Consulente Legale Privacy - Studio Legale Frediani

Benvenuto dal Tuo Consulente Legale Privacy
Via Cividale 51 Montecatini Terme 51016 (PT) - Partita Iva 01426790471 - Numero ICQ: 124985614
Telefono (+ 39) 0572 78166 - Fax. (+39) 0572 72698 - Cellulare (+39) 329 3149970 - E-Mail: info@consulentelegaleprivacy.it
Home Lo Studio Legale Consulenza On-Line Approfondimenti Arbitrato Formazione Tariffe Network
.: giovedì 9 settembre 2010 ore 19:01 :. Utenti attivi: 4

DIRITTO PRIVACY
Accertamento
Banca Dati
Biometria
Blocco
Cache
Cessazione del trattamento
Codici di deontologia e di buona condotta
Comunicazione
Comunicazioni Elettroniche
Credenziale di autenticazione
Dati giudiziari
Dati identificativi
Dati relativi al traffico
Dati relativi all'ubicazione
Dati sensibili
Dato anonimo
Dato personale
Diffusione
Diritto di accesso
Documento informatico
Documento programmatico
Firma digitale
Garante
Illeciti penali
Incaricati
Informativa
Interessato
Misure minime
Notificazione
ODR
Parola chiave
Posta elettronica
Principio di necessità
Privacy
Provider
Reclamo
Regolamento informatico
Responsabile
Responsabilità forum
Responsabilità mailing list
Responsabilità newsletter
Rete pubblica di comunicazioni
Ricorso
Scopi scientifici
Scopi statistici
Scopi storici
Segnalazione
Sistema di autenticazione informatica
Sistema di autorizzazione
Spamming
Spionaggio industriale
Titolare
Trattamento
Videosorveglianza
Violazioni Amministrative
Webmaster

Lo Studio Legale Frediani è Delegato Territoriale Toscana per ANORC
Anorc (Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale)

La (in)sicurezza nei palazzi di giustizia

Alessandro Sigismondi

Durante un convegno sui reati informatici dell’Olaf, l’organizzazione antifrode dell’Unione europea,tenutosi a Milano il 30 gennaio 2009,è stato eseguita una simulazione di attacco alla sicurezza della procura di Milano.L’evento desta una certa preoccupazione,poiché entrare in possesso di informazioni riservate e dati sensibili è estremamente semplice per qualsiasi cyber criminale.La procedura utilizzata per la simulazione mette in evidenza la facilità di reperire dati sul web da parte di chi ha conoscenze più approfondite d’informatica e usa una logica criminale determinata.La simulazione è stata pensata come penserebbe un ladro d’informazioni,la prima domanda che ci si pone nell’entrare in uffici di stato è il falsificare i documenti. Nei tribunali e procure il documento di riconoscimento viene chiesto a tutti escluso gli avvocati,poiché il tesserino da avvocato funge anche da documento di riconoscimento. Allora il primo passo è reperire un tesserino falso,in questo internet aiuta i frodatori d’identità,perché basta andare su google immagini e digitare “tesserino avvocato” che vi sono innumerevoli esempi di tesserini,poi utilizzando tecniche di grafica,il tesserino è clonato come pure l’identità dell’ignaro avvocato. Una volta entrati nel palazzo della palazzo di giustizia si deve venire in possesso delle password di accesso della rete,e di altre informazioni utili.Le tecniche da utilizzare potrebbero essere diverse,la simulazione ha evidenziato un tipo di possibilità:quella di utilizzare una chiavetta usb su cui in nascosto sono stati installati dei programmi per catturare tutte le informazioni inerenti alle password e dati riservati dai computer. Anche questi programmi sono reperibili su internet,secondo il il consulente simulatore dell’attacco basterebbe digitare: “rubare tutte le password con una chiavetta Usb”sul motore di google e trovare una serie di siti da dove reperire il materiale.ho verificato le indicazioni descritte dal simulatore e ho trovato il sito http://www.gekissimo.net/2008/08/rubare-tutte-passowrd-usb.html  che mi spiega come preparare una chiave usb. Adesso un ipotetico ladro d’informazioni ha tutto il necessario,deve scegliere il giorno adatto: sicuramente di venerdì,perche questo giorno? perché il sabato non è lavorativo e il venerdì si cerca di chiudere il lavoro settimanale anche frettolosamente.Come ha fatto il simulatore a carpire le password dei computer della palazzo di giustizia di Milano? Semplice ha giocato sulla gentilezza e la mancata preparazione informatica di una dipendente. Della segreteria di un magistrato.In una cancelleria di un p.m viene richiesto un certificato,l’impiegata fa notare che ci vuole un istanza per ottenere il certificato, allora il ladro estrae la chiavetta usb truccata e chiede di poter stampare il modello che si era portato. Quando l’impiegataignara delle vere intensioni inserisce la chiavetta usb nel pc di lavoro,collegato in rete ,stampa il modello per l’istanza ma,sulla chiavetta rimangono catturate tutti i login e le password degli account di rete e web, della posta elettronica e dell’intera rete del magistrato;a questo punto lo scopo di rubare dati importanti,per esempio di un’indagine, ha avuto successo. Elemento importante non viene lasciata nessuna traccia nel carpire i dati ,poiché la chiave usb è considerata memoria esterna per cui una volta estratta nel sistema non rimane traccia.Altro metodo descritto dalla simulazione è quello di preparare delle penne usb per esempio da un 1gb con programmi ben nascosti che rilevano tutti le password e i dati sensibili della rete, lasciarle in giro per gli uffici,nei bagni,al bar ci sarà sempre qualche impiegato curiosone poco tecnologico che la vorrà provare sul suo pc la penna!.Appena si inseriscono queste chiavette sicuramente apparirà qualche foto provocante o qualche filmato piccante e,mentre il curiosone vede il contenuto con interesse e per approfondire viene invitato a collegarsi in internet i suoi dati vengono rubati e inviati via internet su siti fantasma (web server shadow),oppure viene auto installato un programma che si adopera come accesso remoto aprendo le porte del pc all’insaputa dell’utilizzatore. In modo che il pc sia intercettato abusivamente e tutte le informazioni riservate su attività investigativa finiscono in mani illecite. Questa simulazione porta alla ribalta il grave problema della sicurezza dei dati, nei pubblici uffici e aziende, non basta installare sofisticati sistemi di sicurezza e firewall per proteggere da attacchi esterni,quando gli attacchi avvengono dall’interno. Esempi del genere realmente accaduti ne troviamo all’ordine del giorno (http://archiviostorico.corriere.it/1994/gennaio/21/Aosta_furto_antitangenti_co_0_9401211923.shtml)(http://robertogalasso.blogspot.com/2008/01/hacker-tribunale-di-genova-g8.html)(http://www.pillolhacking.net/2008/11/05/un-giorno-in-procura-ovvero-tattiche-di-informatica-creativa/) A Milano è stata fatta una simulazione ma chi ci dice che nei vari palazzi di giustizia italiani e ,non andiamo lontano,anche nella nostra regione “l’Abruzzo” non vi sono furti di dati sensibili di indagini in corso; e che i computer dei vari uffici non siano infestati di programmi di accesso remoto? Che spioni non recuperano giornalmente informazioni?Allora ci chiediamo come fare per proteggersi? Prima che avvenga il furto e non indagare dopo?(non chiudere la stalla quando i buoi sono usciti!) Secondo la mia esperienza per fugare ogni ombra di dubbio bisognerebbe per prima cosa effettuare una bonifica su tutti i pc per verificare se all’accensione del sistema operativo vi siano eseguibili automatici non di sistema,ma programmi diciamo strani;dotare tutti i computer di un software che blocca l’accesso non autorizzato delle porte usb (http://www.uploadsblog.com/2008/09/19/bloccare-porte-usb-per-impedire-luso-di-dispositivi-rimovibili/), poi sensibilizzare gli impiegati e i dirigenti realizzando dei seminari informativi sulla sicurezza del posto di lavoro e le varie trappole informatiche. Bastano poche pillole di informatica per rendere difficile il furto dei dati sia negli organi dello stato che nelle aziende. La prima difesa è la conoscenza per evitare di cadere nelle trappole del web”

Per approfondire: http://milano.repubblica.it/dettaglio/Un-pm-hacker-viola-il-tribunale-Ecco-come-far-sparire-dati-delicati/1584048

alsigismo@gmail.com

Lo Studio Legale svolge la propria attività anche via web nel pieno rispetto del Codice Deontologico come riformato dal Consiglio Nazionale Forense nella seduta del 26 ottobre 2002 (il codice deontologico è consultabile sul sito ufficiale del Consiglio Nazionale Forense http://www.cnf.it ). Le tariffe applicate sono quelle vigenti come statuite dal Consiglio Nazionale Forense (per prenderne visione, cliccare su Tariffe). Polizzata asscurativa professionale stipulata con Toro Assicurazioni. n. polizza 466/59/00806052 massimale 1.000.000 di euro.

Consulente Legale Privacy è Copyright © 2005-2009 di Valentina Frediani
Powered by Romyx