT dove in caso di attacco qualsiasi persona può chiamare e il CERT valuterà il tipo di attacco, se effettivamente c’è un attacco e coordinerà tutti i provider al fine di individuare la sorgente. Tutti i service provider usano questo tipo di informazione, personalmente mi è capitato di avere chiamate dall’America per avere notizie di alcuni attacchi provenienti dall’Italia e viceversa, in questo modo si riesce ad individuare la sorgente e ad informare l’altro service provider che si sta verificando questo attacco.

Simo Sorce Hacker: A proposito delle domande sul rintracciamento dei log e come si fa a fare sicurezza. Il problema maggiore che si riscontra nel rintracciamento dei log è quando questi log vengono falsati. Ci sono due modi per falsare i log, semplicemente che l’attaccante entra nella macchina e li cambia, essendo l’informatica digitale, non è come un foglio di carta che cancellare lascia tracce. Se vengono inseriti ad arte questi log, non sono distinguibili se non con tecniche avanzate di incrocio dei dati dai log precedentemente veri. Quindi quando si va ad analizzare la macchina si possono avere false informazioni. Un altro livello ancora maggiore di capacità di nascondersi, è quello di fare il cosiddetto spufing ovvero di falsare i pacchetti IP, è una tecnica molto avanzata, che può sviare chi cerca di recuperare informazioni su chi sta facendo l’attacco. In questo momento c’è un problema maggiore che potrà preoccupare che fa sicurezza, è quello delle reti wireless, per quanto riguarda l’ADSL quello che vedo io come pericolo per l’utente è più che altro avere fastidi dalla polizia postale, perché la persona lasciando la macchina accesa tutto il giorno non si accorge che qualcuno entra e ottiene il controllo della macchina e fa dei danni, e poi da quella macchina fa partire gli attacchi. Però quando si parla di reti wireless, anche quelle con le tecniche di protezione più avanzate, sono comunque vulnerabili, a meno che non si usino delle procedure maggiori. E quindi non solo ci si può entrare in una rete privata di un utente, un’altra persona potrebbe inserirsi in quella rete ed utilizzare quel punto di accesso per fare danni all’esterno. Questa è la situazione più critica, perché scoprire chi si è inserito nella rete, magari stando in macchina sotto casa, diventa complesso e se ben fatto impossibile da identificare.

Dott. Ettore Panella: A beneficio degli ascoltatori le reti wireless sono quelle a onde radio, senza una postazione fissa a cui attaccare uno spinotto.

Ing. Gianlorenzo: Sulla domanda come si fa sicurezza, uno dei metodi per chi ha la possibilità è testarsi in casa gli apparati che va ad usare in modo da tentare di entrare nelle proprie macchine e verificare che non abbiano problemi di sicurezza. Questo sembra più che legale. Quello che fanno le società di sicurezza con tutte le autorizzazioni dei provider che vanno ad attraversare e anche dei clienti committenti è cercare di penetrare la macchina del cliente per verificare che il cliente l’abbia configurata correttamente. Ovviamente se tutte le autorizzazioni sono state prese in modo corretto questa è un’azione legale di tentativo di intrusione, è semplicemente come una persona che chiedesse ad un fabbro di provare a scassinare la propria porta blindata per vedere se regge. Altri metodi legali, secondo me non ce ne sono, a parte quello di tentare se stessi. Un metodo che si può utilizzare è quello di usare i cosiddetti Intrusion Detection System, sistemi di accertamento dell’intrusione, ovvero delle macchine che fanno sniffing in modo intelligente, cioè fanno un discernimento dei dati utilizzando delle tecniche a volte anche euristiche ovvero cercano di riconoscere delle modalità di funzionamento o di flusso dei pacchetti per dare l’allarme in caso di possibilità di intrusione.

Dott. Ettore Panella: Se questi log sono modificabili, e lo sono, e se alcune proposte legislative dicono che questi log sono la prova, ad un certo punto la rilevazione della prova, diventa abbastanza complicata, nel senso che creare prove false è facile.

Dott. Maurizio Panella: Non è facile, ma è possibile. Ci sono vari metodi, se l’hacker o il cracker attacca una macchina, usa quella macchina per fare danni, è la macchina attaccata che risulterà quella che sta facendo danni, mentre la persona è ignara.

Dott. Ettore Panella: Se io sono il super utente, cioè quello che può operare sulla macchina e vado a prendere questi logo e ci sovrascrivo dati che incolpano un’altra persona, è possibile?

Dott. Maurizio Panella: E’ possibile se non è fatto bene il sistema. Molto spesso questi log non risiedono sulla macchina attaccata ma su zone ben protette dove è molto difficile entrare. Il problema principale è che non c’è sicurezza da parte degli utenti e non si sa fare un design di sicurezza, perché in questo modo i log vengono automaticamente trasferiti su uno o più di un sistema e quindi automaticamente la persona che attacca quella macchina non potrà cambiare quei log.

Dott. Ettore Panella: (precisazione per il pubblico) I log sono delle righe di informazioni che dicono chi è il computer che ha fatto una richiesta, cosa ha richiesto, a che ora e in che modo. La rilevazione di questi log è un problema. Alcune proposte legislative dicono che bisogna conservare i log, senza considerare che essendo di una certa vulnerabilità vanno tenuti in una certa maniera, e poi si crea anche il problema della privacy. Non è che si sta affrontando questo problema in maniera troppo leggera?

Dott. Alfano: Il problema c’è, ed è grosso, dal punto di vista della tecnica investigativa. Abbiamo due grossi problemi pratici, in base all’esperienza che ho avuto. Uno a rincorrere il posto dove sarebbe stato commesso il reato, dove sta il soggetto che ha operato. Molto spesso ho avuto l’impressione di essere una pallina da flipper perché trovo che la normativa non sia tanto adeguata, perché spesso quello che è un fascicolo, veniva rimbalzato da una procura all’altra perché si andava a scoprire che il server stava prima a Cagliari, poi a Trento, alla fine il fascicolo è ritornato a me, perché si è visto che la macchina che operava ed entrava nel sistema (di un’università) era di un soggetto iscritto all’università. Abbiamo necessità di una polizia giudiziaria particolarmente specializzata, la polizia postale si sta proprio specializzando sul punto, a volte abbiamo necessità di consulenti tecnici. Dal punto di vista della responsabilità penale, il problema non lo risolviamo arrivando alla macchina, la macchina è un dato neutro dal punto di vista penalistico. Dopo questo sforzo incredibile del caso suddetto, abbiamo trovato la casa da dove era partita la macchina e abbiamo trovato che ci vivevano tre ragazzi, fratelli, iscritti alla stessa università colpita. E’un crimine difficile da perseguire, perché lascia tracce sulle reti informatiche ma poi la difficoltà ulteriore dal nostro punto di vista è di collegare a quella macchina la responsabilità personale. Da questo punto di vista, mi rendo conto che la possibilità di modificare i log è pericolosa, perché ci può trarre in inganno. Allora chiedo, come è possibile tutelare per evitare che altri strumentalmente ne approfittino e di fare indagini e perquisizioni su persone sbagliate?

Risposta: Il problema è complesso e riguarda l’investimento informazione. Conoscere tutte queste problematiche, sapere come risolverle, non è semplice. L’utente a casa non può né come informazione personale, né come investimento per assumere tecnici specializzati, risolvere questo problema. Io dico che il metodo migliore è quello di incrociare le informazioni, benché alcuni log possono essere falsati, da qui a riuscire a costruire un quadro che sta in piedi diventa quasi impossibile, ci deve essere un’organizzazione davvero complessa. Quello che si fa con la cancellazione e la modifica dei log è cercare di depistar per prendere tempo. Fortunatamente riuscire a costruire tutto in modo che poi quadri, se si parla di log di una singola macchina è un conto, se si fanno indagini di un certo peso si incrociano però non soltanto i logo della macchina, ma anche quelli dei provider, dei server passati durante il transito. Quando si fa un incrocio dei dati si può avere un problema maggiore. Ponevo il problema delle reti wireless, perché lì si può arrivare ad un abuso quasi non riconoscibile, nel senso che finché si trova la macchina nella casa dei tre fratelli, almeno uno dei tre è. Ma quando nella casa di tre fratelli si trova un apparato radio che trasmette e chiunque vi può accedere dall’esterno diventa veramente difficile capire.

Dott. Ettore Panella: Essere hacker, fare una violazione di un sistema operativo in sé non è particolarmente difficile, non bisogna essere esperti e bravi, ma è una operazione che può capitare a tutti. E’ passato in prescrizione, quando andavo all’università, io dovevo installare un sistema operativo con i compiti da fare a casa. Facendo un errore, invertendo i dischetti, scoprii che c’era la possibilità di diventare super utenti. Io mi sono sempre scocciato, perché è una cosa faticosissima riuscire a superare un sistema informativo, è una cosa lunga. Ma quella volta ci riuscii involontariamente, peccato che il non aver fatto quegli esercizi mi ha danneggiato nella vita professionale costringendomi a studiare poi quelle cose .

Intervento: Non so la polizia postale come lavora, ma sicuramente arrivare alla persona finale è molto difficile, richiede tempo, non è impossibile però. In realtà la persona che crea il danno deve essere colta sul fatto. I log possono essere cambiati però con alcuni controlli incrociati si hanno delle informazioni, alcune di queste informazioni possono essere distorte oppure no, ovviamente l’indagine parte da quel punto in poi, si dirama e fino ad aspettare il prossimo attacco. Così tu stai un passo avanti a come eri precedentemente. Quindi ricevo l’attacco, faccio le mie investigazioni, arrivo a qualche provider, mi fermo e vedo se c’è un altro attacco, continuo a fare investigazione fino a quando non arrivo alla persona finale. Una volta che si è capito chi potrebbe essere la persona, nel momento in cui c’è un altro attacco, la polizia dovrebbe prenderlo in quel momento sul fatto, a quel punto non ci sono più speranza per l’hacker o cracker, perché è stato colto sul fatto. E’ un lavoro faticoso, bisogna che l’hacker commetta qualche errore, il che accade sempre.

Intervento: E’ praticamente impossibile modificare i log in tutte le macchine, però gli hacker trovano tanti mezzi e spesso ci riescono, io mi son trovato a cercare attacchi che spesso vengono da nazioni non friendly, che non sono tenute a darci le informazioni. Un hacker furbo parte da un paese che non è tenuto a dare informazioni, in questo caso il problema è ancora più ampio.

Dott. Ettore Panella: Questo problema può sembrare accademico, ma la dipendenza dai sistemi informativi sta diventando massiccia. Il frigorifero è collegato ad internet? Si riuscirà a modificarne la temperatura.

Don Nello Senatore: Sulla sicurezza bisogna lavorare. Esiste solo una certezza, la certezza che nella comunicazione, in Internet ci sia un’etica precisa. Fino a quando non sostanzia la sua esistenza di valori autentici ci sarà sempre questo conflitto continuo fra chi vuole rubare e chi vuole difendersi. Il sistema in cui viviamo ha bisogno di punti di riferimento. Nessuna legge o restrizione potrà bloccare i pirati dell’informatica, ma ci sarà una legge morale che tenterà di imprigionarli, e fino a quando non riscopriamo pienamente questa legge che sta in noi, continueremo a vivere questo conflitto. Ed è anche una preoccupazione, perché fino a quando la scuola sarà solo tecnica e non avrà un’anima noi ci ritroveremo di fronte a questo problema, allora la scuola deve coniugare la tecnica con la trascendenza, la morale con la concretezza, e il prodotto sarà certamente un cittadino serio e autentico.

Dott. Alfano: Quello che dice il moderatore è giustissimo, ma sono abituato a vedere l’uomo nella sua patologia e da questo punto di vista, la presenza di valori è fondamentale. La nuova tecnologia è una grossa tentazione. Una volta esisteva la categoria del truffatore, visto con un po’ di romanticismo, veniva punito per le sue truffe.Oggi è difficile trovare questi truffatori, invece purtroppo è molto più facile trovare persone che tramite lo strumento informatico, internet possono truffare altri. Da questo punto di vista, lo strumento, che di per sé è eccezionale perché ampia le conoscenze, ci collega, può essere pericoloso, perché la tentazione che dà lo strumento nel momento in cui dà la possibilità di rappresentare una realtà virtuale, che può essere falsa, artificiosa, un raggiro, crea necessariamente la opportunità di quella che sarà il reato di domani, la truffa informatica. Pensate alle truffe che si concludono tramite internet, dove è facile presentare il prodotto, o la sede di un’azienda, e poi dietro non c’è niente. Questo può essere pericoloso. Lo spunto che voglio lanciare è questo: circolo virtuoso o circolo vizioso? In una società ideale piena di valori e onestà sarebbe sicuramente un circolo virtuoso, ma nella nostra società dobbiamo fare i conti con la possibilità dell’utilizzo degenerativo dello strumento informatico. E quanto più questo strumento informatico diventa potente, avanzato, ci permette di collegarci più facilmente con più persone, tanto più diventa pericoloso. Mi auguro che internet sia e resti un circolo virtuoso, ma facciamo attenzione che non diventi non tanto un circolo vizioso, ma addirittura criminale. Potrebbe diventarlo, lancio la preoccupazione come magistrato. Immagino l’uso di internet per l’acquisto dei codici di accesso alla pay TV.

Dott. Ettore Panella: E’ vero che essendoci un massiccio spostamento delle persone dalla realtà normale alla realtà virtuale, è normale che come si spostano gli utenti, si spostano anche i truffatori. Maggiori possibilità sono anche maggiori possibilità di fare danno. La nostra totale dipendenza dai sistemi informativi può essere un grande vantaggio, ma in quei sistemi possono introdursi dei criminali e fare danno.

Simo Sorce Hacker: Apprezzo queste preoccupazioni. Vorrei però evitare che si demonizzasse il mezzo, però è una cosa che sta accadendo. La cosa che più mi preoccupa è che il legislatore è tentato di utilizzare delle scorciatoie tecniche per ottenere dei risultati che vorrebbero essere positivi ma che poi creano più problemi di quelli che vanno a curare. Mi riferisco a delle legislazioni che stanno passando ma che sono un po’ troppo rigide ed eccessive, alcune legislazioni passano come protezione dei diritti d’autore, oggi per esempio picchiare un cantante è penalmente meno grave che copiare una canzone. Queste sono distorsioni legislative. Altra legge che purtroppo potrebbe portare dei problemi è lo EUCD (European Union Copyright Directive) che prevede uno stringersi ulteriore della legislazione sul diritto di autore e la cosa è positiva perché tutela i diritti d’autore, ma diventa invasiva perché ad esempio si considera come illegale aggirare delle protezioni, come quelle intorno ai DVD. Quando si parla di punire sempre e comunque l’aggiramento senza vedere perché viene fatto, si pone un errore. Per esempio, alcuni supporti di memorizzazione verranno protetti impedendo ai non vedenti delle opere che vanno ad acquistare, perché il solo fatto di togliere delle protezioni per riuscire a far passare questo materiale in un lettore audio, perché riproduca in formato audio, invece che in formato video le informazioni diventa illegale. Altro problema grosso è quello degli strumenti di sicurezza. Il fatto stesso di averli per testare la propria sicurezza diventa reato in sé, non è reato l’uso ma l’averlo. Come dire, avere un coltello è reato in sé, non è reato accoltellare una persona. In questa confusione si tende a criminalizzare i mezzi, invece di punire i reati.

Dott. Ettore Panella: La netiquette è una serie di regole che i navigatori di internet, quelli che hanno fatto crescere internet si sono dati. Delle regole scritte per modo di dire, ma che tutti hanno sempre rispettato fino all’avvento dell’accesso di massa, che ha portato un grande utilizzo di internet ma non la conoscenza effettiva di quell’accordo tra gentiluomini.

Domanda per il dott. Alfano: Nel caso in cui da Salerno violassi un sistema operativo in America, quali procedure si attiverebbero sotto il profilo giuridico per potermi perseguire?

Dott Alfano: il danno si verrebbe a consumare in America e quindi non saremmo noi competenti come autorità giudiziaria. Il problema sarebbe più grande e bisognerebbe tramite rogatoria internazionale trasmettere gli atti all’autorità competente, che in questo caso, con gli atti di indagine avviati già qui, sul nostro territorio, quegli atti di indagine che ci hanno permesso di accertare che l’attacco è partito dall’Italia ma che è arrivato facendo danni in America, attraverso sistemi di rogatoria internazionale bisognerebbe trasmettere gli atti all’autorità giudiziaria competente qualora il fatto in America sia previsto come reato. Il problema che lei poneva è serio e grosso, perché è quello di un coordinamento della legislazione, a livello europeo si sta tentando di farlo questo, però il problema è che oggi i reati informatici viaggiano sulla dimensione planetaria. Il problema è trovare l’accordo su questo, perché verificare il livello di necessità di tutela e soprattutto individuare l’oggetto giuridico della tutela, ogni stato potrebbe fare delle valutazioni diverse in ordine alla necessità di tutelare un bene, valutazioni differenti in ordine al modo con cui tutelare quel bene. Prima si è parlato del diritto di brevetto e del diritto d’autore, in Italia è tutelato il diritto d’autore, ma ci sono legislazioni che prevedono il diritto di brevetto, sono due scelte diverse, di opportunità politica differente. E questo crea, nel momento in cui non si è d’accordo sul bene giuridico da tutelare e soprattutto sui modi e sul grado di tutela da garantire, questo crea delle disparità normative e crea dei problemi quando, come spesso succede, l’attacco piratesco è a cavallo fra due stati o due continenti. Il problema è grosso, ma non lo si può risolvere nell’ottica ristretta e un po’ miope del singolo stato ma va affrontato a livello comunitario e a livello di convenzioni internazionali sul punto. Io non ero a conoscenza di questo codice deontologico iniziale. Questo è sintomatica questa necessità di chi interpretava il sistema informatico di navigazione tramite internet, in maniera positiva di darsi una serie di regole, però purtroppo se queste regole non riusciamo a darcele e non riusciamo ad osservarle , come categoria, il problema va spostato, poi, agli Enti, agli Stati e lì riesce difficile coordinare il tutto.

Dott. Ettore Panella: C’è stata una corsa di massa ad Internet e questo ha cambiato le carte in tavola. Quando parliamo di attacco che intendiamo: missili, bombe, etc?. Attacco è generico.

Dott. Panella Maurizio: Ovviamente si parla di attacco informatico. Una serie di bombe informatiche che ti arrivano. C’è l’attacco vero e proprio, e poi c’è il secondo passo di utilizzare la macchina attaccata per fare qualcosa. L’attacco è il tentativo di prendere possesso di quella macchina. Come il castello nel Medio Evo, attaccato e svuotato di tutto ciò che c’era. Per attacco, si intende che, se io nel Medio Evo lanciavo le frecce, adesso lancio dei pacchetti informatici. Sono, poi bisogna vedere a che livello, a livello fisico degli impulsi elettrici (dipende dal mezzo che si usa) fino ad arrivare ad un livello logico.

Dott. Ettore Panella: Vedo un castello, voglio entrare, ci giro attorno per vedere se una finestra è aperta? Guardo se il fossato è basso? etc.

Dott. Panella Maurizio: Lanci questi pacchetti, questi pacchetti vanno a vedere quali tipi di porte sono aperte su quel server e poi una volta scoperto quali sono le porte aperte, sferri l’attacco su queste porte.

Dott. Ettore Panella: Facendo un paragone, con la Favola di Cappuccetto Rosso, è come il lupo che bussa alla porta della nonna dicendo di essere Cappuccetto Rosso?

Dott. Panella Maurizio: questo è già un livello più evoluto. Il primo livello è scoprire se c’è questa porta a cui bussare. Sono vari livelli. Si parte dall’attacco vero e proprio, cioè mandare questi pacchetti verso quella destinazione e questi pacchetti fanno uno scannino, cioè vanno a vedere se ci sono delle porte libere aperte e da lì sferrano un secondo attacco o con delle password o sfruttando i buchi del sistema operativo. O trovi un muro o trovi la porta, per trovare la porta è come se avessi una benda e comincia a tastare il muro fino a quando non trovi la porta. Una volta trovata la porta, bussi e dici “Sono Cappuccetto Rosso”. Quindi, l’attacco o è mirato, nel senso già si conoscono le porte, oppure la prima cosa da fare è trovare queste porte.

Domanda per il dottor Alfano: Secondo la legge italiana, per quell’utente che lascia la porta aperta nei sistemi informatici, e permette ad un hacker di entrare, nel momento in cui la macchina dell’utente diventa una testa di ponte per poi generare attacchi verso altri sistemi, oppure un deposito di software piratato o materiale pedofilo, e l’utente è sempre ignaro, la responsabilità si configura da parte dell’utente che ha lasciato la porta aperta.

Dott. Alfano: Se l’utente è in buona fede non vi è alcuna responsabilità penale, è ovvio che poi bisognerebbe andare a verificare in concreto, perché ha lasciato una porta semi chiusa, se questo potrebbe essere sintomatico di un concorso. Questo è un problema grosso, e mi spinge ad aprire una nuova riflessione. Fino ad ora abbiamo parlato sempre di reati informatici, cioè che hanno ad oggetto preciso la tutela di un sistema informatico, telematico, o di reati che si consumano tramite un mezzo informatico. Ma attenzione ai reati comuni, truffa, pedofilia o altro, commessi tramite internet o lo strumento informatico, dove lo strumento informatico non ha nessuna responsabilità, non è altro che lo strumento e questo è pericoloso perché soprattutto in materia di reati di carattere diffusivo, quale la pedofilia, o l’accesso a sistemi informatici per il tramite di più persone coinvolte nella catena, questo crea delle grosse difficoltà per noi a valutare le singole posizioni. Se quel soggetto a cui sono partite delle fotografie pedofile o altro, aveva di per sé un sistema di tutela abbastanza forte che è stato violato, da quel fatto io traggo un indice di buona fede, di tutela che si era posta, se poi in realtà è un soggetto che apre le sue porte in maniera facile alla possibilità di utilizzo della sua macchina, del suo sito internet o di altro, questo mi fa pensare ad un possibile concorso ad una mala fede, è ovvio che poi devo andare a verificare altri elementi. Ancora una volta vi è a monte la difficoltà di valutazione nei reati informatici e reati comuni, commessi tramite strumenti informatici, del soggetto agente rispetto ad una macchina e ad un sito che sono neutri. A questo punto è anche alla sensibilità dell’investigatore, del magistrato, del giudice che valuterà quegli elementi di prova forniti a setacciare quei comportamenti che possono essere sintomatici della malafede.

Avv. Sisto: (dal pubblico) Si è parlato di un minimo di protezione. Nel nostro ordinamento vige una normativa che riguarda le misure minime di sicurezza, nel momento in cui ci sono più computer singoli collegati alla rete, più computer tra di loro e verso l’esterno. Mentre all’esterno c’è il cracker che penetra nel sistema e ha una propria responsabilità, c’è una responsabilità nel caso in cui ad esempio si penetra in un sito, si acquisiscono delle banche dati da parte di chi è collegato alla rete, immaginiamo l’utente collegato con ADSL, in questo caso il nostro ordinamento punisce anche che non ha adempiuto a quella normativa, perché c’è bisogno di determinati firewall, di determinate protezioni affinché chi voglia entrare nel sistema trovi determinate protezioni.

Dott. Alfano: C’è una responsabilità di carattere civilistico, non penalistico.

Avvocato: Questo è per dire che comunque anche l’utente deve proteggersi.

Dott. Alfano: l’utente deve proteggersi e va incontro a responsabilità di carattere civilistico. Ora mi veniva in mente un problema serio, per chi opera in una rete di un ente pubblico vi potrebbe essere una responsabilità contabile, amministrativa o disciplinare rispetto alla mancata attivazione di tutti i sistemi previsti per la tutela.

Dott. Ettore Panella: Mi sembra strana questa responsabilità dell’utente finale visto che la conoscenza informatica è praticamente tendente allo zero. Ho una certa difficoltà quando si parla di reati tipo la pedofilia, perché ho l’impressione che un reato così terribile si svolge quasi sempre in famiglia.
Pigliarsela con il mezzo è un modo per allontanarlo. Spesso si associa a Internet più per lavarsi la coscienza.

Simo Sorce Hacker: quando si dice che l’utente deve stare attento ci si riferisce spesso ad utenti avanzati, pubblica amministrazione, provider. Non si può pretendere che una società che abbia dati sensibili sulle persone non si tuteli. E’ per chiunque gestisca dati sensibili.

Dott. Panella: Se involontariamente una persona tramite un virus ha aperto le porte che vengono sfruttate da terzi per mettere delle informazioni e farlo diventare un server aperto a tutti, mi sembra difficile, ma la conoscenza è talmente bassa.

Intervento: Bisogna che il legislatore non esageri, sull’onda dell’entusiasmo o dell’emozione, della paura ad esagerare con legislazioni repressive. Giustamente un reato come questo non è penale, ache se a volte si è esagerato caricando il reato con sanzioni penale, per esempio, la copia di un cd, che è deplorevole, ma non è un fatto di sangue, è punito fino a tre anni di carcere. Bisogna calibrare la pena con l’effettivo danno che si produce.

Domanda: Un computer domestico quante porte ha? Come fa l’utente a capire di averle chiuse bene?
Simo Sorce: Più di 65.000 porte, ogni macchina le apre a seconda dei servizi che offre. Ogni servizio è una porta. Una delle regole base è apri meno porte possibili. La prima regola che un amministratore di rete fa è prendere il server con la configurazione di base, con le porte aperte e chiude tutte quelle che non servono e lascia aperte solo le porte dei serivizi che servono. Ad esempio un server web avrà la porta web aperta, la porta per il trasferimento dati aperta. Un computer domestico non funge da server, non dovrebbe avere porte aperte oltre ai servizi standard. Il problema è che il classico virus funge da servizio, attiva una connessione e quindi apre la porta ad una connessione esterna che non dovrebbe esserci. Queste cose sono protette da un firewall, che blocca la richiesta, l’accesso alla porta a monte. Un service provider che difende l’utente dovrebbe avere un limite sul tipo di connessioni, sulla quantità di connessioni che possono essere aperte, verso un computer, e il computer dovrebbe avere un anti virus. Anche se a volte la sicurezza sfocia nella paranoia. Se io ho un computer con qualche gioco, la tesi e poche cose, è eccessivo pensare di mettere più che un antivirus.

Dott. Ettore Panella: La casa veramente protetta è quella dove sono murate le porte e le finestre, allora?

Risposta: A volte bisogna saper scegliere chi ti vende la casa. Io uso Linux . Come tutti i sistemi gli errori vengono fatti anche nel sistema che uso io, però sono di meno e corretti più facilmente. Nel mio sistema l’antivirus è inutile. Bisogna stare attenti a quello che si acquista, a volte si prende la via facile e ci sono conseguenze spiacevoli.

Intervento: La sicurezza a volte va a scapito della semplicità d’uso.

Domanda al dottor Alfano: parlavamo di software visto come arma impropria, l’utilizzo di programmi di Peer to peer , tipo Napster, Overnet, per scambiare file MP3, film in DivX, vorrei avere un chiarimento su come la vede la legge.

Hacker: Il progetto Freenet è abbastanza giovane e non è seguito da moltissime persone, questo prgetto può sembrare quasi un sistema di peer to peer.

Hacker: E’ un sistema che permette tra due utenti di connettersi direttamente tramite server che distribuiscono liste di utenti. Freenet può sembrare una cosa simile, ma il suo obiettivo è ben diverso, serve per prevenire le censure. Ha tutta una serie di misure tecnologiche per impedire che chi immette dati sia riconosciuto, non per sottrarsi alla legge, ma alle censure, e impedisce che si possa tracciare chi vede le informazioni, per garantire l’anonimato in rete.

Dott. Alfano : (Risponde): onestamente credo che bisognerebbe verificare da dove si prendono questi file, dove sta questo sito di MP3, se si accede su questo sito in maniera abusiva si commette reato di cui all’art. 615 quater, cioè una diffusione abusiva di codici di accesso a sistemi informatici. Questa norma è prevista per chiunque, al fine di arrecare a sé o ad altri un profitto, o di arrecare ad altri danno, abusivamente si procura e diffonde i mezzi idonei all’accesso ad un sistema informatico. E’ comunque configurato il 171 bis perché è la norma che punisce chiunque abusivamente duplica, per trarne profitto, programmi per elaboratori o altro. Se i dati sono protetti si commettono entrambi i tipi di reato. C’è anche in questo caso concreto, qui siamo anche a differnza del 615 ter, cioè l’accesso abusivo ad un sistema informatico che non prevede necessariamente il fine di lucro, o di recare danno, ma semplicemente la tutela della riservatezza dei dati. In questo caso abbiamo una violazione di un diritto della sfera patrimoniale che è quella della casa discografica che ha registrato quei brani musicali, dei quali abusivamente ci si appropria e si diffondono. In questo caso sono configurabili due ipotesi di reato che andrebbero in concorso fra di loro.

Conclusioni di Don Nello Senatore: Ci troviamo in una galassia, dove diventa complicato muoversi. Il legislatore ha consapevolezza di dover intervenire sempre di più, perché c’è bisogno di una regolamentazione. Questa consapevolezza il legislatore la ha, già è molto sviluppata la normativa. Attendiamo che ci sia attenzione, ogni tecnica è fatta dall’uomo, l’uomo è protagonista, come sempre è un uomo precario che ha bisogno di punti di riferimento e di coercizione.

 

 Informazioni
Compila il form
Diventa Sponsor
E-Mail
« HOME PAGE
 Gli Sponsor
 

 

   
 
 La sede
 
   
Visita il sito