IL CASO.it

FOGLIO DI GIURISPRUDENZA MANTOVANA

www.ilcaso.it

 

 

GRUPPO INIZIATIVA FORENSE

Privacy  e studi legali

Misure di sicurezza, Consenso ed Informativa, Il Documento Programmatico
 

“Internet, posta elettronica e privacy:
 esigenze di sicurezza e comportamenti a rischio”

 

(estratto dell’intervento di Gerardo Costabile – Iacis member - durante la conferenza a Verona del 27 febbraio 2004 – “Privacy e studi legali[1]”)

 

Paradossalmente, lo scopo principale della mia presenza qui, non è quello di fornire risposte adeguate, ma far nascere dei dubbi, accrescere la consapevolezza che è necessaria una nuova mentalità per incrementare la sicurezza. Non c’è insicurezza maggiore che un presuntuoso senso di inviolabilità, oppure la sottovalutazione dei rischi, pensando di non essere un target appetibile o di non detenere dati particolarmente riservati.

Di contro, invece, la sicurezza è assimilabile ad un processo, non ad un prodotto. La forza della lunga chain of security sarà strettamente legata alla forza dell’anello più debole, che è quasi sempre l’uomo.

La nostra sicurezza e riservatezza sono strettamente ed indissolubilmente legate a quelle degli altri nostri interlocutori. Non è necessario un vero e proprio attacco informatico, ma sarebbe sufficiente un banalissimo virus informatico per compromettere la riservatezza di una confessione di un nostro amico ricevuta via posta elettronica. Peggio ancora se il computer fosse usato per attività professionali, dove il nostro Hard disk è di sovente lo scrigno di molti dati particolarmente riservati, stante anche il legame fiduciario del professionista con il proprio cliente.

 Molte sono le sottovalutazioni, spesso giustificate da una scarsa informazione e da un basso livello di conoscenza dello strumento informatico e delle relative applicazioni. Anche un semplicissimo file di Office contiene molti dati, in funzione di quelli forniti durante l’installazione. Basta poco, anche un semplice salvataggio in altri formati, o l’utilizzo di apposite utility, per evitare ciò.

Un particolare riferimento, poi, ai programmi di sharing (tipo Kazaa, Winmx, Emule, etc.), dove in nome di una condivisione di gusti (spesso musicali) ci si ritrova a condividere –più o meno coscientemente- anche altre risorse, talvolta di natura professionale se il personal computer è utilizzato in maniera promiscua.

 Il punto debole, quindi, con l’accrescere prepotente della tecnologia e della sicurezza dei sistemi, appare sempre di più quel “piccolo” uomo, schiacciato da sé stesso e dai suoi errori.

La tecnica utilizzata, perciò, per ingannare ed aggirare con la psicologia i processi di sicurezza, prende il nome di “social engineering”.  L’ingegnere sociale è colui il quale, con particolare astuzia, riesce ad arrivare dove è difficilmente possibile con i normali strumenti di intrusione informatica, spingendo la vittima o un suo collaboratore, tramite espedienti principalmente psicologici, a rivelare informazioni apparentemente irrilevanti, ma che consentiranno un accesso abusivo, una frode o altre premeditate attività illecite (ad esempio inducendo l’utente ad autoinfettarsi con un trojan).

Le “tendenze base” della natura umana che vengono coinvolte in un tentativo di social engineering sono  molteplici. Le più importanti, principalmente per le attività di diffusione dei virus, sono due: l’autorevolezza e l’ignoranza.

Per quanto concerne il primo aspetto sono numerosi i casi registrati in cui un semplicissimo messaggio di posta elettronica, ad esempio a nome di una software house oppure di un più “istituzionale” ufficio dell’FBI, abbia indotto l’utente ordinario, in particolare soggezione psicologica, ad installare un allegato infetto, ad esempio indicato come un nuovo aggiornamento del programma. In questi casi è palese la tecnica di falsificazione del mittente del messaggio di posta elettronica sfruttando, comunque, anche la seconda “debolezza”: l’ignoranza. Infatti l’impossibilità di conoscere ogni recondita tecnica informatica ed ogni angolo della rete Internet,  consente all'aggressore di confezionare con una certa facilità un messaggio apparentemente serio e affidabile, particolarmente tecnico nel lessico e quindi spesso incomprensibile, nonché efficace.

 Il rischio più elevato per la riservatezza e per l’integrità dei nostri dati è proprio la subdola “infezione virale”: l’attacco dei “Malware”. La parola “Malware” deriva dalla fusione di “Malicious” e “Software”. Questa macrocategoria racchiude le famiglie di Virus veri e propri, Worm e Trojan.

Le “antologie informatiche” forniscono numerose definizioni, più o meno appropriate, del fenomeno e delle terminologie utilizzate. La definizione che desidero invece utilizzare è quella del Codice Penale, perché poi è in tale ambito che ci si dovrà confrontare nel caso di abusi. Il malware è “un programma informatico… omissis…, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento”.

Il canale di infezione più utilizzato e quindi più “remunerativo” è la posta elettronica, che registra anche un forte incremento nell’ultimo anno 2003.

Tra i programmi della stessa macroarea si segnala anche il “Trojan Horse” (ovvero il c.d. “Cavallo di Troia”) il quale, nascosto in un apparente innocuo programma o una fotografia, consente all’untore di controllare o registrare informazioni della vittima operando direttamente sull’hard disk di quest’ultimo a distanza. I Trojan vengono generalmente riconosciuti sia dagli antivirus che dai firewall[2], anche se vengono utilizzate speciali utility ad esempio per inglobare il virus in coda al
programma originale oppure nascondendo le estensioni dei file. In pratica il file “caio.jpg.exe” (in realtà un eseguibile), verrà visualizzato come un più innocuo “caio.jpg” (un formato per le fotografie digitali), ma con un’icona tipica dei programmi eseguibili.

Lo scopo è molteplice: potrebbero interessare file dati (comuni, personali, sensibili, giudiziari),  fotografie, numeri di carte di credito, password d’accesso, documenti personali. Un altro motivo spesso riscontrato è quello di creare una macchina “zombie”, pronta ad obbedire ai comandi dell’attaccante e quindi sferrare ulteriori attività delittuose ai danni di terzi, che “leggeranno” l’azione come proveniente dalla vittima del Trojan e non dal reale attaccante.

E’ palese che, anche se l’attività fosse frutto di un gioco, come spesso accade, il sistema risulterebbe evidentemente vulnerabile ad eventuali successivi attacchi di reali malintenzionati.

Nelle aziende e negli studi professionali l’approccio al problema della proporzionalità tra uso della posta elettronica ed esigenze di sicurezza informatica è fortemente dibattuto.

Certamente l’importante è una buona policy, da rispettare a partire dalle funzioni apicali della struttura interna, dove siano definite regole e responsabilità. Sarà necessario proteggere il sistema informatico interno da virus che possano compromettere l’intera rete dello studio, guardando oltre i 6 mesi (quasi ridicoli) dell’imposizione ex lege. Dovranno essere protetti i dati e informazioni confidenziali, più che i singoli personal computer: evoluzione, peraltro, che la stessa legge ha fatto dal ’96 ad oggi. Il costo che si può pagare è molto alto, non solo per le sanzioni, ma per i danni economici, le responsabilità ex art. 2050 cc, le conseguenti perdite di immagine e reputazione.

A questo punto vi lascio con una provocazione: ma è davvero indispensabile il “Documento programmatico della sicurezza”? E’ davvero necessaria una imposizione ex lege, che peraltro non è nuova ma risale al 1999?

 

 

Vademecum per la sicurezza dei personal computer

a cura di  Gerardo Costabile - gerardo@costabile.net

 

 

  1. La sicurezza totale non esiste: informatevi, tenetevi aggiornati, prevenite.

 

  1. Attivate la password di BIOS[3] e la password dello screen saver, al fine di evitare che altre persone possano accedere al computer e carpirne i dati durante la vostra assenza.

 

  1. Modificate periodicamente le password ed evitate di affidare a Windows la memorizzazione automatica delle stesse (posta elettronica, accesso remoto, etc.). Tutte le password gestite direttamente dal sistema operativo Windows sono altamente insicure. E' consigliabile digitare la password ogni volta che questi servizi vengono utilizzati

 

  1. Considerate il PC come un oggetto personale sia in azienda che in casa, alla stregua di carte di credito, carta d'identità, ecc. Non consentitene l'utilizzo a chiunque e, nel caso di problemi hardware o software che comportino la necessità di interventi, preferite sempre l'assistenza qualificata.

 

  1. Attuate sempre una valida protezione hardware di base, ponendo una o più etichette adesive autografate sulle viti posteriori del cabinet (la stessa tecnica attuata da molte case produttrici per controllare l'invalidazione delle garanzie).

 

  1. Evitate di usare la connessione internet con un PC contenente dati riservati e/o personali. Se è inevitabile la connessione, durante le navigazioni attivate sempre un firewall[4] (locale o di rete) e mantenete attivo in background un antivirus costantemente aggiornato. Impostate i livelli di sensibilità e di protezione al massimo.

 

  1. Eseguite la criptazione di tutti i files riservati o particolarmente delicati utilizzando chiavi non banali di lunghezza min. 8 caratteri alfanumerici e, normalmente, non presenti nei vocabolari in nessuna lingua (es. "32y47f_lvj"). Evitare assolutamente chiavi "brevi" e/o riferite a parole presenti nei vocabolari, come ad esempio "sole" o "computer", nomi propri, date di nascita, ecc. Eventualmente dotatevi di un programma di crittografia (es. PGP). Molti sono freeware, liberamente scaricabili da internet, e, spesso, si trovano anche nei CD delle riviste specializzate del settore. La maggior parte di essi permette anche funzioni di cifratura della posta elettronica e di firma digitale.

 

  1. Evitate assolutamente comportamenti a rischio durante la navigazione in Internet; Internet è probabilmente la più potente risorsa multimediale a disposizione dell'umanità, ma l'approccio ad esso deve essere governato da conoscenza, moderazione e prudenza di fondo.        

 

 

 

 

Sono comportamenti a rischio:                                                                      

 

-         la navigazione su siti di Hacking, cracking, ecc, senza apposite protezioni;

-         scaricare software da siti poco attendibili o non ufficiali;

-         aprire messaggi di posta elettronica e eseguire files allegati ai messaggi senza preventiva scansione antivirus (anzi, prima si dovrebbe effettuare l’aggiornamento e poi si dovrebbe aprire il programma di posta elettronica);

-         installare programmi scaricati da siti non ufficiali o comunque di natura incerta;

-         dar credito a un messaggio pubblicitario dalle caratteristiche sospette (spesso di natura erotica o che promette facili guadagni) che reindirizza ad un sito internet "per saperne di più";

-         tenete sempre attivata l'opzione del browser “richiedi conferma” per l'installazione e il download di oggetti sulla vostra macchina. Disattivate sul browser l'esecuzione automatica degli script Java e ActiveX;

-         mentre navigate prima di selezionare un link, posizionateci sopra il cursore del mouse e osservatene il percorso sulla apposita barra del browser: se è un file eseguibile probabilmente è un trucco per scaricarvi un dialer o peggio;

-         evitare di inviare posta elettronica in formato “html” che, seppure consente una forma più elegante e/o simpatica, è uno dei metodi più subdoli per veicolare contenuti virus, worm e frodi (senza necessità di allegati).

 

    

  1. Eseguite periodicamente la pulizia del disco da cookies, file temporanei, etc. e, successivamente, cancellate gli stessi definitivamente con programmi specifici.

 

  1. Ricorrete possibilmente alle versioni più recenti del sistema operativo e dei programmi maggiormente utilizzati, con particolare riferimento agli applicativi che consentono l’accesso ad internet.

 

  1. Testate periodicamente il vostro PC per verificarne il livello di sicurezza, mediante importanti siti internet specializzati.

 

  1. Non rispondete ai messaggi di posta “non sollecitati”, chiedendo di essere cancellati da quella lista di invio: in tal modo rischiate di fare il gioco di chi li ha spediti, facendogli capire che la vostra casella di posta è attiva.

 

  1. Non comunicate la vostra mail a siti ai quali non siete veramente interessati e/o sui quali avete anche il minimo dubbio.

 

  1. Evitate i falsi allarmi e le catene di S. Antonio, controllando preventivamente la bontà delle informazioni prima di girarle (ad esempio grazie a siti specializzati come http://www.attivissimo.info/antibufala/elenco.htm).

 

[1] Durante la relazione sono stati effettuati due test “live”: uno di fake mail con falso virus allegato (che ha dimostrato la facilità di invio di una mail a nome di un altro) e uno di recupero di un file riservato da un floppy ceduto ad un terzo, seppure formattato (per segnalare l’attenzione al punto 22 dell’allegato B del TU Privacy).

[2] Firewall: "muro di fuoco". Meccanismo HW e/o SW che permette di impostare restrizioni all'accesso ad uno o più computer collegati in rete. In genere rappresenta l'insieme delle misure di sicurezza a protezione dei dati fra la Rete (aziendale o esterna) e un calcolatore.

 

[3] Il BIOS (o SETUP) è un insieme di istruzioni con cui il computer ha la possibilità di riconoscere l'hardware installato nella macchina; esso è fisicamente residente all'interno di un chip della scheda madre detto Flash rom del Bios.

[4] Letteralmente significa "muro di fuoco" ed effettivamente è un sistema progettato per arginare l'accesso ai dati, impedendo, ad esempio, agli utenti provenienti da Internet, l'accesso non autorizzato ad una Intranet, cioè una rete privata. Può essere realizzato sia via software sia hardware ed è composto da un router che analizza i dati entranti e uscenti dalla rete privata.