Reti scolastiche e sicurezza

Dario Zucchini

Un PC in rete e non protetto per 3 settimane:

Esperimento Microsoft (2005)5 milioni di accessi non autorizzati18 milioni di messaggi spamPubblicità per 13.000 siti web13 aziende individuate

Informazioni sugli attacchi

86,9% virus 35,2% intrusioni nel sistema A seguito di attacchi subiti:

20,5% blocco dei sistemi informativi 14% rallentamento delle attività 6,6% arresto totale delle attività 13,1% la perdita di dati 9% danneggiamento o modifica

Fonte uff. Stampa Microsoft - 2005

Affidabilità

1 ora (50 min) in laboratorio 8 minuti spostamento 2 minuti accensione dei pc 10 minuti per ripristinare 2-3 PC sabotati 5 minuti per riportare all’ordine i ragazzi 5 minuti per avviare il software 15 minuti di lezione 5 minuti spegnimento e spostamento

Definizione

La "Sicurezza" è un processo che deve garantire:

la riservatezza delle comunicazioni l'integrità di dati e applicazioni

modificabili solo da coloro che ne hanno la titolarità

la disponibilità continua del sistema

Proprietà

Per mezzo delle reti locali si "trattano" dati che non vengono considerati pubblici

Da proteggere per garantire le seguenti proprietà: confidenzialità: i dati devono poter essere

esaminati solamente dagli addetti al loro trattamento;

integrità: i dati non devono essere alterati, sia che risiedano stabilmente su un solo sistema, sia che vengano trasmessi.

Cosa proteggere e da chi

Il Curioso: vuole capire che tipo di dati e di sistema avete

il Malizioso: mettere fuori uso il vostro sistema o renderlo non operante

la Concorrenza: interesse nei dati che avete sul vostro sistema

lo Sfruttatore: sfruttare il vostro sistema attività illecite (spam)

L’ Intrusore di alto profilo: usarlo come base di appoggio per penetrare in altri sistemi o rendersi anonimo

Il dipendente o lo studente: modificare a suo vantaggio le informazioni

Virus, Trojan, Worm, Malware, Spyware: software che agiscono per conto terzi

Hacker e Cracker

Il volto degli autori dei reati informatici: hacker e cracker

Il termine hacker viene utilizzato generalmente con un significato prettamente negativo, anche se il New Hacker's Dictionary di Eric S. Raymond definisce come hacker colui che ama esplorare le possibilità offerte da un sistema informativo e mette alla prova le proprie capacità.

Cracker è invece colui che agisce con l'intenzione violare la legge allo scopo di causare danno.

Quadro normativo

Reti diverse, esigenze diverse

Reti Aziendali

Prestazioni

Sicurezza

Reti Scolastiche

Prestazioni

Sicurezza

Contesto paradossale

Proviamo ad immaginare di trovarci, in qualità di spettatori invisibili, in una classe di scuola media superiore un po’ particolare…

L’insegnante sta spiegando ai ragazzi come utilizzare in modo efficace i motori di ricerca, ma i suoi studenti (e non solo loro) sembrano interessati a tutt’altro: sono affascinati dalle nuove possibilità che Internet ha messo loro disposizione.

La compagna di banco

Pierino con il suo nuovo cellulare scatta una fotografia a Francesca.

La fotografia, scattata a scuola, viene poi inviata (upload), sempre da scuola, su un sito (con aggiunta di apprezzamenti).

La famiglia sporge denuncia. Delitto non informatico, presumibilmente

violazione della privacy L675 (tutela dell'immagine) e diffamazione art 595 cp.

Il sito degli Hacker

Mirko, scarica da un sito un software ed esegue tentativi di Port Scanning - Brute Force - Denial of Service;

incappa in un sito pubblico protetto da firewall; scatta la procedura di allarme e la denuncia (automatica nel

caso di server pubblici); delitto informatico (accesso abusivo ad un sistema

telematico ed informatico art 615 ter cp). Giorgio, sui canali IRC, trova le istruzioni per diffondere un

virus e lo invia per scherzo via e-mail; delitto informatico (diffusione di programmi diretti a

danneggiare od interrompere un sistema informatico art 615 quinquies cp).

Download a tutti i costi

Un gruppo di studenti usa eMule per scaricare delle musiche per il loro lavoro di storia;

con lo stesso programma Katia scarica film in prima visione;

anche in segreteria usano eMule con il quale scaricano e ascoltano musica;

violazione legge sul diritto d’autore; comportamenti non conformi alla policy dell'ente; eMule contiene Spyware: Sicurezza

compromessa per la rete della segreteria!!!

Il brutto voto Uno studente decide di vendicare un brutto voto; da scuola partono (attraverso internet) email con

apprezzamenti offensivi verso la casella di posta privata e/o la casella di posta della scuola;

lo spamming o il mail bombing sono reati informatici; ingiuria art 594 cp. (comunicando con una persona); il cellulare della prof viene inserito in un messaggio su

newsgroup a carattere pornografico, si scatena il finimondo e la sfortunata insegnante deve sporgere denuncia;

delitto non informatico, presumibilmente diffamazione art 595 cp. (comunicando con più persone) e molestie art. 660 cp.

Giochi dei “Grandi”

Un allievo si diverte un nel vedere le tracce di navigazione lasciate dai prof e dai tecnici:

scopre che, quando i laboratori sono senza gli studenti, gli adulti navigano su siti “proibiti”

In segreteria un dipendente durante l'orario d'ufficio gioca in borsa

Un docente passa il tempo a organizzare viaggi e a vendere francobolli su ebay

comportamenti non conformi alla policy dell'ente.

Il Conto

È molto facile collezionare molti reati con poco sforzo: violazione della privacy e della tutela dell’immagine; diffamazione; accesso abusivo ad un sistema informatico e

telematico; diffusione di programmi diretti a danneggiare od

interrompere un sistema informatico; utilizzo non conforme alla policy della scuola; violazione della legge sul copyright.

Reati

La normativa italiana, prendendo spunto da quella europea si è espressa riguardo a questa tematica prevedendo due tipologie di comportamenti: reati non informatici reati informatici

Inoltre possiamo ancora individuare comportamenti non conformi alla politica di utilizzo della rete dell'ente.

Reati non informatici Sono da considerare reati non informatici tutti quei reati o

violazioni del codice civile o penale in cui il ricorso alla tecnologia informatica non sia stato un fattore determinante per il compimento dell’atto: ingiuria; diffamazione; minacce e molestie; trattamento illecito dei dati personali; violazione della privacy; violazione dei diritti d’autore.

Reati informatici Sono da considerare reati informatici tutti quei reati o

violazioni del codice civile o penale in cui il ricorso alla tecnologia informatica sia stato un fattore determinante per il compimento dell’atto:

accesso abusivo ad un sistema informatico e telematico;

diffusione di programmi diretti a danneggiare o interrompere un sistema;

danneggiamento informatico; detenzione abusiva di codici di accesso a sistemi

informatici o telematici; frode informatica.

Comportamenti non conformi

Con l’espressione comportamenti non conformi si vogliono indicare tutti quei comportamenti o atteggiamenti informatici non “adatti “ai contesti lavorativi o di studio.

Il fatto di visitare siti a sfondo pornografico (soggetti maggiorenni) utilizzando il proprio pc da casa non è reato e per questo non può essere punibile.

Ma se questa navigazione viene fatta sul posto di lavoro o nell’aula computer della scuola potrebbe diventare un comportamento oggetto di contestazione.

Policy dell’Ente

Il comportamento “non conforme” potrebbe non essere contestabile se il dipendente o l’alunno non hanno mai firmato un documento di divieto esplicito.

Le policy non sono altro che regole condivise per l’uso della Rete che definiscono una linea di condotta precisa e chiara a cui tutti gli utenti devono attenersi.

Il datore di lavoro può chiarire che il visitare siti pornografici o giocare in borsa sul posto di lavoro sono comportamenti non conformi alle finalità lavorative, non morali e non adatti al contesto.

Vengono utilizzate a fini privati risorse (computer, collegamenti telefonici) di proprietà e pagati dall’azienda o dalla scuola.

Autenticazione

“Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.”

Non cedibile a terzi

“Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi”.

PrivacyRavvedimento operoso

L'omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell'Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l'arresto sino a due anni o l'ammenda da 10 mila euro a 50 mila euro, e l'eventuale "ravvedimento operoso" di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l estinzione del reato).