Feed e altro
Metachiacchiere recenti
- Warham su La PEC incompleta, va bene lo stesso
- Warham su Scrivere le leggi
- Donaldhic su Chi condivide?
- Warham su Nonsoloquerele
- Reminder: TRANSACTION 1.82 BTC. Receive >>> https://telegra.ph/Go-to-your-personal-cabinet-08-25?hs=97e1303206586454c0d80d55446170cb& su Ci risiamo con le chiavette
- Notification- You got a transfer №DH75. GET >> https://telegra.ph/Go-to-your-personal-cabinet-08-25?hs=33c30fc8cf6e67ce4c13f5ab0d4cacef& su Key4Biz > Libertà di espressione sui social, si tratta solo di un claim commerciale?
- You have received 1 message # 223. Read >>> https://telegra.ph/Go-to-your-personal-cabinet-08-25?hs=86705d3641ae7e22abf2889865c43ea6& su Fatto 4, fai anche 5
-
Post più recenti
Categorie
Archivi
Blogroll (e altro)
- .mau.
- Alberto Mucignat
- Alfred Azzetto
- Altrimondi (Giorgio Dell’Arti)
- Antonio Sofi
- Antonio Tombolini
- Bretellalog – Alessandro Ferretti
- Carlo Felice Dalla Pasqua
- Dario Denni
- Dario Salvelli
- DelfinsBlog (Guido Arata)
- Dica, avvocato
- Diritto Amministrativo Veneto
- Doktor Faust
- Elvira Berlingieri
- Ernesto Belisario
- Fulvio Sarzana di S. Ippolito
- Guido Scorza
- Ictlex – Andrea Monti
- Il buon diritto
- Interlex
- Last Knight
- Le Rette Parallele
- Luca Spinelli
- Marco Camisani Calzolari
- Marco Pierani
- Marco Scialdone
- Massimo Mantellini
- Mayhem (Alessio Pennasilico)
- Michele Iaselli
- Paolo Attivissimo
- Paolo De Andreis
- Penale.it
- Penale.it ebook
- Penalpolis
- Placida Signora
- Poca Cola (Riccardo Pizzi)
- Punto Informatico
- Quasi.dot
- Quid Novi
- Rebus
- Reporters
- Roberto Cassinelli
- Roberto Dadda
- Roberto Olivieri
- Spinoza
- Stefano Quintarelli
- Studio Illegale
- Suzukimaruti (Enrico Sola)
- The Register
- Vittorio Pasteris
Category Archives: Sicurezza informatica
La Privacy? Una scocciatura
Una notizia che mi era proprio sfuggita, non all’Amico Andrea Lisi che una ha proposto un commento sull’accaduto, mediante il suo profilo Facebook.
Riassumiamo così, come fatto da Andrea “Si è danneggiata la chiavetta USB. La sentenza è rimandata. Siamo mortificati”. Il 90% degli atti riguardanti la causa erano “custoditi” su una chiavetta USB che, ad un certo punto, ha smesso di funzionare, dentro non c’era più nulla (non si hanno maggiori dettagli se non l’indisponibilità dei dati).
Bene, un corno: i giudici della Corte di Appello penale di Torino hanno dovuto rinviare (all’autunno prossimo) la stesura delle motivazioni nel processo Eternit bis, una vicenda giudiziaria che travalica il Palazzo e va ben oltre le singole persone offese, riguardando tutta la nostra società.
Rinvio sempre ad Andrea gli approfondimenti sulla vigenza del CAD e delle regole sui dati personali anche nel settore giudiziario (ma, evidentemente, qualcuno si sente superiore alle leggi), tuttavia faccio una piccola, pragmatica riflessione. Quando cerco di spiegare la “privacy”, sia come DPO che come semplice formatore/docente, pongo l’accento, anzitutto, sul fatto che il ridetto termine è fortemente – e impropriamente – limitato rispetto ai beni tutelati dal legislatore che, infatti, coincidono con i dati personali protetti nella loro riservatezza (“privacy”), ma anche, ad esempio, nell’integrità e nella disponibilità degli stessi. Mie fantasie? No, lo dice la legge, per la precisione il noto (evidentemente soltanto per “sentito dire”) GDPR, all’art. 32.
E così, proprio richiamando questa disposizione, si introduce il tema della sicurezza informatica, questa sconosciuta. Andiamo direttamente al caso concreto. I punti critici sono due: chiavetta USB e backup.
Sempre nella mia attività di formazione, specie quando l’uditorio è più digiuno di certi principi, di una certa cultura, dico chiaramente che si deve evitare di mettere i dati su chiavette USB. Sono dispositivi piccoli, si perdono facilmente e, in quanto memorie allo stato solido, hanno le loro fragilità. L’uso di dispositivi crittografati risolve soltanto in parte il problema (quello della riservatezza), non quelli dell’integrità e della disponibilità la cui cura ha un nome molto preciso: backup & restore. Certo, perché non basta avere una seconda copia dei contenuti, ma occorre trovarla subito per ripristinare il database, senza rinviare tutto a settembre.
Ci riempiamo la bocca di concetti come Intelligenza Artificiale, Giustizia predittiva, processi telematici, organizzando convegni, scrivendo articoli e libri. Poi vediamo che, su una banalità, i giudici torinesi hanno sbagliato tutto e chi paga sono le vittime del reato e tutta la nostra comunità frustrata, per un’imperdonabile leggerezza (ad essere buoni), nel diritto alla Giustizia.
Autopromozione > Cybercrimes e Processo penale. I reati, le indagini, la difesa – Vasto, 23 marzo 2018
Venerdi sarò ospite del Consiglio dell’Ordine degli Avvocati di Vasto (CH) per un interessante convegno che sarà a “sei mani” (oltre il Presidente).
Vediamo un po’, ci sarà anche una scolaresca, molto interessante…
QUI il programma.
NeXtQuotidiano > Due cose che non sapete di Hacking Team
(da neXtquotidiano del 20 luglio 2015)
Della vicenda Hacking Team si è scritto veramente molto, sondando quasi tutti gli aspetti critici: sicurezza informatica, terrorismo, spionaggio, concorrenza, ecc. C’è un tema, però, che non mi sembra sia stato trattato adeguatamente. Tendiamo a credere che i clienti dell società milanese fossero soltanto Stati, magari anche ostili, ma non è così. Perché, pur senza gradi proclami, sono state scoperte fatture emesse a Carabinieri, Polizia Postale e GICO (Guardia di Finanza).
Ma è chiaro che difficilmente queste Forze dell’Ordine, che svolgono attività anche di polizia giudiziaria, agiscono d’iniziativa, specie intercettando (perché è di intercettazioni che parliamo). Mi sembra che nessuno abbia scritto o pronunciato la parolina magica: Magistratura. Che gli inquirenti chiedano sempre maggiori strumenti per accertare e perseguire reati è un dato di fatto. A tale proposito, mi sembra si possano possano menzionare due episodi recenti, passati un po’ in sordina, ma, secondo me, assai significativi, specie se letti insieme alle notizie concernenti Hacking Team.
La prima risale a qualche mese fa. Con la (solita) occasione dell’antiterrorismo (chi si ricorda il decreto Pisanu del 2005, anno del’attacco a Londra?), qualcuno prova a far passare norme che vanno ad incidere, non poco, sulla sfera privata dei cittadini, ben al di là delle indagini per terrorismo. A denunciare il tentativo di “legalizzazione” del virus di stato è Stefano Quintarelli, intervistato da Arturo di Corinto per Repubblica. Poi, fortunatamente, tutto è rientrato e il decreto è stato convertito senza l’inserimento di quelle temute e pesanti modifiche alla disciplina delle intercettazioni, anche telematiche.
La seconda notizia risale al mese scorso. Il 26 giugno la VI sezione penale della Cassazione deposita le motivazioni della sentenza 27100/2015 in tema di “virus/trojan di Stato” o “captatori informatici”. La sentenza, al di là delle raffinatezze giuridiche, dimostra che gli inquirenti hanno utilizzato strumenti illegali, vietati dalla legge, dalla Costituzione e delle norme sovranazionali, per spiare i cittadini. Con una piccola app installata sullo smartphone si è potuto prendere il completo controllo dell’apparecchio, spiando i cittadini ben al di là delle regole poste a regola delle intercettazioni. Sorge oggi il lecito sospetto che quegli strumenti fossero forniti proprio da società come Hacking Team (o simili) per il tramite delle Forze dell’Ordine cui è stata emessa fattura. La guardia contro gli abusi investigativi non deve essere abbassata, neppure quando passano per un apparentemente innocuo emendamento.
Posted in neXt, Reati informatici, Sicurezza informatica
Tagged captatori informatici, hacking team
4 Comments
Alles Klar, Herr Kommissar?
Il sito Commissariato di P.S. Online (sportello delle sicurezza degli utenti nel Web) si propone – nobile scopo – di aiutare il “cibercittadino”ad essere telematicamente sicuro.
Tra le altre cose, è presente una sezione appositamente dedicata agli approfondimenti, perché chi conosce i rischi della Rete è certamente più in grado di porre in essere condotte di autodifesa rispetto a chi non sa nulla di “quel mondo là”.
Insomma, che si cerca di creare un po’ di consapevolezza sulle minacce telematiche. Intento lodevole.
Peccato che ci siano degli scivoloni, quello più clamoroso (e grave) è in tema di “hacking“.
Io, personalmente, ci vedo due errori macroscopici:
– la distinzione tra hacker e cracker verterebbe soltanto sullo scopo di lucro che muove i secondi e non i primi;
– entrambe le figure sarebbero punibili per la legge italiana.
Siamo nel 2015 e si è scritto sin troppo sul tema. Io non sono uno di quelli che santificano a prescindere il mondo dell’hacking.
Da un lato perché credo che occorra mantenere sempre un atteggiamento critico, evitando di subire, appunto, acriticamente le “autodefinizioni” degli interessati, onde evitare di legittimare, a priori, ogni fatto compiuto sotto una certa bandiera. In quanto giurista che si occupa della materia, ritengo di dover argomentare razionalmente e schiettamente, non per compiacere il mio interlocutore.
Specie perché, in effetti, col tempo le cose sono un po’ cambiate, l’approccio di taluni è divenuto assai meno romantico ed esistono delle zone grige di confine assai estese. Però, lo smanettone (mia personale traduzione di “hacker”, non certo perfetta, ma credo abbastanza condivisibile) è certamente una figura positiva, qualora stia nei confini della legge.
Ciò premesso, dire semplicisticamente che un cracker è un hacker mosso da fini di lucro è offrire una definizione fuorviante.
Siamo sempre nel 2015 e l’utente telematico deve sapere che la vera distinzione tra le due figure riguarda i fini, ma con qualche precisazione in più rispetto al mero lucro.
L’hacker agisce per meri motivi di studio (è una cosa che non si può tacere), per il cracker i fini sono i più disparati (di lucro, ma anche di danneggiamento, terroristici, ecc.), consapevolmente e volutamente illegali.
Tuttavia, il cracker ha certamente un’origine hacker, ma è malevolo: il cracker, insomma, è un hacker cattivo (così come meglio visto).
Da ciò consegue che l’affermazione (peraltro non dimostrata, giuridicamente) secondo cui “entrambe le figure, per la legge italiana, sono punibili” contiene un grave errore di fondo.
E’ inaccettabile, logicamente e giuridicamente, ritenere di poter sanzionare uno status (hacker o cracker) di per sé.
Occorre, invece, badare al caso concreto, alla condotta, all’evento, all’approccio e alle motivazioni che vi stanno dietro.
In tal senso, il Commissariato online non sta facendo un buon lavoro.
Posted in Reati informatici, Sicurezza informatica
Tagged commissariato online, cracker, hacker
1 Comment
neXt > Cosa ci insegna la storia delle foto rubate ai vip
Lunedì 1° settembre è partito neXt quotidiano, ma ne ho già parlato.
Il giorno dopo ho scritto il mio primo, piccolo contributo, credendo in un prodotto nuovo, non tenuto all’obbedienza verso i grandi gruppi editoriali.
E’ una scommessa anche per me.
Ecco il mio primo contributo, telegrafico.
(da neXt quotidiano del 2 settembre 2014)
Doveva accadere, prima o poi. Qualcuno sospetta si tratti di una trovata pubblicitaria o che le cose non siano andate esattamente come riferito in prima battuta. Sta di fatto che il problema c’è, eccome: ed ha le sue belle implicazioni giuridiche. Parlo del “Celebgate”: centinaia di account riconducibili ad altrettante VIP violati e saccheggiati, con conseguente diffusione di migliaia di immagini (fotografie e video) intime.
Ma cos’è il “cloud”? Pochi lo sanno, eppure lo abbiamo tutti sul nostro smartphone, sul nostro computer. Cloud significa nuvola e il “cloud” è, appunto, un sistema composto da nuvole-spazi Web nei quali vengono caricati e decentrati tutti i nostri dati affinché li possiamo raggiungere da qualsiasi dispositivo. La posta elettronica, in certe sue specifiche configurazioni, ne è il primo esempio, non è difficile capirlo. Il problema è che ben pochi sanno di mettere in cloud i propri dati perché i nostri sistemi sono spesso impostati per farlo di “default” e senza che l’utente ne sia consapevole. Spesso, peraltro, è possibile evitare tali funzionalità soltanto andando a scavare nei meandri del sistema.
Ma, a ben vedere, indipendentemente dai precisi contorni della vicenda che rimane un po’ fumosa ed ambigua, lo “scandalo” sta avendo due effetti positivi. I produttori di software (delle app per smartphone, in primis) si troveranno costretti a rivedere i propri prodotti, rendendoli più sicuri, in un certo qual modo più “etici”. Gli utenti, invece, da oggi saranno più consapevoli e non esiste alcuna politica di sicurezza senza, appunto, consapevolezza. Brutto da dirsi, ma la tecnologia non è per tutti.
Veri e falsi segreti
Ieri, su Repubblica, è uscito un articolo assai allarmistico sulla sicurezza delle nostre trasmissioni telematiche e telefoniche (queste ultime, ove instradate – come è oramai usuale – via IP).
L’allarme sarebbe contenuto in un dossier “segreto” del Garante per le tutela dei dati personali inviato al governo.
Il punto sarebbe la vulnerabilità degli Internet eXcenge Point (IXP), in poche parole gli “snodi”, gli “svincoli” delle comunicazioni telematiche.
Stamattina, purtroppo non ricorso su quale emittente radiofonica, ho sentito la voce di Andrea Monti, col quale mi trovo spesso d’accordo.
In estrema sintesi:
– il dossier è tanto “segreto” che lo sanno anche quelli di Repubblica (e, soprattutto, esiste veramente?;
– gli IXP risultano ben protetti, ma il problema è la “chiusura”, la “segretezza” dell’hardware (specie nella sua componente firmware) perché così non possono essere rilevate eventuali “porte” di accesso non documentate e predisposte dal produttore hardware a fini indefiniti.
In buona sostanza Andrea ci vuole dire che non esiste alcun sistema sicuro se non è totalmente conosciuto o conoscibile. E l'”open” rappresenta l’unica via.
Difficile non essere d’accordo.
Firmare online
Nicola Porro, sul suo blog del Giornale, scrive un violenta invettiva contro le password robuste.
In pratica, si lamenta che su qualche sito, spero di una banca o qualcosa del genere, ogni mese è “costretto” a reimpostare password le cui regole, secondo lui, sono assurde. Certe procedure sono antipatiche anche a me, ma occorre sapere perché esistono.
Ragionando degli informatici che sarebbero i nuovi comunisti, si pone una serie di domande. Sbaglia, però, la prospettiva perché non è lui ad essere più o meno libero di di mettere una password semplice, ma chi gestisce il sito, vale a dire, in legalese, il “titolare del trattamento dei dati personali”.
Se il titolare non predispone un sistema dotato di un certo livello di sicurezza, paga; civilmente e anche penalmente. Lo dice la legge, precisamente il d.lgs. 196/2003, con relativi allegati.
Conclude così: “ps e se qualcuno si azzarda a dire qualcosa sul rischi truffe e bla bla bla, sono disponibile a firmare on line una volta per tutte un’assunzione di responsabilità per furto di password“.
Bene, lo faccia, ma “firmare online” non ha alcun valore giuridico, è soltanto demagogia.
Amarcord Interlex
Interlex è stata sicuramente una rivista telematica innovativa, una cosa molto “avanti”, nata da Manlio Cammarata subito dopo l’avvento commerciale della Rete in Italia.
Pensate un po’ che è stata la prima realtà internettiana a divenire, già nel 1997, testata registrata.
Purtroppo, ultimamente, si è un po’ persa, ma è abbastanza naturale visto che lo spirito degli innovatori di Internet è sempre in movimento.
Ci rimane un invidiabile archivio.
Oggi, facendo un po’ di egosurfing, ho trovato questa mia cosa, proprio del 1997
Parlavo di alcuni aspetti critici della disciplina dl software. Erano anni molto fecondi per la materia. L’anno prima era stata approvata la l. 675/96 sulla tutela dei dati personali (con pesanti interventi sugli aspetti informatici del trattamento).
Così, si stava chiudendo un primo ciclo ideale comprendente anche il software (1992), i reati informatici (1993) e le banche di dati (1999).
Amarcord: non trovo espressione più suggestiva.
Cloud, privacy, compliance (autopromozione)
Il 25, a Milano, con Axioma.
Un evento formativo non gratuito, ma spero molto interessante su un argomento, quello del cloud computing, tanto attuale quanto delicato anche sotto il profilo legale.
Posted in Privacy e dati personali, Sicurezza informatica
Tagged axioma, cloud, cloud computing
Leave a comment
Phishing: quando la banca deve pagare
La banca (nella fattispecie le Poste Italiane) deve garantire l’accesso ai conti online esclusivamente ai soggetti autorizzati.
In caso di utilizzo di credenziali carpite mediante phishing, dunque, deve rimborsare il correntista.
E’ questo, in estrema sintesi, l’orientamento del Tribunale di Palermo in una decisione, resa in sede civile, pubblicata da Diritto e Processo.
ineccepibile, a mio parere.
Posted in Reati informatici, Sentenze e sentenzine, Sicurezza informatica
Tagged phishing
8 Comments