Home page

www.gelpi.it

Clusit image

home

area tecnica

articoli

eventi


Sicurezza dei sistemi, cultura digitale e hacking

di Paola Cozzi

Il 24 ottobre a Teramo si è tenuto, presso la Sala Polifunzionale della Provincia, un convegno sui crimini informatici e la sicurezza dei sistemi, con una particolare attenzione alle culture digitali e all'hacking.
L'evento - organizzato dal Centro Studi Ateneo del Gruppo Maggioli Spa, dall'Ordine degli Avvocati di Teramo e dall'Unione Industriali di Teramo - ha visto alternarsi, al tavolo dei relatori, due giuristi e un ingegnere, con presentazioni multimediali particolarmente curate e interventi di taglio pratico, che hanno suscitato la curiosità del pubblico.
Gianluca Pomante, avvocato del Foro di Teramo, da tempo si occupa di crimini informatici e culture digitali. Esperto di sicurezza informatica, lato legale, si distingue, come voce fuori dal coro, per la strenua difesa degli hacker contro la diffusa convinzione per la quale vengono accomunati a quanti si macchiano di reati tecnologici.
Luca Giacopuzzi, avvocato del Foro di Verona, è invece un esperto di problematiche di natura civilista connesse alle nuove tecnologie, noto per l'impegno profuso nel settore dei domain-names.
Andrea Gelpi, ingegnere di Trento, si è occupato di programmazione in ambiente Digital (PDP/11 e VAX), per poi passare alla gestione sistemistica su varie piattaforme, dai mainframe IBM fino ai personal computer odierni.
Per undici anni ha operato come sistemista nel settore bancario, dove ha seguito con particolare attenzione le problematiche connesse alle prestazioni e alla sicurezza dei sistemi.

Abbiamo rivolto loro alcune domande per cercare di comprendere appieno gli argomenti trattati e trarne un sunto per la nostra rivista.
A loro la parola.

Avvocato Pomante, chi sono gli hacker e perché, a suo avviso, non sono qualificabili come criminali informatici?

Spesso siamo vittime di un eccesso di informazione, che genera confusione e convinzioni errate nella gente comune. A causa del riscontro positivo che i mass media avevano dalle statistiche di vendita e ascolto, negli anni '80, grazie all'utilizzo di termini come "computer crime" e "hacker", si è fatto un uso eccessivo e distorto di questi termini, al punto da confondere i soggetti che facevano parte di una cultura informatica che ha cinquant'anni di storia con l'attività di quanti, invece, utilizzavano le tecnologie per fini criminali. Oggi gli hacker, anziché essere visti come gli appassionati che hanno realizzato importanti conquiste in ambito tecnologico - vedi Steve Jobs e Steve Wozniak, i fondatori della Apple Computers e i realizzatori del primo PC della storia; John Draper, l'inventore delle Blue Box; Linus Torvalds, il papà di Linux - sono spesso considerati delinquenti privi di scrupoli che violano i sistemi informatici. In realtà, mentre l'hacker persegue la libera circolazione delle informazioni e l'utilizzo di tecnologie a fin di bene, i criminali informatici utilizzano le tecnologie per perpetrare reati. Il problema della disinformazione operata dai mass media riguarda non tanto gli hacker, quanto le aziende e le Istituzioni, nonché i cittadini comuni, che continuano a dare importanza a pericoli che non esistono. Le statistiche in materia di crimini informatici - oltre a dimostrare che il peggior nemico di qualunque azienda o istituzione è, ancora oggi, il dipendente infedele che fugge con la cassa o dopo aver arrecato danni all'azienda e non Internet o fantomatici attacchi dalle reti telematiche - evidenziano che le maggiori violazioni riguardano il diritto d'autore, lo sfruttamento dei brevetti, la concorrenza sleale e la sottrazione di informazioni riservate. Cambia solo lo strumento utilizzato, mentre permane l'intento fraudolento o la finalità comunque di natura economica. In sostanza, il computer e Internet hanno semplicemente fornito alla criminalità nuove forme di espressione, mentre gli hacker sono da sempre una risorsa per la collettività.

Che cosa consiglia, dunque, alle aziende?

Innanzitutto di occuparsi maggiormente della propria organizzazione interna e dei propri dipendenti, senza considerare le spese connesse alla sicurezza informatica solo dei fastidiosi costi di gestione. Qualsiasi sistema di sicurezza, non solo di natura informatica, serve a poco se a cercare di violarlo è un soggetto che si trova al suo interno. Storicamente, gli individui più pericolosi sono quelli che rivestono cariche importanti all'interno dell'azienda e che, in virtù della fiducia accordata dai titolari, hanno accesso alle informazioni più riservate e ai progetti più importanti. Anche la formazione è importante, dato che spesso i danni più rilevanti vengono causati o agevolati da dipendenti che utilizzano gli strumenti aziendali in modo scorretto o scellerato.

Avvocato Giacopuzzi, come valuta la responsabilità dei provider per l'attività svolta, alla luce delle recenti innovazioni apportate dal D.Lgs. 70/2003?

Il giudizio che posso dare nei confronti del recente D.Lgs. 70/03 è senza dubbio positivo. Un indubbio merito del testo di legge, ad esempio, è l'aver portato "certezza del diritto" in un settore, qual è quello della responsabilità dei provider, prima caratterizzato da preoccupanti oscillazioni da parte della giurisprudenza. Non posso fare a meno di ricordare, infatti, che prima dell'emanazione del D.Lgs. 70/03 il vuoto normativo esistente in materia permetteva risposte giurisprudenziali diverse - se non diametralmente opposte - per la stessa attività, solo perché essa era presa in esame da giudici diversi: l'uno più "rigoroso", l'altro più "illuminato". Il poter ora disporre di regole certe è quindi una vera conquista, a beneficio non tanto dei legali, quanto, soprattutto, degli stessi operatori del settore, che, finalmente, hanno regole di condotta alle quali potersi uniformare.

In particolare, quanti svolgono attività di mera locazione di spazio fisico ai propri clienti, come devono attivarsi per rimuovere o precludere alla navigazione le pagine che ritengono avere contenuto illecito?

In linea generale, va detto che una precisa norma di legge sancisce l'assenza di un obbligo generale di sorveglianza da parte dei provider rispetto ai contenuti immessi on line dai propri clienti. Il primo comma dell'art. 17, D.Lgs. 70/03, afferma, infatti, a chiare lettere che il prestatore di servizi non è assoggettato a un obbligo di ricercare attivamente circostanze che indichino il compimento di atti illeciti compiuti tramite informazioni che lo stesso memorizza. Ciò premesso, va tuttavia ricordato che, qualora il provider sia venuto a conoscenza (anche in modo del tutto casuale) di attività illecite riguardanti un proprio cliente, egli deve informare prontamente l'autorità giudiziaria o quella amministrativa. Su comunicazione delle autorità competenti, poi, dovrà agire immediatamente per rimuovere le informazioni illecite o per disabilitarne l'accesso agli utenti della rete.

Alla luce della sua esperienza in qualità di consulente, quali consigli darebbe ad un provider?

Il nuovo testo di legge pone regole precise, che disciplinano analiticamente l'attività del provider. Tutto è minuziosamente previsto: situazione concreta, comportamento da tenere, sanzione per la mancata osservanza del precetto. Il primo consiglio è, pertanto, quello di operare nel rispetto della legalità. Le norme oggi ci sono e non sussistono più alibi per non osservarle. Il nuovo D.Lgs. 70/2003 viene incontro alle esigenze dei provider, dato che tende a ridurre (se non ad eliminare in radice) la disparità di trattamento tra le diverse sedi giudiziarie. E di questo è opportuno rallegrarsi.

Ingegner Gelpi, considerata la sua esperienza nel campo della sicurezza informatica, come valuta la situazione italiana?

La sicurezza informatica è prima di tutto un problema di cultura, che in Italia stenta ancora a prendere piede. Ormai i computer stanno entrando un po' ovunque, ma non ci si rende conto che molti comportamenti sono a rischio. Cercando di fare un altro paragone è come se tutti ormai potessimo permetterci di comprare una macchina di Formula 1, ma pochi fossero realmente in grado di guidarla. Credo sia evidente la necessità di imparare a guidare una macchina del genere prima di entrare in pista, mentre non è altrettanto chiara la necessità di una cultura della sicurezza informatica. Abbiamo la mania di fare clic su qualsiasi cosa ci venga inviata e spesso lo si fa senza pensare, anche perché molti non si rendono conto della pericolosità di tale comportamento. Anche gli addetti ai lavori non mostrano ancora una sufficiente sensibilità al problema. Troppo spesso i sistemisti, cioè coloro che hanno il compito di far funzionare bene i sistemi, trascurano gli aggiornamenti degli stessi, anche a causa del grandissimo carico di lavoro a cui sono sottoposti. In troppe aziende, soprattutto quelle più piccole, i sistemi vengono comprati, installati e poi abbandonati a loro stessi. A mio avviso è quindi necessario investire prima di tutto in formazione. Quando gli utenti dei sistemi saranno consapevoli dei problemi che i loro comportamenti possono provocare, molti di questi problemi si limiteranno almeno in quantità. A nulla serve implementare un sistema molto sicuro di password, con tanto di politica di sostituzione della stessa ogni mese, se poi gli utenti le password le scrivono sui famosi foglietti gialli adesivi perché non riescono a tenerle a mente, e le lasciano sotto la tastiera, sul monitor o nel cassetto della scrivania...

Quali sono i comportamenti scorretti o comunque censurabili che ha avuto modo di rilevare nel corso della sua attività di consulenza alle imprese?

In molte aziende esistono regole sull'utilizzo del telefono, ma in pochissime aziende esistono regole sull'uso, ad esempio, di Internet e della posta elettronica. I produttori di programmi che filtrano i siti visitabili dai dipendenti di un'azienda, ad esempio, citano una statistica da cui emergerebbe che la maggioranza degli accessi a siti porno avviene nei giorni lavorativi fra le ore 9 e le 17. In un esperimento fatto in un'azienda un paio di anni fa a cui ho assistito, è risultato che la banda consumata per uscire su Internet scendeva a meno della metà del solito se si impediva ai dipendenti di navigare su siti porno e sui giornali sportivi. Un altro punto su cui c'è ancora poca sensibilità è l'importanza di assegnare a ciascuno un codice identificativo per accedere ai sistemi e far in modo che questo codice resti personale, cioè riservato, in modo da poter stabilire in qualsiasi momento "chi" ha fatto "cosa" e "quando". Soprattutto nelle piccole aziende e negli studi professionali non si considera con il giusto peso il problema dei back-up, cioè del salvataggio dei dati. A volte non ci si rende conto che i sistemi informatici sono delicati e che un guasto può far perdere del lavoro, a volte anche di molti anni. Fare il back-up, tuttavia, non significa solo comprare un'unità di salvataggio e un programma di gestione. è necessario verificare che il tutto funzioni veramente, per essere certi di poter avere a disposizione i dati quando saranno necessari.

Quali consigli darebbe a un imprenditore che deve rendere sicuri i propri sistemi informatici?

Il nemico più insidioso è la convinzione di essere sicuri, di essere a posto perché si ha un determinato prodotto. Un esempio per tutti: l'antivirus. Una volta installato, molti se ne dimenticano e sono convinti di essere protetti. Tuttavia, se l'antivirus non viene controllato periodicamente, c'è il rischio che, per qualche motivo, non si aggiorni e che quindi, di fatto, lasci senza protezione il sistema. Quando ci si accorgerà che le cose non funzionano sarà ormai troppo tardi. La sicurezza non è un prodotto, ma uno status culturale e tecnico in continua evoluzione. Ogni giorno vengono scoperti nuovi problemi ed è necessario fare verifiche, prove e modifiche ai propri sistemi per tenerli aggiornati. Un sistema ottimamente configurato resta tale solo per un certo tempo, passato il quale è necessario rimetterci le mani per sistemare le cose, per tappare i buchi di sicurezza che nel frattempo sono stati scoperti.

Pubblicato sulla rivista Sicurezza numero 10/2003 pag.10

Copyright rivista Sicurezza Gruppo Editoriale JCE



copyfree/privacy

contatto

curriculum


Ultimo aggiornamento il 14 August 2018 20:18:31.