Introduzione alla Sicurezza Informatica

Transcript

1 Introduzione alla Sicurezza Informatica Prof. Francesco Buccafurri Università Mediterranea di Reggio Calabria

2 Crescita di Internet

3 Problemi 2 Internet consente alle aziende di Effettuare commercio elettronico Fornire un migliore servizio ai clienti Ridurre i costi di comunicazione Accedere facilmente alle informazioni tuttavia espone i computer all azione di attacchi da parte di malintenzionati Il numero di incidenti aumenta di anno in anno Le perdite finanziarie hanno raggiunto livelli misurabili in miliardi di dollari

4 Il worm di Morris Il 2 Novembre 1988 Internet fu colpita dal Worm di Morris Il virus sfruttava bug del sistema operativo Unix per penetrare negli host attraverso la rete In una sola ora i computer di molti centri di ricerca furono inutilizzabili, perché sovraccaricati da molteplici copie del worm Per bloccare il virus fu formato un team di esperti Furono sviluppate e divulgate le procedure per lo "sradicamento" del worm In una settimana tutto tornò alla normalità Data la potenzialità del virus, i danni furono minimi, 3

5 4 CERT Computer Emergency Response Team Team di esperti nell ambito della sicurezza Creato dal DARPA (Defense( Advanced Research Projects Agency) in seguito all attacco attacco del worm Si occupa di Identificare il tipo di incidenti Quantificare le perdite economiche Analizzare le vulnerabilità dei prodotti

6 Incidenti riportati al CERT

7 Indagine CSI/FBI Nel 2004, su 494 intervistati (aziende, agenzie governative, università, ospedali, etc ) Il 90% ha riportato incidenti legati alla sicurezza I danni più seri riguardano il furto di informazioni delicate e le frodi finanziarie Il 75% ha subito danni economici Solo il 47% è stato in grado di quantificare i danni Il 74% ritiene che la connessione ad Internet costituisca il maggior punto di attacco Solo il 34% ha denunciato gli incidenti subiti Tutti gli altri non lo hanno fatto per evitare pubblicità negativa 6

8 Hacker Steven Levy, Hackers: Heroes of the Computer Revolution tipo positivo, studente di MIT o Stanford ideale: rendere la tecnologia accessibile a tutti risolvere i problemi e creare soluzioni Più recentemente, nei media: tipo negativo sfrutta buchi di sicurezza 7

9 Hacker (tipo positivo) 8 Una persona che ama esplorare i dettagli dei sistemi informatici e i modi con cui estenderne le capacità, contrariamente alla maggiora degli utenti, che impara solo lo stretto necessario. Chi programma con entusiasmo o che preferisce programmare piuttosto che disquisire sulla programmazione. Guy L. Steele, et al., The Hacker's Dictionary

10 Hacker classificazione Cracker: programmatori specializzati nell infrangere sistemi di sicurezza per sottrarre o distruggere dati Script Kiddie: cracker che adoperano script scritti da altri, non essendo in grado di produrli da sè Phracher: rubano programmi che offrono servizi telefonici gratuiti o penetrano computer e database di società telefoniche Phreaker: utilizzano informazioni telefoniche (numeri telefoni, carte telefoniche, ) per accedere ad altri computer 9

11 Hacker classificazione 10 Black hat: hacker cattivo, che sfrutta la propria abilità per delinquere White hat: hacker che si ritiene moralmente e legalmente integerrimo Grey hat: una via di mezzo tra white e black hat Termini coniati nel 1996, in occasione della prima conferenza Black Hat Briefings, a Las Vegas

12 Il Reato Informatico 11 ogni condotta antigiuridica disonesta o non autorizzata concernente l elaborazione automatica e/o la trasmissione dei dati (Commissione Esperti dell OECD - Organisation for Economic Co-operation and Development, 1983) qualsiasi atto o fatto contrario alle norme penali nel quale il computer viene coinvolto come oggetto del fatto, come strumento o come simbolo (Faggioli, 2002)

13 Il Reato Informatico (2) 12 Una categoria di difficile definizione Vi possono essere condotte che coinvolgono il computer che non sono reati informatici L approccio deve essere di tipo casistico, piuttosto che sistematico Il computer può essere sia strumento sia oggetto La difficoltà deriva anche dalla rapida evoluzione tecnologica

14 Il Reato Informatico (3) 13 Nuovi beni giuridici da tutelare (il bene dell informazione) Nuovi strumenti e forme di aggressione ai beni giuridici già tutelati (es. frode informatica) Non è possibile quindi definire la categoria astratta del reato informatico sulla base di un bene giuridico tutelato comune

15 Gli Elementi dell Illecito 14 Soggetto attivo (autore) Generico autore Operatore di sistema Amministratore di sistema (circostanza aggravante) Soggetto passivo (titolare del bene) Generica vittima Soggetti pubblici o privati titolari di impianti di pubblica utililtà (aggravante tutela rafforzata) Condotta illecita Condotta caratterizzata da elevata competenza tecnica Oggetto su cui ricade (o strumento) Sistemi Informatici e Telematici, Programmi e dati in esso contenuti

16 Panorama Normativo 15 Legge del 23 Dicembre 1993, n. 547 (integra e modifica il Cp e il Cpp) Decreto Legislativo N. 196 del 2003 (tutela dei dati personali) Decreto Legislativo N. 518 del 29 Dicembre 1992 e Decreto Legislativo N. 205 del 15 Marzo 1996 (tutela dei diritti sul software) Decreto Legislativo N. 169 del 6 Maggio 1999 (tutela del costitutore di database)

17 Legge 547/93 Frode Informatica (1) Art. 640 c.p. (prima della modifica) Comportamento dell agente (raggiro) danno di natura patrimoniale derivato dall inganno, che causa profitto all agente soggetto passivo dell errore deve essere una persona determinata anche diversa da quella che subisce il danno Art. 640 ter c.p. (547/93) Il delitto di frode informatica è commesso da chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51,64 euro a 1.032,91 euro. 16

18 Legge 547/93 Frode Informatica (2) 17 Non poteva essere inquadrato nella generica fattispecie di truffa, mancando il soggetto passivo dell inganno (in quanto persona) L oggetto dell azione tesa a modificare il comportamento ai fini della truffa è un sistema informatico, non una persona La giurisprudenza, invece, ha affrontato tale nodo allargando il proprio campo visivo ed arrivando ad affermare che l induzione in errore, nel caso di frode informatica, attenesse non al computer sic et simpliciter bensì ai soggetti preposti al controllo del sistema informatico o telematico il cui comportamento era stato alterato

19 Legge 547/93 Frode Informatica Condotte fraudolente 18 alterazione del funzionamento del sistema informatico o telematico l intervento, senza diritto, con qualsiasi modalità, su dati, informazioni o programmi contenuti nel sistema senza diritto a cui fa menzione il legislatore nel primo comma dell art. 640 ter cp si verifica quando l agente non è autorizzato né da una legge né dal titolare ad eseguire quella attività sul sistema informatico (non va inteso in senso tecnico-informatico, altrimenti l operatore )

20 Legge 547/93 Frode Informatica Aggravanti 19 Dolo generico, cioè la coscienza e la volontà di realizzare il fatto tipico Il reato è di danno (reato contro il patrimonio) Vi sono aggravanti (reato perseguibile d ufficio - della reclusione da uno a cinque anni e della multa da 309 euro a 1549 euro se il fatto è commesso a danno dello Stato o di un altro ente pubblico Se il fatto è commesso col pretesto di fare esonerare taluno dal servizio militare se è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l erroneo convincimento di dovere eseguire un ordine dell autorità se la truffa è commessa per il conseguimento di erogazioni pubbliche (contributi, finanziamenti, mutui agevolati ovvero altre erogazioni dello stesso tipo, concesse o erogate da parte dello Stato, di altri enti pubblici o delle Comunità Europee). abuso della qualità di operatore di sistema Il luogo in cui l agente consegue la disponibilità del bene nel momento consumativo del reato.

21 Frode Informatica Esempi Phishing, basato utilizzo di tecniche di Social Engineering per carpire informazioni sulla vittima. (?), Pharming Dialer (computer, cellulari) Skimmer frode elettronica nelle aste on-line richiesta di pagamento tramite metodo non nominativo vendita di oggetti contraffatti/falsi. invito a concludere la transazione al di fuori dell asta invito a comprare "oggetti simili" a prezzi più convenienti 20

22 Il Phishing è frode informatica? 21 Non può ravvisarsi un intervento senza diritto sui dati nel caso di semplice uso non autorizzato dei dati integranti il codice personale di identificazione altrui. L uso indebito del codice di identificazione altrui, d altra parte, consente soltanto l accesso al sistema informatico e non anche, in modo diretto, il conseguimento di un ingiusto profitto; quest ultimo può eventualmente derivare dal successivo compimento di uno spostamento patrimoniale ingiustificato, attraverso un vero e proprio intervento senza diritto sui dati (vero momento del consumarsi della frode).