Articoli

Ci tengo a riportarvi una recente intervista ad Andrea Pirotti, ex direttore esecutivo di ENISA (Securing Europe’s Information Society) e pubblicata il 7 Ottobre 2011 da Tiscali.

Internet è diventata da tempo parte inscindibile della nostra quotidianità. Attraverso la Rete vengono veicolati ogni giorno miliardi di informazioni e milioni di transazioni economiche. L’industria, le banche, le università e gli stessi uffici pubblici, ormai, non possono fare più a meno del Web: tutto passa attraverso l’infrastruttura telematica. Cosa accadrebbe però se ipoteticamente la Grande Rete dovesse collassare? Il mondo sarebbe in grado di superare indenne un tale blocco? Abbiamo posto queste ed altre domande al dottor Andrea Pirotti, esperto di nuove tecnologie ed ex direttore esecutivo di Enisa, l’Agenzia europea per la sicurezza delle reti e dei sistemi informatici.
Cosa accadrebbe al mondo nel caso in cui Internet dovesse smettere di funzionare?
“Se Internet si bloccasse la nostra vita segnerebbe un violento arretramento, si dovrebbe tornare a sistemi manuali analogici con enormi ritardi e costi aggiuntivi. La democrazia nel mondo ne soffrirebbe; gli abusi dei governanti non verrebbero rivelati al resto del mondo. I popoli non comunicherebbero facilmente tra di loro. Usi e costumi ritornerebbero ad essere diversi mentre oggi i giovani stanno creando una massa culturale globale (nel bene e nel male), che permette loro di comunicare e di lavorare facilmente insieme, perché la base di lavoro è la stessa: internet. In pratica ormai non si può più fare a meno della Grande Rete. E’ uno strumento globale della nostra vita. E’ uno strumento di vera democrazia, perché non è soggetta a nessun dittatore. Internet è nata libera e rimarrà libera, nonostante la brutta pagina scritta dal Governo italiano in questi giorni, imponendo tre anni di prigione per i giornalisti-blogger che non pubblichino rapidamente le rettifiche alle notizie. I giornalisti non dovrebbero accettare una violenza simile”.
Quali i Paesi che, più di altri, risultano esser attualmente più vulnerabili e dunque rischiano di subire ingenti danni?
“Non possiamo fare classifiche di Paesi, perché sarebbe deleterio per la sicurezza internazionale nonché per la loro reputazione. Posso dire che esistono Paesi a forte rischio. La cyber-war, in maniera silenziosa, è già iniziata e di tanto in tanto le grandi potenze fanno ‘esercitazioni’ attaccando i sistemi informatici dei Paesi-potenzialmente-avversari per vedere come reagiscono”.
Qual è la minaccia in grado di mandare in tilt Internet?
“Non posso dare indicazioni”.Cosa comporterebbe un blocco del sistema per il comune cittadino? Quali i disservizi possibili?
“La prenotazione dei voli aerei si bloccherebbe con impatto sul traffico aereo, idem per le ferrovie, gli ospedali rallenterebbero la attività, i medicinali sarebbero distribuiti al rallentatore, il sistema finanziario e bancario si bloccherebbe, i sistemi anagrafici… In una frase, potremmo dire che il mondo ritornerebbe piccolo ed arretrato come era cinquant’anni fa”.

Le società fornitrici di elettricità, gas, petrolio ed acqua sono potenzialmente a rischio?
“Certo. Sono uno degli obiettivi più appetibili in una cyber-war, perché blocca l’attività di un Paese”.

Un blocco del sistema così come lo stiamo immaginando è improbabile oppure è un pericolo concreto?
“E’ una realtà, più che un potenziale pericolo. Potrei portare due esempi significativi. Nel 2007 l’Estonia, Paese moderno, estremamente progredito nel campo informatico (pensate che la attività negli Enti statali estoni vengono fatte via internet e non esistono documenti cartacei negli uffici, né sui tavoli né negli armadi), subì un violento attacco informatico da un importante Paese confinante. I giornali, la Polizia ed i servizi ministeriali furono bloccati per circa una settimana. Non si poteva entrare né uscire dal Paese perché i controlli di frontiera erano bloccati, la vita del Paese rimase praticamente ferma per alcuni giorni. L’Europa e la Nato aiutò l’Estonia a rimettere in piedi il sistema e dopo qualche giorno l’attività riprese regolarmente. All’incirca nello stesso periodo la Guardia Costiera inglese subì un attacco informatico e si bloccò, nel senso che gli ordini dovettero essere emessi in forma cartacea ritornando ‘ai vecchi tempi’, cosa alla quale nessuno è più abituato. Le future guerre saranno ‘informatiche’ prima che convenzionali (truppe sul terreno) ed addirittura prima che nucleari. I Paesi tecnologicamente più progrediti stanno equipaggiandosi per contrastare attacchi informatici e per gestirne le conseguenze”.

Quanti sono e in quali Paesi si trovano le dorsali e i “nodi di routing” internet più importanti del mondo e ancora da chi vengono gestiti?
“No comment”.I Paesi industrializzati sono ormai consapevoli dei potenziali pericoli economici dovuti ad un eventuale collasso della Rete e molti hanno attivato dei Cert (Computer emergency response team). La Cina sembrerebbe essersi addirittura organizzata in modo da auto-escludersi dal Web in caso di pericolo. L’Italia sta facendo qualcosa in merito?
“I Cert sono la base per la difesa di un paese e di una alleanza. Permettono di monitorare e dare informazioni sulla attività della Rete e facilitano la reazione agli attacchi. L’Italia sta facendo la sua parte in questo campo, ma c’è ancora molto da fare”.

L’Enisa, l’agenzia europea per la sicurezza informatica con sede in Grecia, è attualmente operativa?
“No. Per decisione dei paesi membri, Enisa ha la funzione di aiutare i Paesi meno progrediti in campo informatico a raggiungere il livello di quelli più equipaggiati (Germania, Gran Bretagna, Francia, Finlandia,etc…), perché è noto che in una organizzazione informatica basta che la back-door sia debole per far collassare anche il più robusto sistema informatico. Enisa non può intervenire né imporre soluzioni tecnico-operative, può solo dare gli strumenti, insegnare ad usarli e convincere gli Stati Membri ad usarli; la decisione finale poi è del Governo di quel determinato Paese. Il motivo di questa limitazione è che ogni Paese europeo vuole gestire la propria sicurezza nazionale. Quindi aiuto sì, ma imposizioni operative no”.
Stiamo vivendo un periodo di profonde trasformazioni. Come evolverà Internet e quali i possibili risvolti nello sviluppo della nostra società?
“In maniera sintetica, direi un migliore standard di vita ed una maggiore democrazia dei popoli”.
Ci vuole parlare dei progetti che sta seguendo?
“Al ritorno in Italia, dopo molti anni all’estero sono rimasto allibito dalla arretratezza culturale e sociale della nostra classe politica (destra e sinistra). Sto quindi cercando, tramite il mio blog ed altre attività, di contribuire a migliorare la nostra società. Temo che sarà difficile, perché gli italiani sono intrinsecamente corrotti e non accettano di prendere decisioni per il bene comune ma solo per il tornaconto personale, basta guardare alla alta evasione fiscale ed al comportamento della nostra classe politica”.

Con molto piacere vi riporto un’interessante intervista dell’Inkiesta a Francesco Paolo Micozzi sul tema Anonymous:

Francesco Paolo Micozzi è un giovane penalista cagliaritano specializzato in diritto dell’informatica e delle nuove tecnologie, privacy e diritto d’autore. Sul suo blog si definisce «sostenitore del software libero e curioso osservatore dei fenomeni giuridici che attorno ad esso si sviluppano». Ma, nella rete, tutti lo conoscono come “l’avvocato degli Anonymous”.

Al di là dell’appellativo, il suo è un curriculum professionale di tutto rispetto nel settore. Era stato lui, infatti, assieme al collega Giovanni Battista Gallus, ad assumere la difesa di Gottfrid Svartholm, Fredrik Neij e Peter Sunde, i giovani informatici svedesi fondatori di The Pirate Bay, quando il loro sito web per l’indicizzazione dei file torrent (utilizzati per scaricare dalla rete film, musica e video, ndr) era stato “oscurato” nel nostro paese per decisione del tribunale di Bergamo. Il prossimo 1° ottobre, assieme ad altri colleghi giuristi italiani, sarà relatore della Digital Forensics and Security Conference 2011, in programma nella Capitale all’Hotel Sheraton.

Gli Anonimi di casa nostra nutrono per lui stima e ammirazione, non solo per la sua figura di “angelo custode” in toga, ma anche perché Micozzi, appassionato di informatica, viene considerato anche un profondo conoscitore delle motivazioni e degli “ideali” alla base del cosiddetto hacking etico. Ed è così che a Linkiesta l’avvocato Micozzi presenta una nuova chiave di lettura del fenomeno-hacktivism, affrontando anche il delicato tema dell’apparato legislativo nazionale in materia, e dei possibili (o per lo meno auspicabili) sviluppi futuri. «Purtroppo – ci dice – con la spettacolarizzazione delle vicende giudiziarie l’opinione pubblica tende a dimenticare troppo spesso il principio secondo cui l’imputato deve essere considerato innocente sino all’eventuale sentenza definitiva di condanna».

Avvocato Micozzi, cosa l’ha spinta ad approfondire questa branca del diritto penale?
«La passione per l’informatica mi accompagna sin da quando ero praticamente un bambino. Nei primi anni ’80, con l’avvento dei cosiddetti “home computer”, facevo i primi passi nella programmazione e trovavo una fortissima attrazione per il mondo dei bit e, in seguito, della sicurezza informatica. Quando alla passione per l’informatica si unisce una laurea in giurisprudenza e la professione da avvocato, il passo verso l’approfondimento e la commistione delle due materie è breve. Oltretutto – se si considera il recente avvento delle nuove tecnologie nella vita quotidiana di tutti noi – l’interesse per questa materia è, per quanto mi riguarda, amplificato dal fatto che non abbiamo ancora un’imponente stratificazione giurisprudenziale in materia».

Come spiegherebbe la differenza tra cybercrimine e hacktivism?
«Sono due termini che vengono spesso confusi e ritenuti sinonimi. In realtà potremmo rappresentarli come due cerchi parzialmente sovrapposti. Possiamo avere, da un lato, crimini informatici ispirati o meno dallo spirito hacktivist e, dall’altro, azioni di hacktivism che non ricadono nel concetto di cybercrime.
Con il termine cybercrime si intendono, in genere, tutti i reati commessi attraverso l’utilizzo del mezzo informatico. In questa grande categoria si individuano in primo luogo i reati che possono essere realizzati unicamente attraverso il mezzo informatico o telematico (pensiamo ad esempio ad un accesso abusivo a sistema informatico) e, in secondo luogo, i reati tradizionali commessi – incidentalmente – con il mezzo informatico (pensiamo, in questo caso, ad una diffamazione commessa attraverso Facebook). Cybercrime è, quindi, quell’attività che ha una rilevanza penale e che espone, chi la realizza, ad un processo penale e, eventualmente, ad una sanzione detentiva o pecuniaria.
Il termine hacktivism, invece, nasce dalla commistione dei termini “hacking” e “activism” e indica tutte quelle forme di attivismo digitale, di campagne d’informazione, di manifestazioni artistiche, di proteste on-line, di disobbedienza civile e, in genere, di mobilitazione digitale affiancata dall’uso delle nuove tecnologie. Per gli “Hacktivisti” l’informatica e la telematica, in tutte le loro forme di manifestazione, sono solo il mezzo per attirare l’attenzione del pubblico su un determinato interesse di cui sono portatori. Spesso, come già detto, vengono adoperati a tal fine anche quelle iniziative che possono essere inquadrate nel genere di crimini informatici».

C’è anche una certa confusione nella definizione di “hacker”…
«Sì, un altro errore che si commette comunemente è quello di ritenere che l’attività degli hacker consista nel porre in essere crimini informatici. Il termine hacking ha ormai assunto una connotazione negativa per la stragrande maggioranza dei mass-media. In realtà l’hacking può rappresentare un’attività del tutto lecita. L’hacking, infatti, nasce come divertimento goliardico, come studio delle possibilità offerte dalle nuove tecnologie in genere, come curiosità inventiva, come sfida intellettuale e soprattutto come conoscenza profonda degli strumenti informatici (siano essi software o hardware).Tuttavia, così come un chimico può utilizzare le proprie conoscenze per scoprire un nuovo elemento o per avvelenare una persona, allo stesso modo un hacker può usare il proprio sapere per correggere i bug di un determinato software o per accedere al conto corrente di una persona. Dire, quindi, che un hacker è un criminale informatico è come dire che un chimico è un avvelenatore».

Esiste davvero la figura dell’ethical hacker, ovvero l’hacker “etico”? Chi è, o chi dovrebbe essere?
«L’ethical hacker esiste, ma non è definito. È una figura in continuo cambiamento che è influenzata, com’è normale, dal susseguirsi degli eventi storici. E non si può dire neppure che al termine “ethical hacker” possa essere conferito un unico significato.
In genere, però, l’ethical hacker è chi “agisce a fin di bene” pur quando vengono poste in essere condotte che per l’ordinamento penale costituiscono reato. Pensiamo, ad esempio, a chi si introduca in un sistema informatico altrui sfruttando una falla del sistema, spinto unicamente dal desiderio di vincere una “sfida” personale, di dimostrare di essere in grado di farlo. Ciò senza danneggiare il sistema, né cancellarne i file, senza appropriarsi delle informazioni in esso contenute per poi divulgarle e, alla fine, consegnare al titolare del sistema violato le informazioni utili ad impedire che altri possano accedere sfruttando la medesima “falla del sistema”. Ciò non significa che l’hacker etico non abbia, nel caso appena esposto, commesso il reato di accesso abusivo a sistema informatico. E ciò a prescindere dal fatto che il titolare del sistema violato si determini, considerato che nessun danno è stato arrecato al sistema, a sporgere querela nei confronti dell’hacker. Il reato non aggravato di accesso abusivo a sistema informatico o telematico, infatti, previsto dal nostro codice penale al primo comma dell’art. 615-ter, è procedibile a querela di parte».

Oggi, nella mentalità della maggior parte degli italiani, la parola “hacker” è indissolubilmente legata al concetto di crimine informatico. A cosa si deve secondo lei questa concezione del fenomeno?
«Essenzialmente ad una cattiva informazione tesa al sensazionalismo. Bisogna evidenziare che il termine hacker è passato dal significato di nerd, smanettone, “secchione informatico” a quello di “pericoloso criminale informatico” e comunque ad un accezione negativa, nel preciso periodo storico in cui Internet ha avuto la sua più grande diffusione, ossia verso gli inizi degli anni ’90. È proprio nel 1993 che, anche in Italia, con la legge n. 547 vengono apportate le prime modifiche al nostro codice penale con l’introduzione di reati quali l’accesso abusivo a sistema informatico o telematico, la detenzione o diffusione abusiva di codici di accesso, il danneggiamento dei sistemi informatici e telematici, la diffusione di virus informatici e malware in genere, la frode informatica e così via».

In questi ultimi mesi hanno tenuto banco le azioni eclatanti di gruppi e movimenti come Anonymous e LulzSecurity. Sui media questo braccio di ferro tra cyberattivisti e forze dell’ordine ha più di una volta assunto i contorni di una caccia alle streghe. Cosa ne pensa?
«Nelle società civili è normale che ad una denuncia di reato seguano delle indagini e, quindi, un processo. È solo all’esito di quest’ultimo che può individuarsi una responsabilità e non certo nella prima fase delle indagini».

Come conciliare, in Italia, la tutela del diritto d’autore e le legittime aspirazioni ad un web libero e accessibile a tutti?
«Direi che questa è la domanda “da un milione di dollari”. In questi ultimi anni, per contrastare il fenomeno della “pirateria”, ci si è concentrati più sull’aumento delle sanzioni che sulla ricerca di nuovi modelli di marketing e di sfruttamento dei diritti d’autore. Il rischio, di questo passo, è di creare uno sbilanciamento tra gli interessi tutelati, ossia quello della libertà personale e quello della tutela del diritto d’autore. La soluzione dovrebbe ricercarsi nei nuovi modelli di sfruttamento dei diritti d’autore e nella rimodulazione del sistema basato sugli intermediari per lo sfruttamento del diritto d’autore».

Ritiene che la legislazione nazionale affronti con la necessaria dovizia il tema dei reati informatici?
«Il codice penale Italiano, e anche il codice di procedura penale, hanno subito una recente modifica in tema di reati informatici ad opera della legge 48/2008 con la quale si è recepita la Convenzione di Budapest del 2001 sui cybercrimes. Possiamo dire, quindi, che abbiamo un sistema normativo sanzionatorio in linea con quello di tanti altri ordinamenti.
Le difficoltà che il legislatore italiano si trova di fronte quando debba incidere sulla materia dei crimini informatici è dovuta alla necessità di creare norme in grado di stare al passo con l’innovazione tecnologica ed informatica e, allo stesso tempo, rispettare il principio di legalità in base al quale, ad esempio, le norme devono essere improntate al principio di determinatezza. Le norme penali, infatti, devono contenere dei precetti che abbiano un contenuto ben definito al fine di impedire l’estensione della punibilità anche ad ipotesi non espressamente previste dalla norma».

Cosa, a suo parere, dovrebbe essere modificato, approfondito o soppresso?
«Tra le modifiche ipotizzabili si potrebbe pensare all’introduzione nel codice penale, analogamente a quanto accade nel procedimento penale a carico dei minorenni, della causa di non punibilità per irrilevanza del fatto per le ipotesi di reato in cui vi sia una minima offensività all’interesse protetto. In questo modo si escluderebbe l’intervento della sanzione penale per le ipotesi di reato cosiddette “bagatellari”».

Vincenzo Iozzo è un giovane Hacker Italiano che ha visto balzare il suo nome sulla cresta delle cronache informatiche grazie agli ottimi risultati ottenuti nelle due recenti edizioni del Pwn2ow, Wired Italia l’ha recentemente intervistato e mi sembra doveroso riportarvi l’intervista e complimentarmi pubblicamente con Vincenzo. 🙂

Come mai non hai dato la rivincita all’iPhone?
Perché il Blackberry non era mai stato attaccato, mentre l’iOs in gara era il 4.2.1, non molto diverso dal 3.2.1 del 2010. Si poteva violare con la stessa tecnica, cercando un’altra vulnerabilità. Solo con il 4.3 Apple ha preso buone precauzioni.
Di quale delle due imprese sei più soddisfatto?
Del Blackberry, perché con questo non c’è modo di fare debugging, cioè capire cosa sta succedendo al tuo attacco sul dispositivo. Mentre per l’iPhone ci sono vari tool, non è una scatola chiusa.
Quindi il Blackberry è più sicuro?
No, molto meno in termini di contromisure, specialmente nei confronti di iOs 4.3. Solo più oscuro da attaccare.
Cosa ne pensi delle app infette finite recentemente sui dispositivi Android?
Le linee guida di Google sono decisamente meno restrittive rispetto a quelle di Apple per quanto viene inserito nei market ufficiali. In generale i sistemi di sicurezza su iPhone (tipo sandboxing e code signing) sono molto più efficaci di quelli su Android, senza considerare che questo usa di base una versione modifica del kernel Linux, piattaforma più nota agli attaccanti.
C’è da temere un boom di attacchi di questo tipo?
Non per ora. Se parliamo di market ufficiali, al momento non hanno senso perché i costi di ricerca per scrivere del malware sono decisamente inferiori ai ricavi. Le cose sono diverse per gli iPhone jailbroken o repository non ufficiali di Android.
Ci si può fidare a connettersi in un Internet Café?
No, come gli aeroporti sono decisamente i posti più rischiosi. Qui i malintenzionati possono rubare le credenziali a chi naviga su siti che non usano https.
Quali sono i problemi di sicurezza principali per uno smartphone, come ci si protegge?
L’unico modo è fare attenzione alle app che si installano. A parte questo, c’è poco da fare se parliamo di attacchi da remoto. Il modo più facile di bucare uno smartphone resta passare per il browser. Poi molto dipende dall’architettura del telefono, per esempio sul Blackberry è parecchio difficile accedere al database delle email.
Serve un antivirus sullo smartphone?
Al momento no. Magari in futuro.Parlando invece di pc, qual è lo stato di sicurezza dei nostri portatili?
Windows 7 e Mac Os X Lion sono molto più sicuri dei predecessori. Il panorama non è cambiato particolarmente rispetto a un anno fa, anche se si va diffondendo l’uso delle sandbox per proteggere i dati importanti. Certo, si possono by-passare, ma così servono due attacchi. La gente continua a essere poco attenta: il problema viene ancora percepito come remoto e distante, specie in Italia.
Il caso Anonymous avrà strascichi secondo te?
Ha avuto e ne avrà. Al di là della storia di Assange, HB Gary ora è sotto processo dopo che Anonymous ha pubblicato le loro email con cui venivano offerti servizi sporchi. Rispetto a un anno fa dal punto di vista dell’end-user non è cambiato molto, ci sono stati molti più attacchi resi pubblici nei confronti di aziende anche di alto profilo, tutto qui.

Più in generale, che novità hai visto in termini di attacchi al Pwn2own?
È stato molto interessante l’attacco a Internet Explorer, per la complessità: sono state usate tre vulnerabilità insieme. Questo è particolarmente rilevante perché fino a due anni fa potevi ottenere gli stessi risultati sfruttando una sola vulnerabilità.
Che mi dici di Chrome, che si è salvato anche questa volta? è più sicuro degli altri browser?
Ha una sandbox molto funzionante per cui l’attacco sarebbe stato parecchio complicato. Non dico impossibile, ma se l’obiettivo sono i 20.000 dollari tutti scelgono un target diverso. È un po’ più sicuro, sì, non troppo però.

Fonte | Wired Italia

In questo articolo voglio riproporvi un interessante intervista che l’Avvocato Fabiano ha rilasciato nei giorni scorsi a downloadblog, l’argomento è la Privacy nell’era dell’informatica ed i furti di identità. Più volte abbiamo accennato sul nostro blog i problemi su diversi portali Web ma nell’ultimo periodo sicuramente si è discusso del caso Street View e Facebook!

L’Avv. Fabiano è ‘research contributor’ per Nymity, organizzazione che si avvale della collaborazione di un gruppo di avvocati che si occupano di privacy in tutto il mondo con la più grande base di informazioni sulla privacy e la protezione dei dati personali. È stato riconosciuto dalla Information & Privacy Commissioner dell’Ontario (Canada) – Dr. Ann Cavoukian – Privacy by Design Ambassador (ambasciatore Privacy by Design). La 32ma Conferenza mondiale dei Garanti privacy ha adottato a fine ottobre 2010 la risoluzione sulla Privacy by Design proposta proprio dalla Dr. Cavoukian che ne è la teorica e leader mondiale. È membro del Policy & Scientific Committee di EPA (European Privacy Association), nonché Sector Director di IIP (Istituto Italiano per la Privacy). È iscritto nella lista degli esperti “for identifying emerging and future risks posed by new ICTs” di ENISA, nonché membro della ARC (Awareness Raising Community). È infine membro del Council internazionale “The Internet of Things” ed è direttore del CINFOR – Centro per l’Informatica e l’Innovazione Forense.

Continua a leggere