Introduzione alla Sicurezza Informatica

Prof. Francesco Buccafurri

Università Mediterranea di Reggio Calabria

1

Crescita di Internet

1.776.000 3.212.000 8.200.00016.729.00026.053.00036.739.00056.218.000

93.047.000

125.888.000

162.128.000171638297

233.101.481

317.646.084

439.286.364

489.774.269

570.937.778

0

100.000.000

200.000.000

300.000.000

400.000.000

500.000.000

600.000.000

1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008

2

Problemi

• Internet consente alle aziende di– Effettuare commercio elettronico– Fornire un migliore servizio ai clienti– Ridurre i costi di comunicazione– Accedere facilmente alle informazioni

• …tuttavia…

• … espone i computer all’azione di attacchi daparte di malintenzionati– Il numero di incidenti aumenta di anno in anno– Le perdite finanziarie hanno raggiunto livelli

misurabili in miliardi di dollari

3

Il worm di Morris•• Il 2 Novembre 1988 Internet fu colpita dal Il 2 Novembre 1988 Internet fu colpita dal WormWorm di di

MorrisMorris–– Il virus sfruttava Il virus sfruttava bugbug del sistema operativo del sistema operativo UnixUnix per per

penetrare negli penetrare negli hosthost attraverso la reteattraverso la rete–– In una sola ora i computer di molti centri di ricerca In una sola ora i computer di molti centri di ricerca

furono inutilizzabili, perchfurono inutilizzabili, perchéé sovraccaricati da sovraccaricati da molteplici copie del molteplici copie del wormworm

•• Per bloccare il virus fu formato un team di esperti Per bloccare il virus fu formato un team di esperti –– Furono sviluppate e divulgate le procedure per lo Furono sviluppate e divulgate le procedure per lo

"sradicamento" del worm "sradicamento" del worm –– In una settimana tutto tornò alla normalitIn una settimana tutto tornò alla normalitàà

•• Data la potenzialitData la potenzialitàà del virus, i danni furono minimi, del virus, i danni furono minimi, ma ci si rese conto dei ma ci si rese conto dei rischirischi legati ad Internetlegati ad Internet

4

CERT Computer Emergency Response Team

•• Team di esperti nellTeam di esperti nell’’ambito della sicurezzaambito della sicurezza–– Creato dal DARPA (Creato dal DARPA (DefenseDefense AdvancedAdvanced ResearchResearch ProjectsProjects

AgencyAgency) in seguito allin seguito all’’attacco del attacco del wormworm•• Si occupa diSi occupa di

–– Identificare il tipo di incidenti Identificare il tipo di incidenti –– Quantificare le perdite economicheQuantificare le perdite economiche–– Analizzare le vulnerabilitAnalizzare le vulnerabilitàà dei prodottidei prodotti

5

Incidenti riportati al CERT

2.340 2.412 2.573 2.134 3.7349.859

21.756

52.658

82.094

137.529

0

20.000

40.000

60.000

80.000

100.000

120.000

140.000

160.000

1994 1995 1996 1997 1998 1999 2000 2001 2002 2003

6

Indagine CSI/FBI

• Nel 2004, su 494 intervistati (aziende, agenzie governative, università, ospedali, etc…)

– Il 90% ha riportato incidenti legati alla sicurezza• I danni più seri riguardano il furto di informazioni delicate e le

frodi finanziarie– Il 75% ha subito danni economici

• Solo il 47% è stato in grado di quantificare i danni– Il 74% ritiene che la connessione ad Internet costituisca il

maggior punto di attacco– Solo il 34% ha denunciato gli incidenti subiti

• Tutti gli altri non lo hanno fatto per evitare pubblicità negativa

7

Hacker• Steven Levy, Hackers: Heroes of the Computer Revolution

– tipo positivo, studente di MIT o Stanford– ideale: rendere la tecnologia accessibile a tutti– risolvere i problemi e creare soluzioni

• Più recentemente, nei media:– tipo negativo– sfrutta buchi di sicurezza

8

Hacker(tipo positivo)

Una persona che ama esplorare i dettagli dei sistemi informatici e i modi con cui estenderne le capacità, contrariamente alla maggioranza degli utenti, che impara solo lo stretto necessario.

Chi programma con entusiasmo o che preferisce programmare piuttosto che disquisire sulla programmazione.

• Guy L. Steele, et al., The Hacker's Dictionary

9

Hackerclassificazione

• Cracker: programmatori specializzati nell’infrangere sistemi di sicurezza per sottrarre o distruggere dati

• Script Kiddie: cracker che adoperano script scritti da altri, non essendo in grado di produrli da sè

• Phracher: rubano programmi che offrono servizi telefonici gratuiti o penetrano computer e database di società telefoniche

• Phreaker: utilizzano informazioni telefoniche (numeri telefoni, carte telefoniche,…) per accedere ad altri computer

10

Hackerclassificazione

• Black hat: hacker “cattivo”, che sfrutta la propria abilità per delinquere

• White hat: hacker che si ritiene moralmente e legalmente integerrimo

• Grey hat: una via di mezzo tra white e black hat

• Termini coniati nel 1996, in occasione della prima conferenza Black Hat Briefings, a Las Vegas

11

Il Reato Informatico

• “ogni condotta antigiuridica disonesta o non autorizzata concernente l’elaborazione automatica e/o la trasmissione dei dati” (Commissione Esperti dell’OECD - Organisationfor Economic Co-operation and Development, 1983)

• “qualsiasi atto o fatto contrario alle norme penali nel quale il computer viene coinvolto come oggetto del fatto, come strumento o come simbolo” (Faggioli, 2002)

12

Il Reato Informatico (2)

• Una categoria di difficile definizione

• Vi possono essere condotte che coinvolgono il computer che non sono reati informatici

• L’approccio deve essere di tipo casistico, piuttosto che sistematico

• Il computer può essere sia strumento sia oggetto

• La difficoltà deriva anche dalla rapida evoluzione tecnologica

13

Il Reato Informatico (3)

• Nuovi beni giuridici da tutelare (il bene dell’informazione)

• Nuovi strumenti e forme di aggressione ai beni giuridici già tutelati (es. frode informatica)

• Non è possibile quindi definire la categoria astratta del reato informatico sulla base di un bene giuridico tutelato comune

14

Gli Elementi dell’Illecito

• Soggetto attivo (autore)– Generico autore– Operatore di sistema– Amministratore di sistema (circostanza aggravante)

• Soggetto passivo (titolare del bene)– Generica vittima– Soggetti pubblici o privati titolari di impianti di pubblica utililtà

(aggravante – tutela rafforzata)

• Condotta illecita– Condotta caratterizzata da elevata competenza tecnica

• Oggetto su cui ricade (o strumento)– Sistemi Informatici e Telematici, Programmi e dati in esso

contenuti

15

Panorama Normativo

• Legge del 23 Dicembre 1993, n. 547 (integra e modifica il Cp e il Cpp)

• Decreto Legislativo N. 196 del 2003 (tutela dei dati personali)

• Decreto Legislativo N. 518 del 29 Dicembre 1992 e Decreto Legislativo N. 205 del 15 Marzo 1996 (tutela dei diritti sul software)

• Decreto Legislativo N. 169 del 6 Maggio 1999 (tutela del costitutore di database)

16

Legge 547/93Frode Informatica (1)

• Art. 640 c.p. (prima della modifica)– Comportamento dell’agente (raggiro)– danno di natura patrimoniale derivato dall’inganno, che causa

profitto all’agente– soggetto passivo dell’errore deve essere una persona determinata

anche diversa da quella che subisce il danno

• Art. 640 ter c.p. (547/93) Il delitto di frode informatica è commesso da “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51,64 euro a 1.032,91 euro”.

17

Legge 547/93Frode Informatica (2)

• Non poteva essere inquadrato nella generica fattispecie di truffa, mancando il soggetto passivo dell’inganno (in quanto persona)

• L’oggetto dell’azione tesa a modificare il comportamento ai fini della truffa è un sistema informatico, non una persona

• La giurisprudenza, invece, ha affrontato tale nodo allargando il proprio campo visivo ed arrivando ad affermare che l’induzione in errore, nel caso di frode informatica, attenesse non al computer sic et simpliciterbensì ai soggetti preposti al controllo del sistema informatico o telematico il cui comportamento era stato alterato

18

Legge 547/93Frode Informatica – Condotte fraudolente

• alterazione del funzionamento del sistema informatico o telematico

• l’intervento, senza diritto, con qualsiasi modalità, su dati, informazioni o programmi contenuti nel sistema

• senza diritto a cui fa menzione il legislatore nel primo comma dell’art. 640 – ter cp si verifica quando l’agente non è autorizzato – né da una legge né dal titolare – ad eseguire quella attività sul sistema informatico (non va inteso in senso tecnico-informatico, altrimenti l’operatore…)

19

Legge 547/93Frode Informatica – Aggravanti

• Dolo generico, cioè la coscienza e la volontà di realizzare il fatto tipico

• Il reato è di danno (reato contro il patrimonio)

• Vi sono aggravanti (reato perseguibile d’ufficio - della reclusione da uno a cinque anni e della multa da 309 euro a 1549 euro

– se il fatto è commesso a danno dello Stato o di un altro ente pubblico– Se il fatto è commesso col pretesto di fare esonerare taluno dal servizio militare– se è commesso ingenerando nella persona offesa il timore di un pericolo

immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’autorità– se la truffa è commessa per il conseguimento di erogazioni pubbliche (contributi,

finanziamenti, mutui agevolati ovvero altre erogazioni dello stesso tipo, concesse o erogate da parte dello Stato, di altri enti pubblici o delle Comunità Europee).

– abuso della qualità di operatore di sistema

• Il luogo in cui l’agente consegue la disponibilità del bene nel momento consumativo del reato.

20

Frode InformaticaEsempi

• Phishing, basato utilizzo di tecniche di “Social Engineering” per carpire informazioni sulla vittima. (?),

• Pharming

• Dialer (computer, cellulari)

• Skimmer

• frode elettronica nelle aste on-line• richiesta di pagamento tramite metodo non nominativo • vendita di oggetti contraffatti/falsi. • invito a concludere la transazione al di fuori dell’asta • invito a comprare "oggetti simili" a prezzi più convenienti

21

Il Phishing è frode informatica?

• Non può ravvisarsi un intervento senza diritto sui datinel caso di semplice uso non autorizzato dei dati integranti il codice personale di identificazione altrui. L’uso indebito del codice di identificazione altrui, d’altra parte, consente soltanto l’accesso al sistema informatico e non anche, in modo diretto, il conseguimento di un ingiusto profitto; quest’ultimo può eventualmente derivare dal successivo compimento di uno spostamento patrimoniale ingiustificato, attraverso un vero e proprio intervento senza diritto sui dati (vero momento del consumarsi della frode).