.Diritto
.Informatica
Leo Stilo
Docente di Informatica 1 all’Università LUM (Libera Università del Mediterraneo- Jean Monnet), presso il “Campus degli Studi e delle Università di Pomezia”. Direttore della rivista Il Nuovo Diritto, autore di pubblicazioni in materia di diritto penale e diritto delle nuove tecnologie informatiche. Collabora, ponendosi come partner per la sicurezza informatica e come consulente in diritto dell’internet, con aziende e liberi professionisti . E’ docente in corsi di formazione in materia di tutela dei dati personali ed informatica per aziende private ed enti pubblici.
IL CRIMINE INFORMATICO NELLA SOCIETA’ DELL’ INFORMAZIONE Sommario: 1. La nuova era digitale tra vecchie e nuove storie; 2. Un vortice di dati personali tra internet e nuove tendenze del mercato; 3. Il commercio nella società dell’informazione: una questione di fiducia e sicurezza; 4. L’ insostenibile insicurezza della società dell’informazione: alla ricerca del bene giuridico da difendere; 5. Crimini informatici: dalle “liste nere” al codice penale italiano .6. Alla ricerca delle fonti del danno informatico in azienda; 7. Malware in azienda; 7.1. Virus; 7.2 Worm; 7.3 Trojan horse; 7.4 Spyware: un “parassita digitale” dai mille “untori”; 8. Attacchi informatici; 8.1 Denial of service; 8.2 Sniffing; 8.3 Hijacking; 8.4 Spoofing; 8.5 Blended threats; 9. Le truffe del www; 9.1 Social engineering; 9.2 Scam; 9.3 Phishing; 9.4 dialer; 10. Le altre fonti di danno nel web; 10.1 zombie: 10.2 Cybersquatting; 10.3 Hoax; 10.4 Deeplinking e framing; 10.5 Spamming; 11. Il costo dei crimini informatici in azienda
5. CRIMINI INFORMATICI: DALLE “LISTE NERE” AL CODICE PENALE ITALIANO . La rapida diffusione degli strumenti informatici ha indotto nella prima metà degli anni Ottanta i governi degli Stati, dove maggiormente si era realizzato nei tessuti sociali un processo di “neovascolarizzazione tecnologica”, a porre particolare attenzione al fenomeno dei crimini informatici (30). A tal fine nel 1985 fu costituito, in seno al Consiglio d’Europa, un Comitato ristretto di esperti con lo scopo di affiancare al preesistente Comitato per i problemi criminali un organo con conoscenze atte ad affrontare le nuove sfide che la criminalità sempre più organizzata e sempre più transnazionale lanciava alle istituzioni nazionali ed internazionali. Sulla base di un attento esame della realtà criminale informatica e telematica attuale e delle proiezioni future, non certo confortanti, vennero stilate due “liste nere”. All’interno di ciascuna furono inseriti tutti quei comportamenti avvertiti come offese perpetrate con e sulle nuove tecnologie. L’ elemento comune ai suddetti illeciti era rappresentato dal fatto che tutti, necessariamente, richiedevano una stretta collaborazione tra gli Stati membri al fine di fornire un’efficace risposta preventiva e repressiva. La cooperazione tra gli Stati non appariva come una semplice scelta “politica”, ma s’imponeva come l’unica modalità operativa realmente efficace per evitare che ogni singolo intervento nazionale si risolvesse in un semplice placebo utile solo per rassicurare gli animi e le paure dell’opinione pubblica. Le due liste di “proscrizione” furono così distinte (31): “Lista minima”: elenco di comportamenti e fatti offensivi ritenuti talmente gravi da richiedere un immediato e non prorogabile intervento del diritto penale, extrema ratio di ogni ordinamento giuridico statale (32); “Lista facoltativa”: elenco di comportamenti e fatti ritenuti non eccessivamente offensivi, ma che tuttavia richiedevano un intervento del legislatore nazionale (33) . Il fatto che, nei vari Stati membri, non vi sia un numero elevato di procedimenti penali tesi all’accertamento ed alla repressione dei c.d. crimini informatici che riesca ad andare a “buon fine”, non vuol dire che tali violazioni non siano perpetrate in modo diffuso. E’ vero, presumibilmente, il contrario; infatti, in numero elevato, ad esempio, sono violate le norme indicate all’art. 615 ter e quelle relative alla tutela penale della privacy da parte di chi, inserendo all’interno di programmi generalmente freeware ed adware software di tipo spyware, raccoglie dati personali all’insaputa dell’internauta. Il tema della c.d. “cifra nera” dei reati informatici realmente perpe-trati si presenta come un fenomeno di interesse globale ed esponenzialmente in crescita che, purtroppo, le autorità statali (governative, legislative e giudiziarie) non riescono ad arginare.
01
I quaderni del Campus 03 - Marzo 2011
La diffusione di particolari software facilmente reperi bili online permette a “pseudo-hacker”, senza alcun baga glio tecnico di grado elevato, di poter attuare impunemente com portamenti offensivi contro la privacy e la sicurezza dei sistemi informatici e telematici di istituzioni pubbliche, aziende private o semplicemente di un personal computer bersaglio. Bisogna prendere coscienza, quindi, che le violazioni informatiche, in particolare quelle relative alla violazione del diritto alla protezione dei dati personali e del c.d. domicilio informatico, sono poste in essere ad un ritmo e con una cadenza del tutto simile a quelle relative alle più comuni violazioni del codice della strada. Il vero dramma risiede nel silenzio con cui la vittima del crimine informatico decide di reagire. Molte aziende preferiscono, ad esempio, incassare il colpo e rivolgersi, per porre rimedio all’insicurezza del loro sistema, a consulenti tecnici privati capaci di migliorare la protezione dei loro dati e delle strutture più riservate piuttosto che rivolg ersi alle forze dell’ordine.
(30)Per un approfondimento del tema si rinvia ai siti: www.crimine. info; www.dirittoesicurezza.it; www.criminologia.org; www.ictlaw.net; www.interlex.it; www.po mante.it; www.penale.it. (31) FAGGIOLI, Computer Crimes, Napoli, 1998, 67 ss.; PERRONE, Computer Crimes, in AA.VV., Diritto & Formazione, Studi di Diritto Penale (a cura di CARINGELLA e GAROFOLI), 1603. (32) Esempi di comportamento offensivo contemplato nella “Lista minima”: frode informatica, falso informatico, accesso non autorizzato a sistemi informatici, c.d. sabotaggio informatico, danneggiamento dei dati e dei programmi informatici, l’intercettazione non autorizzata… (33) Esempi di comportamenti offensivi appartenenti alla “Lista facoltativa”: utilizzazione non autorizzata di un elaboratore elettronico, utilizzazione non autorizzata di un programma protetto, spionaggio informatico…
.Diritto La paura che si cela dietro alla pubblicità della notizia del crimine subito è quella di determinare un ulteriore grave danno, in alcuni casi superiore a quello già subito, all’immagine e al profitto della stessa società-vittima. «In effetti, la società che ha subito un accesso abusivo – af frontando dei costi – tenterà di rendere maggiormente sicu ro il proprio sistema, anche se verosimilmente l’autore di tale forma di reato, andato a buon fine senza conseguenze giudiziarie, potrà avere un forte stimolo psicologico a riprovare l’esperienza, così vanificando di fatto l’aggiornamento dei sistemi di sicurezza (34)» . L’ aumento vertiginoso della c.d. cifra nera dei reati informatici è determinato, inoltre, dalla mancanza di una diffusa consapevolezza dell’estrema vulnerabilità di un sistema informatico rispetto ad attacchi portati a termine da soggetti esperti. Gli autori di un crimine informatico normalmente, dopo aver compiuto il reato tendono a dedicare particolare cura alla cancellazione delle tracce lasciate nel sistema-bersaglio. Questo modo di procedere determina, in modo paradossale, il fatto che gli attacchi o gli accessi abusivi più eclatanti e pubblicizzati, spesso dagli stessi autori, siano meno gravi e pericolosi di quelli attuati in modo silente, perché perpetrati da soggetti che non hanno intenzione di violare il sistema per fini ludici o ideologici (35), ma semplicemente per scopi criminali. Il legislatore penale italiano, dietro impulso dell’Europa, ha deciso di affrontare e risolvere, almeno in parte, i problemi legati all’uso delle nuove tecnologie informatiche e telematiche varando la legge n. 547 del 1993 recante «modificazioni e integrazioni delle norme del codice penale e del codice di procedura penale in materia di criminalità informatica». Con tale legge si è effettuata una duplice operazione: da una parte un innesto di nuove fattispecie nel vecchio tronco dell’impianto codicistico; dall’altro si è proceduto alla modifica di preesistenti fattispecie penali. Questa operazione di versale nel tessuto sociale è la via giusta da seguire? “chirurgia legislativa” è stata attuata con il chiaro intento di stigmatizzare i nuovi e dilaganti fenomeni di criminalità informatica. La repressione dei c.d. reati informatici non venne perseguita solo con l’approvazione del contenuto della predetta legge, ma anche con altri puntuali provvedimenti normativi. «Gli anni Novanta saranno senza dubbio ricordati per la massiccia opera legislativa nel campo dei c.d. computer crimes, soprattutto se si considera tale ambito in senso lato (36).» Per terminare questa breve introduzione sul tema dei crimini informatici, una riflessione da sussurrare al legislatore italiano ed europeo: correre verso la penalizzazione dei comportamenti illeciti perpetrati con e sulle nuove tecnologie al fine di arginare fenomeni dilaganti e, in qualche modo, inarrestabili nella loro diffusione tras Dilatare l’area del penalmente rilevante in un terreno così poco conosciuto e determinabile che muta ad un rit mo che le classiche fonti di produzione del diritto penale non riescono a sostenere, presenta una qualche utilità nel lungo periodo o ha un valore meramente simbolico? Il diritto penale è uno strumento che ha un’ altissima precisione nel colpire mali particolarmente gravi, percepiti dalla so cietà come maligni e d’eccezionale virulenza, però, allo stesso tempo, si presenta poco efficace per sconfiggere ed arginare situazioni non ben definite e generalizzate. Non si può pretendere di prosciugare un oceano, il fenomeno delle c.d. copie “pirata” o contraffatte, con una cannuccia di pochi millimetri di diametro. Con lo stesso strumento, però, quando è utilizzato da mani esperte, si può asportare un tumore particolarmente grave avvertito come tale dalla generalità dei consociati.
.Informatica
Il fatto di reato è, quindi, la descrizione di un singolo e puntu ale fatto offensivo che rappresenta normativamente una modalità d’aggressione ad un bene giuridico fondamentale per la coesistenza pacifica della società e l’ipertrofia che si è sviluppata all’interno del diritto delle nuove tecnologie, purtroppo ancora una volta, tende a svilire tale strumento che dovrebbe essere utilizzato con parsimonia e solo in casi di extrema ratio. (34)PARODI – CALICE, Responsabilità penali e Internet, Milano, 2001, 55. Sul punto si consiglia la consultazione dei seguenti testi: POMANTE, Internet e criminalità, Torino, 1999; MONTI, Spaghetti Hacker, Milano, 1997. (35) Si pensi all’eterna sfida uomo-macchina o a quella più consistente ed ideologica degli hacker; questi ultimi si rivelano, in alcuni casi, utili alle aziende per testare, in modo gratuito, i loro sistemi al fine di migliorarne la sicurezza e prevenire attacchi e accessi ben più gravi di soggetti che con gli hacker hanno in comune solo l’utilizzo delle nuove tecnologie. (36) MINOTTI, Cultura informatica e operatori del diritto penale, in AA.VV., Informatica giuridica, ed. Simone, 2001, 338.
6. ALLA RICERCA DELLE FONTI DEL DANNO INFORMATICO IN AZIENDA In questo contesto argomentativi si prenderanno in esamine alcune tipologie di possibili fonti di danno informatico. E’ necessario puntualizzare che il taglio del presente lavoro non consente di approfondire i singoli argomenti che meriterebbero una maggiore attenzione (37) . Il fine, infatti, di questo scritto è semplicemente quello di tratteggiare i contorni dei principali pericoli “informatici” dell’attività aziendale, professionale e della vita privata. La fonte primaria di danno è rappresentata da tutti quei programmi, comunemente denominati virus, capaci di rallentare o bloccare i sistemi informatici aziendali. Una seconda fonte di danno è rappresentata dai c.d. attacchi informatici, ossia da tutte quelle azioni realizzate mediante la violazione dei sistemi informatici e dirette ad interrompere, carpire e/o danneggiare l’attività lavorativa. Infine, una terza fonte è costituita dalle c.d. frodi informatiche, ovvero da alcune delle più diffuse e pericolose truffe che vengono realizzate con l’impiego delle nuove tecnologie e l’inconsapevole complicità della vittima. Alle fonti suddette si deve aggiungere un insieme di pericoli eterogenei che utilizzano le tecnologie infor matiche e tecniche di ingegneria sociale al fine di danneggiare il soggetto bersaglio e/o di trarne un ingiusto profitto/vantaggio. (37) Si rinvia per un approfondimento del tema dei rischi per l’azienda e delle contromisure per arginarli a: GERARDO COSTABILE – LUCA GIACOPUZZI, Informatica e riservatezza: dalla carta al bit, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 75 e ss.
7. MALWARE IN AZIENDA “Malware” (38) deriva dalla contrazione di due parole inglesi malicious e software e si riferisce a tutti quei programmi definibili in ampio senso “maligni”. All’interno della predetta categoria si possono trovare dei software ideati e strutturati in modo da perseguire, attraverso un numero sempre crescente di modalità operative, obiettivi tra loro diversi. E’ necessario premettere che il suddetto software nellasua intima essenza non è altro che un programma eseguibile su un computer nato dall’ingegno di un programmatore che ne ha predeterminato dettagliatamente il ciclo vitale. (38) Wikipedia encyclopedia (www.wikipedia.it) : voce “malware”.
Marzo 2011- 03 I quaderni del Campus
02
.Diritto
.Informatica
7.1 Virus Virus (39) è un termine latino e il suo significato è quello di veleno. Tale espressione venne utilizzata alla fine del XIX secolo in campo medico per definire alcuni microrganismi patogeni più piccoli dei batteri. Il virus biologico può essere definito come un parassita che entrando in contatto con le cellule viventi ne sfrutta le risorse per autoriprodursi generando effetti negativi sull’organismo ospite. Nel campo informatico, il termine virus è utilizzato per indicare un software capace di infettare dei file al fine di riprodursi utilizzando le risorse del sistema infetto. Normalmente, i virus informatici operano in modalità invisibile all’utente in modo da poter compiere le azioni programmate per un tempo abbastanza lungo prima di essere rilevati. I suddetti malware producono gli effetti negativi direttamente sul software infetto e indirettamente sull’hardware (ad es. portando a saturazione le risorse di RAM e CPU, occupando spazio lo spazio disponibile sui supporti di memoria, determinando il surriscaldamento della CPU...). Come si può notare da un primo esame, è possibile scorgere altre similitudini tra virus biologici ed informatici. Questi ultimi, come i primi, riescono infatti a diffondersi velocemente da un ospite all’altro alla ricerca di un terreno di coltura adatto. La vita di questi software malevoli è intimamente legata allo sviluppo tecnologico degli elaboratori elettronici, per questo motivo l’evoluzione dei malware nel tempo è apparsa tumultuosa e complessa. Le origini dei moderni virus possono essere rintracciate nella preistoria dell’informatica in cui i computer erano costituiti da enormi ammassi di circuiti e transistor, e nella volontà di alcuni studiosi della materia che furono sedotti dall’idea di creare dei software capaci di autoreplicarsi e vivere di vita propria. La questione venne affrontata alla fine degli anni Quaranta da John von Neumann che riuscì a dimostrare, da un punto di vista teorico, la possibilità di creare un software che riuscisse ad autoreplicarsi. Successivamente è merito di alcuni tecnici dei Bell Laboratories la realizzazione, probabilmente per fini ludici e di studio, di software capaci di riprodursi autonomamente. Sebbene le conoscenze tecniche per la creazione dei virus risalgano agli anni Cinquanta, si è assistito ad una lunga incubazione motivata dal fatto che i computer fino all’inizio degli anni Ottanta erano utilizzati principalmente nelle aziende e negli enti pubblici. L’accesso a tali tecnologie era, quindi, un privilegio riservato ad un numero ridotto di individui. Solo con l’avvento del Personal Computer (PC) e l’uso sempre più avanzato dei circuiti integrati si giunse ad una riduzione delle dimensione e dei costi degli elaboratori consentendone una maggiore commercializzazione e diffusione nella società. Ogni proprietario di un PC divenne così in potenza un possibile programmatore di software anche grazie alla sempre maggiore interconnessione garantita dalla rete ed al conseguente e frequente scambio di know how tra gli internauti. Se i primi virus diffusi avevano l’esigenza di creare una complicità con l’ignaro utente per attivarsi (si pensi alla tecnica, semplice ma incisiva, di camuffare i virus da programmi innocui e già noti all’utente), ben presto i programmatori trovarono delle soluzioni per non dover dipendere da un’azione umana (ad esempio vennero utilizzare sezioni dei floppy disk – boot sector - che il sistema operativo avvia automaticamente). Non tutti i programmatori di virus perseguivano il fine di danneggiare il computer infettato dalle loro creature. Alcuni virus, infatti, si limitavano a far apparire solo delle scritte o degli effetti grafici sul monitor (ad esempio: palline che rimbalzavano, lettere che precipitavano in fondo al video...); altri malware, invece,
03
I quaderni del Campus 03 - Marzo 2011
provocavano danni rilevanti (ad esempio: elaboratore rallentato o bloccato da errori, cancellazione di documenti e file di sistema...). In risposta all’allarmante diffusione di virus vennero ideati e creati nuovi e potenti software capaci di intercettare malware e di eliminare lo stesso dal sistema. Tuttavia, la tecnica di base utilizzata dagli antivirus era legata alla scansione dei file sull’hard disk e sugli altri supporti di memoria al fine di rilevare durante la fase di “filtraggio” le sequenze di byte (firme) associate al malware. Per tali principi funzionali, un costante aggiornamento è un’operazione fisiologica per un antivirus al fine di “scaricare” le “sequenze” dei neonati malware. Senza un costante aggiornamento, infatti, l’antivirus è cieco e non potrà riconoscere le nuove minacce. Naturalmente, i moderni antivirus si basano non solo sul semplice riconoscimento delle sequenze, ma anche, ad esempio, su tecniche euristiche, di inoculazione (attraverso la memorizzazione della dimensione e di altre caratteristiche dei file particolarmente rilevanti per il sistema) e di riconoscimento attraverso l’osservazione delle azioni compiute dai programmi sulla stessa macchina. Con l’utilizzo diffuso del sistema operativo della Mi crosoft, da un lato, si rese omogeneo il terreno di coltura presso un numero sempre più elevato di utenti e con l’utilizzo sempre più avanzato di Internet, e della posta elettronica in particolare, si resero facilmente raggiungibili le possibili vittime del contagio. Il nuovo “untore” ha rappresentato per i programmatori di virus ben più che un mezzo attraverso cui diffondere le proprie creature. Internet, infatti, ha modificato lo stesso modo di con cepire e strutturare le tipologie di malware e le loro strategie di attacco e diffusione. E’ l’alba di un nuovo virus chiamato WORM. Worm (40) (lett. verme) rappresenta una particolare forma di malware capace di autoreplicarsi e diffondersi attraverso la rete. «Si definisce worm una entità programmatica autonoma in grado di autoreplicarsi attraverso la rete, non richiedendo di norma l’intervernto umano per la sua propagazione (41)». (39) Wikipedia encyclopedia (www.wikipedia.it) : voce “virus” (40) Wikipedia encyclopedia (www.wikipedia.it) : voce “worm” (41)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 128.
7.2 Worm Un programma worm tendenzialmente modifica alcuni file del computer che infetta al fine di venire eseguito ad ogni nuova accensione. Uno dei mezzi di diffusione utilizzati da questo tipo di malware è la posta elettronica e sistemi p2p; tale soft ware dopo aver rastrellato nella memoria del computer ospite gli indirizzi email presenti nella rubrica o in altri file invia una copia di se stesso come file allegato agli indirizzi trovati. Le tecniche utilizzate per diffondere i worm sono: 1. ingegneria sociale idonee ad indurre il destinatario ad aprire l’allegato infetto (camuffandone estensione e/o semplicemente indicando un nome accattivante e potenzialmente interessante); 2. sfruttamento dei bug (difetti di programmazione presenti nel software) dei programmi di posta elettronica, di software applicativi e dei sistemi operativi capaci di consentire l’esecuzione automatica del file infetto; 3. falsificazione dell’indirizzo del mittente; 4. utilizzazione dei circuiti di file-sharing. I danni causati da un worm possono essere di
.Diritto versi a seconda del tipo di malware esaminato. Se il programma malevolo ha il solo scopo di replicarsi e diffondersi, i danni per il computer vittima sono esigui al di là dell’utilizzo delle risorse del sistema ed alle eventuali problematiche legate a disfunzioni con sistemi antivirus e firewall presenti sulla macchina. Tuttavia, è sempre più frequente l’utilizzo del worm, e delle sue capacità di diffondersi nella rete, come veicolo di infezione di altri malware molto più pericolosi. L’ attività necessaria per replicarsi e diffondersi genera un traffico enorme di messaggi di posta elettronica con aumento esponenziale del volume di posta indesiderata che arriva nelle caselle di posta elettronica generando uno spreco di risorse sempre maggiore. Inoltre, la diffusione dei worm che sfruttano i bug del sistema operativo per diffondersi generano spesso interruzioni dello stesso sistema ed improvvisi riavvii.
7.3 Trojan horse Tra i diversi tipi di malware vengono definiti trojan horse (42) e (lett. cavallo di Troia) quei file che si mascherano da programmi innocui al fine di superare le barriere di sicurezza poste a tutela del computer. Vengono così definiti perché il loro reale obiettivo è celato da un inganno rappresentato dalle mentite spoglie sotto cui si presentano all’utente. Normalmente i trojan non si diffondono automaticamente, come virus e worm, ma hanno bisogno di un qualche intervento per far giungere alla macchina bersaglio il software infetto. Spesso sono gli stessi utenti che scaricano inconsapevolmente dei trojan all’interno dei propri computer. I programmatori o coloro che utilizzano semplicemente tali tecnologie per fini illeciti inseriscono tali malware all’interno di programmi conosciuti e diffusi illegalmente attraverso la rete. Le azioni che un trojan può compiere sono molteplici: 1. aprire una via di comunicazione con l’esterno (c.d. backdoor) al fine di permettere ad un malintenzionato di accedere abu sivamente al sistema informatico infetto facendogli visionare e/o prelevare file; 2. scaricare automaticamente un virus; 3. interc ettare, registrare e trasmettere via internet le operazioni compiute dall’utente (ad esempio: utilizzando tecniche di registrazione dei tasti battuti sulla tastiera - keylogging). Si tratta quindi di un malware particolarmente pericoloso ed in rapida diffusione. Le condotte illecite che si possono perfezionare con l’utilizzo di trojan horse sono molteplici e vanno dal furto di informazioni aziendali riservate (dati personali, password, numeri di carte di credito...) alla creazione di «...una macchina zombie, pronta ad obbedire ai comandi dell’attaccante e quindi sferzare ulteriori attività delittuose ai danni di terzi, che leggeranno l’azione come proveniente dalla vittima del trojan e non dal reale attaccante (43)». (42) Wikipedia encyclopedia (www.wikipedia.it) : voce “trojan horse” (43)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 130.
7.4 Spyware: un “parassita digitale” dai mille “untori”. Come una micidiale arma stealth il software spyware (44) si muove all’interno del “computer bersaglio” pronto a colpire, inviando dati
.Informatica
ed informazioni a sconosciuti ricevitori in perenne ascolto nella rete, all’insaputa dell’ignaro internauta. La sua azione è velata dalla normalità e dalla genericità delle quotidiane operazioni compiute utilizzando l’elaboratore elettronico. Questa quotidianità rappresenta l’unico schermo conoscibile e visibile da un “operatore – tipo”, dotato di una cultura informatica, generalmente, limitata ed indirizzata ai programmi applicativi più comuni; vale a dire all’utente medio le cui conoscenze informatiche sono strettamente legate alla propria attività lavorativa e ad uno o più determinati interessi personali. Il buio che circonda questi piccoli e silenziosi programmi elettronici impone di svolgere alcune riflessioni: 1. sulle modalità tecniche ed informatiche attraverso cui i predetti strumenti concretamente operano ; 2. sulle implicazioni sociali e giuridiche che ruotano attorno al rapporto software house / utilizzatore finale del programma elettronico ospite del “parassita” spyware. L’economia di mercato rappresenta il “terreno di coltura” di questo particolare parassita digitale. La semplificazione delle modalità relazionali uomo/computer, infatti, è stata dettata principalmente dalla necessità di aumentare il bacino di possibili utilizzatori delle predette apparecchiature elettroniche non semplici da utilizzare al loro primo apparire. Questa spinta del mercato ha dato il via a tutta una serie di ricerche tese all’ideazione e alla realizzazione di supporti software che offrissero all’utente un’interfaccia sempre più semplice da utilizzare. Per realizzare ciò i rapporti tra l’uomo e la macchina da diretti, o quasi, divennero sempre più mediati da sovrastrutture che si moltiplicarono proporzionalmente alla semplicità ed intuitività della suddetta comunicazione. La fortuna di alcuni software è legata, infatti, all’intuitività dell’interfaccia utilizzata per comunicare con l’utente più che all’affidabilità, alla sicurezza ed alla stabilità dello stesso programma. Inoltre, la necessità di risparmiare un’ingente quantità di tempo, semplificando operazioni complesse, ripetitive e poco creative riducendole ad un semplice “click” o facendole eseguire in modalità auto matica, ha portato con sé la necessità/possibilità di far compiere all’elaboratore elettronico tutta una serie di compiti in modalità invisibile all’utente. La comunicazione con l’elaboratore/macchina è sempre più mediata da una serie di programmi che si occupano di semplificare la vita all’utente finale, permettendo di utilizzare apparecchiature sempre più complesse con modalità immediate, richiedenti brevi periodi di “rodaggio”. Nello stesso periodo in cui i processi di semplificazione della comunicazione andavano evolvendosi, il mercato dei prodotti commerciali scoprì l’efficacia di una pubblicità “digitalmente” mirata; quest’ultima, abbandonando il sistema “sparare nel mucchio”, si affidò a sistemi pubblicitari nati ai piedi delle nuove tecnologie caratterizzate dal fatto di basare la loro peculiare incisività su un complesso lavoro di reperimento, archiviazione ed elaborazione di informazioni relative ai gusti e alle abitudini personali del bersaglio a cui dovranno offrire, su un piatto preconfezionato, i vari prodotti commerciali. La produzione “personalizzata di massa” è ormai una realtà che tende sempre più a soppiantare una “produzione di massa” che inizia a presentare un conto troppo salato in rapporto alle nuove procedure pub blicitarie basate sulla profilazione elettronica del consumatore/tipo (46). Infine, un terzo elemento deve essere considerato rilevante ai fini della comprensione del fenomeno spyware: la nascita di particolari e recenti modalità di distribuzione dei programmi elettronici adottate dalle software house: freeware, shareware, adware, trial version…(47) Nel momento in cui la semplificazione dei meccanismi di comunicazione e la tendenza all’utilizzo commerciale delle informazioni personali si trovano ad interagire con queste nuove
Marzo 2011- 03 I quaderni del Campus
04
.Diritto
.Informatica
forme di distribuzione commerciale dei programmi nasce e si diffonde il software “spyware”. Dal “brodo primordiale” della distribuzione del software in Rete nasce così una particolare moneta di scambio: i dati personali. Sin dai primi anni della diffusione di Internet l’utente medio aveva a disposizione strutture di comunicazione sufficientemente potenti, ma quello che ancora non era abbastanza sviluppato era il settore delle infrastrutture idonee ad utilizzare al meglio le potenzialità già presenti nella quotidianità tecnologica della vita privata e professionale (48) . Numerosi servizi, da sempre presenti sul Web come la posta elettronica, non erano facilmente utilizzabili a causa della carenza strutturale di programmi, c.d. applicativi, capaci di semplificare e valorizzare tali potenti strumenti. «Molti programmatori/navigatori spinti dall’insufficienza degli applicativi e dalla speranza non tanto di ricavare vantaggi finanziari, quanto di riuscire ad ottenere il plauso e il rispetto del “popolo della rete” per l’eleganza e la potenza con cui il loro programma risolveva un particolare problema, si cimentarono nella creazione di nuove applicazioni che semplificassero le azioni più comuni: sfruttando la sorprendente capacità di comunicazione del web, tali creazioni potevano essere condivise e diffuse agli altri naviganti. I programmi utilizzabili senza limiti sono chiamati “freeware”(49)» . Quello appena descritto può essere considerato la premessa logica e causale dei successivi passi che condurranno ad un uso, sempre meno “free”, di Internet finalizzato alla distribuzione del software (50). Il passo successivo è rappresentato da tutta quella serie di programmatori e case produttrici di software che iniziarono a richiedere del denaro a chi avesse avuto l’intenzione di utilizzare, senza limiti temporali e quantitativi, il software da loro ideato, realizzato e distribuito attraverso la rete (51). Parallelamente a questi fenomeni di distribuzione all’interno dell’ingegnoso popolo di internauti, tesi per inclinazione genetica alla ricerca di un modo gratuito per utilizzare i diversi e costosissimi programmi “applicativi”, si assiste alla diffusione di un particolare hobby: la ricerca dei crack-files, piccoli programmi che consentono di superare le barriere erette dai produttori riuscendo a far utilizzare i programmi oltre i limiti quantitativi o temporali imposti dai programmatori, in origine eliminabili solo da questi ultimi dietro pagamento di un congruo corrispettivo. Come risposta, numerose case produttrici di software indirizzarono la produzione verso la creazione di versioni dimostrative e con evidenti fisiologiche menomazioni rispetto a quelle commerciali. Queste versioni “limitate” sono dirette, palesemente, solo a far nascere il desiderio di acquistare la versione completa, senza il rischio che qualcuno possa, con qualche minuto di ricerca online, sbloccare i codici di sicurezza riuscendo ad utilizzare il programma in modo integrale e gratuito. La necessità di trovare nuove modalità di distribuzione ha condotto, così, le case produttrici di software a percorrere strade diverse per ottenere il più alto profitto con il minore costo e rischio possibile. Per tale motivo numerosi produttori iniziarono a perseguire una particolare forma di distribuzione del proprio software (c.d. adware), consistente nel concedere gratuita mente il programma a patto che l’utente decida di subire una serie di messaggi pubblicitari (c.d. banner) durante l’utilizzo degli stessi (52) . La differenza principale rispetto al freeware consiste proprio nell’obbligare l’utente finale a visualizzare, durante l’utilizzo del programma adware, i messaggi promozionali dei prodotti commerciali delle aziende che hanno stipulato dei contratti pubblicitari con le case produttrici del software. In questo modo non è più l’utente, direttamente, a pagare per l’utilizzo del programma ma le varie aziende commerciali che sfruttando la diffusione del programma distribuito gratuitamente riescono ad aprire e mantenere una finestra privilegiata
05
I quaderni del Campus 03 - Marzo 2011
negli schermi di numerosi utenti/consumatori. Sebbene tale modalità di distribuzione risultò positiva e proficua sia per i programmatori che per le aziende pubblicizzate, la crescente difficoltà di trovare nuove e creative forme di pubblicità online comportò un impegno sempre maggiore, con notevole impiego e distrazione di risorse, che le aziende produttrici di software riuscirono a stento a sostenere. «Per affrancare gli sviluppatori da tali oneri, sono nate alcune società specializzate proprio nella gestione e nella promozione pubblicitaria dei software: un programmatore ha la possibilità di stipulare un contratto con una di esse, ottenendo successivamente un compenso proporzionato all’attenzione ricevuta dal banner inserito nella sua applicazione (normalmente vengono contati i click dei visitatori sul banner stesso)(53)» . Questo tipo di pubblicità, in un primo tempo, era diretto su una massa informe di possibili e poco probabili consumatori, determinati solo per macrocategorie. La pubblicità di un prodotto, infatti, veniva sparata nel mucchio indefinito di potenziali acquirenti senza possibilità alcuna di calibrare il messaggio sui gusti personali dei singoli consumatori. Si sparge a macchia d’olio, così, l’esigenza di raccogliere un numero, il più elevato possibile, di informazioni relative ai gusti e alle abitudini del popolo di Internet allo scopo di divulgare sempre più efficacemente, mirando su precisi bersagli e in modo sempre più incisivo, i messaggi promozionali di natura commerciale. Gli utilizzatori di Internet si dimostrarono restii a fornire, nonostante tutte le lusinghe, le promesse e le fantasiose iniziative delle numerose aziende addette alla raccolta dei dati rilevanti ai fini della profilazione degli utenti, i propri dati personali provocando l’irrigidimento di un meccanismo che si era dimostrato altamente lucrativo. I dati raccolti, archiviati ed elaborati divennero in modo sempre più chiaro una fonte di ricchezza e in alcuni casi un reale “bene” di scambio. Ora che il rapporto dati personali/denaro era stato non solo ipotizzato a livello astratto e concettuale, ma concretamente realizzato nella pratica commerciale, occorreva trovare nuove e più potenti forme di reperimento e rastrellamento di queste particolari “monete”. Questi nuovi mezzi dovevano rivelarsi idonei a creare delle “autostrade privilegiate” all’interno della Rete percorribili da flussi sempre più ingenti di dati e diretti, nel breve periodo, a soppiantare la semplice e palese richiesta rivolta all’internauta tramite gli ormai vetusti questionari di varia natura e genere. Tra le preziose informazioni, custodite nel personal computer degli utenti, e le aziende addette alla loro raccolta, purtroppo per le seconde, il maggior ostacolo al loro incontro era rappresentato dai c.d. “domini di protezione”(54) , per superare i quali è necessario, in via generale, disporre di una base logistica all’interno del primo. Come inserire, all’insaputa dell’internauta, un agente segreto e silenzioso pronto ad inviare periodicamente ad ogni collegamento le notizie generate e presenti all’interno del computer ospite? In questo modo si potevano superare facilmente tutte le possibili politiche restrittive dei domini di sicurezza, perché il programma installato dallo stesso utente sarebbe stato libero di operare, senza o quasi, misure restrittive. Il passo è breve ma fecondo di gravi conseguenze che meritano un’attenta riflessione: nel momento in cui il flusso delle informazioni diviene biunivoco, cioè non solo dal server web delle aziende pubblicitarie al personal computer, ma anche in senso inverso, il flusso di quello che dal personal computer esce deve poter essere controllato e gestito dal proprietario dello stesso. L’utente medio non è a conoscenza della possibilità concreta che assieme a questi programmi applicativi, semplici “vettori infettivi”, potranno essere installati dei programmi che non si limitano a ricevere gli aggiornamenti dei banners pubblicitari, ma che hanno il
.Diritto compito di raccogliere ed inviare, collegandosi senza autorizzazi one o avvertimento alcuno, a server sconosciuti informazioni concernenti i gusti e le abitudini di chi utilizza il computer “ospite”. Il software “spyware”, quindi, non è altro che un programma di di mensioni ridotte che viene installato nei meandri di un numero sempre più ampio di file presente nei sistemi di ogni computer, mimetizzandosi. Quando l’utente si connette ad Internet, il programma “entra in azione in modalità stealth, senza che l’ignaro navigatore possa accorgersene utilizzando la comune “diligenza informatica”. Tale software, infatti, utilizzando l’accesso alla rete impiegato per le normali attività lavorative o ludiche si mette in contatto, secondo un programma prestabilito, con un particolare server inviando e ricevendo dati. I problemi interpretativi dal punto di vista giuridico risiedono proprio nell’instaurazione di una silente e non autorizzata comunicazione tra il computer “ospite” ed il server web “untore” che ha ad oggetto dati e contenuti prodotti dal primo . Lo scopo delle imprese che si occupano di raccogliere ingenti quantità di informazioni provenienti dagli innumerevoli elaboratori elettronici, in cui i loro poderosi parassiti giacciono in uno stato di quiescenza in attesa di inviare preziosi dati, è quello di rivendere il frutto di questi ingenti bottini ad agenzie di marketing o semplicemente ad altre aziende (56). Il problema giuridico da affrontare una volta decifrato il DNA di questi particolari “parassiti” è quello di verificare la compatibilità di un prodotto commerciale così particolare con l’ordinamento giuridico italiano e con il suo complesso tessuto di norme poste a garanzia della persona e dei suoi diritti primari (57) . Per concludere sul fenomeno spyware un’ultima riflessione: accanto alla capillare diffusione delle nuove tecnologie informatiche e telematiche è necessario diffondere la consapevolezza dei costi e dei rischi ad essa connessi. Mentre i rischi sono accettati come possibili, i costi da sopportare sono certi e non sono solo quantificabili in termini monetari, ma anche e principalmente in quantità di informazioni personali da voler spendere e conservare. (47) SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial version, in Diritto delle nuove tecnologie informatiche e dell’Internet, op.cit., 1058:«…rientra nell’esercizio del diritto di prima pubblicazione la concessione della facoltà di utilizzare i programmi in diverse forme racchiuse in tre grandi categorie: il software libero, non-libero e commerciale…». (48)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it . (49) CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it.(50)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial version, op.cit., 1063: « …omissis…il freeware, software con riserva di copyright, il quale non è abbinato ad una definizione precisa, ma in generale viene inteso come software gratuito, del quale però, elemento importantissimo, non viene reso il codice sorgente. Infatti l’autore di questo tipo di software concede il diritto di riprodurlo e distribuirlo solo in ipotesi molto rare, accordando raramente il diritto di modificarne una parte, realizzando così una sorta di ibrido tra software libero e proprietario. Con il suffisso “free” si tende ad indicare poi solo la gratuità del prodotto, non invece la totale libertà di modificazione e diffusione concessa all’utente/utilizzatore come avviene nel caso del software libero». (51)SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial version, op.cit., 1064: « Nell’ampia catego ria di software “non libero” rientra sicuramente la tipologia dello shareware, particolare forma di programma per elaboratore, attraverso la quale il “titolare” concede all’utente la possibilità di ridistribuzione e di utilizzare per un tempo determinato il prodotto. Attraverso l’utilizzo del try & buy sarà possibile pertanto prendere visione del prodotto nella sua integrità e nel caso in cui si fosse soddisfatti delle caratteristiche proposte, comprarlo, versando il danaro richiesto direttamente nelle tasche del produttore.».(52) ROSSI, Lo spyware e la privacy, op. cit., 188: «negli ultimi temi si sta diffondendo tra le case produttrici di software una modalità di distribuzione particolare, e cioè il cosiddetto adware. Viene quindi permesso l’utilizzo gratuito e a tempo indeterminato di un programma a patto che l’utente si sottoponga ad una serie di comunicazioni a carattere promozionale, in genere sotto forma di banner pubblicitari che compaiono nel proprio browser o direttamente nel programma in questione. I banner pubblicitari vengono prelevati da un server web dedicato, stabilendo un collegamento tra il computer e il server web. Per ogni banner visualizzato nel programma, il suo autore percepisce un compenso che, seppure modesto, concorre ad un business miliardario se moltiplicato per le decine di migliaia di persone che utilizzano quel programma». (53)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it.
.Informatica
(54)Per la definizione di “domini di sicurezza” appare opportuno riprendere quanto scritto in merito da CIAMBERLANO, Spyware story, op.cit.: «I programmi eseguibili in un sistema operativo sono solitamente confinati in quelli che vengono chiamati in gergo informatico “domini di protezione”; ciascun dominio (che astrattamente è utile visualizzare come una zona geografica dai limiti invalicabili al cui interno vengono confinate le applicazioni) ha il compito di regolamentare le azioni che ciascun software può compiere, seguendo specifiche politiche di sicurezza. Semplificando molto la reale situazione, esempi di domini possono essere: 1) Insieme dei programmi installati dall’utente sul calcolatore; questi possono compiere la maggior parte delle azioni, supponendo (ottimisticamente) che l’utilizzatore non installi software dannoso sul proprio computer. 2) Insieme dei programmi allegati a pagine web (quest’ultime possono infatti contenere applet java, activeX, animazioni flash ed altro, ovvero piccoli software che svolgono compiti più o meno utili; ad esempio molte chat on-line utilizzano applet java per gestire il flusso di messaggi); queste applicazioni sono sottoposte a forti restrizioni: non possono leggere o scrivere sul disco rigido del computer ospite (per evitare la lettura o la cancellazione di documenti riservati), né su questo possono installare o eseguire programmi (per evitare che questi ultimi, i quali godono di maggiori privilegi, vengano utilizzati per compiere azioni dannose). Per un esempio reale di applicazione del concetto di dominio si può sbirciare nelle impostazioni di sicurezza di internet explorer, avendo cura di non modificare le impostazioni predefinite a meno di non essere sicuri sugli effetti del cambiamento: dal menù strumenti di explorer selezionare “opzioni internet” quindi il tab “protezione”». (55) GRISENTI , Spyware e domicilio informatico, www.interlex.it/attualit/grisenti3.htm (56) Si pensi alla diffusa pratica pubblicitaria dello spamming, invio martellante e diffuso di messaggi pubblicitari diretti a un numero elevato di indirizzi email, rastrellati on-line utilizzando varie modalità operative. Sul punto si rinvia a quanto scritto da ERCOLANO, Spamming: una nuova forma di pubblicità dannosa per i consumatori?, pubblicato in questo numero del supplemento, 44 ss. (57) GRISENTI, Spyware: quanti reati con i programmi “indiscreti”, in www.interlex.it/ attualit/ grisenti.htm : «In tempi di grande attenzione per la privacy, la libertà personale e la tutela del lavoratore, la Rete si fa veicolo di pericolosi strumenti che permettono anche al più sprovveduto di eludere proprio tali forme di tutela. Navigando attraverso alcuni dei più comuni siti dedicati al download di file (Volftp, Tucows, e molti altri), si possono reperire programmi specificamente dedicati a carpire, in maniera invisibile e drammaticamente efficiente, dati personali, password e ID dell’utente oppure a controllare ogni attività, ivi inclusa la corrispondenza e i dati personali, del dipendente. Sembra impossibile, eppure l’impreparazione alle problematiche giuridiche che la Rete, con la sua ultraterritorialità, comporta, può avere anche queste conseguenze».
8 Attacchi informatici La guerra quotidiana tra chi attacca un sistema e chi lo difende è combattuta sul campo di battaglia di una rete di computer tanto a livello aziendale quanto a livello globale. Gli obiettivi di un attacco al sistema informatico di un’azienda possono essere diversi: 1. vandalici o dimostrativi; 2. estorsivi; 3. di ritorsione e/o rappresaglia (provenienti, ad esempio, da concorrenti o ex-dipendenti); 4. di captazione di segreti industriali o di informazioni riservate; 5. di alterazione documenti e dati; 6. di paralisi, più o meno estesa, delle attività aziendali. Le informazioni possono essere custodite all’interno di computer aziendali (in una condizione di “stasi”) oppure essere veicolate attraverso la rete locale o internet (in condizione di “transito ”) (58). In base allo stato in cui si trovano, le informazioni sono sottoposte a modalità di attacco diverse in ragione delle diverse vulnerabilità a cui sono soggette. Le principali modalità di attacco possono essere ricondotte a: denial of service, sniffing, hijacking, spoofing (58)Lo scambio di informazioni nella rete avviene normalmente utilizzando l’architettura client-server in cui alcuni computer divengono distributori di risorse (server) provvedendo a ricevere le richieste di altri computer (client). La comunicazione è resa possibile da una scelta convenzionale instaurata tra client e server (protocollo di comunicazione). Tra i linguaggi più utilizzati si ricordano i protocolli FTP per il trasferimento dei file e HTTP per le pagine web. Nelle reti di grandi dimensioni come Internet ciascun elaboratore è potenzialmente connesso con qualunque altro computer della rete potendo con esso scambiare delle informazioni. Il problema del trasferimento da un computer all’altro della rete di file di grosse dimensioni è risolto dalla parcellizzazione degli stessi, in piccole porzioni denominati pacchetti, che vengono inoltrati nella rete.
Marzo 2011- 03 I quaderni del Campus
06
.Diritto
.Informatica
8.1 Denial of Service L’attacco DoS (59) (lett. Interruzione del Servizio) è un particolare tipo di attacco il cui obiettivo è quello di mettere fuori servizio, ossia rendere inutilizzabile, la risorsa oggetto dell’attacco. Numerose sono le condotte che possono assicurare il raggiungimento del suddetto obiettivo. «In generale un attacco denial of service mira a consumare le risorse del sistema, impedendo agli altri utenti di utilizzarle (60)» . Una delle tecniche più utilizzare è quella di saturare o comunque sovraccaricare il server fornitore dei servizi aziendali attraverso la generazione di un enorme traffico di richieste. Un’altra modalità DoS, molto più invasiva e sintomatica della carenza di un adeguato sistema di sicurezza è quella ottenibile penetrando il sistema informatico aziendale e cancellando o modificando i file di gestione dei servizi sul server. Il superamento dei circuiti di sicurezza si può realizzare sfruttando le vulnerabilità presenti nel software utilizzato dal sistema bersaglio come dei bug di programmazione o di configurazione delle politiche di sicurezza. (59)Wikipedia encyclopedia (www.wikipedia.it) : voce “denial of service” (60)Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 296;
8.2 Sniffing Sniffing (61)(lett. intercettazione) è un tipo di attacco particolarmente insidioso teso ad intercettare i dati in transito sulla rete. Tale tecnica è normalmente realizzata attraverso l’utilizzo di particolari software oppure attraverso la deviazione forzata del flusso dei pacchetti di informazione in modo da dirottarli su computer controllati dal soggetto attaccante. L’ attività criminosa in questo caso è normalmente tesa ad intercettare e non modificare il contenuto delle informazioni. L’obiettivo del malintenzionato è quello di mettersi in ascolto in attesa di informazioni interessanti come password, documenti riservati ed altre comunicazioni degne di attenzione o comunque sfruttabili per sferrare un attacco più intenso e gravido di conseguenze. (61)Wikipedia encyclopedia (www.wikipedia.it) : voce “sniffing”
(62)Wikipedia encyclopedia (www.wikipedia.it) : voce “spoofing” (63)Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 311
8.5 Blended threats Si tratta di attacchi informatici che sfruttano le caratteristiche di virus, worm, trojan horse assieme alle vulnerabilità dei server e di internet. La caratteristica di tale tecnica risiede nella combinazione di più minacce per la realizzazione di un fine illecito. In particolare, numerosi malware aprono nel computer infetto porte di comunicazione con l’esterno. Un malintenzionato, ad esempio, può sfruttare tali vulnerabilità per sferrare un attacco o semplicemente per visualizzare, copiare, modificare il contenuto del sistema colpito.
9 Le truffe del www Uno dei maggiori pericoli provenienti da Internet è quello relativo alle truffe che nascono e si diffondono sfruttando l’anello più debole di un qualunque circuito di sicurezza aziendale: l’uomo. Molte delle tecniche utilizzate per ricavare dati ed informazioni utili al raggiungimento di un obiettivo criminoso sono attinte sfruttando alcune delle più semplici debolezze come l’ingenuità, il fattore sorpresa, la trascuratezza nel custodire le informazioni riservate, la voglia di parlare del proprio lavoro e dei traguardi raggiunti ed altre umane fragilità. In altre parole, il punto su cui i malintenzionati fanno leva per scardinare il sistema di sicurezza informatico è spesso la fiducia dei dipendenti della stessa azienda. Di seguito si esamineranno alcune delle più diffuse tecniche che risultano vincenti solo se si riesce a coinvolgere in modo efficace il soggetto bersaglio e le persone che ruotano attorno all’azienda trasformando la futura vittima in un inconsapevole ed insostituibile “complice”(64) . (64) Per un quadro delle più pericolose ed allarmanti condotte criminali realizzate con la complicità delle tecnologie informatiche si rinvia al sito della polizia postale e delle comunicazioni http://www.poliziadistato.it/pds/informatica/index.htm
8.3 Hijacking
9 Social Engineering
L’attacco di tipo hijacking ha come obiettivo la modifica delle informazioni trasmesse ed intercettate senza che il mittente e il destinatario se ne possano accorgere. Si tratta di una tecnica piuttosto complessa che viene utilizza per compromettere la stessa integrità delle informazioni inviate. Quando un tale tipo di attacco è posto in essere i pacchetti di informazioni inviate dal client saranno intercettati, modificati e di nuovo instradati dall’attaccante. Le informazioni così modificate raggiungeranno il destinatario senza che quest’ultimo e il mittente possano accorgersi di quanto accaduto.
La figura dell’ingegnere sociale è strettamente legata all’analisi dei comportamenti del personale aziendale e/o del singolo professionista/persona bersaglio al fine di carpire informazioni rilevanti per portare a termine il piano criminoso (sferrare un attacco o compiere una truffa). Con l’espressione social engineering (65) si indica una tec nica che consente di superare le barriere tecnologiche poste a tutela dei sistemi informatici aziendali sfruttando la fiducia della vittima. Lo scopo di un social engineer può essere così sintetizzato: «L’obiettivo è quello di ottenere informazioni che permettano libero accesso all’interno del sistema e ad informazioni di valore che risiedono in quel sistema.»(66) . Un social engineer utilizza le armi della finzione, dell’inganno e della persuasione in quanto deve riuscire, nascondendo la propria identità, a ricavare informazioni (o porzioni di esse) senza che la stessa vittima sospetti di fornire dati idonei a rendere vulnerabile il sistema informatico. La raccolta delle informazioni dalla vittima può richiedere anche diversi giorni e deriva in particolare da fonti quali email, telefono, fax, notizie re-
8.4 Spoofing Con il termine spoofing (62) è indicato un tipo di attacco utilizzato per falsificare l’identità del mittente del messaggio o dei file allegati. Si può così tentare di sfruttare l’identità falsa per muoversi nell’anonimato oppure per ottenere vantaggi o arrecare danni all’insaputa della vittima. «Lo sniffing è un attacco passivo dove l’hacker si limita a monitorare i pacchetti che attraversano la rete. Al contrario lo spoofing è un processo attivo in cui l’hacker tenta di convincere un altro sistema che i messaggi da lui inviati provengono da un sistema legittimo. In altre parole, utilizzando lo spoofing, l’hacker simula di essere un altro utente o un altro sistema (63) ».
07
I quaderni del Campus 03 - Marzo 2011
(65)Wikipedia encyclopedia (www.wikipedia.it) : voce “social engineering” (66)MARIA LICIA FRIGO, Ingegneria sociale e psicologia: il fattore umano nel processo della sicurezza, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 25:
.Diritto peribili in rete (si pensi facebook), analisi delle informazioni pubblicate nel sito o nel materiale informativo/pubblicitario, elenchi di informazioni pubbliche (albi professionali, camere di commercio, anagrafe comunale ...). La fase successiva è quella della verifica e dello studio delle informazioni raccolte. L’ingegnere sociale, infatti, deve impersonare una parte fisicamente e/o virtualmente per trarre in inganno la vittima. Tra le tecniche utilizzate vi sono, ad esempio, quelle di: cercare nella spazzatura alla ricerca di codici, numeri di telefono e altre informazioni utili; fingersi un cliente con poche conoscenze informatiche e chiedere informazioni dettagliate sul servizio erogato dall’azienda; fingersi un dipendente della società che ha venduto il software all’azienda e chiedere di poter accedere (fisicamente o in remoto) alle macchine per installare nuove versioni o aggiornamenti e molte altre dettate dalla fantasia e dalle capacità tecniche e culturali dell’ingegnere sociale.
9.2 Scam L’insidia in esame consiste nell’inoltro di email contenenti promesse di enormi guadagni in cambio di un piccolo anticipo di denaro. Si tratta di un tentativo di truffa normalmente correlato ad attività di spam. Lo scam spesso si presenta sotto forma di grossi trasferimenti di somme di denaro da Paesi esteri (famoso è il Nigerian Scam) dietro il versamento di una cauzione oppure di ingenti vincite alla lotteria che saranno versate al malcapitato dietro pagamento di una famigerata tassa di entità irrisoria rispetto alla vincita.
9.3 Phishing Il termine phishing (67) deriva dal verbo inglese to fish (lett. pescare) ed infatti la tecnica utilizzata in questo particolare tipo di truffa si basa principalmente sul lancio di un’esca attraverso il contenuto di una email nel mare della rete ed attendere che ignari internauti abbocchino ad essa (68). L’obiettivo del phisher è quello di ricavare informazioni e soldi dalla propria attività truffaldina sfruttando, con ingegnosi stratagemmi, la fiducia e l’ingenuità degli utilizzatori meno esperti della rete. In Italia si segnalano, in questi ultimi tempi, numerosi ten tativi di phishing posti ai danni dei clienti di istituti bancari. La tecnica utilizzata consiste nell’invio di un elevato numero di email a destinatari casuali con cui venivano informati i clienti che la banca “civetta” per ragioni tecniche (trasferimento del database dei clienti o del sito, verifiche periodiche o problemi tecnici) richiedeva loro di collegarsi al sito per compilare un questionario o semplicemente per confermare le proprie credenziali di autenticazione. L’inganno risiede nel fatto che il sito cui si fa riferimento nel messaggio non è il vero sito dell’istituto di credito ma un sito “clone” sotto il diretto controllo dei truffatori. La pagina web su cui è dirottata la vittime riproduce la stessa grafica del sito ufficiale della banca per trarre in inganno il malcapitato cliente che ha abboccato all’iniziativa. Se in un primo momento i tentativi di phishing erano realizzati con email scritte con grossolani errori di ortografia e sintassi, oggi i nuovi tentativi di truffa vengono realizzati utilizzando un perfetto italiano con la conseguenza di moltiplicare esponenzialmente il numero delle possibili vittime. Per comprendere l’efficacia di questo particolare tipo di truffe è utile riportare alcune conclusioni contenute nel white paper Sophos sul phishing: «Gli autori di questi attacchi di phishing sono consapevoli che la grande maggioranza dei destinatari non ha rapporti con l’organizzazione nominata nel messaggio email, ma questo ha poca importanza. Infatti, i phisher sanno bene che è sufficiente che una piccola percentuale dei destinatari sia titolare di un conto presso l’organizzazione
.Informatica
presa di mira per far sì che l’operazione sia valsa la pena. Anche se solo una minima parte dei destinatari cade nella rete dei phisher, questi ultimi possono ricavarne un enorme guadagno mentre il sito è attivo(69)» . L’evoluzione della tecnica ha condotto molti phisher ad utilizzare assieme al phishing anche dei particolari malware di tipo trojan horse che consentono un accesso abusivo al sistema infetto. La nuova tecniche prende il nome di trojan phisher (sleeper bugs). Tali malware risedendo in memoria riescono a memorizzare, monitorando tutte le attività, le informazioni degli utenti relative all’accesso ad un servizio di internet banking. Si abbandona così il sito “clone” per agire in modo più silenzioso e senza la necessaria partecipazione diretta della vittima. Un’altra forma di phishing particolarmente pericolosa, ed in notevole aumento, è quella denominata spear-phishing con cui si inviano email che appaiono provenire da dipartimenti o settori della stessa azienda dell’utente bersaglio. Le vittime, assicurate dal fatto che la comunicazione appare provenire dalla propria azienda, rivelano così informazioni che possono essere utilizzate per sferrare un attacco o realizzare una truffa. (67)Wikipedia encyclopedia (www.wikipedia.it) : voce “phishing” (68) Per maggiori informazioni sul phishing si rinvia al sito www.anti-phishig.it in cui sono presenti molti esempi di truffe realizzate attraverso tale tecnica. (69)White paper Sophos, Il phishing e la minaccia alla sicurezza delle reti aziendali, 2005, in www.sophos.it
9.4 Dialer Con il termine dialer (70) sono denominati quei software programmati per far comporre al modem un numero di telefono dal computer in sono installati in modo automatico e senza l’intervento dell’utente. Tali software possono essere utilizzati illecitamente per arrecare un danno con un ingiusto profitto a favore di chi lo ha programmato e illecitamente diffuso. Tali malware, infatti, compon gono un numero telefonico a tariffazione maggiorata con il conseguente ed inevitabile aggravio dei costi della bolletta telefonica (71). (70)Wikipedia encyclopedia (www.wikipedia.it) : voce “dialer” (71) Con la diffusione delle connessioni ADSL il rischio “dialer” si è ridotto nel tempo
10 Le altri fonti di danno nel web Accanto alle suddette fonti di pericolo, in internet sono presenti un’infinita serie di altre minacce. Tra le diverse nei successi punti si prenderanno in considerazione quelle più diffuse
10.1 Zombie «Se un PC non protetto si connette ad internet, esiste il 50% di probabilità che diventi uno zombi in 12 minuti» (72) . Si definisce “zombie” un computer colpito da un virus che viene controllato da remoto da un utente malintenzionato e non autorizzato all’insaputa del legittimo titolare della macchina. Un computer zombie è uno strumento nelle mani dei soggetti che abusivamente vi accedono e lo controllano. Normalmente l’obiettivo perseguito con tale tecnica è quello di utilizzare tutti i computer divenuti zombie per inviare spam, malware, email con contenuto fraudolento o materiale pornografico all’insaputa dei proprietari delle macchine infette. Secondo alcune stime di Sophos (www.sophos.
Marzo 2011- 03 I quaderni del Campus
08
.Diritto
.Informatica
it) più del 60% dello spamming deriva da computer zombie. Si tratta di cifre impressionanti in considerazione dei danni che normalmente tali meccanismi arrecano ad un’azienda: interruzione di attività, danni alla rete, perdita di dati e informazioni, danni all’immagine (73) . (72)White paper Sophos, Siete forse degli spammer ? Perché è essenziale bloccare i computer zombi,2005, in www.sophos.it . (73)White paper Sophos, Siete forse degli spammer ? Perché è essenziale bloccare i computer zombi,2005, in www.sophos.it .
10.2 Cybersquatting Viene definita “Cybersquatting” la tecnica di accaparramento di nomi di dominio al fine di rivendere gli stessi ai legittimi titolari o a soggetti, in particolare imprese di grosse dimensioni e di chiara fama, che possano avere un interesse a quel particolare indirizzo nel www che potrebbe rappresentare una fonte di dirottamento dei possibili clienti. Con tale comportamento si vuole tentare di instaurare con le aziende bersaglio una trattativa tesa a rivendere alle stesse ad un prezzo notevolmente maggiorato gli spazzi oggetto di interesse.
10.3 Hoax Con la denominazione hoax (74) si indicano quelle che volgarmente vengono definite “bufale” ossia dei messaggi contenenti notizie false ed ingannevoli. Alcuni di essi sfruttano tecniche di ingegneria sociale per essere rispedite dai destinatari ad altre persone implementando la diffusione del messaggio. Tra gli esempi ricorrenti si ricordano tutti quei messaggi che fanno leva sul tasto della compassione e della solidarietà umana chiedendo aiuto per risolvere casi umanitari (totalmente inventati o ispirati da fatti di cronaca) attraverso il coinvolgimento di quante più persone possibili. In questi casi vengono normalmente costruite le storie utilizzando come ingredienti abituali: bambini ammalati, gravi malattie, necessità d’aiuto. Si tratta di argomenti che coinvolgono immediatamente ed in modo diretto l’immaginario e l’emotività umana in modo da indurre il ricevente ad inviare ad altri conoscenti il contenuto del messaggio. A questo tipo di email si affiancano quelli relativi alla diffusione di pericolosi malware che potrebbero danneggiare in modo grave i computer chiedendo di diffondere a tutti i conoscenti tali allarmi sulla sicurezza in quanto provenienti da importanti enti di ricerca o da aziende leader del settore. Il meccanismo utilizzato dai creatori di hoax è quello di far leva sui sentimenti delle persone creando un enorme traffico di messaggi fasulli capace di occupare importanti spazi di memoria sui server di posta elettronica. In molti casi si tratta, quindi, della versione informatica delle c.d. “catene di Sant’Antonio” dove regnano vecchie leggende metropolitane restaurate e vestite di nuovo per il www, un esempio: «l’origine di questa lettera è sconosciuta, ma porta fortuna a chi la riceve. Chi rompe la catena sarà sfortunato. Non tenere questa lettera. Fai dieci copie e mandale ai tuoi amici, vedrai che ti accadrà qualcosa di piacevole entro quattro giorni se non romperai la catena». Anche in questo caso cambia il mezzo, dalla lettera all’email, ma le tecniche utilizzate sono quelle già utilizzate ben prima della diffusione di internet. (74)Wikipedia encyclopedia (www.wikipedia.it) : voce “hoax”
09
I quaderni del Campus 03 - Marzo 2011
10.4 Deepling e framing E’ sufficiente collegarsi ad internet per rendersi conto di cosa sia un link e della sua rilevanza strutturale, strategica ed economica. Il link oggi può essere considerato, a buon titolo, l’insostituibile mattone di internet poiché è il collegamento ipertestuale a permettere l’acquisizione di quel particolare valore aggiunto che caratterizza in modo univoco la rete delle reti rispetto agli altri mezzi di comunicazione e diffusione della Se da un lato non creano particolari problemi (economici e conoscenza. La possibilità di poter passare, quasi dialogando con il testo, da un argomento all’altro cercando approfondimenti e creando nuovi collegamenti logici ed intuitivi rende di particolare interesse questa realtà. In qualche modo, è lo stesso approccio al “Sapere” che muta favorendo un’acquisizione di tipo “dinamico”, grazie alla quale i diversi livelli e le diverse fonti aumentano all’aumentare dei link aperti. La rete internet, nel tempo, da inesauribile pozzo di informazioni si è trasformata nel motore propulsore di una nuova economia che in essa trova la sua simbologia e la sua stessa ragione d’esistere. Bisogna ricercare, quindi, nel suddetto passaggio storico la data di nascita della dimensione economica del link e della conseguente esigenza di tutela giuridica delle realtà in esame. giuridici) i collegamenti che rinviano semplicemente alla home-page di un altro sito, essendo interesse dello stesso titolare aumentarne il più possibile la visibilità, da un altro punto di vista sollevano seri dubbi alcune tecniche di collegamento tra siti. Tra le tecniche più utilizzate, due appaiono di singolare interesse: deep-linking (collegamento con la pagina interna di un altro sito senza passare per l’home-page); framing (collegamento al contenuto di un altro sito visualizzato generalmente all’interno della cornice del sito linkante). Per capire le problematiche legate alle predette tecniche di collegamento si deve considerare la fonte primaria del valore/potere economico di un sito: il numero dei visitatori. In Italia le tesi circa la liceità o meno delle modalità di collegamento citate sono numerose e generalmente tese a ricondurre tali fenomeni, nelle espressioni più esasperate, all’interno delle categorie giuridiche classiche, ad esempio si è parlato di fenomeni di concorrenza sleale, di attività confusoria diretta a colpire il valore dei segni distintivi dell’azienda e in alcuni casi di violazione del diritto d’autore. Tuttavia, queste ultime tesi non mettono in evidenza il bene che costituisce la base dell’integrità del sito e delle attività che esso veicola: il traffico di “visite” generate e la sua visibilità nel web. Naturalmente, la tecnica di collegamento denominata “deep-linking” non deve essere aprioristicamente condannata come mette in evidenza parte della dottrina (C. ERCOLANO). Tuttavia, se oltre al semplice collegamento si mettono in piedi meccanismi atti a modificare il contenuto del sito linkato o idonei a creare confusione sull’origine del materiale i presupposti per definire “lecito” tale condotta mutano radicalmente. Considerazioni in parte diverse devono essere fatte per il framing, visto che la probabilità di commettere un illecito per coloro che utilizzano tale tecnica è molto più alta. Un approccio “soft” a tali strumenti è il più idoneo ad analizzare e comprendere la realtà quotidiana del web, in cui sono gli stessi motori di ricerca a produrre una straordinaria quantità di “traffico” diretto alle pagine interne dei siti. In ogni caso, sia che si tratti di deep-linking che di framing è opportuno esaminare la situazione in concreto (caso per caso) per verificare se e in quale misura queste attività arrechino un danno giuridicamente rilevante al sito linkato. Ancora una volta è il buon senso a dover indirizzare il professionista del web in mancanza di regole certe ed attualizzate ad un contesto dinamico e in continua evoluzione.
.Diritto 10.5 Spamming Si definisce spamming (75) uno dei fenomeni più gravi ed allarmanti legati all’utilizzo di Internet, in particolare si tratta dell’invio non sollecitato e richiesto di messaggi pubblicitari reiterato nel tempo. Le radici dello spamming devono rintracciarsi in tecniche commerciali particolarmente invasive utilizzate per pubblicizzare un prodotto e/o servizio. Si ritiene che una porzione estremamente consistente del traffico di informazioni veicolato dalla rete attraverso la posta elettronica sia rappresentato dallo spamming. Questa tecnica pubblicitaria oltre a rappresentare un comportamento illecito in sè, rappresenta un danno consistente per i sistemi informatici aziendali che si devono preoccupare di gestire ed eliminare un numero elevatissimo di email spazzatura con dispendio di ingenti risorse. (75)Wikipedia encyclopedia (www.wikipedia.it) : voce “spamming”
11 Il costo dei crimini informatici in azienda Per concludere è utile ripercorrere brevemente un’indagine condotta dall’IBM in 17 Paesi del Mondo tratteggiando un allarmante scenario del crimine informatico in azienda. Il primo dato rilevante, a livello globale, è quello che evidenzia il forte aumento di una nuova tipologia di comportamenti criminali strettamente legati all’uso delle tecnologie informatiche. I responsabili aziendali, da quanto risulta dall’indagine in esame, sono ormai consci che il crimine informatico produce delle conseguenze economiche negative molto più gravi di quelle derivanti dai crimini di tipo tradizionale. Da quanto rilevato, le conseguenze negative per l’azienda possono essere identificate essenzialmente in termini di: danno all’immagine ed alla reputazione, costo di ripristino della situazione fisiologica del servizio, perdita di clienti acquisiti e da acquisire ed ancora in termini di spese necessarie per avvisare clienti, fornitori e pubblico in generale, perdita di produttività del personale e spese legali. Tra i costi correlati al crimine informatico bisogna citare anche quelli necessari per scoprire quanto è in realtà accaduto all’interno dell’azienda. In numerosi casi, infatti, ciò che viene immediatamente rilevato è il danno mentre la causa è più difficile da determinare. Per ques to motivo, le aziende vittime di un crimine informatico devono investire delle risorse, a volte ingenti, per svolgere delle indagini interne al fine di determinare l’entità del danno e la sua causa. E’ interessante mettere in risalto la rilevanza di un altro dato: la diminuzione della figura del singolo criminale e il sempre maggiore consolidamento di organizzazioni criminali dotate di competenze e strutture agili e moderne. Per dare una dimensione più concreta del fenomeno italiano dei crimini informatici è opportuno estrapolare dai dati complessivi della citata indagine esclusivamente quelli rilevati all’interno delle aziende italiane coinvolte nell’inchiesta : a) il 23% delle aziende italiane ritiene il crimine informatico più pericoloso rispetto al crimine tradizionale (a livello globale il valore è il 40%); b) il 40% delle aziende italiane ritengono che le due tipologie di crimine – informatico e tradizionale - rappresentino una minaccia di uguale gravità (a livello globale il valore è il 30%); c) il 46% delle aziende italiane ritiene il crimine informatico più costoso di quello tradizionale (a livello globale il valore è il 58%); d) il 51% delle aziende italiane ritiene che le minacce alla
.Informatica
sicurezza aziendale provengano dall’interno delle rispettive organizzazioni (a livello globale il valore è il 66%). La riflessione conclusiva coinvolge tutte le nuove tecnologie informatiche che basano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti noi lasciamo muovendoci ed operando fisicamente (percorrendo l’autostrada, utilizzando la carta di credito, il bancomat e il telefono cellulare...) o “virtualmente” nella rete (dando e ricevendo informazioni in modo volontario o involontario; richiedendo e concedendo l’utilizzo di una serie di dati personali oppure semplicemente consultando determinate notizie piuttosto che altre...) potrebbero rappresentare un terreno difficile da controllare per le organizzazioni giuridiche statali ed internazionali. Per questo occorre formare e diffondere una nuova coscienza ed una diversa concezione delle responsabilità legate alla gestione delle “informazioni”. Tali realtà non dovranno essere limitate ai rigidi confini nazionali, troppo stretti ed angusti per strumenti completamente slacciati dalla dimensione territoriale, ma proiettate verso una visione globale della società umana. Il legislatore, in quest’epoca di grandi sconvolgimenti tecnologici, deve prepararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazione. La necessità di adattare vecchie norme alle nuove esigenze e di progettare sistemi innovativi di regolamentazione, controllo e repressione rappresentano le principali preoccupazioni dei legislatori di tutto il mondo. Con Internet, in particolare, si riassapora la modernità di un vecchio insegnamento contenuto, come in una macchina del tempo che lo custodisce e lo preserva sempre attuale, nella celebre frase « ubi societas, ibi ius». Non comprendere, fino in fondo, la natura e le modalità operative dei rapporti che nascono in questo nuovo tessuto sociale vuol dire, in realtà, abbandonare la società globale, virtualmente già nata e operante in rete alla terribile e primordiale legge “di natura” dove il più forte detta le regole che gli altri, più deboli, sono costretti ad osservare e subire. Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sempre più attrezzate con supporti tecnici e conoscenze informatiche potrebbero inserirsi al fine di operare fuori da ogni possibile controllo, ricostituendo così virtualmente quello che l’ordinamento giuridico statale gli ha sottratto fisicamente: un territorio feudale dove poter liberamente ideare, progettare e realizzare i propri interessi. Il ruolo del territorio, un tempo scenario fisico necessario per qualunque tipo di dinamica sociale ed economica, diviene sempre più marginale. Come evidenziano i dati citati all’inizio del paragrafo appare ormai consolidata, sia a livello globale e sia a livello nazionale, la consapevolezza che il costo del crimine informatico ha assunto delle dimensioni di rilevanza allarmante e che, per usare le parole di Corrado Giustozzi, «nell’era della “azienda connessa” ...Internet e gli hacker sono un capro espiatorio, quando non uno specchio per le allodole, mentre i veri problemi sono quasi sempre altrove: dentro le nostre aziende ed organizzazioni, non fuori da esse» (78) . Alla luce dello scenario che questo breve scritto ha tentato di illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi, prendere coscienza di un fenomeno destinato ad estendersi sempre più in profondità nella società, che entra nella vita di tutti non bussando delicatamente alla porta e chiedendo il permesso di entrare ma sfondando ogni barriera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.
(78) AA.VV., Inside Attack, Tecniche di intervento e strategie di prevenzione, Roma, 2005, 13. La frase è estrapolata dall’introduzione a cura di Corrado Giustozzi.
Marzo 2011- 03 I quaderni del Campus
10
uaderni Q I DEL CAMPUS
CAMPUS DEGLI STUDI E DELLE
DI POMEZIA
REDAZIONE COORDINATORE SCIENTIFICO Liliana Montereale e-mail l.montereale@unipomezia.it Tel. 0691255523 COORDINATORE DI REDAZIONE Natalia Fiorini Tel. 0691255525 RESPONSABILE COMUNICAZIONE Valeria Urbano e-mail v.urbano@unipomezia.it Tel. 0691255525 GESTIONE SOCIAL NETWORK Francesca Ferrazza e-mail f.ferrazza@unipomezia.it Tel. 0691255525 PROGETTO GRAFICO Deborha Menegoni Creative Director e-mail d.menegoni@unipomezia.it Tel.0691255575 Letizia Misso Graphic Designer e-mail l.misso@unipomezia.it Tel.0691255301
degli Studi C ampus e delle UniversitĂ di Pomezia
Via Pontina Km 31,400 cap.00040 Pomezia (Rm)