L’Indagine Informatica di Polizia Giudiziaria: trasmissione dati su rete, perquisizioni ed ispezioni informatiche

di Gianfranco Todesco
Sezione P.G. Reati Informatici Procura Circondariale Torino

(Relazione presentata al Convegno Nazionale su ‘Informatica e riservatezza’ del CNUCE – Pisa 26/27 settembre 1998)

Premessa

  • Rilevanza e diffusione del cd “Hacking”
  • Nell’odierna società, l’informatizzazione e la telematica, assumono via via sempre maggiore importanza e diffusione. Inoltre Internet si sta imponendo come strumento di comunicazione sia per soggetti pubblici che privati, in virtù dei costi ridotti, della diffusione mondiale e dell’utilizzo di tecnologie facilmente accessibili.

    Di qui, stante l’intrinseca insicurezza dei sistemi sempre più interconnessi tra loro (non esistono sistemi inattaccabili) e la sempre più difilisa informatizzazione ed utilizzazione di Internet, è cresciuta nella società l’esigenza di tutelare la riservatezza dei dati, delle comunicazioni e più in generale la sicurezza del proprio “domicilio” informatico.

    In pratica, ognuno di noi, non tollera l’ingresso abusivo e non autorizzato di estranei nella propria abitazione anche se questi “intrusi” non manifestano intenzioni aggressive nei nostri confronti ma il solo fatto che si siano intromessi nella nostra casa violando cosi la nostra privacy ci infastidisce e rende tale fatto intollerabile perché ci rende insicuri ed alla mercé di persone sconosciute. Allo stesso modo un ingresso non autorizzato nel nostro sistema informatico o più semplicemente nel nostro PC genera insicurezza, genera costi legati alla necessità di verificare tutti i dati al fine di accertare eventuali illecite modificazioni e può creare danni incalcolabili di immagine e danni effettivi legati alla cancellazione dei dati e/o all’uso improprio di tali dati.

    Le intrusioni telematiche quindi, sono potenzialmente molto afflittive per chi le subisce, e non riguardano più – come avveniva in passato – solamente grandi sistemi informatici legati ad Enti governativi. Si riportano a mero titolo esemplificativo alcune notizie apparse su Internet relative ad attività di Hacking:

    Nei giorni scorsi ripetuti attacchi di pirati informatici hanno rimosso pagine del nostro giornale. L’ultima intrusione è avvenuta mercoledì 20 maggio alle ore 10.30. Fino ad ora non avevamo creduto necessario proteggere le pagine di un piccolo giornale di provincia, ma ora abbiamo dovuto mettere in azione un sistema di sicurezza.

    Non ci lasciamo certo scoraggiare da vani tentativi di boicottaggio. Amiamo la libertà più di ogni altra cosa, ed essa è il frutto della verità. Tutto possiamo fare fuorché tacere.

    La connessione di un sistema a una rete aumenta drasticamente i rischi legati alla sicurezza. Il meccanismo di base che garantisce il rispetto della maggior parte dei criteri di sicurezza è la crittografia. Ma la sfida non si limita alla capacità di trovare un algoritmo crittografico in grado di far fronte agli attacchi resi possibili da una grande potenza di elaborazione. Sono necessari nuovi strumenti sia per proteggere la privacy e la sicurezza in un mondo online, sia per limitare le possibilità d’accesso a informazioni riservate. Un’altra area di interesse è quella del commercio elettronico e del pagamento digitale: acquistare e vendere, in modo elettronico, beni, servizi e informazioni richiede l’autenticazione durante la transazione stessa (“payment validation”). La sfida principale consiste comunque nel realizzare una struttura aperta e diffusa che supporti i meccanismi di sicurezza e il diritto alla privacy, senza consentire l’accesso a utenti malintenzionati (ad esempio i terroristi).

    Il 18 luglio, molti organi di stampa nazionali hanno riportato dichiarazioni del Ministro della Difesa italiano circa la sicurezza informatica e telematica delle strutture militari del Paese. Le notizie, nell’evidenziare le debolezze delle protezioni dei sistemi e la possibilità che gli hacker possano penetrare nei sistemi informativi attraverso le reti telematiche, hanno anche richiamato l’attenzione su di un recente esperimento condotto negli Stati Uniti, nel quale i sistemi di controllo dell’energia del Paese insieme ai sistemi di controllo della sicurezza nel Pacifico sono stati violati da gruppi di hacker, invitati a testarne le protezioni.

    Inoltre, nei mesi scorsi la stampa aveva riportato la storia di un hacker israeliano che, con lo pseudonimo di ANALYZER, avrebbe aiutato due studenti americani ad entrare in un grande numero di computer del Pentagono.

    Il Ministero della Difesa americano aveva reso noto lo scorso 25 febbraio che erano in corso numerosi attacchi ai computer portati con tecniche non particolarmente sofisticate.

    A seguito delle indagini dell’FBI vennero individuati e incriminati due studenti residenti a Cloverdale, (una cittadina 100 miglia a nord di S. Francisco) che, con gli pseudonimi di Makiavelli e TooShort, si divertivano ad entrare nei sistemi militari.

    Durante un interrogatorio i due avrebbero confessato di essere stati aiutati da un esperto conosciuto tramite Internet.

    Ulteriori indagini hanno portato a scoprire che si trattava di un diciottenne israeliano che operava con lo pseudonimo di ANALYZER noto nella rete per le sue abilità.

    Le dichiarazioni e gli episodi consentono di avviare interessanti riflessioni in materia di sicurezza. In particolare sulla modesta importanza che spesso viene riservata alle protezioni dagli attacchi esterni. E’ utile, forse necessario, prendere atto che tramite Internet, un gran numero di persone in contatto tra loro o che consultano determinati siti o rubriche possano conoscere in breve tempo le debolezze dei vari sistemi operativi e quindi tentare attacchi spontanei o coordinati.

    Il Messagero “Quei cyberpirati erano una “Falange” di Mario Coffaro su Il Messaggero 4 Gennaio 1996
    È allarme rosso contro i pirati telematici nel 1996. [..] Dopo la clamorosa operazione “ice trap” del 13 dicembre scorso con la quale i poliziotti del nucleo crimini economici ed informatici guidati da Alessandro Pansa hanno arrestato il pirata che aveva colpito perfino i computer della Banca d’Italia lasciando scritte inneggianti alla Falange armata, la Criminalpol ha potenziato i suoi già sofisticati strumenti di intercettazione.

    L’atto di pirateria informatica, come altri precedenti, contiene nel suo schema d’azione gran parte degli elementi che caratterizzano la debolezza dei sistemi informatici e telematici sui quali hanno successo gli attacchi. Per questi motivi, ancora una volta, ci sentiamo in dovere di richiamare l’attenzione delle strutture interne sulle norme di prevenzione.

    La Polizia di Stato ha denunciato nei giorni scorsi un pirata informatico che aveva attaccato il sistema del Dipartimento di Scienze dell’informazione dell’Università “La Sapienza” di Roma. La serie di attacchi era stata denunciata dai responsabili del Dipartimento che, a partire dai primi giorni di giugno, avevano trovato tracce di una attività illecita realizzata anche attraverso l’uso di una password di uno dei professori della stessa università.

    I computer erano stati ripetutamente attaccati e il pirata informatico, attraverso prove ed ingressi successivi, aveva guadagnato una serie di “privilegi” tecnici che gli avevano consentito l’accesso a tutta la rete informatica utilizzata dal Dipartimento di Scienze dell’Informazione, utilizzata dai docenti anche per conservare i testi delle prove d’esame da sottoporre agli studenti.

    L’autore delle intrusioni, che aveva utilizzato la rete INTERNET per sferrare gli attacchi, aveva cancellato quasi tutte le tracce delle numerose “visite” al sistema, per evitare che si potesse risalire alla sua identità e al computer utilizzato.

    La Polizia di Stato, attraverso l’ufficio specializzato nella lotta alla criminalità informatica – il Nucleo Operativo di Polizia delle Telecomunicazioni – ha avviato l’attività investigativa studiando la dinamica degli attacchi che l’Università continuava a subire.

    Gli investigatori hanno “tracciato” il pirata ripercorrendo a ritroso tutti i suoi passi all’interno del primo computer attaccato, ricostruendo la dinamica dei fatti. Il lavoro è risultato subito complesso perché le tracce conducevano ad un abbonamento, utilizzato per realizzare l’attività criminosa, immediatamente risultato “anonimo”. Difatti, dalla documentazione fornita dall’internet provider di una località in provincia di Roma, presso cui era stato stipulato il contratto, è risultato che le generalità fornite dall’ignoto utente erano false. Con questi dati a disposizione non sarebbe stato possibile proseguire l’indagine se, dall’attenta “lettura” delle informazioni tecniche, gli investigatori della Polizia di Stato non avessero individuato alcune “stranezze”.

    La particolare competenza messa in campo dal pirata e l’abilità dimostrata nel non lasciare tracce, unitamente alla conoscenza di alcune informazioni specifiche relative all’internet provider e alla struttura della rete dell’Università di Roma, hanno indotto gli investigatori del Nucleo a ritenere che non si fosse in presenza di un qualsiasi utente della rete. Una serie di verifiche ed accertamenti, ancora in parte coperti da riservatezza, hanno consentito di individuare il presunto responsabile, studente dell’Università e responsabile tecnico dell’Internet provider interessato.

    Il responsabile, che viste le prove in possesso degli investigatori, ha ammesso di essere autore di tutti gli attacchi, ha dichiarato di aver sfruttato la posizione privilegiata di amministratore tecnico del sistema del provider per violare la rete universitaria, alterando volontariamente anche la documentazione che la Polizia aveva richiesto al provider stesso, nell’intento di depistare gli inquirenti.

    Gli hacker messicani sfidano il Governo
    Senza precedenti le dichiarazioni dei pirati: “per pubblicizzare cosa accade in Messico alle spalle della gente”

    Fonte: Punto Informatico – Reuters

    16/07/98 – Mexico City (Messico) – La tensione si va alzando in Messico, dove hanno avuto ampia eco le dichiarazioni dello stesso gruppo di hacker che si era introdotto recentemente in un server Web governativo.

    Il gruppo, che si autodefinisce X-Ploit, ha affermato che presto entreranno in conti correnti bancari pubblici e pubblicizzeranno tutto quello che verrà trovato, renderanno pubbliche conversazioni avvenute attraverso telefoni cellulari e decine di indirizzi di posta elettronica governativi.

    In un messaggio di posta elettronica, il gruppo ha affermato: “saremo in ogni ministero, in ogni telefonino governativo, in ogni conto bancario, in ogni transazione elettronica e in ogni messaggio elettronico, per pubblicizzare cosa accade in Messico alle spalle della gente”.

    X-Ploit lo scorso febbraio fu autore di un attacco al sito Web del Ministero delle Finanze, la cui home page fu riempita di immagini del leader rivoluzionario Emiliano Zapata. Gli hacker hanno però ribadito di non aver nulla a che fare con l’Esercito zapatista di liberazione nazionale, anch’esso molto attivo nel mondo cyber.

    X-Ploit ha confermato di aver penetrato i sistemi del Ministero della Sanità, dell’Istituto di Statistica e della Commissione delle Acque, computer dai quali avrebbe ricavato anche decine di indirizzi di posta elettronica “ad alto livello”.

    Come si evince dalle notizie sopra riportate l’Hacking si accinge ad essere un reato sempre più diffuso e che può portare indifferentemente il suo attacco a sistemi super protetti come alla home page in Internet di un piccolo giornale di Provincia.

    Il reato telematico si caratterizza per:

  • L’alta potenzialità offensiva
  • Il reato di illecita intrusione in un sistema informatico e/o telematico, si caratterizza per l’alta potenzialità offensiva che tale fatto intrinsecamente possiede, in quanto consente all’hacker dopo che è entrato in possesso della password con privilegi di amninistratore di gestire completamente e come più gli aggrada l’intero sistema informatico e di usarlo per fini illeciti potendo anche produrre un danno patrimoniale irreversibile in danno della parte offesa. Normalmente ciò non avviene, in quanto l’intrusore si limita a violare il sistema solamente per verificare la propria capacità.

    Questo però, non ci deve indurre ad essere benevoli nei confronti degli autori di tali fatti, poiché, normalmente, dopo aver violato il sistema l’Hacker rende “pubbliche” le informazioni utili per consentire ad altri di violare il sistema e quindi potenzialmente altri intrusori animati da ben altre intenzioni possono porre in essere quelle condotte molte più lesive che il primo intrusore non ha voluto esercitare.

  • Rapida scomparsa degli elementi probatori
  • Gli elementi probatori, ovvero le tracce dell’illecita intrusione, e la possibilità di risalire all’autore del fatto reato, sono di norma legati alle capacità del soggetto “intrusore” ed inoltre facilmente eliminabili. A volte succede che lo stesso sistemista che ha accertato l’intrusione dopo aver verificato che non siano stati arrecati danni al sistema, provvede a “ripulire” le tracce dell’avvenuta intrusione.

    Le poche tracce utilizzabili contenute nei files di bg del sistema sono di norma cancellate dallo stesso intrusore al termine delle sue “reiterate” visite.

    Pertanto, una eventuale denuncia e/o querela relativa ad una illecita intrusione effettuata con molto ritardo rispetto all’evento rischia di essere completamente inutile.

  • Collaborazione dei soggetti coinvolti
  • La collaborazione dei soggetti che hanno subito l’illecita intrusione con la Polizia Giudiziaria operante è un fattore decisivo al buon esito delle indagini.

    Nessuno meglio dei sistemisti del sistema violato conosce la particolare architettura dello stesso, gli eventuali “bachi”, le anomalie riscontrate nel tempo, le modalità di utilizzo delle password ecc.

    Questi soggetti però, di norma, non conoscono affatto le esigenze ed utilizzabilità probatorie delle informazioni in loro possesso e solitamente la Polizia Giudiziaria non conosce gli aspetti tecnici del sistema che potrebbero costituire indizi utili alle indagini, quindi solo da una reciproca collaborazione e dialogo possono emergere indicazioni utili alle indagmi.

  • Tempestività nella denuncia e nell’intervento,
  • Stante la tipologia del reato, solo la tempestività nella denuncia/querela corredata dalle informazioni utili alle indagini (vedasi il paragrafo l’importanza della Denuncia) ed un tempestivo intervento della Polizia Giudiziaria meglio se all’uopo specializzata, consentono di concludere le indagini in modo soddisfacente con l’individuazione degli autori ed il riscontro in sede di ispezione/perquisizione delle fonti di prova inequivocabili della responsabilità del soggetto indagato, ciò normalmente induce la parte a richiedere un patteggiamento che concorre a deflazionare il dibattimento.

    L’indagine informatica di Polizia Giudiziaria

  • L’importanza della denuncia/querela
  • Dall’esperienza maturata dalla Sezione di PG Reati Informatici della Procura presso Pretura Circondariale di Torino si evidenzia una forma di “ritrosia” riscontrata nei sistemisti sia di Enti Pubblici che di aziende private, nel considerare un attacco informatico come un fatto reato, in generale una illecita intrusione che non produca danni è normalmente tollerata e considerata una “bravata”.

    Non bisogna però sottovalutare il fatto che, una illecita intrusione nel nostro sistema che non ha causato alcun danno, possa essere utilizzata dall’Hacker come “ponte” per entrare m altri sistemi ove invece vengono effettuate operazioni di cancellazione dati ed altro. A tal proposito esiste una notizia di reato in tal senso (PM dr. Cesare Parodi presso la Procura Pretura Circondariale di Torino) di cui non posso diffusamente parlare in quanto le indagini sono ancora in corso, ma che mi consente di fare le seguenti considerazioni:

    1) solo grazie alla tempestiva denuncia e collaborazione del sistemista del primo sistema violato si sono potuti incrociare i dati del file di bg con i dati tempestivamente acquisiti presso il fornitore di accesso dell’hacker portando all’individuazione dello stesso;

    2) se non fosse intervenuta la denuncia relativa al primo sistema violato ove non sono stati effettuati danni al fine di utilizzarlo come “ponte” per entrare in altri sistemi tali sistemi avrebbero potuto subire gravissimi danni in quanto avendo ottenuto l’accesso come root ed essendo sufficientemente abile l’hacker, l’illecita intrusione nel secondo sistema non era stata rilevata dal sistemista;

    3) non si sarebbe potuto interrompere l’illecito utilizzo da parte dell’hacker del secondo sistema ove sono stati accertati successivamente danni, manomissioni e cancellazioni di dati.

    Si ricorda inoltre che l’illecita intrusione in un sistema informatico protetto da misure di sicurezza avvenuta senza arrecare danni (art. 615 ter comma I c.p.) è perseguibile a querela della persona offesa ma non bisogna dimenticare che quasi sempre questo fatto è connesso con l’illecita acquisizione del file delle password e tale fatto integra il reato di cui all’art. 615 quater procedibili d’ufficio.

    Ciò impone l’obbligo (almeno ai sistemisti di Enti Pubblici) di denuncia ai sensi dell’art. 331 c.p.p., obbligo sanzionato penalmente ai sensi degli artt. 361 e 362 c.p. in caso di omissione.

    Si ritiene pertanto indispensabile in presenza di una illecita intrusione informare tempestivamente l’Autorità Giudiziaria e/o la Polizia Giudiziaria, fornendo loro tutte le indicazioni utili alle indagini.


    INDICAZIONI UTILI ALLE INDAGINI

    COMPONENTI DI SISTEMA

  • File di log relativi
  • 1. agli accessi (data, ora, durata connessione, IP assegnato, hostname e l’eventuale caller ID (numero chiamante))

    2. alle attività svolte nel sito, mail, news, ttp ecc. ecc. (sempre con data ora ecc. ecc.)

    3. alle attività attività proxy (consente di verificare le pagine HTTP)

    4. si consiglia di curare gli orologi di macchina per evitare discrepanze casuali degli orologi di sistema.

    In caso di illecita intrusione ad un sistema protetto da misure di sicurezza, le informazioni che è opportuno rendere all’Autorità Giudiziaria sono:

    a) Tipo e versione del sistema in uso, hardware e software

    b) Tipo di sicurezza utilizzata, modalità di applicazione

    c) Ogni file di log che riporti traccia di accessi indebiti e fornire i riferimenti dei timing di macchina

    d) Nominativi delle figure professionali di riferimento tecnico

    e) Descrizione della tipologia di networking e della relativa architettura funzionale nonché nomenclatura delle interconnessioni in rete geografica o locale

    f) Descrizione particolareggiata del tipo di operazioni illecite accertate e dello stato delle cose dalle quali si evince la tipologia delle operazioni accertate

    g) In funzione delle operazioni fornire quanti più elementi di verifica delle stesse

    h) Descrizione particolareggiata delle modalità attraverso le quali si è pervenuti alla conoscenza dell’illecita intrusione.

    i) Informazioni relative a indicazioni giunte da terzi dei fenomeni trascorsi o in corso.

    j) Informazioni relative a indicazioni rese a terzi dei fenomeni trascorsi o in corso

    k) In caso di intrusione senza danni ma con acquisizione del file di password, per i dipendenti di Enti Pubblici (P.U. e/o incaricati di pubblico servizio) vi è obbligo di denuncia ex art. 331 cpp, mentre tale obbligo non sussiste per i privati.

    m) Indicare i nominativi delle persone che possono essere informate dei fatti.

    n) Prima di ogni azione al momento della scoperta dell’illecito eseguire un backup delle sole directory e/o file interessati dalle modifiche, alterazioni o contenti informazioni relative all’attacco: in caso di modifica al file di password, salvare il file modificato/hackerato prima di rimpiazzarlo.

  • Tipologie d’attacco
  • Consideriamo qui solo alcune delle forme di hacking che si possono effettuare via Internet e quindi con accessi attraverso reti o infrastrutture di servizio, Service Provider.

    Esistono diverse forme d’attacco ed ognuna dispone di diverse tipologie di esecuzione. Spesso la tipologia prescelta contiene elementi finalizzati alla distruzione delle prove relative all’attacco. Questo è vero almeno nelle forme di HACKING più sofisticate.

    A mero titolo esemplificativo elenchiamo alcune forme di attacco che tra loro si estrinsecano in diverse tipologie d’applicazione.

    Normalmente gli attacchi ai sistemi avvengono attraverso l’utilizzo dei difetti (bug) presenti sui sistemi operativi ed sfruttando i meccanismi di trasporto legati ai protocolli e le applicazioni di comunicazione esistenti sulle stesse macchine come ad esempio:

    telnet, emulatore di terminale interattivo remoto consente l’accesso tracciabile solo in real time, generalmente usa password che possono esser state sottratte in precedenza. Questo tipo d’attacco raramente consente di acquisire il livello di sicurezza concesso al gestore di sistema (root per UNIX, SYSTEM per VMS) ed è rivolto a macchine tipicamente multiuser, ogni sistema operativo ha le sue modalità di log dell’accesso. Questo sistema di norma presuppone un hacking precedente, ad esempio tramite la porta di sendmail, finalizzato all’acquisizione delle password. Oppure, la conoscenza di alcune password.

    Sendmail, tramite la porta di tale processo demone (processo non interattivo) si possono attivare alcuni meccanismi intrinsechi (bug) e ottenere senza alcuna password accesso interattivo al sistema o funzioni particolari che reinviano dati sensibili all’hacker. L’ingresso avviene di norma simulando una connessione relativa al trasferimento di posta elettronica via SMTP. Il target più evidente è UNIX, nelle diverse accezioni, ma in letteratura vi sono notizie di attacchi ad altri tipi di sistemi operativi, che portano a blocchi del servizio o di sistema e nulla più. Il log di sendmail presenta alcune peculiarità tali da consentire l’acquisizione dei dati relativi ad azioni anomale, ma quasi mai contiene lo svolgimento completo delle operazioni illecite.

    Finger, di nuovo un processo demone che si differenzia da sendmail per la tipologia di connessione. Infatti non consente una connessione diretta e continua e quindi si tratta di un accesso al sistema con uno scambio di comandi e output, senza soluzione di continuità tra un primo e un secondo comando inviati alla stessa macchina. Per effettuare un finger necessita che il relativo server sia accessibile dal client interrogante. Normalmente le varie versioni di UNIX dispongono di finger, NT lo vede opzionalmente così come altri sistemi operativi. Il log dei comandi di finger non è normalmente abilitato, quindi è importante, se possibile, abilitarlo. La miglior soluzione è eliminare il demone. Questo sistema viene di norma utilizzato, sempre attraverso dei bug, per recuperare informazioni utili ad accessi successivi: passwd ecc. ecc.

    http, si tratta del protocollo e del relativo processo per la gestione del trasferimento dati su richiesta via Web. Ovvero è il nome utilizzato per definire il server che rende disponibili le pagine visualizzate, presso l’utente, attraverso un Web bowser. Non si usano normalmente password o altri elementi di sicurezza. Sfruttando alcune irregolarità di questo o quel tipo di http server installato con i più diversi tipi di sistemi operativi è possibile attivare funzioni di sistema tali da gestire il reinvio di informazioni sensibili. Informazioni che pur stante la tipologia del server non sono a disposizione del pubblico. Si viene loggati, ogni server ha le proprie modalità, si tratta di log anche molto onerosi (spazio occupato) per siti Web così come comunemente in uso.

    Bisogna anche tener conto che tipologie come quelle descritte, come affermato nella premessa, possono venire superate da accessi diretti a componenti di sistemi operativi per PC (NT, W95, 0S2, SCO, ecc. ecc.) che non sono stati installati per ambienti aperti verso l’esterno (visibili in Internet).

    In aggiunta esistono diversi BUG di pubblica conoscenza per tutti i principali sistemi operativi in commercio.

    Tra le nuove tecniche di hacking si sta affacciando, l’utilizzo improprio degli ACTIVEX, tale nuova tecnologia infatti ancora non bene considerata sotto il profilo della sua intrinseca pericolosità e quindi trascurata come possibili fonte di hacking in realtà nasconde insidie assai pericolose come si evince dalla pubblicazione apparsa su Internet relativa ad una trasmissione tedesca su tale tecnologia che si riporta integralmente:

    In una trasmissione televisiva tedesca, il Chaos Computer Club hanno effettuato una dimostrazione dove un control Activex, all’insaputa dell’utente, una volta caricato cercava nel computer dell’utente il software finanziario Quicken della Intuit, e lo modificava per fargli trasferire fondi dal conto corrente del proprietario ad un altro conto.

    La dimostrazione ha evidenziato qualcosa ben noto alla Microsoft e agli esperti di sicurezza per computer: nonostante il meccanismo dell’autenticode studiato dalla Microsoft per distinguere i control in “riconosciute” e “non riconosciute”, non esiste nessun meccanismo che impedisca ai control Activex di fare qualunque cosa sul computer dove vengon caricati.

    I portavoce della Microsoft hanno detto che stanno preparando una campagna di sensibilizzazione per informare gli utenti sui pericoli di Activex.

    Il consiglio di Intuit per muoversi con tranquillità su Internet é semplice: disabilitare completamente Activex nel proprio browser, o utilizzare Netscape che non supporta ActiveX.


  • Prevenzione e sicurezza attiva
  • La sicurezza di un sito non è mai un obbiettivo da raggiungere ma è il frutto di un costante e cosciente lavoro di mantenimento e sviluppo di ogni singolo componente del sito. La prevenzione non è da intendersi come elemento a se stante della sicurezza. La prevenzione è l’unica modalità che consente di gestire a priori costi e impatti degli interventi che debbano essere attuati o dei cambiamenti che ne vanifichino la necessità. Attraverso la prevenzione continua e duratura, il progetto sicurezza, si ottiene l’innalzamento della soglia di resistenza ai diversi pericoli informatici.

    Naturalmente la prevenzione da sola non basta alla corrette gestione della sicurezza di un sito. Occorre una continua opera di monitoring e di aggiustamento degli strumenti utilizzati in quest’opera. L’addestramento oltre che la fedeltà del personale costituiscono l’anello umano della catena per la sicurezza attiva. Un corretto utilizzo delle risorse da parte degli utenti della rete e corrette procedure seriamente attuate dal personale atte a prevenire gli attacchi informatici unitamente all’utilizzo di firewall sono alla base di una prevenzione attiva.

  • Trasmissione dati via rete
  • Spesso, aziende private ed enti pubblici devono ricorrere all’uso di reti estese e magliate tra di loro per consentire il normale flusso dei dati. Queste reti, ormai standardizzate nell’uso della famiglia dei protocolli di TCP/IP, costituiscono il cd “cavallo di troia” per ogni possibile malintenzionato che voglia accedervi illecitamente. Ormai gli strumenti meno sofisticati o disponibili a chiunque abbia un minimo di cultura informatica sono tali e tanti da rendere possibile l’hacking globale. Già sono in corso diversi hackinig di questo tipo per i sistemi operativi maggiormente diffusi.

    Ciò deve indurre ad una maggiore sensibilizzazione, soprattutto degli enti Pubblici verso il problema della sicurezza.

  • Acquisizione fonti di prova
  • L’acquisizione delle fonti di prova è uno dei momenti più importanti e delicati nella fase delle indagini preliminari. Molto spesso, a causa della non conoscenza da parte della Polizia Giudiziaria operante delle basi minime del funzionamento di un sistema informatico si possono causare danni ingenti ed inutili alla parte ovvero non acquisire elementi probatori indispensabili alle indagini.

    L’invasività che sempre un provvedimento di perquisizione e sequestro emesso dall’A.G. comporta, seppure indispensabile quale momento cardine dell’acquisizione della fonte di prova dovrebbe essere contemperato da comportamenti e conoscenze tecniche tali da parte della PG operante che riducano al minimo indispensabile tali momenti di necessaria invasività.

    Mi riferisco ad esempio alle sacrosante proteste apparse su riviste del settore che lamentavano ad esempio il sequestro dell’intero server dedicato ad ospitare i siti WEB di centinaia di clienti di un Provider ed altri servizi ancora, operato dalla Polizia Giudiziaria, al fine di acquisire ed impedire la diffiisione di un messaggio diffamatorio contenuto in un sito WEB di un cliente di tale provider, laddove sarebbe stato possibile il sequestro e la rimozione del solo sito od addirittura del solo messaggio diffamatorio consentendo quindi ad una elevata pluralità di utenti non coinvolti dalle indagini l’utilizzo di servizi e prestazioni legittime ed indispensabili alle loro attività.

    Altro esempio a mio parere di eccessiva invasività che posso citare, di cui soprattutto le aziende si lamentano, è quello causato della mancata conoscenza di tecniche menp invasive di acquisizione della fonte di prova, che induce la polizia giudiziaria operante in presenza di software illecitamente duplicato a sequestrare il computer comprensivo di video e periferiche laddove sarebbe sufficiente (dandone atto a verbale) riversare su altro supporto magnetico fornito dalla parte e porre in sequestro il contenuto dell’HD incriminato in cui è in parte installato ed utilizzato software illecitamente duplicato (limitatamente al sistema operativo utilizzato ed al software illecitamente duplicato), rimuovendo poi dall~HD che rimane in disponibilità dell’azienda il solo software illecitamente duplicato.

    Questa non difficile operazione consente all’azienda di poter continuare ad operare utilizzando il software ed i dati che legittimamente detengono senza dover interrompere le attività produttive ed all’autorità Giudiziaria di acquisire le fonti di prova senza penalizzare eccessivamente la parte inibendole l’uso di computer che hanno installato anche software e dati legittimamente detenuti ed utilizzabili.

    Uno degli strumenti meno praticati in quanto necessita di PG altamente specializzata ma che consente un’ottima “resa dibattimentale” è il Decreto di Ispezione Locale finalizzato all’accetamento delle tracce e degli altri effetti materiali del reato che di norma viene emesso congiuntamente al decreto di perquisizione e sequestro.

    Nell’esecuzione di tale decreto la PG operante redige un verbale laddove viene dettagliatamente descritto 10 “stato dei luoghi dei dati contenuti nei PC e/o dei sistemi oggetto di ispezione” come ad esempio:

    la presenza di software funzionante atto a craccare i programmi;

    la presenza di file di passwd prelevate dal sistema violato;

    la presenza di mail laddove la parte invia o riceve da terzi informazioni utili all’illecita intrusione in sistemi informatici simili a quello violato;

    la presenza di dati acquisiti illecitamente all’interno del sistema violato;

    la cronologia dei collegamenti Internet effettuati laddove si ravvisano ad es. collegamenti con siti di divulgazione di tecniche di Hackìng ecc;

  • Tipologia dei danni
  • Ogni possibile danno è verosimilmente provocabile da hacker intenzionati seriamente a ridefinire elementi del sistema operativo oggetto di attacco.

    Generalmente si è a conoscenza di attacchi che per la forza usata o il numero di sistemi coinvolti vengono resi pubblici. Spesso attacchi o accessi indesiderati che sfociano in semplici passaggi a bordo dei sistemi ospiti non vengono nemmeno osservati.

    Ogni componente di sistema è esposto al pericolo derivante da attacchi esterni, dal semplice “dispetto” al vero e proprio blocco del servizio o, peggio, manomissione di dati.

    Quindi la tipologia dei danni possibili è virtualmente infinita.

    Tra le tecniche utilizzate ed i danni che statisticamente vengono maggiormente riscontrati si ricordano:
    Sniffing: cattura dei dati che viaggiano in rete
    Spoofing: falsificazione dei dati
    Denial of Service: impedire al sistema di fornire servizi
    Backdoor: entrata segreta in un sistema informatico che lo stesso hacker riesce a crearsi
    E mail bombing: l’atto di bombardare con migliaia di messaggi di posta elettronica la casella di un utente causando un crash del server

    _________________________

    Glossario

    PPP (Point to Point Protocol) : Connessione Internet a Commutazione che utilizza il protocollo TCP/IP, leggermente più veloce di SLTP. E con IP dinamico, cioe ad ogni nuovo collegamento 1’IP cambia e ne viene assegnato uno diverso. che può essere assegnato indifferentemente a chiunque stia chiamando un dato modem in un dato momento. E’ attualmente il tipo di collegamento più diffuso per collegarsi ad Internet.

    SLIP (Serial Line Internet Protocol): Connessione Internet commutata che utilizza il protocollo TCP/IP (collegamento via modem). E che assegna un Ip (indirizzo Internet) fisso, ossia sempre lo stesso ad ogni collegamento. E’ un protocollo molto potente, anche se la tendenza degli attuali fornitori di connettivita’ sta portando ad una poca diffusione a vantaggio del PPP.

    UUCP (Unix-to-Unix Copy): Inizialmente era un protocollo per trasferire file da computer a computer via porta seriale. Poi è stato utilizzato per lo scambio di posta elettronica attraverso collegamenti commutati. E’ un tipo di collegamento non alla portata di tutti anche per le difficoltà tecniche di configurazione, ma è ancora molto usato sia in quei paesi dove le linee dedicate Internet non sono ancora arrivate, e sia per quei servizi mail only (tipo alcune BBS) che lo utilizzano ancor in maniera efficace per scambiarsi posta elettronica.

    BBS (Bullettin Board Sistem): Delle BBS abbiamo parlato ampliamente in questa rubrica ma vale la pena ricordare in questo caso, che attraverso di alcune di esse si può avere Internet, almeno la posta elettronica e in alcuni casi anche altri servizi, nella zona l’unica BBS a permettere questo è quella della Metro Olografix, che risponde al numero di modem 085-4221824 e che da la possibilità di avere un indirizzo di e-mail sin dal primo collegamento. E per i soci anche altri servizi.

    Possibly Related Posts: