Dott. Panella:
L’hacker è stato visto in tantissimi modi e normalmente
nessuno conosce la differenza tra hacker e cracker (?), praticamente
tra l’hacker positivo e il cracker che è quello
che può commettere dei reati o fare degli errori. C’è
qui una ragazza russa, che possiamo definire un hacker, in
Russia certi libri erano proibiti, racconterà la sua
esperienza, per capire meglio l’hacker. Spesso in alcuni
film, ad esempio Nirvana, l’hacker ha avuto una connotazione
positiva, in casi di regimi illiberali l’hacker rappresenta
forse l’unica soluzione per avere, nel suo caso, testi
in inglese e superare i paletti che vengono messi dai regimi.
Caterina: Ho trovato l’informazione
sulla mia laurea, la letteratura come Moby Dick era vietata,
perché non c’era molta libertà, ho trovato
il testo inglese originale, che non potevo trovare nelle biblioteche.
Ho fatto ricerche su Internet.
Dott. Panella: Ma perché un testo
come Moby Dick era vietato secondo te?
Caterina: Perché è letteratura
vecchia.
Dott. Panella: Ma che c’è
di censurabile in Moby Dick?
Don Nello Senatore:Caterina non è
una hacker. Il problema che si pone è questo. La motivazione
giustifica tutte le azioni o anche una motivazione buona crea
sempre reato, ma non è il caso di Caterina. Una motivazione
come quella di Caterina, che va a squarciare la rete per introdursi
in certi tipi di biblioteche, commettendo reato, ma la motivazione
giustifica e non è più reato?
Dott. Alfano: Appartengo a una sezione
della Procura della Repubblica che si occupa di reati informatici.
E’ interessante capire la differenza che c’è
fra hacker e cracker. Il caso della ragazza non è un
caso di pirateria informatica. Mentre il reato informatico
non conosce confini, invece la legislazione, soprattutto quella
penale conosce i confini dettati dal principio di statualità
del diritto penale, quindi ogni stato si dà delle proprie
regole, ha individuato alcune figure delittuose di reati informatici,
e spesso questo crea dei problemi di coordinamento tra le
varie discipline sul punto. Sono stato colpito molto dalla
differenza fra hacker e cracker e ho cercato di documentarmi
su un sito, e ho trovato questa definizione: gli hacker seguono
una sorta di codice cavalleresco, fanno hacking seguendo un’etica
ben precisa, mai fare danni, mai rubare, mai farsi scoprire,
solo una sfida pratica di intelligenza, nessun intento criminale.,
l’hacker vuole penetrare nel sistema per assimilare
conoscenza sul sistema e su come esso lavora. Non sono pericolosi,
non hanno alcuna intenzione criminale, vogliono solo imparare,
dal sistema in cui accedono, traendone nozioni sul funzionamento
dello stesso, essendo questa l’unica vera maniera per
imparare come davvero opera. Invece, si dice ancora, i crackers
sono i pirati, vandali informatici, mediocri hacker, tendono
a riunirsi in una specie di società segreta per commettere
reati. Allora, io dico già provocatoriamente, perché
mi rendo conto che molti di voi hanno questa differenza ben
chiara, e l’idea che il pirata è colui che liberamente
gode di questi beni, quali la cultura o i libri, a cui normalmente
non si può accedere. Provocatoriamente dico che questa
differenza dal punto di vista giuridico, tecnico giuridico
non esiste, quindi sgombrate il campo da questa distinzione.
Per l’ordinamento italiano anche l’hacker è
un soggetto che compie dei reati. Mi rendo conto di andare
contro quella che può essere l’aspettativa di
questo convegno, ma il mio ruolo è provocatorio, è
quello di chi applica la legge, poi ne possiamo discutere,
possiamo arrivare alle motivazioni di chi applica l’agire.
Dott. Panella: Abbiamo invitato un cracker,
ma essendoci un magistrato potevano esserci problemi di incompatibilità,
e non è venuto.
Simo Sorce hacker: Il dottore ha fatto
una distinzione che va per la maggiore oggi, secondo cui hacker
è colui che penetra nei sistemi, io vengo da una filosofia
molto lontana, il MIT, nasce 20 anni fa con Richard Starman,
che è stato anche il fondatore del software libero
e della source foundation. In quel senso l’hacker non
aveva nulla a che fare con la penetrazione dei sistemi, con
pratiche illegali. Il termine hack in inglese vuole dire semplicemente
smontare, fare a pezzi, cioè cercare di capire come
funzionano le cose, qualcuno lo ha utilizzato per giustificare
la penetrazione nei sistemi, nel senso di cercare di capire.
Ma secondo e sono scuse, quelle persone sono dei cracker,
perché ogni penetrazione va a violare un domicilio
informatico. Per me essere hacker, anche se non mi definisco
hacker, sarebbe una presunzione, comunque l’hacker non
lavora necessariamente con l’informatica, sono tutte
quelle persone che sono curiose sulle proprie cose, non su
quelle degli altri e cercano di capire come funzionano nei
minimi dettagli, a volte a limite del maniacale, per me nell’informatica
significa addirittura studiare il kernel, i microprocessori,
le architetture, nei minimi dettagli. Le prime esperienze
hacker arrivano non dall’informatica, ma da quando ero
piccolo, mi smontavo le radio, scambiando transistor cercavo
di capire come funzionassero le cose. Questo è essere
hacker, ma oggi il termine hacker ha preso tutta un’altra
accezione. Io lavoro per la sicurezza tra l’altro.
Dott. Panella: In realtà tutti quelli
che facevano gli hacker sono poi finiti nella sicurezza, perché
è più facile conoscere le tecniche.
Simo Sorce Hacker: Chi arriva ad avere
una grossa conoscenza, ha tutte le competenze per contrastare
quello che fanno altri.
Dott. Panella: Qui ho un articolo di Punto
Informatico, 100 milioni di dollari, una proposta di legge
americana del nov. 2002, vorrebbe conferire a chi sviluppa
tecnologie capaci di aggirare le censure cinesi e vietnamite.
A questo punto, l’America è quella più
dura e repressiva con gli hacker, ma siete dei criminali o
degli eroi? C’è una schizofrenia, ultimamente.
In certe occasioni, come negli USA, si danno dei soldi per
superare certe barriere. Perché molti film sugli hacker
danno una visione così positiva?
Simo Sorce: Tutto è legato all’utilizzo
che si fa delle tecnologie. Quando si parla di scoprire tecniche
per effettuare intrusioni, bisogna distinguere anche il metodo
con cui si ottengono. Se uno le ottiene con uno studio privato
, nella propria rete, con propri macchinari, non commette
nessun reato. Cosa che invece non ha senso, è farlo
sulle cose altrui. Gli Stati Uniti hanno un motivo politico
e strategico che li spinge ad arrivare a mezzi estremi. Poi
nel campo dell’informatica si esagera facilmente, perché
è una materia poco conosciuta.
Dott. Panella: (all’hacker) mi risulta
difficile capire come si possa entrare in un sistema, non
è che sono i tecnici della sicurezza che non configurano
bene le proprie macchine, piuttosto che un’abilità
dell’hacker?
Simo Sorce: I sistemi informatici oggi
sono molto complessi, le persone normali non sono abituate
a trattare con sistemi così complessi. Si arriva a
queste complessità, perché nel mondo fisico
ci sono delle barriere dovute alla materia, quindi trattare
la materia è estremamente difficile, costoso etc. Nell’informatica
le strutture diventano facilmente complesse, se pensiamo a
quante linee di codice abbiano oggi i sistemi operativi senza
arrivare alle applicazioni, ci accorgiamo che le costruzioni
sono estremamente complesse. Questo vuol dire che introdurre
errori, non volontariamente, diventa abbastanza probabile.
Quello che si fa quando si cerca di fare intromissioni informatiche,
generalmente è quello di sfruttare errori nella programmazione
di sistemi, sistemi operativi, server e ultimamente anche
client e sfruttare gli errori per eseguire quel codice che
normalmente dà accesso a quelle funzionalità
che normalmente non sono previste dal programma. C’è
un’abilità di chi scopre questi problemi, c’è
un problema di sicurezza, ci sono degli errori e ci sono persone
in grado di trovarli e in caso patologico, di sfruttarli.
Ing. Gianlorenzo, tecnico della Cisco: Noi
abbiamo a che fare molto con i service provider e gli attacchi
tipici che vengono fatti ai service provider sono attacchi
dos, un attacco dos è un sovraccaricare le macchine
in modo tale da renderle incapaci di rispondere alle richieste
di servizio degli utenti.
Dott. Panella: questo non implica nessuna
abilità, c’è soltanto il fatto di saturare
con delle richieste continue un server.
Ing. Gianlorenzo: Dipende dal livello in
cui si opera, fare un attacco dos ad una macchina molto semplice,
ad un web server poco protetto è semplice, ma fare
un attacco dos ad una macchina molto ben protetta è
più difficile. Uno dei più evoluti attacchi
dos, è quello del DDOS, cioè quello che un hacker
bravo riesce a fare è crearsi una serie di macchine
che lui userà poi per fare gli attacchi e mandare delle
richieste fasulle a queste macchine fingendo di essere la
macchina che lui vuole attaccare. Se voglio attaccare starnet.it,
mando una richiesta ad un numero impressionante di macchine
che ho già selezionato, queste macchine a loro volta
risponderanno e manderanno una risposta a starnet, quello
che succede è che io con un link da 600 k riesco poi
a ridirigere 13 MB di traffico, ma anche di più a starnet.it.
Dott. Panella: questo è più
come quello che rompe la vetrina o una cabina telefonica.
In genere nei film si vede sempre l’attacco realizzato
in maniera molto semplice, cioè si entra nel sistema.
Ti è mai capitato di confrontarti con persone di questo
tipo?
Ing. Gianlorenzo: Ci sono due livelli in
cui si opera, c’è il livello di trasporto dati,
networking, quello che fa Cisco, che è il prendere
il pacchetto e portarlo alla macchina di destinazione. Noi
operiamo a quel livello, cerchiamo di non fare arrivare il
pacchetto dell’hacker al server di starnet. Se l’hacker
riesce a passare questa misura di sicurezza entra in gioco
la sicurezza del server stesso, del sistema operativo. Le
problematiche che possono essere in quel server possono venire
exploited, cioè si sfrutta l’errore del codice
per entrare, installare quel che vogliono, rubare informazioni.
Un hacker che vuole entrare in una macchina e prendersi le
password, i dati di un conto corrente, devi innanzitutto riuscire
a fare arrivare i suoi pacchetti lì, in quel caso esistono
vari sistemi di prevenzione e poi deve riuscire ad avere la
fortuna e la bravura di trovare un server che ha una vulnerabilità
nota e un amministratore di rete che o non la conosce ancora
questa vulnerabilità o comunque non ha applicato la
patch, cioè il fix.
Dott. Ettore Panella: Durante la tua carriera
hai mai conosciuto qualcuno che avesse cercato di superare
la macchina che stava sotto il tuo controllo?
Dott. Maurizio Panella: Più di uno.
Ci sono diversi tipi di attacchi. Mi è capitato di
vedere attacchi verso macchine UNIX. Molto spesso le aziende
o i privati non hanno adeguate misure di sicurezza, quindi
la cosa più facile non è andare a scoprire l’errore
all’interno del codice, ma la configurazione di queste
macchine. Solo grandi aziende che possono permettersi un certo
fatturato da dedicare alla sicurezza, possono proteggersi
seriamente.
Dott. Ettore Panella: Adesso noi con l’ADSL
stiamo dando a tutti una connessione continua di internet,
con dei computer che possono diventare dei server. Questo
è un problema?
Dott. Maurizio Panella: Certo, è
un problema. L’ADSL è un mezzo di trasporto dati,
in realtà con questo tipo di connessione “è
più facile” che un hacker riesca ad entrare nel
sistema, questo perché essendo una macchina in rete
24 ore su 24 è facile che questa macchina possa prendere
dei “virus” o dei Troyan, e da lì l’hacker
può avere accesso a questa macchina e configurarla
come meglio crede. Un esempio, questa persona chatta, l’altra
persona vuol fare vedere la sua foto, dall’altro lato
quella persona che ingenuamente vuole conoscere la persona
con cui sta chattando, clicca sulla foto, che in realtà
non è una foto, ma un troyan, programma che si installa
nel sistema automaticamente e inizia a mandare una serie di
informazioni verso l’hacker che le sfrutta per entrare
nel sistema ed iniziare a configurare quella macchina come
meglio crede. Questo potrebbe essere un hacker e non un cracker,
perché in realtà queste persone riescono ad
impadronirsi del mouse o della tastiera, senza fare danni.
Una cosa importante a livello di sicurezza per le macchine,
è che quando si è sotto attacco non si deve
perdere la calma, nel senso che è già molto
difficile scoprire l’hacker, quindi bisogna individuare
che si è sotto attacco, e poi bisogna intraprendere
una serie di misure, dal logging, dallo sniffing di tutti
i pacchetti per capire quanto più è possibile
da dove arriva e da chi arriva l’attacco. Molto spesso
le persone hanno paura, chiudono il computer creando ancora
più problemi, magari l’hacker ha messo dei programmi
che quando ripartirà il sistema bloccheranno tutto.
E’ importante bloccarlo senza farsene accorgere dall’hacker
stesso.
Don Nello Senatore: Si è creata
una specie di confusione, il dott. Alfano dice che hacker
o cracker commettono sempre reato, questo deve essere fatto
capire ai ragazzi, altrimenti si può arrivare a pensare
che avendo una buona intenzione nulla è reato, invece
non è così. Dobbiamo riflettere sulle motivazioni.
Dott. Alfano: Non mi voglio soffermare
su una serie di elementi tecnici e giuridici sulla configurazione
dei reati, l’input che voglio dare è questo.
Prima ho sentito parlare di intervento su cose proprie, su
dati propri, di attacco DOS al fine di danneggiare dei sistemi
informatici, però mi sembra di capire che forse si
guarda al dato informatico in una maniera che a mio avviso
è un po’ datata, nel senso che il dato informatico
non è soltanto il dato capace di avere una valutazione
patrimoniale, non c’è solo questo, non c’è
solo un bene patrimoniale da tutelare, il sistema informatico,
telematico, ma vi è anche quello che viene definito
dominio personale, cioè il dominio informatico, l’acquisizione
di una serie di dati, notizie, conoscenze, che appartengono
ad un soggetto, quel soggetto ha il diritto di vederselo tutelato
quel patrimonio, acquisito grazie alle proprie capacità.
E’ un po’ quello che successe con i libri, con
la differenza che il libro è più facilmente
tutelabile perché ha una sua materialità, invece
il dato informatico è un dato che sfugge al contatto
sensoriale ma va tutelato da un ordinamento moderno e civile.
Quindi non c’è soltanto il problema della valutazione
patrimoniale di un dato informatico, ma c’è il
problema della tutela della riservatezza di dati informatici
contenuti sullo strumento, sul mezzo informatico, ma che sono
conoscenze scientifiche, politiche, economiche. Questo modo
di valutare il dato informatico è moderno, è
nuovo e la tutela di un ordinamento moderno, si deve necessariamente
estendere anche a questo dato, a questa visione di riservatezza.
E quindi, vengo a spiegare perché l’hacker, che
entra in un sistema ma non lo danneggia, ma l’hacker
in quel sistema non ci può entrare, perché ci
sono dei dati che sono il frutto di un prodotto di elaborazione
scientifica, di originalità culturale, di una innovazione
tecnologica, in cui chi non ha partecipato a quel prodotto
non ha il diritto di entrare. Dunque se si entra in questi
dati, vi si accede in maniera abusiva e si commette un reato,
come nell’art. 615 ter, di accesso abusivo in un sistema
informatico, che non a caso, il nostro legislatore, in un
tentativo di recuperare un vuoto legislativo che c’era
con una legge del 93, ha modellato sulla falsa riga della
legge che c’era sulla violazione del domicilio, tanto
è vero che prevede come due ipotesi concrete per poter
accedere ad un sistema protetto, chi vi accede abusivamente,
violando i sistemi di sicurezza, oppure chi potendovi accedere
in passato, quindi in maniera legittima, ne è stato
escluso dal titolare del bene, non esce da quel sistema e
sono i due modi di aggressione identici che troverete nell’articolo
615 che va a tutelare il vecchio domicilio personale. Ora
questa configurabilità di questa responsabilità
anche per il reato di domicilio informatico è fondamentale,
è questo l’errore di partenza che io ho visto
in questa impostazione hacker, colui che in maniera libera,
quasi da gentiluomo, cerca di entrare e di aumentare il mondo
delle conoscenze, e il cracker è colui che danneggia.
La ratio dell’ordinamento è la tutela di questo
dato informatico moderno, di questa banca di conoscenza, ed
i n virtù di questa tutela esiste il reato di cui all’art.
615 ter, ed è per questo motivo che anche quello che
io definisco impropriamente hacker, è uno che commette
un reato.
Dott. Ettore Panella: Qui c’è
un discorso da fare. Internet lo possiamo paragonare ad un
circolo privato, che si è sviluppato, con una mentalità,
un modo di vivere che era proprio di ricercatori che si conoscevano,
poche persone, il fatto di entrare in un sistema altrui non
significava una violazione di domicilio, ma era un modo per
migliorare, poi ad un certo punto, e qui è la vera
distinzione, per cui non capiamo, c’è stata una
forte immissione delle aziende della nuova economia, c’è
stato un assalto alla diligenza, questi nuovi guru della nuova
economia hanno visto questa prateria fertile, con pochi accampamenti,
e hanno mandato la cavalleria sterminando tutti, portando
dei valori che non erano quelli originali. C’è
stata una mutazione genetica, la disquisizione del dottor
Alfano è giusta, c’è la legge, ed è
un reato, ma non capiremmo perché l’hacker ha
questa doppia visione, perché forse effettivamente
c’è stata una mutazione genetica e una diversa
destinazione di un mezzo che prima era puramente accademico,
di conoscenza, di amicizia.
Simo Sorce Hacker: Il termine hacker purtroppo
ha cambiato il suo significato. Sono totalmente d’accordo
con il dottor Alfano, tranne che in una cosa, la novità,
è vero che fare violazione informatica è come
fare violazione di domicilio, avere nuove leggi forse non
era necessario. Hacker aveva una volta un significato che
non aveva nulla a che vedere con problemi legali, era semplicemente
sperimentare, ma mai intrusioni. Quando è nato questo
termine le reti informatiche non esistevano, quindi le intrusioni
erano impossibili, gli unici sistemi condivisi erano i sistemi
main frame ma tutte le persone accedevano a quegli stessi
privilegi. Nel momento in cui si è cominciato a produrre
documentazioni, esperienze personali, ovviamente si è
passati da un mondo in cui si parlava di calcoli scientifici
nelle macchine all’università a tutto il resto,
e quindi ci ricollega alle leggi che tutelano la privacy,
la proprietà, le creazioni artistiche etc. etc.
Luca Gambetta, uno dei fondatori del Linux User Group
di Salerno: fermo restando il rispetto del dato privato,
questo è un momento in cui le novità informatiche
sono parecchie e forse ci si trova spaesati di fronte a queste
novità e bisogna cercare ordinarle o stigmatizzarle
per poter dire che è nuovo ed è cattivo. La
scienza si è sempre evoluta andando contro le regole,
pensiamo a Galileo. Se un’azienda deve tutelare i propri
interessi, deve farlo perché c’è chi cerca
di entrare nei sistemi, allora come fa, uno che vuole tutelarsi
a conoscere come entrare nel sistema e quindi sapere come
reagire, proprio perché prima ha provato, ed è
entrato negli altri sistemi. Nello stato attuale noi deleghiamo
l’uso della forza alla polizia oppure agli organi deputati,
però un sistemista come fa a formarsi? Chi gli dà
la possibilità?
Domande:
Il legislatore prevede sanzioni anche a carico dell’utente
che non difende sufficientemente i dati in suo possesso, come
l’assicurazione che non mi risarcisce il furto della
macchina perché avevo lasciato le chiavi nel cruscotto.
Esiste un insieme minimo di difese per cui un utente in possesso
di dati deve implementare affinché sia più complicato
per un hacker intervenire.
Cosa lascia un hacker in un altro computer?
Quando un beta testing avanzato diventa violazione del copyright?
Risposta del dott. Panella: Il beta test
è quello che testa il software di un’azienda.
Ogni software nel momento in cui viene rilasciata la prima
versione, è piena di buchi, di imperfezioni che possono
avere una diminuzione della capacità. Allora si utilizzano
degli utenti, il cosiddetto utente stupido, per testarlo e
segnalare eventuali errori, che nella prima versione, la versione
beta, abbondano. Quindi non credo ci sia una violazione del
diritto di copyright.
Dott. Rocco Alfano: Il nostro sistema penale
si basa sul principio della tassatività della norma
incriminatrice, noi non possiamo essere puniti per qualcosa
che non è stato deciso dal legislatore in maniera precisa,
è poiché la violazione di domicilio, il vecchio
615 era configurata in modo esclusivamente fisico, estenderla
anche ad una violazione di domicilio informatico sarebbe stata
una anomalia del sistema ed un’analogia non consentita
dal sistema informatico. Quindi la novità normativa
era necessaria. Per quanto riguarda il discorso dell’utente
mi sembrava di capire dalla domanda, per come era posta, che
aveva un vizio di partenza, cioè, si diceva che l’utente
dovrebbe aumentare la propria soglia di cautela, dovrebbe
adottare dei sistemi di protezione più elevati, se
non lo fa, dovremmo quasi punire anche l’utente, se
questa è una logica ammissibile per il risarcimento
del danno, in un’ottica civilistica, potrebbe anche
esserci questa come valutazione di un eventuale concorso in
un’ipotesi di responsabilità civilistica, ma
dal punto di vista penale, il ragionamento non può
essere posto, è come se si chiedesse, poiché
oggi ci sono molti ladri in giro, dobbiamo tutti chiuderci
con delle cancellate di ferro e se non lo facciamo peggio
per noi. Dal punto di vista della tutela giuridica penalistica,
cioè della libertà di scegliere dove, come e
quando stare, nel caso della libertà de domicilio personale,
così come la libertà di scegliere dove, come
e quando sfruttare dati informatici sarebbe un paradosso non
consentito dal nostro ordinamento, il nostro ordinamento si
deve preoccupare di tutelare chi ha un bene giuridico che
è quello del dato del sistema informatico, e rispetto
a questo sarà lui a scegliere tutti i mezzi e gli strumenti
necessari per tutelarsi in prima persona, ma non possiamo
far ricadere sull’utente una sorta di mancata tutela.
Mi sembrerebbe errata questa ottica. L’ultima risposta,
nella realtà concreta, un caso simile non mi è
capitato. Mi è capitato qualcosa di simile. Vi era
una elaborazione di un sistema, alcune persone lavoravano
per un’azienda, che aveva brevettato un sistema informatico
che gestiva magazzini di ferramenta. Queste persone si sono
licenziate dalla ditta, hanno abusivamente acquisito quei
dati, sui quali avevano lavorato quando erano in rapporto
di dipendenza con l’altra società, lo hanno elaborato
meglio e lo hanno commercializzato. Da qui è nata una
querela da parte del titolare. Abbiamo fatto una serie di
indagini. Bisogna verificare l’elemento innovatore,
cioè il sistema elaborato aveva qualche cosa di nuovo
rispetto al sistema precedente , allora siamo di fronte ad
un nuovo prodotto, per le leggi di copyright ben poteva il
secondo utilizzarlo e registrarlo. Se manca l’aspetto
innovativo ma vi è la novità, che è una
novità prevedibile di sviluppo del sistema originario,
è una sottile differenza, ma esiste, in questo caso
non è un nuovo prodotto, ma è una elaborazione
con delle migliorie del prodotto originale. Applicando questo
stesso principio al problema che lei poneva bisognerebbe verificare
se nel momento in cui si tenta di entrare in questi sistemi
e si trova una barriera di accesso, e in virtù di quella
barriera di accesso si costruisce, si elabora qualcosa di
innovativo, che potrebbe essere un sistema di protezione per
altri, allora è un discorso, ma se dopo l’ostacolo
che si è trovato nel tentare di entrare si toglie solo
quel di più che ci permette poi di fare entrare in
quel sistema, anche innovandolo, ma non portando una novità
creatrice, in questo caso saremmo di fronte ad un accesso
abusivo, di fronte ad un sistema di sicurezza già installato
e tutelato. E’ una mia personale opinione.
Dott. Ettore Panella: Secondo me, Francesco
sta parlando di un falso problema, l’autore del software
ha dei diritti, che sono dei diritti morali e patrimoniali.
Nel momento in cui, per quanto riguarda i diritti economici,
cioè dello sfruttamento del software, è lo stesso
a disporne, cioè dice provate a bucarlo. In quel momento
non c’è violazione, l’altro caso è
diverso, lì è una questione di plagio per quanto
riguarda la questione del software. Lì è possibile
arrivare allo stesso risultato, cioè allo stesso software
ad esempio con altri linguaggi. In Italia il software è
tutelato col diritto d’autore, e non con il diritto
brevettuale, quindi c’è una differenza tra gli
USA e l’Europa.
Ing. Gianlorenzo: I test anche avanzati
su qualsiasi macchina vengono fatti e possono essere fatti.
Quindi se tu prendi un router Cisco in casa tua, puoi farci
quello che vuoi, ed è come se io compro una porta blindata,
la porto nel mio garage e la distruggo. L’exploit di
un bug può essere fatto in maniera maligna, o benigna.
Un bug che ci è stato ed è noto è sul
sito Cisco, l’SNMP, un problema che poteva buttar giù
tutto internet, è stato scoperto da un’università
finlandese. La cosa è stata diffusa in maniera appropriata
e non è successo nulla. E’ stata una cosa che
ha portato beneficio a tutti. Mentre i famosi virus Code red,
Ninda, che sono stati scoperti, pubblicati su siti di hacker,
erano programmini che tutti potevano prendere e hanno creato
danni per milioni. Te ne accorgi perché non ti connetti
più, non controlli la posta. L’utente se ne accorge,
l’operatore se ne accorge perché ci sono sistemi
di monitoring, che controllano la macchina e ti riportano
degli errori, che possono essere memoria, CPU, mancanza di
connettività, macchina che va in crash e fa un reset.
Son tutti indizi di un attacco, a quel punto si va a guardare
il traffico, si chiama sniffing in gergo, io riesco a vedere
il traffico che passa sulle reti, nelle macchine, si fa un
percorso a ritroso e si risale a chi sta mandando questi pacchetti.
Internet è aperto, ognuno ha un indirizzo, che usa
la stessa nomenclatura in tutto il mondo, quindi io posso
risalire all’indirizzo IP. Quando sono risalito all’indirizzo
IP, a seconda di come questo indirizzo viene assegnato, posso
risalire fisicamente a dove era l’utente in quel momento.
Se per esempio, ti connetti da casa a Telecom, Telecom ti
dà un indirizzo IP, che è logato, cioè
loro hanno da qualche parte scritti i tuoi dati.
Dott. Ettore Panella: E con la privacy?
Se io visito un sito, l’amministratore di sistema lo
sa?
Ing. Gianlorenzo: Se ci sono delle macchine
configurate per salvare queste informazioni si. Un Firewall
che ispeziona tutto quello che succede, tutto il traffico
può vedere quale pagina web è stata visitata
da un certo indirizzo IP. Non viene fatto sempre, un service
provider se vuole può farlo ed è anche molto
semplice.
Dott. Maurizio Panella: Si inizia un’analisi
per capire da dove proviene l’attacco, molto spesso
però il tuo dominio di competenza è limitato,
per esempio all’Italia, e allora c’è un’unità
mondiale che si chiama CERT dove in caso di attacco qualsiasi
persona può chiamare e il CERT valuterà il tipo
di attacco, se effettivamente c’è un attacco
e coordinerà tutti i provider al fine di individuare
la sorgente. Tutti i service provider usano questo tipo di
informazione, personalmente mi è capitato di avere
chiamate dall’America per avere notizie di alcuni attacchi
provenienti dall’Italia e viceversa, in questo modo
si riesce ad individuare la sorgente e ad informare l’altro
service provider che si sta verificando questo attacco.
Simo Sorce Hacker: A proposito delle domande
sul rintracciamento dei log e come si fa a fare sicurezza.
Il problema maggiore che si riscontra nel rintracciamento
dei log è quando questi log vengono falsati. Ci sono
due modi per falsare i log, semplicemente che l’attaccante
entra nella macchina e li cambia, essendo l’informatica
digitale, non è come un foglio di carta che cancellare
lascia tracce. Se vengono inseriti ad arte questi log, non
sono distinguibili se non con tecniche avanzate di incrocio
dei dati dai log precedentemente veri. Quindi quando si va
ad analizzare la macchina si possono avere false informazioni.
Un altro livello ancora maggiore di capacità di nascondersi,
è quello di fare il cosiddetto spufing ovvero di falsare
i pacchetti IP, è una tecnica molto avanzata, che può
sviare chi cerca di recuperare informazioni su chi sta facendo
l’attacco. In questo momento c’è un problema
maggiore che potrà preoccupare che fa sicurezza, è
quello delle reti wireless, per quanto riguarda l’ADSL
quello che vedo io come pericolo per l’utente è
più che altro avere fastidi dalla polizia postale,
perché la persona lasciando la macchina accesa tutto
il giorno non si accorge che qualcuno entra e ottiene il controllo
della macchina e fa dei danni, e poi da quella macchina fa
partire gli attacchi. Però quando si parla di reti
wireless, anche quelle con le tecniche di protezione più
avanzate, sono comunque vulnerabili, a meno che non si usino
delle procedure maggiori. E quindi non solo ci si può
entrare in una rete privata di un utente, un’altra persona
potrebbe inserirsi in quella rete ed utilizzare quel punto
di accesso per fare danni all’esterno. Questa è
la situazione più critica, perché scoprire chi
si è inserito nella rete, magari stando in macchina
sotto casa, diventa complesso e se ben fatto impossibile da
identificare.
Dott. Ettore Panella: A beneficio degli
ascoltatori le reti wireless sono quelle a onde radio, senza
una postazione fissa a cui attaccare uno spinotto.
Ing. Gianlorenzo: Sulla domanda come si
fa sicurezza, uno dei metodi per chi ha la possibilità
è testarsi in casa gli apparati che va ad usare in
modo da tentare di entrare nelle proprie macchine e verificare
che non abbiano problemi di sicurezza. Questo sembra più
che legale. Quello che fanno le società di sicurezza
con tutte le autorizzazioni dei provider che vanno ad attraversare
e anche dei clienti committenti è cercare di penetrare
la macchina del cliente per verificare che il cliente l’abbia
configurata correttamente. Ovviamente se tutte le autorizzazioni
sono state prese in modo corretto questa è un’azione
legale di tentativo di intrusione, è semplicemente
come una persona che chiedesse ad un fabbro di provare a scassinare
la propria porta blindata per vedere se regge. Altri metodi
legali, secondo me non ce ne sono, a parte quello di tentare
se stessi. Un metodo che si può utilizzare è
quello di usare i cosiddetti Intrusion Detection System, sistemi
di accertamento dell’intrusione, ovvero delle macchine
che fanno sniffing in modo intelligente, cioè fanno
un discernimento dei dati utilizzando delle tecniche a volte
anche euristiche ovvero cercano di riconoscere delle modalità
di funzionamento o di flusso dei pacchetti per dare l’allarme
in caso di possibilità di intrusione.
Dott. Ettore Panella: Se questi log sono
modificabili, e lo sono, e se alcune proposte legislative
dicono che questi log sono la prova, ad un certo punto la
rilevazione della prova, diventa abbastanza complicata, nel
senso che creare prove false è facile.
Dott. Maurizio Panella: Non è facile,
ma è possibile. Ci sono vari metodi, se l’hacker
o il cracker attacca una macchina, usa quella macchina per
fare danni, è la macchina attaccata che risulterà
quella che sta facendo danni, mentre la persona è ignara.
Dott. Ettore Panella: Se io sono il super
utente, cioè quello che può operare sulla macchina
e vado a prendere questi logo e ci sovrascrivo dati che incolpano
un’altra persona, è possibile?
Dott. Maurizio Panella: E’ possibile
se non è fatto bene il sistema. Molto spesso questi
log non risiedono sulla macchina attaccata ma su zone ben
protette dove è molto difficile entrare. Il problema
principale è che non c’è sicurezza da
parte degli utenti e non si sa fare un design di sicurezza,
perché in questo modo i log vengono automaticamente
trasferiti su uno o più di un sistema e quindi automaticamente
la persona che attacca quella macchina non potrà cambiare
quei log.
Dott. Ettore Panella: (precisazione per
il pubblico) I log sono delle righe di informazioni che dicono
chi è il computer che ha fatto una richiesta, cosa
ha richiesto, a che ora e in che modo. La rilevazione di questi
log è un problema. Alcune proposte legislative dicono
che bisogna conservare i log, senza considerare che essendo
di una certa vulnerabilità vanno tenuti in una certa
maniera, e poi si crea anche il problema della privacy. Non
è che si sta affrontando questo problema in maniera
troppo leggera?
Dott. Alfano: Il problema c’è,
ed è grosso, dal punto di vista della tecnica investigativa.
Abbiamo due grossi problemi pratici, in base all’esperienza
che ho avuto. Uno a rincorrere il posto dove sarebbe stato
commesso il reato, dove sta il soggetto che ha operato. Molto
spesso ho avuto l’impressione di essere una pallina
da flipper perché trovo che la normativa non sia tanto
adeguata, perché spesso quello che è un fascicolo,
veniva rimbalzato da una procura all’altra perché
si andava a scoprire che il server stava prima a Cagliari,
poi a Trento, alla fine il fascicolo è ritornato a
me, perché si è visto che la macchina che operava
ed entrava nel sistema (di un’università) era
di un soggetto iscritto all’università. Abbiamo
necessità di una polizia giudiziaria particolarmente
specializzata, la polizia postale si sta proprio specializzando
sul punto, a volte abbiamo necessità di consulenti
tecnici. Dal punto di vista della responsabilità penale,
il problema non lo risolviamo arrivando alla macchina, la
macchina è un dato neutro dal punto di vista penalistico.
Dopo questo sforzo incredibile del caso suddetto, abbiamo
trovato la casa da dove era partita la macchina e abbiamo
trovato che ci vivevano tre ragazzi, fratelli, iscritti alla
stessa università colpita. E’un crimine difficile
da perseguire, perché lascia tracce sulle reti informatiche
ma poi la difficoltà ulteriore dal nostro punto di
vista è di collegare a quella macchina la responsabilità
personale. Da questo punto di vista, mi rendo conto che la
possibilità di modificare i log è pericolosa,
perché ci può trarre in inganno. Allora chiedo,
come è possibile tutelare per evitare che altri strumentalmente
ne approfittino e di fare indagini e perquisizioni su persone
sbagliate?
Risposta: Il problema è complesso
e riguarda l’investimento informazione. Conoscere tutte
queste problematiche, sapere come risolverle, non è
semplice. L’utente a casa non può né come
informazione personale, né come investimento per assumere
tecnici specializzati, risolvere questo problema. Io dico
che il metodo migliore è quello di incrociare le informazioni,
benché alcuni log possono essere falsati, da qui a
riuscire a costruire un quadro che sta in piedi diventa quasi
impossibile, ci deve essere un’organizzazione davvero
complessa. Quello che si fa con la cancellazione e la modifica
dei log è cercare di depistar per prendere tempo. Fortunatamente
riuscire a costruire tutto in modo che poi quadri, se si parla
di log di una singola macchina è un conto, se si fanno
indagini di un certo peso si incrociano però non soltanto
i logo della macchina, ma anche quelli dei provider, dei server
passati durante il transito. Quando si fa un incrocio dei
dati si può avere un problema maggiore. Ponevo il problema
delle reti wireless, perché lì si può
arrivare ad un abuso quasi non riconoscibile, nel senso che
finché si trova la macchina nella casa dei tre fratelli,
almeno uno dei tre è. Ma quando nella casa di tre fratelli
si trova un apparato radio che trasmette e chiunque vi può
accedere dall’esterno diventa veramente difficile capire.
Dott. Ettore Panella: Essere hacker, fare
una violazione di un sistema operativo in sé non è
particolarmente difficile, non bisogna essere esperti e bravi,
ma è una operazione che può capitare a tutti.
E’ passato in prescrizione, quando andavo all’università,
io dovevo installare un sistema operativo con i compiti da
fare a casa. Facendo un errore, invertendo i dischetti, scoprii
che c’era la possibilità di diventare super utenti.
Io mi sono sempre scocciato, perché è una cosa
faticosissima riuscire a superare un sistema informativo,
è una cosa lunga. Ma quella volta ci riuscii involontariamente,
peccato che il non aver fatto quegli esercizi mi ha danneggiato
nella vita professionale costringendomi a studiare poi quelle
cose .
Intervento: Non so la polizia postale come
lavora, ma sicuramente arrivare alla persona finale è
molto difficile, richiede tempo, non è impossibile
però. In realtà la persona che crea il danno
deve essere colta sul fatto. I log possono essere cambiati
però con alcuni controlli incrociati si hanno delle
informazioni, alcune di queste informazioni possono essere
distorte oppure no, ovviamente l’indagine parte da quel
punto in poi, si dirama e fino ad aspettare il prossimo attacco.
Così tu stai un passo avanti a come eri precedentemente.
Quindi ricevo l’attacco, faccio le mie investigazioni,
arrivo a qualche provider, mi fermo e vedo se c’è
un altro attacco, continuo a fare investigazione fino a quando
non arrivo alla persona finale. Una volta che si è
capito chi potrebbe essere la persona, nel momento in cui
c’è un altro attacco, la polizia dovrebbe prenderlo
in quel momento sul fatto, a quel punto non ci sono più
speranza per l’hacker o cracker, perché è
stato colto sul fatto. E’ un lavoro faticoso, bisogna
che l’hacker commetta qualche errore, il che accade
sempre.
Intervento: E’ praticamente impossibile
modificare i log in tutte le macchine, però gli hacker
trovano tanti mezzi e spesso ci riescono, io mi son trovato
a cercare attacchi che spesso vengono da nazioni non friendly,
che non sono tenute a darci le informazioni. Un hacker furbo
parte da un paese che non è tenuto a dare informazioni,
in questo caso il problema è ancora più ampio.
Dott. Ettore Panella: Questo problema può
sembrare accademico, ma la dipendenza dai sistemi informativi
sta diventando massiccia. Il frigorifero è collegato
ad internet? Si riuscirà a modificarne la temperatura.
Don Nello Senatore: Sulla sicurezza bisogna
lavorare. Esiste solo una certezza, la certezza che nella
comunicazione, in Internet ci sia un’etica precisa.
Fino a quando non sostanzia la sua esistenza di valori autentici
ci sarà sempre questo conflitto continuo fra chi vuole
rubare e chi vuole difendersi. Il sistema in cui viviamo ha
bisogno di punti di riferimento. Nessuna legge o restrizione
potrà bloccare i pirati dell’informatica, ma
ci sarà una legge morale che tenterà di imprigionarli,
e fino a quando non riscopriamo pienamente questa legge che
sta in noi, continueremo a vivere questo conflitto. Ed è
anche una preoccupazione, perché fino a quando la scuola
sarà solo tecnica e non avrà un’anima
noi ci ritroveremo di fronte a questo problema, allora la
scuola deve coniugare la tecnica con la trascendenza, la morale
con la concretezza, e il prodotto sarà certamente un
cittadino serio e autentico.
Dott. Alfano: Quello che dice il moderatore
è giustissimo, ma sono abituato a vedere l’uomo
nella sua patologia e da questo punto di vista, la presenza
di valori è fondamentale. La nuova tecnologia è
una grossa tentazione. Una volta esisteva la categoria del
truffatore, visto con un po’ di romanticismo, veniva
punito per le sue truffe.Oggi è difficile trovare questi
truffatori, invece purtroppo è molto più facile
trovare persone che tramite lo strumento informatico, internet
possono truffare altri. Da questo punto di vista, lo strumento,
che di per sé è eccezionale perché ampia
le conoscenze, ci collega, può essere pericoloso, perché
la tentazione che dà lo strumento nel momento in cui
dà la possibilità di rappresentare una realtà
virtuale, che può essere falsa, artificiosa, un raggiro,
crea necessariamente la opportunità di quella che sarà
il reato di domani, la truffa informatica. Pensate alle truffe
che si concludono tramite internet, dove è facile presentare
il prodotto, o la sede di un’azienda, e poi dietro non
c’è niente. Questo può essere pericoloso.
Lo spunto che voglio lanciare è questo: circolo virtuoso
o circolo vizioso? In una società ideale piena di valori
e onestà sarebbe sicuramente un circolo virtuoso, ma
nella nostra società dobbiamo fare i conti con la possibilità
dell’utilizzo degenerativo dello strumento informatico.
E quanto più questo strumento informatico diventa potente,
avanzato, ci permette di collegarci più facilmente
con più persone, tanto più diventa pericoloso.
Mi auguro che internet sia e resti un circolo virtuoso, ma
facciamo attenzione che non diventi non tanto un circolo vizioso,
ma addirittura criminale. Potrebbe diventarlo, lancio la preoccupazione
come magistrato. Immagino l’uso di internet per l’acquisto
dei codici di accesso alla pay TV.
Dott. Ettore Panella: E’ vero che
essendoci un massiccio spostamento delle persone dalla realtà
normale alla realtà virtuale, è normale che
come si spostano gli utenti, si spostano anche i truffatori.
Maggiori possibilità sono anche maggiori possibilità
di fare danno. La nostra totale dipendenza dai sistemi informativi
può essere un grande vantaggio, ma in quei sistemi
possono introdursi dei criminali e fare danno.
Simo Sorce Hacker: Apprezzo queste preoccupazioni.
Vorrei però evitare che si demonizzasse il mezzo, però
è una cosa che sta accadendo. La cosa che più
mi preoccupa è che il legislatore è tentato
di utilizzare delle scorciatoie tecniche per ottenere dei
risultati che vorrebbero essere positivi ma che poi creano
più problemi di quelli che vanno a curare. Mi riferisco
a delle legislazioni che stanno passando ma che sono un po’
troppo rigide ed eccessive, alcune legislazioni passano come
protezione dei diritti d’autore, oggi per esempio picchiare
un cantante è penalmente meno grave che copiare una
canzone. Queste sono distorsioni legislative. Altra legge
che purtroppo potrebbe portare dei problemi è lo EUCD
(European Union Copyright Directive) che prevede uno stringersi
ulteriore della legislazione sul diritto di autore e la cosa
è positiva perché tutela i diritti d’autore,
ma diventa invasiva perché ad esempio si considera
come illegale aggirare delle protezioni, come quelle intorno
ai DVD. Quando si parla di punire sempre e comunque l’aggiramento
senza vedere perché viene fatto, si pone un errore.
Per esempio, alcuni supporti di memorizzazione verranno protetti
impedendo ai non vedenti delle opere che vanno ad acquistare,
perché il solo fatto di togliere delle protezioni per
riuscire a far passare questo materiale in un lettore audio,
perché riproduca in formato audio, invece che in formato
video le informazioni diventa illegale. Altro problema grosso
è quello degli strumenti di sicurezza. Il fatto stesso
di averli per testare la propria sicurezza diventa reato in
sé, non è reato l’uso ma l’averlo.
Come dire, avere un coltello è reato in sé,
non è reato accoltellare una persona. In questa confusione
si tende a criminalizzare i mezzi, invece di punire i reati.
Dott. Ettore Panella: La netiquette è
una serie di regole che i navigatori di internet, quelli che
hanno fatto crescere internet si sono dati. Delle regole scritte
per modo di dire, ma che tutti hanno sempre rispettato fino
all’avvento dell’accesso di massa, che ha portato
un grande utilizzo di internet ma non la conoscenza effettiva
di quell’accordo tra gentiluomini.
Domanda per il dott. Alfano: Nel caso in
cui da Salerno violassi un sistema operativo in America, quali
procedure si attiverebbero sotto il profilo giuridico per
potermi perseguire?
Dott Alfano: il danno si verrebbe a consumare
in America e quindi non saremmo noi competenti come autorità
giudiziaria. Il problema sarebbe più grande e bisognerebbe
tramite rogatoria internazionale trasmettere gli atti all’autorità
competente, che in questo caso, con gli atti di indagine avviati
già qui, sul nostro territorio, quegli atti di indagine
che ci hanno permesso di accertare che l’attacco è
partito dall’Italia ma che è arrivato facendo
danni in America, attraverso sistemi di rogatoria internazionale
bisognerebbe trasmettere gli atti all’autorità
giudiziaria competente qualora il fatto in America sia previsto
come reato. Il problema che lei poneva è serio e grosso,
perché è quello di un coordinamento della legislazione,
a livello europeo si sta tentando di farlo questo, però
il problema è che oggi i reati informatici viaggiano
sulla dimensione planetaria. Il problema è trovare
l’accordo su questo, perché verificare il livello
di necessità di tutela e soprattutto individuare l’oggetto
giuridico della tutela, ogni stato potrebbe fare delle valutazioni
diverse in ordine alla necessità di tutelare un bene,
valutazioni differenti in ordine al modo con cui tutelare
quel bene. Prima si è parlato del diritto di brevetto
e del diritto d’autore, in Italia è tutelato
il diritto d’autore, ma ci sono legislazioni che prevedono
il diritto di brevetto, sono due scelte diverse, di opportunità
politica differente. E questo crea, nel momento in cui non
si è d’accordo sul bene giuridico da tutelare
e soprattutto sui modi e sul grado di tutela da garantire,
questo crea delle disparità normative e crea dei problemi
quando, come spesso succede, l’attacco piratesco è
a cavallo fra due stati o due continenti. Il problema è
grosso, ma non lo si può risolvere nell’ottica
ristretta e un po’ miope del singolo stato ma va affrontato
a livello comunitario e a livello di convenzioni internazionali
sul punto. Io non ero a conoscenza di questo codice deontologico
iniziale. Questo è sintomatica questa necessità
di chi interpretava il sistema informatico di navigazione
tramite internet, in maniera positiva di darsi una serie di
regole, però purtroppo se queste regole non riusciamo
a darcele e non riusciamo ad osservarle , come categoria,
il problema va spostato, poi, agli Enti, agli Stati e lì
riesce difficile coordinare il tutto.
Dott. Ettore Panella: C’è stata
una corsa di massa ad Internet e questo ha cambiato le carte
in tavola. Quando parliamo di attacco che intendiamo: missili,
bombe, etc?. Attacco è generico.
Dott. Panella Maurizio: Ovviamente si parla
di attacco informatico. Una serie di bombe informatiche che
ti arrivano. C’è l’attacco vero e proprio,
e poi c’è il secondo passo di utilizzare la macchina
attaccata per fare qualcosa. L’attacco è il tentativo
di prendere possesso di quella macchina. Come il castello
nel Medio Evo, attaccato e svuotato di tutto ciò che
c’era. Per attacco, si intende che, se io nel Medio
Evo lanciavo le frecce, adesso lancio dei pacchetti informatici.
Sono, poi bisogna vedere a che livello, a livello fisico degli
impulsi elettrici (dipende dal mezzo che si usa) fino ad arrivare
ad un livello logico.
Dott. Ettore Panella: Vedo un castello,
voglio entrare, ci giro attorno per vedere se una finestra
è aperta? Guardo se il fossato è basso? etc.
Dott. Panella Maurizio: Lanci questi pacchetti,
questi pacchetti vanno a vedere quali tipi di porte sono aperte
su quel server e poi una volta scoperto quali sono le porte
aperte, sferri l’attacco su queste porte.
Dott. Ettore Panella: Facendo un paragone,
con la Favola di Cappuccetto Rosso, è come il lupo
che bussa alla porta della nonna dicendo di essere Cappuccetto
Rosso?
Dott. Panella Maurizio: questo è
già un livello più evoluto. Il primo livello
è scoprire se c’è questa porta a cui bussare.
Sono vari livelli. Si parte dall’attacco vero e proprio,
cioè mandare questi pacchetti verso quella destinazione
e questi pacchetti fanno uno scannino, cioè vanno a
vedere se ci sono delle porte libere aperte e da lì
sferrano un secondo attacco o con delle password o sfruttando
i buchi del sistema operativo. O trovi un muro o trovi la
porta, per trovare la porta è come se avessi una benda
e comincia a tastare il muro fino a quando non trovi la porta.
Una volta trovata la porta, bussi e dici “Sono Cappuccetto
Rosso”. Quindi, l’attacco o è mirato, nel
senso già si conoscono le porte, oppure la prima cosa
da fare è trovare queste porte.
Domanda per il dottor Alfano: Secondo la
legge italiana, per quell’utente che lascia la porta
aperta nei sistemi informatici, e permette ad un hacker di
entrare, nel momento in cui la macchina dell’utente
diventa una testa di ponte per poi generare attacchi verso
altri sistemi, oppure un deposito di software piratato o materiale
pedofilo, e l’utente è sempre ignaro, la responsabilità
si configura da parte dell’utente che ha lasciato la
porta aperta.
Dott. Alfano: Se l’utente è
in buona fede non vi è alcuna responsabilità
penale, è ovvio che poi bisognerebbe andare a verificare
in concreto, perché ha lasciato una porta semi chiusa,
se questo potrebbe essere sintomatico di un concorso. Questo
è un problema grosso, e mi spinge ad aprire una nuova
riflessione. Fino ad ora abbiamo parlato sempre di reati informatici,
cioè che hanno ad oggetto preciso la tutela di un sistema
informatico, telematico, o di reati che si consumano tramite
un mezzo informatico. Ma attenzione ai reati comuni, truffa,
pedofilia o altro, commessi tramite internet o lo strumento
informatico, dove lo strumento informatico non ha nessuna
responsabilità, non è altro che lo strumento
e questo è pericoloso perché soprattutto in
materia di reati di carattere diffusivo, quale la pedofilia,
o l’accesso a sistemi informatici per il tramite di
più persone coinvolte nella catena, questo crea delle
grosse difficoltà per noi a valutare le singole posizioni.
Se quel soggetto a cui sono partite delle fotografie pedofile
o altro, aveva di per sé un sistema di tutela abbastanza
forte che è stato violato, da quel fatto io traggo
un indice di buona fede, di tutela che si era posta, se poi
in realtà è un soggetto che apre le sue porte
in maniera facile alla possibilità di utilizzo della
sua macchina, del suo sito internet o di altro, questo mi
fa pensare ad un possibile concorso ad una mala fede, è
ovvio che poi devo andare a verificare altri elementi. Ancora
una volta vi è a monte la difficoltà di valutazione
nei reati informatici e reati comuni, commessi tramite strumenti
informatici, del soggetto agente rispetto ad una macchina
e ad un sito che sono neutri. A questo punto è anche
alla sensibilità dell’investigatore, del magistrato,
del giudice che valuterà quegli elementi di prova forniti
a setacciare quei comportamenti che possono essere sintomatici
della malafede.
Avv. Sisto: (dal pubblico) Si è parlato
di un minimo di protezione. Nel nostro ordinamento vige una
normativa che riguarda le misure minime di sicurezza, nel
momento in cui ci sono più computer singoli collegati
alla rete, più computer tra di loro e verso l’esterno.
Mentre all’esterno c’è il cracker che penetra
nel sistema e ha una propria responsabilità, c’è
una responsabilità nel caso in cui ad esempio si penetra
in un sito, si acquisiscono delle banche dati da parte di
chi è collegato alla rete, immaginiamo l’utente
collegato con ADSL, in questo caso il nostro ordinamento punisce
anche che non ha adempiuto a quella normativa, perché
c’è bisogno di determinati firewall, di determinate
protezioni affinché chi voglia entrare nel sistema
trovi determinate protezioni.
Dott. Alfano: C’è una responsabilità
di carattere civilistico, non penalistico.
Avvocato: Questo è per dire che
comunque anche l’utente deve proteggersi.
Dott. Alfano: l’utente deve proteggersi
e va incontro a responsabilità di carattere civilistico.
Ora mi veniva in mente un problema serio, per chi opera in
una rete di un ente pubblico vi potrebbe essere una responsabilità
contabile, amministrativa o disciplinare rispetto alla mancata
attivazione di tutti i sistemi previsti per la tutela.
Dott. Ettore Panella: Mi sembra strana
questa responsabilità dell’utente finale visto
che la conoscenza informatica è praticamente tendente
allo zero. Ho una certa difficoltà quando si parla
di reati tipo la pedofilia, perché ho l’impressione
che un reato così terribile si svolge quasi sempre
in famiglia.
Pigliarsela con il mezzo è un modo per allontanarlo.
Spesso si associa a Internet più per lavarsi la coscienza.
Simo Sorce Hacker: quando si dice che l’utente
deve stare attento ci si riferisce spesso ad utenti avanzati,
pubblica amministrazione, provider. Non si può pretendere
che una società che abbia dati sensibili sulle persone
non si tuteli. E’ per chiunque gestisca dati sensibili.
Dott. Panella: Se involontariamente una
persona tramite un virus ha aperto le porte che vengono sfruttate
da terzi per mettere delle informazioni e farlo diventare
un server aperto a tutti, mi sembra difficile, ma la conoscenza
è talmente bassa.
Intervento: Bisogna che il legislatore non
esageri, sull’onda dell’entusiasmo o dell’emozione,
della paura ad esagerare con legislazioni repressive. Giustamente
un reato come questo non è penale, ache se a volte
si è esagerato caricando il reato con sanzioni penale,
per esempio, la copia di un cd, che è deplorevole,
ma non è un fatto di sangue, è punito fino a
tre anni di carcere. Bisogna calibrare la pena con l’effettivo
danno che si produce.
Domanda: Un computer domestico quante porte
ha? Come fa l’utente a capire di averle chiuse bene?
Simo Sorce: Più di 65.000 porte, ogni
macchina le apre a seconda dei servizi che offre. Ogni servizio
è una porta. Una delle regole base è apri meno
porte possibili. La prima regola che un amministratore di
rete fa è prendere il server con la configurazione
di base, con le porte aperte e chiude tutte quelle che non
servono e lascia aperte solo le porte dei serivizi che servono.
Ad esempio un server web avrà la porta web aperta,
la porta per il trasferimento dati aperta. Un computer domestico
non funge da server, non dovrebbe avere porte aperte oltre
ai servizi standard. Il problema è che il classico
virus funge da servizio, attiva una connessione e quindi apre
la porta ad una connessione esterna che non dovrebbe esserci.
Queste cose sono protette da un firewall, che blocca la richiesta,
l’accesso alla porta a monte. Un service provider che
difende l’utente dovrebbe avere un limite sul tipo di
connessioni, sulla quantità di connessioni che possono
essere aperte, verso un computer, e il computer dovrebbe avere
un anti virus. Anche se a volte la sicurezza sfocia nella
paranoia. Se io ho un computer con qualche gioco, la tesi
e poche cose, è eccessivo pensare di mettere più
che un antivirus.
Dott. Ettore Panella: La casa veramente
protetta è quella dove sono murate le porte e le finestre,
allora?
Risposta: A volte bisogna saper scegliere
chi ti vende la casa. Io uso Linux . Come tutti i sistemi
gli errori vengono fatti anche nel sistema che uso io, però
sono di meno e corretti più facilmente. Nel mio sistema
l’antivirus è inutile. Bisogna stare attenti
a quello che si acquista, a volte si prende la via facile
e ci sono conseguenze spiacevoli.
Intervento: La sicurezza a volte va a scapito
della semplicità d’uso.
Domanda al dottor Alfano: parlavamo di software
visto come arma impropria, l’utilizzo di programmi di
Peer to peer , tipo Napster, Overnet, per scambiare file MP3,
film in DivX, vorrei avere un chiarimento su come la vede
la legge.
Hacker: Il progetto Freenet è abbastanza
giovane e non è seguito da moltissime persone, questo
prgetto può sembrare quasi un sistema di peer to peer.
Hacker: E’ un sistema che permette
tra due utenti di connettersi direttamente tramite server
che distribuiscono liste di utenti. Freenet può sembrare
una cosa simile, ma il suo obiettivo è ben diverso,
serve per prevenire le censure. Ha tutta una serie di misure
tecnologiche per impedire che chi immette dati sia riconosciuto,
non per sottrarsi alla legge, ma alle censure, e impedisce
che si possa tracciare chi vede le informazioni, per garantire
l’anonimato in rete.
Dott. Alfano : (Risponde): onestamente credo
che bisognerebbe verificare da dove si prendono questi file,
dove sta questo sito di MP3, se si accede su questo sito in
maniera abusiva si commette reato di cui all’art. 615
quater, cioè una diffusione abusiva di codici di accesso
a sistemi informatici. Questa norma è prevista per
chiunque, al fine di arrecare a sé o ad altri un profitto,
o di arrecare ad altri danno, abusivamente si procura e diffonde
i mezzi idonei all’accesso ad un sistema informatico.
E’ comunque configurato il 171 bis perché è
la norma che punisce chiunque abusivamente duplica, per trarne
profitto, programmi per elaboratori o altro. Se i dati sono
protetti si commettono entrambi i tipi di reato. C’è
anche in questo caso concreto, qui siamo anche a differnza
del 615 ter, cioè l’accesso abusivo ad un sistema
informatico che non prevede necessariamente il fine di lucro,
o di recare danno, ma semplicemente la tutela della riservatezza
dei dati. In questo caso abbiamo una violazione di un diritto
della sfera patrimoniale che è quella della casa discografica
che ha registrato quei brani musicali, dei quali abusivamente
ci si appropria e si diffondono. In questo caso sono configurabili
due ipotesi di reato che andrebbero in concorso fra di loro.
Conclusioni di Don Nello Senatore: Ci troviamo
in una galassia, dove diventa complicato muoversi. Il legislatore
ha consapevolezza di dover intervenire sempre di più,
perché c’è bisogno di una regolamentazione.
Questa consapevolezza il legislatore la ha, già è
molto sviluppata la normativa. Attendiamo che ci sia attenzione,
ogni tecnica è fatta dall’uomo, l’uomo
è protagonista, come sempre è un uomo precario
che ha bisogno di punti di riferimento e di coercizione.
|