ASSOCIAZIONE ITALIANA PER
LA SICUREZZA INFORMATICA

 22 aprile 2002

 

Newsletter CLUSIT

 

indice

 

 

 

www.clusit.it

1.    NUOVI SOCI

2.     ASSEMBLEA GENERALE DEL CLUSIT

3.     CSI/FBI:  "Computer Crime and Security Survey"

4.     DUE SENTENZE STORICHE

5.     SMAU ROMA

6.     NUOVE INIZIATIVE EDITORIALI 

7.     EVENTI SICUREZZA 

 

 

1.     NUOVI SOCI

Durante l'ultimo mese hanno aderito al CLUSIT le seguenti organizzazioni:

CISCO SYSTEMS (Vimercate - MI), CORTEX ITALIA (Rivoli -TO),

DET NORSKE VERITAS (Agrate Brianza - MI), IKS (Padova), NET 1 (Martina Franca - TA), OMNITEL PRONTO ITALIA (Ivrea - TO),

PROLOGUE ITALIA (Milano), READY INFORMATICA (Barzanò - LC), SOFTPEOPLE-Formazione.it (Milano).  

 

 

2.  ASSEMBLEA GENERALE DEL CLUSIT

Il 12 aprile si è tenuta l'Assemblea Generale del CLUSIT.

 

Molto incoraggiante la crescita dell'Associazione, come risulta dalla SITUAZIONE SOCI            

                        individuali            aziende            totale soci

aprile 2001              27                    29                    56

aprile 2002              66                   100                  166

 

Confermate le partnership scientifiche per le prossime edizioni di SMAU (Roma e Milano), di Antikrimen (Expo/Conference-Firenze) e di INFOSECURITY (Fiera di Milano). 

Confermata la partnership con la casa editrice Edipi (Assicura, AziendaBanca, NetBusiness, PubblicA + Convegno Websecurity); avviate nuove collaborazioni con il Sole24Ore e con la casa editrice NuovoStudioTECNA (ICT Security).

Soddisfazione per il Master in Sicurezza Informatica dell'università degli Studi di Milano, che verrà ripetuto l'anno prossimo.

Il CLUSIT sarà coinvolto, quale referente per l'Italia, in nuove iniziative della RAND Europe, per l'Unione Europea.

L'associazione parteciperà alla preparazione di un modulo ECDL sulla sicurezza informatica, in collaborazione con l'AICA.

 

Per far fronte alla crescita dell'associazione ed al considerevole aumento delle attività, si è deciso di potenziare la struttura operativa.

 

Per rispondere alla crescente richiesta di FORMAZIONE, da parte delle aziende, si è deciso di organizzare i "seminari CLUSIT".

Tali seminari, che inizieranno a settembre, saranno gratuiti per i soci.

 

 

3.  CSI/FBI:  "Computer Crime and Security Survey"

 

 

Il settimo sondaggio annuale (2001-2002) « Computer Crime and Security Survey », realizzato dal Computer Security Institute è appena stato reso pubblico.

Il CSI, che si è avvalso dell’aiuto dell’ FBI di San Francisco , ha interrogato 503 persone incaricate della sicurezza in organizzazioni americane di dimensioni medie e grandi.

Richard Power, autore del rapporto, dopo essersi interessato ai sistemi di protezione utilizzati, ha analizzato gli attacchi subiti.

 

I fenomeni di cybercriminalità sembrano considerevolmente aumentati negli USA, durante i 12 ultimi mesi.  

In evidenza i casi di cyber-vandalismo, in particolare di « web defacement ».

Su tale problematica, è citata come fonte di informazioni la società di eRisk management mi2g software , con sede a Londra. Quest’ultima ha portato avanti un proprio studio a scala internazionale sull’argomento, esaminando il numero dei « web defacements »  e del loro aumento in funzione delle diverse estensioni dei domini. L’aumento sarebbe del 37% per i .gov e del 128% per i .mil, del 220% per i .il (Israele), del 205% per i .in (India), del 300% per i .pk (Pakistan) e del 378% per i .gov.uk.  Per Richard Power è pertanto evidente che la maggior parte di questa attività è dovuta ad una forma di cyberterrorismo, conseguente ai conflitti geopolitici.

 

Gli attacchi che hanno causato le perdite più importanti riguardano i furti di informazioni riservate e le frodi finanziarie. Sebbene il numero degli attacchi non abbia registrato un aumento consistente, il danno medio per i furti di informazioni riservate è di circa 6,57 milioni di dollari (4,44 l’anno scorso) ed il totale è di circa 171 milioni di dollari (+ 20 milioni rispetto al 2001).

Per le frodi finanziarie si è registrato l’aumento più significativo : siamo passati dai 93 milioni di dollari dell’anno scorso ai 115,75 milioni di quest’anno.

 

Sul sito del CSI  potete scaricare  il documento gratuitamente (compilando un formulario d’iscrizione).

Sul sito del Cert (Computer emergency response team) trovate un rapporto dell’ 8 aprile, che analizza le tendenze degli attacchi con un punto di vista più pratico (senza bisogno di compilare formulari).

 

 

4. DUE SENTENZE STORICHE

 

(Autore: Mauro Fiorentini Università di Crema, socio fondatore CLUSIT)

 

 

 

 

 

 

...riconosciuto il danno dovuto alla perdita di dati e programmi...

 

 

 

 

 

 

 

 

 

 

 

 

 

 

...un sorgente di un programma ammesso come prova...

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

...un'accurata gestione di backup resta la miglior difesa...  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

...il Garante, nel giro di un mese, ha accolto il ricorso e condannato la società...

 

 

 

 

 

 

 

 

 

 

...un principio importante:

la tutela dell'indirizzo

e-mail...
In meno di un mese ci sono state due sentenze destinate a fare storia.
La prima è di un tribunale americano, che ha condannato un ex dipendente di una società, che, scontento del trattamento, ha predisposto un programma per cancellare dati e programmi di notevole importanza dai calcolatori della società.
Il programma era predisposto come “time bomb”, all’interno di un programma di uso comune, quindi quando un ignaro dipendente ha attivato il programma in una data prestabilita, in pochi istanti gli archivi sono andati in fumo.
La sentenza si basa su principi semplici, indipendenti dall’informatica: si tratta di un caso di danneggiamento. Quello che è relativamente nuovo è il fatto che sia stato riconosciuto il danno dovuto alla perdita di dati e programmi (quantificato dalla società in milioni di dollari) e che il codice sia stato accettato come prova.
Non è certo questo il primo caso di sabotaggio: il primo esempio citato in letteratura di danni causati ai calcolatori dell’ex datore di lavoro da parte di un dipendente scontento risale, credo, agli anni ’60, ma allora si trattò di un incendio, provocato versando cherosene nelle macchine: un atto che tutto sommato poco ha a che fare con l’informatica.
In questo caso si è trattato di un atto interamento commesso tramite software, quindi molto più difficile da provare: è persino difficile dimostrare che il fatto sia avvenuto (e infatti l’avvocato difensore ha provato a sostenere che poteva essersi trattato di un occasionale malfunzionamento della macchina).
La prova della colpevolezza è stata alla fine ottenuta trovando su un disco nel garage del colpevole una copia del programma di cancellazione, in formato sorgente.
Non conosco precedenti casi nei quali un sorgente di un programma sia stato ammesso come prova; in questo senso la sentenza apre interessanti prospettive: anche ammettendo che sia facile dimostrare che il programma in questione ha come finalità la distruzione di archivi (e per questo basta un buon esperto di informatica), basta il semplice possesso di tale codice a dimostrare la colpa? L’avvocato difensore ha infatti obiettato che non esistevano prove che il programma in questione fosse stato scritto dal suo cliente (ma servivano, per scriverlo, conoscenze dettagliate sugli archivi, disponibili a poche persone) e che non era dimostrato che da tale sorgente fosse stato effettivamente ricavato l’eseguibile che aveva prodotto il danno.
Nei tribunali americani, a differenza dei nostri, è previsto l’uso del buon senso da parte dei giudici, quindi la condanna è arrivata ed è stata già confermata in appello.
Possiamo trarre alcuni insegnamenti da questo fatto.
Per cominciare, viene da chiedersi come mai la società non disponesse di backup recenti e affidabili (chissà se un giudice italiano riuscirebbe a condannare la ditta, invece dell’impiegato, per “condotta trascurata dei propri affari”?).
E’ estremamente difficile impedire ai dipendenti che normalmente scrivono software di scrivere programmi in qualche modo dannosi, quindi un’accurata gestione di backup resta la miglior difesa, naturalmente se affidata a persone diverse da chi sviluppa codice e tratta abitualmente i dati.
Proseguendo l’esame degli errori commessi, e senza voler scrivere il manuale del perfetto vandalo, mi chiedo quale assurda stupidità possa indurre a conservare in casa propria la prova (di fatto unica) del misfatto.
Infatti, sebbene eventi del genere si siano verificati in passato, il colpevole è quasi sempre riuscito a farla franca, proprio grazie all’impossibilità di provare chi sia stato l’autore del programma, un po’ come nel caso dei virus.
___________________________________________________________
 
Il secondo evento è invece assolutamente nuovo e apre interessanti prospettive di guadagno.
Una persona, disturbata come molti dalle mail di pubblicità non richiesta, ha scritto al mittente richiedendo perché avesse ricevuto mail non richiesta (in gergo, “SPAM”).
La ditta (italiana) gli ha risposto che il suo indirizzo era stato acquistato, con molti altri da una ditta (forse fantasma) del settore e che non intendevano dare altri chiarimenti. Come dire “sono altri a rubare gli indirizzi, noi spacciamo la refurtiva”.
Inutile precisare che la pratica di collezionare e vendere indirizzi è molto diffusa e assolutamente illegale; interessante invece il fatto che ci si possa difendere.
In base all’articolo 13 della legge 675/96 il destinatario della mail, ha chiesto alla società gli estremi del responsabile del trattamento dei suoi dati personali, nel caso, l’indirizzo di e-mail, e la loro cancellazione.
Non avendo ricevuto risposta, si è rivolto al Garante per la privacy, che nel giro di un mese ha accolto il ricorso e condannato la società al pagamento di 250 euro di indennizzo.
Mi vengono in mente tre interessanti considerazioni.
1) Se anche solo un decimo dei destinatari di SPAM chiede ora il risarcimento a quella società, la manda in rovina (e tutti noi prepariamo i festeggiamenti).
2) Se prendendosi la briga di inviare un paio di raccomandate per ogni SPAM ricevuto si incassano 250 euro, ci si può arricchire in fretta.
3) Purtroppo la difesa funziona solo contro “spammers” italiani, mentre quelli stranieri sono per ora al sicuro. Quindi io non potrò arricchirmi in questo modo, perché il 99% dello SPAM che ricevo (una ventina di mail al giorno) proviene dall’estero.  
Mi sembra comunque che il Garante meriti un applauso per la tempestività e la correttezza dell’intervento. Che stabilisce un principio importante: la tutela dell’indirizzo.
La differenza tra SPAM e volantinaggio, che sinora pochi giudici hanno capito, è che il primo costa soprattutto a chi stampa e distribuisce volantini, mentre a me resta il fastidio di estrarli dalla casella postale (fisica) e cestinarli (vanno nel raccoglitore della carta, grazie).
Nel secondo caso, invece, sono destinatario e provider a sostenere costi, in termini di banda utilizzata, spazio disco sprecato e, in molti casi, costi telefonici di scaricamento.
 

 

5.   Sicurezza informatica protagonista  a

 SMAU ROMA

 

 

Il CLUSIT coordina l'area security all'interno di SMAU ROMA, che si terrà alla Fiera di Roma dal 5 al 9 giugno 2002.
La giornata di apertura sarà caratterizzata da un Convegno dal titolo “Italia - Europa quale sicurezza?”, a cui parteciperanno: CEFRIEL, CLUSIT, IDC, COMUFFICIO, FEDERCOMIN, un direttore generale dell'Unione Europea ed alcune delle più alte cariche dello Stato Italiano.

 

Nell'Anfiteatro dell'area security il CLUSIT organizza alcune tavole rotonde in materia di
1) virus
2) normazione e certificazione 
3) sicurezza in ambito bancario (in collabsorazione con l'AIEA).
 

 

6.   NUOVE  INIZIATIVE 

           EDITORIALI

                        

              "PubblicA"

                       

                

 

 

        

          "ICT Security"

 

"PubblicA" è il nuovo mensile di Edipi rivolto al management e agli amministratori della Pubblica Amministrazione Centrale e Locale.

Nel primo numero, uscito in aprile, appare un'inchiesta sulla sicurezza informatica nella P.A.; il CLUSIT ha contribuito con un articolo della Dr.ssa Raffaella D'Alessandro, membro del Direttivo dell'associazione.

___________________________________________________________

 

"ICT Security" è un mensile interamente dedicato alla sicurezza informatica e vuole essere il punto di riferimento professionale del settore in Italia.

Il CLUSIT avrà una sua rubrica fissa e contribuirà ai contenuti, in qualità di membro del Comitato Consultivo.

Il primo numero sarà distribuito durante il mese di Maggio;

la presentazione ufficiale avverrà durante lo SMAU a Roma.

 

 

7.   EVENTI  SICUREZZA    

 

15 maggio 2002,  Milano  - IBM  Forum 

"La sicurezza informatica a protezione del business dell'impresa"

Conferenza IBM

 

21 maggio 2002,  Milano  - Hotel Michelangelo 

 

CISCO Secure Tour - Seminario gratuito

 

23 maggio 2002,  Roma  - Hotel Melia Aurelia Antica

 

CISCO Secure Tour - Seminario gratuito

 

28-30 maggio 2002,  Parigi   CNIT - PARIS LA DEFENSE 

INFOSEC 2002 - 16° Salone della Sicurezza Informatica, con il Patrocinio del CLUSIF.

 

5-9 giugno 2002, Roma  - Fiera di ROMA

SMAU ROMA - Il CLUSIT coordina l'area security

 

6 giugno 2002, Milano - Hotel Executive -

"WebSecurity"  - Convegno organizzato dal mensile NetBusiness, in collaborazione con il CLUSIT

 

2-4 luglio 2002,  Firenze

AntikrimenConference - Seminari di aggiornamento per la lotta al crimine (i seminari di sicurezza informatica sono a cura del CLUSIT)

 

3-4 luglio 2002, Milano - Starhotel Business Palace -

"Firma Digitale", convegno organizzato dall' Istituto di Ricerca Internazionale. I soci CLUSIT potranno beneficiare di uno sconto del 20%.

 

 

Per cancellarsi dalla mailing-list inviare una e-mail a info@clusit.it

specificando nel Subject: REMOVE con l'indirizzo e-mail da eliminare.

 

CLUSIT - ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA*

Dipartimento di Scienze dell'Informazione Università degli Studi di Milano

Via Comelico 39 - 20135 MILANO  -  cell. 349.7768882

* associazione senza fini di lucro, costituita il 4 luglio 2000

© 2001 Clusit - Vietata la riproduzione

Clausola di esclusione della responsabilità e informazioni relative al Copyright: http://www.clusit.it/disclaimer.htm