CarCar > Sicurezza Informatica

Sommario Sicurezza


E01    Il ping di BO si configura come sabotaggio informatico, violazione della privacy o roba del genere?

Paradossalmente, no. La legge 23 dicembre 1993 n. 547 definisce i "reati informatici", ma il semplice PING del Back Orifice non e', in se', reato (non configura ne' la fattispecie di "alterazione di funzionamento", ne' quella di "violenza sulle cose" in senso lato).
L'unica apparenza di punibilita' percio' (nel caso di un PING) deriva da come tale PING e' stato inviato, i.e. usando un client Back Orifice? Nel caso, il pingatore e' in possesso di uno strumento "atto a...", e quindi (in teoria!) si configura la fattispecie di possesso di strumento idoneo a introdursi in un sistema telematico od informatico (art. 615 quater).
Ma si tratta di una interpretazione piuttosto ambigua, perche' tale art. e' nato con in mente il *traffico* delle *password*, non la *detenzione* di *tools*. Appare tuttavia possibile una estensione per analogia. Cioe' tutto dipende da quanto e' cazzuto il PM :-)
Inoltre ci si deve basare su una interpretazione relativa ad un reato di pericolo; il ping viene cioe' visto come "attivita' ordinata ad ottenere l'accesso ad un sistema informatico o telematico". Sara', in caso, onere dello hacker dimostrare che questa attivita' (pur svolgendosi) non fosse pero' ordinata ad un fine criminoso.
Per esempio il seguente script

   ...
   for i in $ICMP_FOUND_HOSTS; do
       if ( bo_ping $i 31337 "" ); then
         cat <<-HERE | bo_send $i 31337 "" 9
           Non dovrei essere qui. Lei ha
         installato BACK ORIFICE sul suo
         PC. Per rimuoverlo, consulti
         SUBITO http://www.kazzimazzi.com
         ---
         Finche' non lo fara', sara' possibile
         a me o ad altri ENTRARE NEL SUO PC!
             HERE
         fi
    done
...

genera una *tempesta* di PING su una sottorete, ma, qualora acquisito da un inquirente, vale a dimostrare se non altro la buona fede - e il fatto che l'attivita' non fosse ordinata all'accesso abusivo.
Completamente diverso e' invece il discorso, per chi si spinge al di la' del semplice "ping":

Nov 2 20:28:48 jag BOCLONE: a-rm29-14.tin.it: <Send system passwords>
Nov 20 09:51:22 jag BOCLONE: [194.243.173.132]: <Send system passwords>

...in questo caso si procede a querela di parte. Io 'sti due non ho mica intenzione di querelarli, anche perche' il secondo sta a 700 metri da me e se proprio volessi potrei pingarlo con una spranga ;-). E l'unica pass che hanno ricevuto e', credo, "gioppino".
Ma se li querelassi, il pretore acquisisce i dati di Telecom o di FOL, e qui c'e' proprio una violazione del 615 quater: , infatti, configura la fattispecie di "... procurarsi abusivamente codici di accesso a sistemi informatici o telematici". Reclusione fino a 1 anno e multa fino a 10 milioni (il che vuol dire che puo' anche essere zero e zero).
In piu' c'e' l'ingresso abusivo in un sistema informatico (e anche qui a dire il vero c'e' da discuterci: "ingresso", significa shell?), art. 615 ter C.P., reclusione fino a tre anni. Se danneggia i dati od installa un rootkit, reclusione da uno a cinque anni. Appare palese che per chi vada ad installare il BOServer via NetBEUI si configuri appunto tale ipotesi.
Inoltre l'A.G. puo' acquisire ugualmente i dati, anche in assenza di una denuncia: "...nella stragrande maggioranza dei casi l'interessato e' del tutto ignaro della effettuazione di un illecito ai suoi danni [...] vero e' che in tal caso trova applicazione l'art. 346 CPP per cui in mancanza di una condizione di procedibilita' [la querela di parte, NdR], che puo' ancora sopravvenire, possono essere compiuti gli atti di indagine preli- minare necessari ad assicurare le fonti di prova..."


[Sommario]



E02    Ma il ping di BO comunque e' configurabile come tentativo?

Si', piu' che altro perche' il Back Orifice serve unicamente come backdoor o come "amministrazione remota" -- ma ENTRAMBE queste attivita', se svolte su PC di terzi senza il preventivo consenso, sono reati.
Pero' il tentativo in se' non e' un reato: e il fatto che POSSA essere una attivita' ordinata a commettere un reato, non significa che lo SIA. Pero', naturalmente, a quel punto tocca al pingatore dimostrare di essere onesto.
Per esempio, uno che giri intorno ad una casa osservando finestre, porte e serrature *PUO'* essere un curioso... come un ladro che studia il colpo; e infatti l'articolo 55 del CPP prevede fra i DOVERI della P.G.:

  • prendere notizia di reati: attivita' informativa, diretta ad assumere la conoscenza della perpetrazione di reati, gia' commessi od in fieri; puo' essere svolta sia in forma tipica che in forma atipica. "Forma atipica", in linguaggio tecnico, significa "post civetta, tcpdump e sniffers sulla porta 31337 a tutti i providers; monitoraggio newsgroups; ecc.". (Non si incazzi, Brigadiere: io mi limito a riportare l'ovvio).
    Va da se' che le notizie cosi' acquisite non possono dare l'avvio ad una indagine in mancanza di una precisa nozione di reato. In pratica, se uno risulta originare o ricevere uno svagello di attivita' UDP:31337, questo non autorizza a piombargli in casa fisicamente o telematicamente.

    A dire il vero questo mi pare confligga con l'art. 13 della Costituzione - ma in effetti, quello parla della sfera _personale_, mentre un tcpdump sul provider e' quanto di piu' _impersonale_ ci possa essere :-) ... sul merito c'e' una sentenza (n. 30, 27/03/1962) della Corte Costituzionale, che in effetti ha compendiato l'art. 4 del testo unico sulle leggi di P. S. e che con qualche fatica si potrebbe estendere all'ambito telematico.

  • impedire che i reati giungano a conseguenze ulteriori
  • ricerca degli autori dei reati: a reato commesso e stabilito, la P.G. si dedica a individuare il reo, sia con atti atipici che con atti tipici (e cioe' perquisizioni, fermi, arresti in flagranza, ecc. ecc.).

  • individuazione ed assicurazione delle fonti di prova (qui ci si deve poi rifare alla definizione di 'fonti di prova' telematica, data dalla legge 547/93; e le attivita' in ordine a questa sono poi governate dagli artt. 350,351 ("cat /var/log/messages"), 352 ("find / -[...]"), 353 ("tar czvf /zip/mailboxes.tgz /var/spool/mail/*"), 354 ("toc toc! - chi e'? - apra, Polizia").

In presenza di "comportamento sospetto" nel mondo fisico, la P.G. puo', di iniziativa, sottoporre a misure limitative della liberta' personale.
Nello specifico (legge 22 maggio 1975 n. 152), coloro il cui atteggiamento o la cui presenza, in relazione a specifiche circostanze di tempo e luogo, non appaiono giustificabili, possono essere sottoposte a perquisizione, al fine di individuare oggetti o strumenti atti a nuocere.
Poiche' la legge 23 dicembre 1996 n.547 ha esteso il concetto di domicilio alla sfera telematica, si potrebbe altresi' estendere il concetto di "pura presenza"; per esempio se io telnetto su www.nasa.org, "in un certo senso" sono "telematicamente presente", alle porte di www.nasa.org. Ne' del resto si potrebbe configurare una violazione di domicilio esteso in senso fisico (altrimenti la legge mi punirebbe solo se io mi introducessi *FISICAMENTE* nel computer di un altro, passando per es. dal buco del floppy!).
Ma questa e' una elucubrazione mia, che sostengo solo fino al rogo escluso - la verita' e' che la legislazione in materia e' un gran casino, e basata su "estensioni analogiche" - e mi viene in mente il diverbio fra i rabbini chassidici (?) se l'elettricita' sia o meno "fuoco". Perche' se lo e', nel giorno di sabato non si puo' accendere la luce; e se non lo e', si puo', a patto che s'installi un condensatore in parallelo che elimina la scintilla di apertura circuito, la quale sicuramente e' compartecipe della natura di fuoco.
Fra un po' sentiremo discutere se un SYN scan sia "comportamento sospetto" essendo "assimilabile analogicamente" ad un "agire furtivo" 8-D.
La mia impressione generale e' che, se uno fa casino, lo prende nel ciocco come sonare a predica; altrimenti, tutto dipende da chi e' e da chi ha nel ruolo di avvocato. In pratica uno gia' cuccato a telnettare in casa altrui e' bene che smetta di usare anche il normale "ping" di Windows :-)

[Sommario]



E03    Se installo Back Orifice via NetBIOS su Internet ad un tizio che non sa niente, mi possono beccare? E cosa mi possono fare?

La risposta si articola nei seguenti punti:

  • L'installazione sopradetta configura la violazione dell'art 615 ter, comma due (violenza sulle cose, come da definizione ex art 392 comma due CP) del CP, e in aggiunta art 615 quinquies.

  • Si', ti possono beccare in un modo semplicissimo, che io (fossi nel nucleo di Polizia delle Telecomunicazioni) avrei installato da parecchio tempo (del resto, e' previsto dalla legge). Basta, evidentemente, che tu ti colleghi dal telefono di casa tua, poi avere l'indirizzo e' questione di due (2) ore.

  • Reclusione da un minimo di un anno a un massimo di cinque, piu' multa sino a lire venti milioni. Contrariamente a quanto io stesso credevo, NON e' necessaria la denuncia del boserverizzato: si procede d'ufficio (50 CPP) e la competenza e' pretorile (7 CPP). Non e' consentito il fermo di indiziato del delitto, ne' l'arresto, o tantomeno l'adozione di misure cautelari personali.

    [Sommario]



Fonte...Massimiliano Baldinelli...it.faq

 

Sicurezza informatica - By Carlo Carmagnini