Luci ed ombre nel mondo dell'informatica.

Transcript

1 Luci ed ombre nel mondo dell'informatica. Avv. Federico Picciché & Webmasters. 23 febbraio 2011.

2 Accesso abusivo ad un sistema informatico. Art. 615ter Codice Penale. Chiunque abusivamente si introduce in un sistema informatico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito... 2

3 Accesso abusivo ad un sistema informatico. Questa azione viene svolta da programmatori (cracker) che sfruttano le proprie capacità al fine di distruggere, ingannare e guadagnare (operazioni di spionaggio industriale o in frodi). Non occorre che essi abbiano l'accesso fisico alla macchina (PC, server) in cui vogliono introdursi, ma utilizzano programmi che tramite internet esplorano il PC da attaccare per conoscerne i sistemi installati (servizi internet) e sfruttarne le vulnerabilità. In tal modo riescono a prendere il controllo del PC ed installano programmi con cui raccogliere le informazioni (keylogger, sniffer). Per valutare l'entità del fenomeno, basti pensare all'intromissione e furto di documenti riservati e poi pubblicati da parte di Wikileaks. 3

4 Accesso abusivo ad un sistema informatico. Intrusioni sui nostri PC. Gli Hijackers (dirottatore) dirottano la connessione sostituendo la pagina predefinita del browser con un'altra che spesso contiene materiale illecito. Un dialer è un programma che crea una connessione ad Internet senza il nostro consenso, verso numeri ad elevata tariffazione (899, 144, 163,164, 166); ancora una minaccia per chi non possiede adsl. Le finestre pop-up non sono una minaccia ma un elemento di disturbo per la navigazione in internet; infatti sono le fastidiose finestre di pubblicità che si aprono a sorpresa durante la navigazione. Con il termine Spam si intende il fenomeno di invio non richiesto di contenenti materiale pubblicitario, il cui oggetto è illegale o tentativi di truffa. 4

5 Danneggiamento informatico. Art. 635bis Codice Penale Chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito... 5

6 Apparecchiature, dispositivi o programmi Art. 615quater Codice Penale Chiunque, al fine di procurare a sè o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico..., protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al suddetto scopo, è punito... 6

7 Apparecchiature, dispositivi o programmi Art. 615quinquies Codice Penale Chiunque, allo scopo di danneggiare illecitamente un sistema informatico..., le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito... 7

8 Danneggiamento informatico. Un sistema può essere attaccato anche da codice maligno: Virus: codice che si installa all'interno di un programma ospite (i classici file eseguibili); Macro virus: generalmente script (interpretati) incorporati all'interno di documenti; Cavallo di Troia: un programma apparentemente di utilità, ma che in realtà compie operazioni dannose. Worm: frammenti di codice autonomi ed indipendenti che esistono solo in memoria consumando le risorse del sistema ed autopropagandosi. 8

9 Danneggiamento informatico. Come proteggersi: usare un antivirus: qualunque computer connesso alla rete Internet deve esserne munito; usare un firewall: è un filtro che controlla tutto il traffico di rete che proviene dall'esterno permettendo solo quello autorizzato; non aprire allegati di posta elettronica: anche se provenienti da un indirizzo conosciuto (o che sembra tale) è sempre opportuno salvare l'allegato e sottoporlo ad una scansione virale prima di aprirlo; non eseguire programmi di cui non si è certi della genuinità; applicare sempre gli aggiornamenti (patch) del sistema operativo e del software applicativo; disabilitare Java, JavaScript ed ActiveX e le funzionalità di scripting nei client di posta elettronica (vulnerabilità da contenuti interattivi); fare un backup regolare di tutti i dati sensibili. 9

10 Danneggiamento informatico. Funzionalità di un antivirus. verifica della integrità del sistema durante la fase iniziale di avvio; scansione in tempo reale della memoria; scansione in tempo reale dei file; scansione degli allegati di posta elettronica; capacità di individuazione delle varie tipologie di codice nocivo; rilascio di frequenti aggiornamenti via Internet del file delle firme (l'impronta digitale identificativa di un virus.); capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere operazioni di pulizia. 10

11 Apparecchiature, dispositivi o programmi Oltre al software descritto nelle altre slide, come hardware citiamo lo skimmer, che è un dispositivo capace di leggere e memorizzare i dati dei badge e può essere usato in attività illecite: approfittando del pagamento a mezzo carta di credito, viene effettuata una copia dei dati contenuti nel badge a danno dell'ignaro titolare; la clonazione del badge avviene direttamente allo sportello Bancomat, mentre una micro-telecamera nascosta riprende il codice digitato dall'utente. Come proteggersi: verificare che negli sportelli Bancomat non ci siano dei dispositivi strani, occultare la digitazione dei codici, non lasciare in mano di camerieri o altri la propria Carta di Credito senza la vostra presenza. 11

12 Frode informatica. Art. 640Ter Codice Penale Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico... o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico... o ad esso pertinenti, procura a sè o ad altri un ingiusto profitto con altrui danno, è punito... 12

13 Frode con alterazione di programma: Frode informatica. sottrazione di fondi, attuata in una banca dove si movimentano migliaia di conti al giorno, agendo sugli arrotondamenti che quotidianamente vengono operati su ogni movimento di fondi. Frodi elettroniche nell e-commerce (in particolare nelle aste online, per es. ebay): richiesta di pagamento tramite metodo non nominativo; vendita di oggetti contraffatti/falsi; invito a concludere la transazione al di fuori di ebay; invito a comprare "oggetti simili" a prezzi più convenienti; falsa comunicazione di ebay o PayPal. Precauzioni possibili: utilizzare il sistema di feedback; effettuare transazioni con metodi di pagamento rintracciabili (ad es. PayPal); accertarsi delle modalità di sicurezza nelle transazioni (sistemi crittografici); accertarsi delle modalità di consegna e del diritto di recesso; non usare personale per trasmettere i dati della carta di credito; controllare la presenza di certificati che accertano il grado di sicurezza. 13

14 Ingegneria sociale: phishing. Questa frode, che ha lo scopo di rubare l'identità di un utente, viene attuata attraverso inviate con intestazioni che ricalcano quelle delle propria banca, del sito delle poste o comunque di servizi ritenuti "affidabili". L'utente è invitato a inviare come risposta i codici del conto, password e indicazioni personali; in alternativa l'utente è invitato a cliccare un link ad un falso sito che si occupa dell'acquisizione delle informazioni. Come evitare la frode: Frode informatica. Non fornite mai informazioni personali via posta elettronica; Domandatevi sempre perché dovrebbe avvenire una tale richiesta, che senso ha per la vostra banca chiedervi di confermare il codice della vostra carta di credito via mail o via internet? Visitate sempre i siti web digitando l'indirizzo nella barra degli indirizzi; Non aprite link dalle mail; In caso di richiesta di informazioni personali verificate che il sito abbia una crittografia; Denunciate alle autorità competenti ogni attività che possa risultarvi sospetta. 14

15 Fattore umano: processo di continua attenzione. Primavera del 2010: molti utenti ( ! in Italia) scaricano software gratuito e si trovano abbonati ad un sito per 96,00. l Antitrust a seguito delle segnalazioni di varie associazioni dei consumatori, indaga ed appura che: Frode informatica. Euro Content Ltd e' una societa' di diritto inglese operante in Germania, rivolta ad un pubblico italiano, con server in Olanda, sito registrato in Arizona e conto corrente in una banca slovacca. 3 Novembre 2010: L Autorità Garante della Concorrenza e del Mercato (Antitrust) condanna Eurocontent per pratica commerciale scorretta e impone una multa di gennaio 2011:Eurocontent Ltd. ha impugnato davanti al TAR Lazio il provvedimento dell'antitrust... Attenzione quando si clicca, non c'è Antivirus che ci protegga! 15

16 Falso informatico Art. 491bis Codice Penale Documenti informatici 16

17 Falso informatico Falsità su un documento informatico o collocazione abusiva di documenti informatici in un sistema informatico. Produrre falsi documenti, con strumenti grafici informatici: è alla portata di chiunque Il falsario di ieri necessitava di grandi macchinari, inchiostri, capacità manuale. Il falsario di oggi non necessita di nessuna struttura fissa, gli basta un computer e la trasmissione dati on line. i metodi di falsificazione sono migliorati Uso di programmi grafici (Coreldraw/Adobe Photoshop) Scanner e Stampa ad alta risoluzione i modi di falsificazione sono globali Alcuni siti offrono la possibilità di creare fotocopie di documenti d identità falsi che si possono poi allegare in . 17

18 Falso informatico Truffe. La più semplice delle falsificazioni consiste nell'utilizzare le generalità ed i documenti di un'altra persona, per accedere a servizi di telelavoro, online banking, casinò online, etc. Truffe classiche con nuovi strumenti. La truffa alla nigeriana: truffa globale, dal 1992 con lettera e dal 1994 via . Il mittente cerca un prestanome per sbloccare un conto di ingente valore; a chi accetta di partecipare all'affare, il truffatore invia alcuni documenti falsi che portano impressi timbri e sigilli ufficiali del governo, varie per informare il socio dei "progressi" e chiede versamenti per parcelle di notaio e avvocato. Le scadenze vengono via via prorogate e i costi aumentano, nella speranza vana dell'imminente trasferimento di denaro. Una variante della truffa: Un finto avvocato che rappresenta il patrimonio di parenti lontanissimi mai conosciuti e deceduti improvvisamente, ha solo bisogno che la vittima gli inoltri per le informazioni del suo conto corrente per potergli mandare l'eredità. 18

19 Falso informatico Protezione. Come proteggere i nostri documenti. Pubblicare solo documenti che possano essere protetti da password, tipo file in PDF. Utilizzare la crittografia cifrari che rendono incomprensibile un messaggio a tutti tranne al destinatario 19

20 Falso informatico Protezione. Cifratura a chiave simmetrica Benvenuti alla Università della Terza Età. Febbraio Mittente. Testo in chiaro. Algoritmo di cifratura Chiave segreta wertyuiopèùàòlkjhgfdsazx! $%tyunbvcx&/()=? ^.nçh okawtmfghfesxq Testo cifrato. Trasmissione non protetta. wertyuiopèùàòlkjhgfdsazx! $%tyunbvcx&/()=? ^.nçh okawtmfghfesxq Destinatario. Testo cifrato. Algoritmo di decifratura Chiave segreta Benvenuti alla Università della Terza Età. Febbraio Testo in chiaro. La comunicazione della chiave segreta tra mittente e destinatario è la debolezza del sistema. 20

21 Falso informatico Protezione. Cifratura a chiave asimmetrica Benvenuti alla Università della Terza Età. Febbraio Mittente. Testo in chiaro. Algoritmo di cifratura Chiave Pubblica Destinatario wertyuiopèùàòlkjhgfdsazx! $%tyunbvcx&/()=? ^.nçh okawtmfghfesxq Testo cifrato. Trasmissione non protetta. wertyuiopèùàòlkjhgfdsazx! $%tyunbvcx&/()=? ^.nçh okawtmfghfesxq Destinatario. Testo cifrato. Algoritmo di decifratura Chiave Privata Destinatario Benvenuti alla Università della Terza Età. Febbraio Testo in chiaro. Il messaggio viene cifrato dal mittente per mezzo della chiave pubblica del destinatario ed inviato al destinatario stesso, il quale è in grado di decifrarlo poiché è a conoscenza della propria chiave privata. 21

22 Falso informatico Protezione. La cifratura a chiave asimmetrica utilizza due chiavi diverse: è basata sull'uso di due chiavi generate in modo che sia impossibile ricavarne una dall'altra. Le due chiavi vengono chiamate pubblica e privata: la prima serve per cifrare e la seconda per decifrare. Il codice RSA si basa su un procedimento che utilizza i numeri primi e funzioni matematiche che è quasi impossibile invertire. Cifratura a sistemi misti. Poiché nella crittografia a doppia chiave le funzioni matematiche che generano il codice cifrato e quelle inverse per decifrarlo ne fanno uno dei più lenti in assoluto, i sistemi di crittografia misti combinano le due tecniche. In pratica si utilizza la chiave pubblica soltanto per comunicare la chiave segreta che poi verrà usata per una normale comunicazione basata su cifrati a chiave segreta. 22

23 Falso informatico Protezione. La firma digitale. Gli obiettivi della firma digitale sono l'autenticazione di un documento e la garanzia dell'integrità dei dati, cioè si permette: che il destinatario possa verificare l'identità del mittente; che il mittente non possa disconoscere un documento da lui firmato; che il destinatario non possa inventarsi o modificare un documento firmato da qualcun altro. Per firmare un documento si utilizza la crittografia a chiave pubblica, in modo inverso a quanto visto prima: Mario cifra un messaggio con la sua chiave privata e quel messaggio cifrato potrà essere letto da tutti coloro che possiedono la chiave pubblica di Mario; riuscendo a decifrare il messaggio, questi avranno la certezza che è stato inviato dal proprietario della chiave pubblica usata per la decifratura, cioè Mario. 23

24 Falso informatico Protezione. PRETTY GOOD PRIVACY (PGP) È un programma di crittografia che garantisce la segretezza della posta e l'autenticazione con firma digitale. Il software in questione utilizza un sistema di crittografia misto con tre algoritmi: il sistema a chiavi pubbliche RSA (cifratura a chiave asimmetrica), quello a chiavi private IDEA (cifratura a chiave simmetrica), l'algoritmo di hashing MD5 (sintesi del messaggio). Esempio del suo funzionamento: Mario vuole spedire a Luigi un messaggio. Mario utilizza PGP per cifrare il suo messaggio e la cifratura utilizza IDEA con una chiave (K) casuale; Mario invia a Luigi la chiave (K) cifrata con la chiave pubblica di Luigi (con l'algoritmo RSA), insieme al messaggio cifrato con IDEA; Luigi con la propria chiave Privata recupera la chiave (K) e la usa per decifrare il messaggio. 24

25 Attività investigativa. Brevi note 25

26 Sito della Polizia di Stato: Attività investigativa. Dove si possono trovare tutte le informazioni sulla sicurezza Telematica: Dove effettuare le denunce online: 26

27 Fonti di approfondimento. Corso: Informatica&Diritto: cosa è cambiato nella prassi e nel processo