{"id":622,"date":"2023-06-10T09:39:25","date_gmt":"2023-06-10T07:39:25","guid":{"rendered":"https:\/\/www.fabriziogiancola.eu\/?p=622"},"modified":"2024-11-12T17:04:22","modified_gmt":"2024-11-12T16:04:22","slug":"il-rischio-cyber-nelle-aziende","status":"publish","type":"post","link":"https:\/\/www.fabriziogiancola.eu\/index.php\/2023\/06\/10\/il-rischio-cyber-nelle-aziende\/","title":{"rendered":"Il Rischio Cyber nelle Aziende"},"content":{"rendered":"\n<p class=\"has-medium-font-size\">Master Executive di II livello in Cyber Security &#8211; Anno Accademico 2015-2016, estratto dalla mia tesi.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-style-default is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u201cThere are two types of companies: those who have been hacked, and those who don\u2019t yet know they have been hacked\u201d<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li class=\"has-small-font-size\">John Chambers, Executive Chairman Cisco Systems. World Economic Forum 2015<\/li>\n<\/ul>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u201c\u2026 possiamo affermare che il 2016 \u00e8 stato complessivamente l\u2019anno peggiore di sempre in termini di evoluzione delle minacce \u201ccyber\u201d e dei relativi impatti, non solo dal punto di vista quantitativo ma anche e soprattutto da quello qualitativo.\u201d<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li class=\"has-small-font-size\">Rapporto Clusit 2017<\/li>\n<\/ul>\n<\/blockquote>\n\n\n\n<p>Questa era la mia prefazione alla tesi redatta nel 2016, ma considerando quanto scritto nel \u201cRapporto Clusit 2023\u201d: <\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u201cOsservando la situazione dal punto di vista quantitativo, negli ultimi 5 anni la situazione \u00e8 peggiorata nettamente, seguendo un trend pressoch\u00e9 costante. Confrontando i numeri del 2018 con quelli del 2022 la crescita del numero di attacchi rilevati \u00e8 stata del 60% &#8230;  Oltre alla maggiore frequenza, anche la nostra valutazione della Severity media (indice di gravit\u00e0) di questi attacchi \u00e8 drasticamente peggiorata, il che rappresenta un significativo moltiplicatore dei danni.\u201d<\/p>\n<\/blockquote>\n\n\n\n<p class=\"has-medium-font-size\"><em>Anello debole: l\u2019uomo. La forza di una catena, si dice, si misura da quella del suo anello pi\u00f9 debole.<\/em><\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.1 La Minaccia Cyber nelle Aziende<\/u><\/strong><\/strong><\/p>\n\n\n\n<p>La vulnerabilit\u00e0 dei sistemi informatici \u00e8 oggi riconosciuta a livello globale. Cittadini, aziende e governi subiscono attacchi sempre pi\u00f9 frequenti e difficili da contrastare. L\u2019ultimo \u201cRapporto Clusit\u201d sulla sicurezza ICT evidenzia che la capacit\u00e0 complessiva di attivare protezioni efficaci \u00e8 ancora debole.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>La minaccia cyber<\/strong><\/p>\n\n\n\n<p>Con minaccia cibernetica intendiamo l\u2019insieme delle condotte controindicate che possono essere realizzate nel e tramite lo spazio cibernetico ovvero in danno di quest\u2019ultimo e dei suoi elementi costitutivi. La minaccia si sostanzia nei c.d. attacchi cibernetici: azioni pi\u00f9 o meno automatizzate sulle reti da parte di singoli individui o organizzazioni, statuali e non, finalizzate a distruggere, danneggiare o ostacolare il regolare funzionamento dei sistemi, delle reti o dei sistemi attuatori di processo da essi controllati ovvero a compromettere l\u2019autenticit\u00e0, l\u2019integrit\u00e0, la disponibilit\u00e0 e la riservatezza dei dati ivi custoditi o che vi transitano<a href=\"#_ftn1\" id=\"_ftnref1\"><sup>[1]<\/sup><\/a>.<\/p>\n\n\n\n<p>Una caratteristica saliente della minaccia cibernetica \u00e8 la sua asimmetricit\u00e0. L\u2019attaccante infatti:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>pu\u00f2 colpire a grandissima distanza, da dovunque nel mondo esista un accesso alla rete;<\/li>\n\n\n\n<li>potenzialmente pu\u00f2 attaccare sistemi particolarmente sofisticati e protetti sfruttandone anche una sola vulnerabilit\u00e0;<\/li>\n\n\n\n<li>pu\u00f2 agire con tempi tali da non consentire un\u2019efficace reazione difensiva;<\/li>\n\n\n\n<li>pu\u00f2 rimanere anonimo o comunque non facilmente individuabile rendendo in tal modo estremamente complessa e difficile una corretta risposta da parte dell\u2019attaccato.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>In cosa consiste la Cyber Security?<\/strong><\/p>\n\n\n\n<p>Sui giornali, ai convegni, nelle presentazioni commerciali si evidenzia una notevole con\u00adfusione in merito al significato dell\u2019espressione \u201c<em>Cyber Security<\/em>\u201d.<\/p>\n\n\n\n<p>Ma possiamo dire che \u201c<em>La cyber security \u00e8 quella pratica che consente a una entit\u00e0\u0300 (ad esempio, organizzazione, cittadino, nazione ecc.) la protezione dei propri asset fisici e la <strong>confidenzialit\u00e0\u0300<\/strong>, <strong>integrit\u00e0\u0300 <\/strong>e <strong>disponibilit\u00e0\u0300 <\/strong>delle proprie <strong>informazioni <\/strong>dalle minacce che arrivano dal <strong>cyber space<\/strong>\u201d<\/em>.<a href=\"#_ftn2\" id=\"_ftnref2\"><sup>[2]<\/sup><\/a><\/p>\n\n\n\n<p>Dove, \u201c<em>the Cyberspace<\/em>\u201d \u00e8 definito come \u201c<em>il complesso ambiente derivante dall&#8217;interazione tra persone, software e servizi su Internet tramite dispositivi tecnologici e reti connesse, che non esiste in nessuna forma fisica<\/em>\u201d<a href=\"#_ftn3\" id=\"_ftnref3\">[3]<\/a><\/p>\n\n\n\n<p>In sintesi, proteggere gli assetti della propria organizzazione significa garantire i seguenti tre obiettivi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>riservatezza<\/strong>,le informazioni devono essere accessibili direttamente o indirettamente solo alle persone (o ai sistemi) che ne hanno diritto e che sono espressamente autorizzate a conoscerle;<\/li>\n\n\n\n<li><strong>integrit\u00e0<\/strong>, i dati e le rispettive informazioni devono essere protette da alterazioni, quali modifiche, danneggiamenti o cancellazioni improprie, anche accidentali;<\/li>\n\n\n\n<li><strong>disponibilit\u00e0<\/strong>, i dati e le rispettive informazioni devono essere sempre accessibili agli utilizzatori che ne hanno diritto nei tempi e nei modi previsti.<\/li>\n<\/ul>\n\n\n\n<p>Il <strong><em>dato <\/em><\/strong>\u00e8 la rappresentazione oggettiva di un fatto o evento che consenta la sua trasmissione oppure interpretazione da parte di un soggetto umano o di uno strumento informatico.<\/p>\n\n\n\n<p>L&#8217;<strong><em>informazione <\/em><\/strong>\u00e8 l&#8217;interpretazione e il significato assegnato a uno o pi\u00f9 dati.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.2 I Possibili \u201c<\/u><\/strong><em><strong><u>Nemici<\/u><\/strong><\/em><strong><u>\u201d<\/u><\/strong><\/strong><\/p>\n\n\n\n<p>Gi\u00e0 nel Rapporto CLUSIT 2015, alla luce dei trend individuati si leggeva: <em>\u201cdunque la vera questione per i difensori (con riferimento ai dati, alle infrastrutture informati\u00adche ed a tutti quei servizi, molti dei quali critici, oggi realizzati tramite l\u2019ICT) non \u00e8 pi\u00f9 \u201cse\u201d, ma \u201cquando\u201d si subir\u00e0 un attacco informatico (dalle conseguenze pi\u00f9 o meno dannose), e quali saranno gli impatti conseguenti\u201d.<\/em><\/p>\n\n\n\n<p>Questa tendenza si \u00e8 ulteriormente consolidata e nel 2016, il principa\u00adle problema non \u00e8 tanto che si verr\u00e0 attaccati (tutti lo sono ormai costantemente, per lo pi\u00f9 tramite sistemi automatizzati, nella sfera personale e professionale, per i motivi pi\u00f9 disparati), ma quali saranno gli impatti degli attacchi andati a buon fine sulla sicurezza di organizzazioni, utenti, clienti e partner, e come impedire al maggior numero possibile di incidenti di verificarsi.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Tipi di minaccia<\/strong><\/p>\n\n\n\n<p>A seconda degli attori e delle finalit\u00e0 si usa distinguere la minaccia cibernetica in quattro macro-categorie. Si parla in tal caso di:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>criminalit\u00e0 cibernetica (<em>cyber-crime<\/em>): complesso delle attivit\u00e0 con finalit\u00e0 criminali (quali, per esempio, la truffa o frode telematica, il furto d\u2019identit\u00e0, la sottrazione indebita di informazioni o di creazioni e propriet\u00e0 intellettuali);<\/li>\n\n\n\n<li>spionaggio cibernetico (<em>cyber-espionage<\/em>): acquisizione indebita di dati\/informazioni sensibili, proprietarie o classificate;<\/li>\n\n\n\n<li>terrorismo cibernetico (<em>cyber-terrorism<\/em>): insieme delle azioni ideologicamente motivate, volte a condizionare uno stato o un\u2019organizzazione internazionale;<\/li>\n\n\n\n<li>guerra cibernetica (<em>cyber-warfare<\/em>): insieme delle attivit\u00e0 e delle operazioni militari pianificate e condotte allo scopo di conseguire effetti nel predetto ambiente.<\/li>\n<\/ul>\n\n\n\n<p>Europol, nel suo rapporto IOCTA<a href=\"#_ftn4\" id=\"_ftnref4\"><sup>[4]<\/sup><\/a> sugli otto trend del <em>cyber crime <\/em>nel 2016, li ha classificati in:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>crime-as-a-service<\/em>: il crimine diventa una <em>commodity<\/em> che si compra al \u201csupermercato\u201d (nero) criminale. Il crimine informatico e la criminalit\u00e0 ordinaria sono sempre pi\u00f9 vicini grazie al modello noto come \u201c<em>cybercrime-as-a-service<\/em>\u201d in cui esperti <em>hacker<\/em> offrono prodotti e servizi a gruppi criminali che intendono differenziare le proprie attivit\u00e0;<\/li>\n\n\n\n<li>i <em>ransomware<\/em>, la nuova edizione dell\u2019estorsione;<\/li>\n\n\n\n<li>l\u2019uso criminale dei dati nelle forme di truffe od estorsioni pi\u00f9 sofisticate;<\/li>\n\n\n\n<li>le frodi nei pagamenti;<\/li>\n\n\n\n<li>la pedopornografia online e gli abusi;<\/li>\n\n\n\n<li>l\u2019abuso di <em>darknet<\/em> per attivit\u00e0 illecite;<\/li>\n\n\n\n<li>il <em>social engineering<\/em>, ora rivolto anche ai vertici aziendali per frodi articolate;<\/li>\n\n\n\n<li>l\u2019uso distorto delle valute virtuali, divenute lo strumento di pagamento degli illeciti<em>.<\/em><\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Gli autori<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>pirati informatici<\/em>, quelli che spesso, comunemente, vengono chiamati <em>hacker<\/em>, \u00c8 sbagliato pensare che i cybercriminali puntino solamente ad eseguire attacchi in grande stile. A fianco di bersagli quali istituti governativi e bancari, sono sempre pi\u00f9 oggetto di attacchi informatici anche PMI, liberi professionisti, sino al singolo utente domestico;<\/li>\n\n\n\n<li><em>spie, sabotatori, vandali<\/em>. Attualmente, diversi Governi si sono dotati delle necessarie <em>capacit\u00e0<\/em> per penetrare le reti nazionali degli altri Stati (in uso sia alle autorit\u00e0 pubbliche che ai privati) a fini di spionaggio o per mappare i sistemi potenzialmente oggetto di un futuro attacco. Il vandalo adotta un insieme di azioni al fine di danneggiare o distruggere beni altrui materiali e non, per puro divertimento o incuria. Il sabotatore ha per obiettivo creare danni ad un sistema, dal rallentamento sino al <em>denial of service<\/em>, per i motivi pi\u00f9 vari. \u00c8 evidente che una netta distinzione tra i due attori non \u00e8 possibili in quanto agiscono spesso con le medesime modalit\u00e0 e per gli stessi scopi; <\/li>\n\n\n\n<li>oltre ai criminali comuni, che si rifanno al modello noto come \u201c<em>cybercrime-as-a-service<\/em>\u201d di cui si \u00e8 parlato prima, vi sono <em>organizzazioni criminali <\/em>che hanno preso coscienza delle potenzialit\u00e0 dei <em>malware<\/em> andando a creare strutture commerciali efficientemente organizzate, capaci di generare sensibili profitti dalla vendita dei servizi che le <em>botnet<\/em><a id=\"_ftnref5\" href=\"#_ftn5\"><em><strong>[5]<\/strong><\/em><\/a> sono in grado di offrire;<\/li>\n\n\n\n<li><em>terroristi<\/em>, \u00e8 possibile ipotizzare che nel prossimo futuro gruppi terroristici o singoli individui possano impiegare strumenti cibernetici offensivi ed utilizzarli contro obiettivi militari e civili. Si pu\u00f2 far rientrare in questa categoria, quella degli attivisti, dal 2013 sempre pi\u00f9 spesso si assiste ad una commistione tra finalit\u00e0 <em>cyber<\/em> criminali e forme di <em>hacktivism<\/em>. I due ambiti, originariamente distinti per <em>background<\/em>, finalit\u00e0 e modalit\u00e0 di azione, sempre pi\u00f9 spesso trovano conveniente allearsi per raggiungere i propri obiettivi: tipologie di attacco motivate ideologicamente, con intento sostanzialmente dimostrativo, che mirano principalmente a creare un danno d\u2019immagine e\/o alla funzionalit\u00e0 temporanea di sistemi e reti;<\/li>\n\n\n\n<li><em>personale interno<\/em>, ovvero l\u2019 \u201c<em>insider<\/em>\u201d, cio\u00e8 il soggetto che all\u2019interno di una organizzazione \u2013 pubblica o privata poco importa \u2013 pu\u00f2 generare situazioni compromettenti la sicurezza o addirittura la sopravvivenza della realt\u00e0 di appartenenza. L\u2019attenzione \u00e8 incentrata sia sui soggetti che ora lavorano nell\u2019organizzazione, sia su quelli che hanno interrotto ogni rapporto. Va tenuto nella dovuta considerazione il fatto che l\u2019attenzione agli attacchi informatici deve necessariamente essere rivolta non solo verso l\u2019esterno, ma anche verso l\u2019interno dell\u2019azienda. Un dipendente particolarmente motivato potrebbe creare un danno molto maggiore rispetto a quello di un cyber attaccante, vista la sua conoscenza dell\u2019infrastruttura e degli <em>asset<\/em> aziendali. A mio parere rappresenta una fra le minacce pi\u00f9 gravi: partono in vantaggio rispetto ad un attaccante esterno per la conoscenza delle dinamiche interne, delle infrastrutture, ecc.., hanno gi\u00e0 le credenziali di accesso e spesso non vengono revocate in tempo. Esempio italiano Hacking Team;<\/li>\n\n\n\n<li><em>fornitori di servizi<\/em>, <em>outsourcers<\/em>, nel 2013 si \u00e8 assistito all\u2019emergere di una chiara tendenza, per cui gli attaccanti hanno individuato negli <em>outsourcer<\/em> l\u2019anello pi\u00f9 debole da colpire per raggiungere (tipicamente sfruttandone le utenze privilegiate e le connessioni VPN) i loro bersagli primari. Questo fenomeno, data la propensione degli attaccanti a minimizzare gli sforzi, \u00e8 destinato a crescere in modo esponenziale, dal momento che spesso questi fornitori sono aziende medio-piccole, con una cultura della sicurezza sensibilmente inferiore a quella dei loro grandi clienti, pur avendo di frequente accessi poco o per nulla presidiati alle loro reti ed infrastrutture;<\/li>\n\n\n\n<li>dal crimine informatico allo <em><u>state-sponsored hacking<\/u><\/em>. Lo scenario attuale vede un crescente numero di attacchi informatici caratterizzati da livelli di complessit\u00e0 elevati, determinati dalla proliferazione di <em>hacker<\/em> al soldo di governi oppure di malware sviluppati dai governi stessi. Se il crimine informatico preoccupa gli esperti di sicurezza, il <em>nation-state hacking<\/em> non \u00e8 da meno. La quasi totalit\u00e0 dei governi \u00e8 intenta nell\u2019ampliamento del proprio arsenale cibernetico.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.3 Il Rischio Cyber per le Imprese<\/u><\/strong><\/strong><\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Vulnerabilit\u00e0 e potenziali attacchi<\/strong><\/p>\n\n\n\n<p>In questo capitolo vengono elencate le principali tipologie di attacchi e di vulnerabilit\u00e0 che possono essere riscontrate nella pratica, per lo sviluppo sicuro delle applicazioni, nell\u2019ottica di identificare un modello adeguato da utilizzare nella identificazione delle contromisure da adottare per il profilo di sicurezza di una applicazione.<\/p>\n\n\n\n<p>Per realizzare un profilo di sicurezza efficace, sar\u00e0 infatti necessario conoscere innanzitutto quali sono i potenziali attacchi che pi\u00f9 verosimilmente potranno essere riscontrati nell\u2019ambito di una applicazione.<\/p>\n\n\n\n<p>L\u2019identificazione di queste possibili situazioni critiche potr\u00e0 essere quindi utilizzata secondo un approccio probabilistico nella successiva fase di analisi dei rischi, per la individuazione delle contromisure che pi\u00f9 convenientemente sia il caso di adottare.<\/p>\n\n\n\n<p>Un potenziale attacco pu\u00f2 essere definito come l\u2019attuazione di una delle possibili minacce per un sistema, mentre la vulnerabilit\u00e0 \u00e8 una debolezza all\u2019interno del sistema stesso e che rende possibile il verificarsi di quel potenziale attacco.<\/p>\n\n\n\n<p>La vulnerabilit\u00e0 pu\u00f2 essere causata da un disegno di analisi non adeguato, da errori di configurazione o da tecniche di programmazione non sicure o inappropriate. Una insufficiente validazione dell\u2019input \u00e8 un esempio di vulnerabilit\u00e0 a livello di sicurezza delle applicazioni e che potrebbe causare il verificarsi di attacchi tramite input maliziosi.<\/p>\n\n\n\n<p>La distribuzione dei potenziali attacchi suddivisi per categoria di vulnerabilit\u00e0, come riportato di seguito, fornisce una rappresentazione delle aree dove pi\u00f9 frequentemente si verificano problemi in termini di sicurezza delle applicazioni e pu\u00f2 costituire uno strumento di supporto da seguire nelle fasi di sviluppo e di analisi.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Categoria di Vulnerabilit\u00e0<\/strong><\/th><th><strong>Potenziale attacco<\/strong><\/th><\/tr><\/thead><tbody><tr><td><em>Validazione dell\u2019input<\/em><\/td><td>Buffer overflow;<br>Script XSS;<br>SQL injection;<br>Altre forme di iniezione di codice (O.S., LDAP)<br>Canonicizzazione.<\/td><\/tr><tr><td><em>Autenticazione<\/em><\/td><td>Network eavesdropping;<br>Brute force attacks;<br>Dictionary attacks;<br>Cookie replay;<br>Furto di credenziali.<\/td><\/tr><tr><td><em>Autorizzazione<\/em><\/td><td>Elevazione di privilegi,<br>Violazione di dati riservati, Accesso a funzionalit\u00e0 non autorizzate<br>Data tampering;<br>Luring attacks.<\/td><\/tr><tr><td><em>Gestione della Configurazione<\/em><\/td><td>Accessi non autorizzati ad interfacce di amministrazione;<br>Accessi non autorizzati a file di configurazione;<br>Reperimento in chiaro di dati riguardanti la configurazione;<br>Assegnazione di account non individuali; Processi e account del servizio con privilegi troppo elevati.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>Categoria di Vulnerabilit\u00e0<\/strong><\/td><td><strong>Potenziale attacco<\/strong><\/td><\/tr><tr><td><em>Dati Sensibili<\/em><\/td><td>Accesso a dati sensibili in memoria o file system;<br>Network eavesdropping;<br>Data tampering.<\/td><\/tr><tr><td><em>Gestione delle Sessioni<\/em><\/td><td>Session hijacking;<br>Session replay;<br>Man in the middle.<\/td><\/tr><tr><td><em>Crittografia<\/em><\/td><td>Gestione o generazione non appropriata delle chiavi;<br>Crittografia debole.<\/td><\/tr><tr><td><em>Manipolazione di Parametri<\/em><\/td><td>Manipolazione di query string;<br>Manipolazione di campi relativi a maschere di input, inclusi campi hidden;<br>Manipolazione di Cookie;<br>Manipolazione di header HTTP<\/td><\/tr><tr><td><em>Gestione delle eccezioni\/errori<\/em><\/td><td>Information disclosure; Denial of service.<\/td><\/tr><tr><td><em>Audit e Log<\/em><\/td><td>Negazione di aver effettuato una operazione;<br>Violazione di una applicazione senza lasciare tracce;<br>Cancellazione delle proprie tracce.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Per effettuare in maniera sistematica una identificazione delle possibili minacce per una applicazione, un approccio valido consiste nella verifica delle vulnerabilit\u00e0 che sono ad essa applicabili.<\/p>\n\n\n\n<p>Una volta individuate le vulnerabilit\u00e0 a cui l\u2019applicazione potrebbe essere soggetta, si potranno identificare le possibili minacce, o attacchi potenziali ad essa collegate e le corrispondenti contromisure da adottare.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Validazione dell\u2019Input<\/strong><\/p>\n\n\n\n<p>In questa categoria ricadono le tecniche di filtraggio di una applicazione che debba accettare dei dati di input, e che portano alla accettazione o al rifiuto degli stessi, dopo averne verificato la validit\u00e0. Si ha una vulnerabilit\u00e0 di questo tipo ad esempio quando:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>un programma non gestisce correttamente un errore di sintassi nell\u2019input;<\/li>\n\n\n\n<li>un modulo accetta parametri di input esterni e arbitrari senza validarli;<\/li>\n\n\n\n<li>un modulo non gestisce correttamente dei campi di input non valorizzati;<\/li>\n\n\n\n<li>un campo non \u00e8 stato definito correttamente per tipo, numero di caratteri, ecc.<\/li>\n<\/ul>\n\n\n\n<p>Per gli attacchi che ricadono in questa categoria, dovrebbe essere generalmente applicata una strategia di difesa in profondit\u00e0, sinteticamente definita in tre passi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>il primo consiste nello stabilire delle limitazioni per accettare in <em>input<\/em> soltanto dati validi, definendo dei filtri riguardanti tipo, formato, lunghezza e <em>range<\/em>;<\/li>\n\n\n\n<li>il secondo, rifiutare i dati non validi, \u00e8 meno robusto del primo dato che non sar\u00e0 sempre possibile prevedere le eventuali varianti di un input illegittimo;<\/li>\n\n\n\n<li>per il terzo, l\u2019obiettivo consiste nel rendere innocui altri dati potenzialmente dannosi, una tecnica potr\u00e0 essere ad esempio la eliminazione degli spazi presenti alla fine della stringa di input.<\/li>\n<\/ul>\n\n\n\n<p><strong>Buffer overflow<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented e Client Server).        Un <em>Buffer overflow<\/em> \u00e8 una situazione di errore che si pu\u00f2 verificare durante l\u2019esecuzione di un programma, quando la lunghezza effettiva dell\u2019input supera il suo valore massimo previsto. Un programma avente una vulnerabilit\u00e0 di questo tipo potrebbe essere sfruttato illecitamente, introducendo input di tipo malizioso con lunghezza superiore alle capacit\u00e0 del buffer. Ci\u00f2 avviene solitamente nell\u2019ambito di una chiamata ad una funzione: in occasione di una CALL, la CPU si preoccupa infatti di salvare in memoria l\u2019indirizzo di ritorno (EIP), per poter riprendere dopo il <em>return<\/em> l\u2019istruzione immediatamente successiva alla CALL stessa. Se il corrispondente buffer dichiarato in memoria, tipicamente nello <em>stack<\/em>, viene sovrascritto da una quantit\u00e0 di dati tale da causarne lo \u201cstraripamento\u201d in zone di memoria adiacenti, ci\u00f2 provocher\u00e0 anche la sovrascrittura dell\u2019indirizzo di ritorno del chiamante, necessario per puntare all\u2019istruzione successiva. In questo contesto, come descritto nell\u2019esempio, sar\u00e0 possibile sostituire l\u2019indirizzo di ritorno della funzione con un altro indirizzo scelto dall\u2019attaccante, modificando il flusso di esecuzione del programma allo scopo di eseguire codice arbitrario.<\/p>\n\n\n\n<p><strong>XSS &#8211; Cross-Site Scripting<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented).                Un attacco di tipo script XSS, o <em>Cross-Site scripting<\/em>, consiste nel provocare l\u2019esecuzione di codice arbitrario di tipo HTML e <em>script<\/em> da esso eseguibili (quali <em>Javascript<\/em>) attraverso il <em>browser<\/em>, utilizzando l\u2019applicazione come veicolo per l\u2019attacco. Vulnerabilit\u00e0 XSS si verificano quando un\u2019applicazione presenta all\u2019utente (nel <em>browser<\/em>) delle informazioni ricevute precedentemente in input qualora queste non siano state opportunamente validate. Se l\u2019input contiene caratteri che, quando sottoposti al <em>browser<\/em>, rappresentano codice (HTML, Javascript), si ottiene un attacco in cui si provoca l\u2019esecuzione di codice arbitrario, che avverr\u00e0 nel contesto di sicurezza del <em>browser<\/em>.<\/p>\n\n\n\n<p><strong>SQL Injection<\/strong> (Applicabilit\u00e0: Applicazioni Web oriented, Client server).              Un attacco di questo tipo consiste nello sfruttare vulnerabilit\u00e0 presenti nel meccanismo di validazione dell\u2019input, al fine di eseguire comandi arbitrari nel database.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Autenticazione<\/strong><\/p>\n\n\n\n<p>\u00c8 il processo in cui una entit\u00e0 prova la identit\u00e0 di un\u2019altra entit\u00e0, tipicamente attraverso credenziali come <em>user name<\/em> e <em>password<\/em>, relative ad una applicazione. Gli aspetti fondamentali collegati all\u2019autenticazione riguardano:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>la identificazione dei punti in cui richiedere l\u2019autenticazione all\u2019interno dell\u2019applicazione, tipicamente nelle zone che delimitano un\u2019area di \u2018<em>Trust\u2019<\/em>;<\/li>\n\n\n\n<li>la validazione di credenziali, che nelle applicazioni Web vengono trasmesse tramite <em>form<\/em> HTML (o, meno comunemente per le implicazioni di sicurezza associate, utilizzando schemi quali http <em>basic<\/em> o <em>digest authentication<\/em>);<\/li>\n\n\n\n<li>l\u2019assegnazione di un <em>token<\/em> all\u2019utente per la sua identificazione.<\/li>\n<\/ul>\n\n\n\n<p>I punti da considerare per una corretta strategia di protezione sono i seguenti:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>evitare il passaggio di credenziali \u2018in chiaro\u2019 attraverso la rete e utilizzare canali di comunicazione sicuri;<\/li>\n\n\n\n<li>memorizzare i dati relativi alle credenziali in maniera crittografata o utilizzare eventualmente algoritmi di <em>hash<\/em>;<\/li>\n\n\n\n<li>identificare univocamente l\u2019utente che si \u00e8 autenticato, proteggendo i suoi cookie di autenticazione.<\/li>\n<\/ul>\n\n\n\n<p><strong>Network eavesdropping<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                Questo tipo di attacco, ossia \u2018spiare attraverso la rete\u2019 potrebbe andare a buon fine se le credenziali relative all\u2019autenticazione vengono passate in chiaro dal client al server. I dati HTTP che viaggiano in chiaro nella rete sono soggetti a questo tipo di attacco, che viene perpetrato attraverso software di monitoraggio della rete al fine di intercettare e\/o modificare dati riservati. Da tenere in considerazione che il protocollo HTTP impiega solo una semplice codifica Base64 prima di trasmettere le password.<\/p>\n\n\n\n<p><strong>Brute force attack <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                              Questo tipo di attacco \u00e8 mirato verso la individuazione automatica delle password o altre informazioni sensibili. L\u2019attacco consiste nella possibilit\u00e0 di \u2018craccare\u2019 (to crack = rompere) la password o altre informazioni riservate, codificate con meccanismi crittografici o di <em>hashing<\/em>, verificando tutte le combinazioni possibili per le informazioni in oggetto (ad es., tutte le combinazioni di username, password).<\/p>\n\n\n\n<p><strong>Dictionary attack <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                              Questo tipo di attacco \u00e8 mirato verso la individuazione automatica delle password. Se le password da conservare in memoria vengono codificate tramite un meccanismo di <em>hashing<\/em>, il meccanismo di autenticazione avviene ricodificando con lo stesso meccanismo la password digitata dall\u2019utente ed effettuando il confronto del valore ottenuto con il corrispondente valore memorizzato nel database. Se un attaccante riesce ad ottenere la lista delle password codificate, potr\u00e0 cercare di individuare il meccanismo di decodifica (<em>Brute Force<\/em>). In aggiunta a ci\u00f2, un attacco di questo tipo (<em>Dictionary attack<\/em>) viene perpetrato con l\u2019ausilio di appositi programmi che effettuano delle iterazioni, utilizzando tutte le parole di un dizionario (o di pi\u00f9 dizionari di lingua diversa), effettuando poi <em>l\u2019hashing<\/em> per ognuna delle parole possibili. L\u2019<em>hashing<\/em> risultante viene poi confrontato con il corrispondente valore del database. Per questo motivo viene sconsigliato l\u2019uso di password troppo semplici.<\/p>\n\n\n\n<p><strong>Cookie replay <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented).                                        Con questo tipo di attacco, si cerca di impadronirsi dei cookie di autenticazione dell\u2019utente utilizzando software di monitoraggio, replicandone poi il contenuto per accedere all\u2019applicazione, impersonificando un utente legittimo. Un attacco di questo tipo pu\u00f2 verificarsi quando il canale di comunicazione non \u00e8 cifrato (ad es., si utilizza http) e l\u2019attaccante ha la capacit\u00e0 di osservare traffico in transito dalla vittima.<\/p>\n\n\n\n<p><strong>Furto di credenziali <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                                      Se una applicazione contempla l\u2019uso di propri \u2018contenitori\u2019 relativi a credenziali dell\u2019utente, il suo meccanismo di sicurezza potrebbe essere meno robusto di quello fornito dalla piattaforma di riferimento.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Autorizzazione\/profilazione<\/strong><\/p>\n\n\n\n<p>Le autorizzazioni\/profilazioni connesse con una applicazione riguardano sia le modalit\u00e0 con cui essa accede a risorse, database e\/o operazioni sia se e con quali diritti gli utenti finali accedono a loro volta all\u2019applicazione stessa.<\/p>\n\n\n\n<p>Le principali implicazioni che derivano da vulnerabilit\u00e0 imputabili ad una inappropriata gestione delle autorizzazioni sono:<\/p>\n\n\n\n<p><strong>Elevazione di privilegi <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                               Questo tipo di attacco, collegato con la fase di assegnazione delle autorizzazioni, consiste nella possibilit\u00e0 che qualcuno possa allargare il proprio campo di azione, utilizzando privilegi non consentiti per il proprio account, come ad esempio i diritti assegnati ad un gruppo di amministratori. L\u2019attacco avviene solitamente in modo indiretto, dato che spesso deve sfruttare altre vulnerabilit\u00e0 (es. un <em>buffer overflow<\/em>) presenti nell\u2019applicazione per poter essere messo in pratica.<\/p>\n\n\n\n<p><strong>Violazione di dati riservati <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                               Questo tipo di minaccia riguarda i dati gestiti da una applicazione e consiste nella possibilit\u00e0 di visualizzazione di dati riservati da parte di un utente non autorizzato.<\/p>\n\n\n\n<p><strong>Data tampering <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                                        Questo tipo di minaccia riguarda i diritti assegnati agli utenti e consiste nella possibilit\u00e0 di modifica dei dati da parte di un utente non autorizzato.<\/p>\n\n\n\n<p><strong>Luring attacks <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented).                                 Questo tipo di problema, che rientra nella categoria di attacchi che comportano una elevazione di privilegi, consiste nella possibilit\u00e0, da parte di una entit\u00e0, di richiamarne un\u2019altra avente privilegi superiori, ossia che consentano di effettuare una certa operazione altrimenti non autorizzata.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Gestione della configurazione<\/strong><\/p>\n\n\n\n<p>Questa categoria riguarda le applicazioni dotate di interfacce e funzionalit\u00e0 che permettono a sviluppatori, operatori e amministratori di gestire:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>parametri di configurazione di un sito web;<\/li>\n\n\n\n<li>contenuti delle pagine Web;<\/li>\n\n\n\n<li>account degli utenti;<\/li>\n\n\n\n<li>informazioni sugli <em>user profile<\/em>;<\/li>\n\n\n\n<li>stringhe di connessione al database;<\/li>\n\n\n\n<li>routine di manutenzione e amministrazione.<\/li>\n<\/ul>\n\n\n\n<p>Questo tipo di vulnerabilit\u00e0 potrebbe permettere ad un attaccante di accedere al sito con privilegi di amministratore. Se, ad esempio, un <em>application server<\/em> \u00e8 dotato di funzioni di amministrazione remota, un accesso non sicuro alla interfaccia di amministrazione potrebbe permettere l\u2019ingresso e la modifica di qualsiasi informazione.<\/p>\n\n\n\n<p><strong>Accessi non autorizzati ad interfacce di amministrazione <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                        Questo tipo di minaccia potrebbe riguardare quelle applicazioni dotate di interfacce, interne od esterne all\u2019applicazione stessa, tramite le quali sia possibile effettuare operazioni di gestione e di configurazione.<\/p>\n\n\n\n<p><strong>Accessi non autorizzati a file di configurazione <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                   Questa minaccia riguarda le informazioni contenute nei file di configurazione (o file <em>.ini<\/em> nelle applicazioni <em>client server<\/em>) che, a causa della loro natura, devono essere protette da accessi non autorizzati.<\/p>\n\n\n\n<p><strong>Reperimento in chiaro di dati riguardanti la configurazione <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                       Questa minaccia \u00e8 collegata con la precedente: oltre a riguardare la limitazione degli accessi sui file contenenti dati di configurazione, comporta l\u2019adozione di un meccanismo di difesa in profondit\u00e0 attraverso la crittografia dei dati sensibili\/critici o delle stringhe di connessione.<\/p>\n\n\n\n<p><strong>Assegnazione di account non individuali <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                            Questa minaccia riguarda la possibilit\u00e0 da parte di un attaccante di modificare informazioni relative alla configurazione ed all\u2019amministrazione di sistemi e siti e di accedere a dati riservati senza una adeguata tracciabilit\u00e0 delle operazioni e della persona che le ha effettuate attraverso le attivit\u00e0 di <em>auditing<\/em> e <em>logging<\/em>.<\/p>\n\n\n\n<p><strong>Processi e account del servizio con privilegi troppo elevati <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                               Un importante aspetto per una corretta configurazione dell\u2019applicazione \u00e8 rappresentato dall\u2019assegnazione di minimi privilegi agli account di processo usati per esempio per eseguire il processo Web server e gli account di servizio usati per accedere alle risorse e ai sistemi.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Dati sensibili<\/strong><\/p>\n\n\n\n<p>Questa categoria \u00e8 soggetta ad una variet\u00e0 considerevole di possibili tentativi di visualizzazione o modifica di dati riservati, e pu\u00f2 riguardare sia dati memorizzati, sia dati che viaggiano sulla rete.<\/p>\n\n\n\n<p>I meccanismi principali per gestire la privacy di queste informazioni sono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>la crittografia;<\/li>\n\n\n\n<li>l\u2019integrit\u00e0 attraverso codici di autenticazione del messaggio (MAC).<\/li>\n<\/ul>\n\n\n\n<p><strong>Accesso a dati sensibili in memoria <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                             <strong>Network eavesdropping<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                   <strong>Data tampering<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                             Queste minacce si riferiscono alla possibilit\u00e0 da parte di alcuni utenti malintenzionati di accedere in maniera non autorizzata a dati riservati, memorizzati su qualsiasi tipo supporto.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Gestione delle sessioni<\/strong><\/p>\n\n\n\n<p>Questo tipo di vulnerabilit\u00e0 costituisce un aspetto critico per una applicazione, e le applicazioni Web in particolare devono utilizzare sessioni per tenere traccia delle richieste di ogni utente: il protocollo HTTP non offre questa funzionalit\u00e0 e quindi ogni applicazione deve implementarla in qualche modo.<\/p>\n\n\n\n<p><strong>Session hijacking<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented).                                   La tecnica di questo attacco consiste nell\u2019attendere che qualcuno porti a termine con successo il proprio processo di autenticazione, al fine di sfruttare in seguito la medesima connessione, anche quando il legittimo utente ne ha terminato l\u2019utilizzo.<\/p>\n\n\n\n<p><strong>Session replay<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented).                                Questa minaccia riguarda la possibilit\u00e0 di sfruttare informazioni riguardanti la sessione, intercettate come descritto nel punto precedente, al fine di bypassare il meccanismo di autenticazione. In altre parole \u00e8 l\u2019utilizzo delle autorizzazioni da parte dell\u2019<em>hacker<\/em> senza che esse gli siano state date. Se ad esempio il <em>token<\/em> relativo alla sessione \u00e8 presente in chiaro all\u2019interno di un <em>cookie<\/em> o di una URL, potrebbe essere intercettato (<em>Session hijacking<\/em>) e poi riutilizzato.<\/p>\n\n\n\n<p><strong>Man in the middle<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                                  Questo tipo di attacco pu\u00f2 riguardare un qualsiasi tipo di richiesta inviata attraverso la rete nel corso di una comunicazione <em>client\/server<\/em>. Consiste nella alterazione dei messaggi nella fase di passaggio fra mittente e destinatario, prima dell\u2019effettivo arrivo a destinazione. Il messaggio falsificato viene accettato come vero dal destinatario, che intraprende le azioni corrispondenti. Analogamente, quando in seguito viene inviata una risposta, anche questa viene falsificata. In tal modo nessuna delle due parti si render\u00e0 mai conto di essere stata attaccata.<\/p>\n\n\n\n<p><strong>Session Riding<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented).                               <em>Session Riding<\/em>, altrimenti detta <em>Cross-Site Request Forgery<\/em>, rappresenta una classe di vulnerabilit\u00e0 che consente di inviare comandi ad applicazioni web tramite un (inconsapevole) utente, mediante l\u2019invio a quest\u2019ultimo di email o inducendolo a visitare apposite pagine web.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Crittografia<\/strong><\/p>\n\n\n\n<p>Di fronte all\u2019esigenza di trattare informazioni sensibili dal punto di vista della sicurezza, cosa abbastanza comune per un gran numero di applicazioni, potrebbe essere necessario utilizzare un algoritmo di crittografia. In tal caso, il meccanismo prescelto non dovr\u00e0 essere utilizzato in maniera impropria. Probabilmente, l\u2019errore pi\u00f9 comune \u00e8 rappresentato da codice di crittografia realizzato autonomamente, solitamente debole e semplice da violare.<\/p>\n\n\n\n<p>\u00c8 importante assicurarsi che l\u2019algoritmo scelto sia adatto al lavoro che deve svolgere e allo stesso tempo bisogna assicurarsi di usare una giusta dimensione della chiave che garantisca un sufficiente grado di sicurezza. Generalmente pi\u00f9 grande \u00e8 la chiave, maggiore sar\u00e0 il livello di sicurezza, ma pi\u00f9 onerosa la sua implementazione.<\/p>\n\n\n\n<p>Di seguito vengono analizzate le minacce (solitamente sottovalutate) che possono essere sfruttate affinch\u00e9 gli attacchi possano avere successo e quindi compromettere la sicurezza delle applicazioni.<\/p>\n\n\n\n<p>La seguente lista sintetizza gli algoritmi pi\u00f9 diffusi e le chiavi che essi implementano:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>Data Encryption Standard<\/em> (DES) chiave a 64 bit suddivisa in 8 blocchi da 8 <em>bit<\/em> (8 <em>bytes<\/em>) \u2013 Simmetrico (chiave privata);<\/li>\n\n\n\n<li><em>TripleDES<\/em> (3DES) chiavi a 128 <em>bit<\/em> o 192 <em>bit<\/em> (16 o 24 <em>bytes<\/em>) \u2013 Simmetrico (chiave privata);<\/li>\n\n\n\n<li><em>Rijndael<\/em> 128 \u2013256 <em>bit<\/em> (16-32 <em>bytes<\/em>) \u2013 Simmetrico (chiave privata);<\/li>\n\n\n\n<li>RSA 1024 <em>bit<\/em> (128 <em>bytes<\/em>) Asimmetrico (chiave pubblica).<\/li>\n<\/ul>\n\n\n\n<p><strong>Gestione o generazione non appropriata delle chiavi<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented, Client server).                                                                          Gli utenti malintenzionati possono decriptare i dati se essi hanno accesso alla chiave di <em>encriptyng<\/em> o possono dedurla. Alcuni utenti malintenzionati potrebbero scoprire le chiavi se le stesse sono generate in maniera non casuale od utilizzando degli algoritmi fai da te. Questo tipo di minaccia, utilizzabile da un attacco, ha una probabilit\u00e0 di fallimento che \u00e8 direttamente proporzionale alla robustezza del meccanismo di generazione e gestione delle chiavi crittografiche.<\/p>\n\n\n\n<p><strong>Crittografia debole<\/strong> (Applicabilit\u00e0: Applicazioni Web, Applicazioni Client server).                                                                                                                                                 Un algoritmo di crittografia non offre nessuna sicurezza se pu\u00f2 essere decodificato, ossia \u00e8 vulnerabile ad un attacco di tipo \u201c<em>Brute Force<\/em>\u201d. Gli algoritmi \u201cfai da te\u201d sono particolarmente vulnerabili se non testati adeguatamente. \u00c8 d\u2019obbligo in questi casi l\u2019utilizzo di algoritmi noti e accuratamente testati. Questo tipo di vulnerabilit\u00e0 ha una probabilit\u00e0 di insuccesso direttamente proporzionale alla robustezza dell\u2019algoritmo di crittografia utilizzato.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Manipolazione di parametri<\/strong><\/p>\n\n\n\n<p>In questa categoria ricadono le applicazioni Web in cui avvenga un passaggio di parametri fra <em>client<\/em> e applicazione. Ci\u00f2 potrebbe riguardare stringhe contenenti <em>query<\/em>, campi della maschera di input, <em>cookie<\/em> e <em>header<\/em> HTTP.<\/p>\n\n\n\n<p><strong>Manipolazione di stringhe contenenti query<\/strong> (Applicabilit\u00e0: Applicazioni Web). Le stringhe di <em>query<\/em> sono porzioni di una URL dinamica che contengono parametri per la generazione di una pagina. La manipolazione di questi dati \u00e8 solitamente una operazione abbastanza semplice e non esistono metodi robusti per prevenirla, soprattutto se i parametri vengono passati tramite una HTTP GET da <em>client<\/em> a <em>server<\/em>, che provoca la loro successiva visualizzazione all\u2019interno della URL.<\/p>\n\n\n\n<p><strong>Manipolazione di campi relativi a maschere di input<\/strong> (Applicabilit\u00e0: Applicazioni Web).                                                                                                                Quando un utente inserisce dati in una pagina HTML, questi vengono solitamente memorizzati come valori di campi del <em>form<\/em> e inviati in chiaro all\u2019applicazione come una richiesta HTTP (GET o POST). Questi campi potrebbero essere modificati per bypassare le <em>routine<\/em> di validazione del <em>client<\/em> e la manipolazione potrebbe riguardare tutti i campi presenti nel <em>form<\/em>, compresi quelli nascosti.<\/p>\n\n\n\n<p><strong>Manipolazione di Cookie<\/strong> (Applicabilit\u00e0: Applicazioni Web).                                          I <em>cookie<\/em> sono un conveniente meccanismo di memorizzazione delle preferenze utente e di altri dati, fra cui i <em>session token<\/em>. Esistono due diverse tipologie di <em>cookie<\/em>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>Cookie<\/em> persistenti;<\/li>\n\n\n\n<li><em>Cookie<\/em> non-persistenti<\/li>\n<\/ul>\n\n\n\n<p>I <em>cookie<\/em> di tipo persistente sono memorizzati in file di testo che si trovano sul <em>client<\/em>, e sono validi per un determinato periodo, stabilito in base alla corrispondente data di scadenza. I <em>cookie<\/em> di tipo non-persistente sono memorizzati sul <em>client<\/em> nella RAM, e vengono cancellati quando il <em>browser<\/em> viene chiuso oppure il <em>cookie <\/em>viene terminato da uno <em>script<\/em> di <em>logoff<\/em>. Entrambe le tipologie sono suscettibili a manomissioni da parte del <em>client<\/em>, che li invia successivamente al <em>server<\/em> effettuando richieste tramite <em>header<\/em> HTTP, ad esempio per ottenere l\u2019accesso ad un sito Web, oppure utilizzando <em>Javascript<\/em>.<\/p>\n\n\n\n<p><strong>Manipolazione di header http<\/strong> (Applicabilit\u00e0: Applicazioni Web).                           Gli <em>header<\/em> HTTP sono informazioni di controllo, che vengono scambiate fra <em>client<\/em> e Web <em>server<\/em> nelle richieste HTTP. Gli <em>header<\/em> relativi al <em>client<\/em> vengono solitamente indicati come <em>request header<\/em>, mentre i <em>response header<\/em> sono quelli relativi al <em>server<\/em>. Il <em>cookie<\/em> pu\u00f2 essere considerato un esempio di <em>response header<\/em>. Queste informazioni sono solitamente contenute in una riga ASCII di testo, ed hanno un nome ed un valore. Normalmente, i <em>web browser<\/em> non consentono la modifica degli <em>header<\/em>, e un attaccante dovr\u00e0 scrivere un apposito programma che effettua la richiesta HTTP, oppure utilizzare degli strumenti facilmente reperibili in rete, che consentono di modificare i dati inviati dal <em>browser<\/em> (<em>proxies<\/em>).<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Gestione delle eccezioni\/errori<\/strong><\/p>\n\n\n\n<p>Una corretta gestione degli errori non deve esporre informazioni sulla struttura interna dell\u2019applicazione ad eventuali attacchi. Le applicazioni che non effettuano una corretta gestione delle eccezioni sono vulnerabili da questo punto di vista.<\/p>\n\n\n\n<p><strong>Information disclosure<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                      Con questo tipo di attacco si cerca di provocare un errore dell\u2019applicazione, al fine di ottenere informazioni riguardanti l\u2019applicazione stessa, come ad esempio: versione della piattaforma, nomi di server, stringhe contenenti comandi SQL, e stringhe di connessione al database.<\/p>\n\n\n\n<p><strong>Denial of Service<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                                                                                     Un attacco di questo tipo viene solitamente effettuato inviando intenzionalmente un input errato ad una applicazione. Questo per due scopi principali:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>causare un errore che riveli informazioni di dettaglio sull\u2019applicazione;<\/li>\n\n\n\n<li>provocare il crash dell\u2019applicazione o di una sua componente.<\/li>\n<\/ul>\n\n\n\n<p>Se tutte le eccezioni non sono state opportunamente catturate e gestite, questa eventualit\u00e0 potrebbe verificarsi.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Audit e Log<\/strong><\/p>\n\n\n\n<p>L\u2019audit \u00e8 una tecnica che permette di determinare e scoprire a posteriori le violazioni sulla sicurezza e si basa sulla creazione di<em> log <\/em>(di solito <em>file<\/em>) in cui registrare gli eventi e\/o statistiche che una entit\u00e0 effettua sul sistema in oggetto. Questo tipo di tecnica dovrebbe essere utilizzata per individuare, riparare e possibilmente prevenire il maggior numero possibile di attivit\u00e0 illecite. I <em>log<\/em> forniscono un meccanismo per analizzare lo stato di sicurezza del sistema, anche per determinare se un\u2019azione richiesta metter\u00e0 il sistema in uno stato non sicuro o per determinare la sequenza degli eventi che conducono il sistema in uno stato di non sicurezza.<\/p>\n\n\n\n<p>Si raccomanda di registrare almeno le azioni riguardanti le seguenti tipologie di eventi delle applicazioni:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>lettura dati sensibili;<\/li>\n\n\n\n<li>scrittura dati sensibili;<\/li>\n\n\n\n<li>cancellazione di ogni tipologia di dato;<\/li>\n\n\n\n<li>tutti gli eventi di autenticazione (<em>login, logout<\/em>, e <em>log failure<\/em>)<\/li>\n\n\n\n<li>tutti i tentativi di modifica autorizzazioni includendo data e ora, se \u00e8 avvenuto con successo o \u00e8 stato rifiutato, la risorsa o la funzione alla quale si autorizza, e l\u2019utente che ha chiesto l\u2019autorizzazione.<\/li>\n<\/ul>\n\n\n\n<p>Si riportano i problemi che possono far s\u00ec che il meccanismo di <em>log<\/em> non possa fornire le informazioni necessarie per stabilire lo stato di sicurezza del sistema.<\/p>\n\n\n\n<p><strong>Negazione di aver effettuato una operazione <\/strong>(Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                                                            L\u2019attacco consiste nella possibilit\u00e0 di ripudio di una azione o di una transazione che \u00e8 realmente avvenuta facendola apparire come se non fosse mai stata eseguita.<\/p>\n\n\n\n<p><strong>Violazione di una applicazione senza lasciare tracce<\/strong> (Applicabilit\u00e0: Applicazioni Web Oriented, Client server, MainFrame).                                        Questa minaccia consiste nell\u2019attacco a un\u2019applicazione utilizzando uno dei metodi descritti in precedenza senza che ci sia conoscenza del cambiamento sullo stato del sistema.<\/p>\n\n\n\n<p>Vediamo ora alcuni delle minacce pi\u00f9 diffuse:<\/p>\n\n\n\n<p><strong>Defacement<\/strong><\/p>\n\n\n\n<p>Il <em>web defacement<\/em> \u00e8 la modifica non autorizzata di come visivamente appare un sito web. Tale azione \u00e8 ormai un elemento ricorrente in Internet e le motivazioni che spingono un attaccante ad agire in questo modo sono molteplici, incluse la dimostrazione di abilit\u00e0, le ragioni ideologiche, la truffa ed il ricatto con implicazioni prevalentemente di danno economico. La gravit\u00e0 di questo problema \u00e8 ormai diventata incontrovertibile, come dimostrato da numerosi dati di fatto. Attacchi di questo genere sono ormai effettuati in maniera automatizzata ed in larga scala, in modo analogo a quanto avviene con la propagazione dei virus e degli <em>worm<\/em>. I contenuti originari vengono sostituiti con testi e\/o immagini irridenti e critici, a volte \u201c<em>nonsense<\/em>\u201d (o apparentemente tali).<\/p>\n\n\n\n<p>Un <em>defacement<\/em> mina la credibilit\u00e0 del sito colpito, che dimostra di essere vulnerabile. Pur interferendo con la comunicazione del sito colpito, il danno non \u00e8 permanente. La modifica del sito web viene effettuata ottenendo un accesso al server che lo ospita.<\/p>\n\n\n\n<p><strong>Attacchi di Denial of Service (DoS) e Distributed Denial of Service (DDoS)<\/strong><\/p>\n\n\n\n<p>La sigla DoS di <em>Denial of Service<\/em> si traduce letteralmente in negazione del servizio. Si tratta di un malfunzionamento dovuto ad un attacco informatico in cui si esauriscono deliberatamente le risorse di un sistema informatico che fornisce un servizio, ad esempio un sito web, fino a renderlo non pi\u00f9 in grado di erogare il servizio. Alcuni mirano solo ad un servizio, ad esempio Web, SMTP, FTP, etc., altri invece mirano a mettere fuori uso completamente il server o, addirittura, un\u2019intera rete.<\/p>\n\n\n\n<p>Gli attacchi DDoS (<em>Distributed Denial of Service<\/em>) amplificano la portata di tali minacce.<\/p>\n\n\n\n<p>Gli attacchi di tipo DDoS sono molto pi\u00f9 insidiosi da bloccare perch\u00e9:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>la potenza dell\u2019attacco (volume dei dati trasmessi, banda occupata, etc.) \u00e8 maggiore, di vari ordini di grandezza, rispetto a quella possibile attraverso un DoS;<\/li>\n\n\n\n<li>\u00e8 praticamente impossibile bloccare l\u2019attaccante nella considerazione che sono decine di migliaia di computer infetti che perpetrano l\u2019attacco;<\/li>\n\n\n\n<li>\u00e8 praticamente impossibile riconoscere il traffico autorizzato da quello non autorizzato, visto che i computer partecipanti alla <em>botnet<\/em> sono dislocati, praticamente in tutto il globo.<\/li>\n<\/ul>\n\n\n\n<p><strong>Attacchi man in the middle.<\/strong><\/p>\n\n\n\n<p>Consistono nell\u2019intercettazione da parte dell\u2019attaccante della comunicazione legittima in corso tra due attori. Tramite diverse tecniche, che si differenziano attraverso la tipologia di connessione in corso, l\u2019attaccante osserva lo scambio di informazioni tra le due parti, e al momento pi\u00f9 opportuno si sostituisce a una delle due per ottenere quanto desidera.<\/p>\n\n\n\n<p>Un classico esempio di questa tipologia di attacco, che sta mietendo sempre pi\u00f9 vittime anche in Italia, viene denominato <em>man in the mail<\/em>: a seguito della violazione dell\u2019account di posta di uno dei due attori coinvolti, l\u2019attaccante \u00e8 in grado di assistere alle conversazioni email. In questo modo egli pu\u00f2 carpire quante pi\u00f9 informazioni sulle persone coinvolte e al momento opportuno sostituirsi ad una di esse in maniera esemplare. L\u2019unico modo per evitare il verificarsi di tali truffe \u00e8 chiedere una conferma certa da parte del ricevente e in caso di dubbi stoppare l\u2019attivit\u00e0 di bonifico.<\/p>\n\n\n\n<p><strong>Malware<\/strong><\/p>\n\n\n\n<p>Il termine <em>malware<\/em> indica genericamente un qualsiasi <em>software<\/em> creato con il solo scopo di causare danni pi\u00f9 o meno gravi ad un computer, ai dati degli utenti del computer, o a un sistema informatico su cui viene installato. Si conoscono molte categorie di <em>malware<\/em>, anche se spesso questi programmi sono composti di pi\u00f9 parti interdipendenti e rientrano pertanto in pi\u00f9 di una classe. Tra questi i pi\u00f9 frequenti sono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>Virus<\/em>: sono parti di codice che si diffondono copiandosi all\u2019interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti;<\/li>\n\n\n\n<li><em>Worm<\/em>: il loro scopo \u00e8 rallentare il sistema con operazioni inutili o dannose;<\/li>\n\n\n\n<li><em>Trojan horse<\/em>: software che contengono istruzioni dannose che vengono eseguite all\u2019insaputa dell\u2019utilizzatore, per diffondersi devono essere consapevolmente inviati alla vittima;<\/li>\n\n\n\n<li><em>Backdoor<\/em>: consentono un accesso non autorizzato al sistema su cui sono in esecuzione;<\/li>\n\n\n\n<li><em>Spyware<\/em>: software che vengono usati per raccogliere informazioni dal sistema su cui sono istallati e per trasmetterle ad un destinatario interessato, le informazioni carpite possono andare dalle abitudini di navigazione fino alle password e alle chiavi crittografiche di un utente;<\/li>\n\n\n\n<li><em>Dialer<\/em>: questi programmi si occupano di gestire la connessione ad Internet tramite la normale linea telefonica, possono essere utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all\u2019insaputa dell\u2019utente;<\/li>\n\n\n\n<li><em>Hijacker<\/em>: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l\u2019apertura automatica di pagine web indesiderate;<\/li>\n\n\n\n<li><em>Keylogger<\/em>: sono dei programmi in grado di registrare tutto ci\u00f2 che un utente digita su una tastiera o che copia e incolla rendendo cos\u00ec possibile il furto di password o di dati che potrebbero interessare qualcun altro.<\/li>\n<\/ul>\n\n\n\n<p>Il loro numero e la variet\u00e0, unite alla loro rapida evoluzione ed obsolescenza non consentono di classificarli al fine di raggiungere una loro tipizzazione sanzionatoria. La Convenzione di Budapest ha quindi evitato deliberatamente di sanzionare specificamente le varie forme di malware, anche soltanto limitandosi alle tipologie pi\u00f9 ricorrenti, al fine di evitare la rapida perdita di attualit\u00e0 delle norme ivi contenute. Tuttavia \u00e8 possibile ricondurre anche i <em>malware<\/em> sotto specifiche disposizioni della Convenzione avendo riguardo alla funzionalit\u00e0 ed ai danni prodotti dai malware che sono, invece, suscettibili di catalogazione e di tipizzazione normativa. Vengono in considerazione le norme<a href=\"#_ftn6\" id=\"_ftnref6\"><sup>[6]<\/sup><\/a> che sanzionano l\u2019accesso abusivo, l\u2019interruzione e l\u2019intercettazione di comunicazioni telematiche, le varie forme di danneggiamento aventi ad oggetto dati, programmi o sistemi, le norme che sanzionano la disponibilit\u00e0 e la cessione a terzi di programmi realizzati al fine di accedere illegalmente a computer e sistemi protetti ovvero al fine di danneggiarli, i programmi concepiti per l\u2019alterazione e la falsificazione di informazioni presenti in banche dati pubbliche o private, i malware specificamente progettati per recare un danno economico e conseguire un profitto tramite l\u2019interferenza sul funzionamento di computer o sistemi.<\/p>\n\n\n\n<p><strong>Advanced Persistent Threats<\/strong><\/p>\n\n\n\n<p>L\u2019anno 2014 \u00e8 stato caratterizzato da numerosi attacchi del tipo <em>Advanced Persistent Threat<\/em> (APT), basati su <em>malware<\/em> gi\u00e0 noti in passato ma riutilizzati secondo una nuova connotazione. Gli APT sono schemi di attacco articolati, mirati a specifiche entit\u00e0 o organizzazioni, e che si contraddistinguono per un accurato studio del bersaglio preventivo e che spesso continua anche durante l\u2019attacco, per l\u2019impiego di <em>tool<\/em> e <em>malware<\/em> sofisticati e per la lunga durata o persistenza nel tempo cercando di rimanere inosservati per continuare a perpetrare quanto pi\u00f9 possibile il proprio effetto.<\/p>\n\n\n\n<p><strong>Crimini di identit\u00e0<\/strong><\/p>\n\n\n\n<p>Il nuovo contesto tecnologico, la diffusione capillare di Internet e fenomeni quali i <em>social network <\/em>hanno fatto s\u00ec, infatti, che l\u2019attenzione dei criminali si rivolgesse verso nuove forme di <em>cybercrime <\/em>che hanno ragione di esistere in quanto sfruttano l\u2019immaterialit\u00e0 del <em>cyberspace<\/em>.<\/p>\n\n\n\n<p>Questa nuove forme di crimini informatici si sostanziano in abusi di profili identitari altrui nel <em>cyberspace<\/em>, ovvero il furto d\u2019identit\u00e0 digitale, il <em>phishing<\/em>, l\u2019abuso di identit\u00e0 \u201cvirtuale\u201d, le frodi identitarie, fenomeni questi che possono essere ricondotti nella categoria generale degli \u201c<em>identity crime<\/em>\u201d.<\/p>\n\n\n\n<p>Tale categoria comprende in pratica tutte quelle condotte delittuose che comportano una aggressione all\u2019identit\u00e0 digitale altrui, dovendosi intendere con tale espressione quell\u2019insieme di informazioni presenti online e relative ad una persona, un ente, un <em>brand<\/em>, ecc.<\/p>\n\n\n\n<p>I crimini di identit\u00e0 si dividono in due categorie: i furti d\u2019identit\u00e0, cio\u00e8 la sottrazione di dati personali di persone esistenti o decedute e le frodi d\u2019identit\u00e0, cio\u00e8 la creazione di un\u2019identit\u00e0 fittizia, basata su dati falsi o manomessi (mescolando dati reali di pi\u00f9 persone).<\/p>\n\n\n\n<p>La tecnica pi\u00f9 diffusa per il furto di identit\u00e0 \u00e8 il <em>phishing<\/em>: pu\u00f2 essere definito come \u201cuna metodologia di comportamento sociale indirizzata a carpire informazioni personali o abitudini e stili di vita\u201d. Attraverso tale tecnica si induce l\u2019utente a fornire dati personali che consentono l\u2019accesso ad informazioni riservate.<\/p>\n\n\n\n<p><strong>Social Engineering. La dissimulazione disonesta: l\u2019ingegneria sociale<\/strong><\/p>\n\n\n\n<p>Non importa di quali tecnologie di sicurezza sia dotata un\u2019azienda, l\u2019investimento in soluzioni all\u2019avanguardia potrebbe essere inficiato dal comportamento di un solo utente, manipolato con un attacco di ingegneria sociale. Non esiste alcuna tecnologia che permetta di prevenirlo o di difendersi. Per esserne immuni \u00e8 necessario essere addestrati.<\/p>\n\n\n\n<p>L\u2019ingegneria sociale \u00e8 in generale l\u2019arte di indurre le persone a compiere determinate azioni dissimulando il reale obiettivo dell\u2019attacco. L\u2019ingegnere sociale \u00e8 abile a mascherare la propria identit\u00e0, fingendosi un\u2019altra persona: in tal modo, attraverso la conversazione o altre interazioni, riesce a ricavare informazioni che altrimenti non otterrebbe.<\/p>\n\n\n\n<p>In ambito <em>security<\/em> il <em>social engineering<\/em> viene utilizzato come metodo di intrusione e spesso l\u2019attivit\u00e0 di <em>social engineering<\/em> \u00e8 strettamente collegata a quella di <em>phishing<\/em>. L\u2019evoluzione del <em>cybercrime<\/em> negli ultimi anni evidenzia la tendenza all\u2019utilizzo congiunto di tecniche avanzate di <em>malware<\/em> e <em>social engineering<\/em> per lanciare attacchi sempre pi\u00f9 sofisticati e difficili da prevedere o rilevare, tali da provocare danni ingenti e a volte irreparabili ai sistemi di sicurezza aziendali, con conseguenti perdite economiche, perdita di dati sensibili e informazioni strategiche, danno alla reputazione.<\/p>\n\n\n\n<p><strong>Operazioni estorsive. Cifratura di file con ransomware<\/strong><\/p>\n\n\n\n<p>Questa tipologia di attacchi si sta evolvendo e raffinando sempre pi\u00f9. Il metodo di diffusione pi\u00f9 comune \u00e8 quello dell\u2019email, che viene camuffata ad arte per assomigliare ad esempio ad una fattura o ad un ordine di un potenziale cliente. Il fine dell\u2019attaccante \u00e8 quello di indurre l\u2019utente ad eseguire il download dell\u2019allegato presente sulla mail ricevuta, in modo tale da poter eseguire l\u2019installazione del virus sulla macchina target. Una volta installato, il <em>ransomware<\/em> esegue una cifratura di quanti pi\u00f9 file riesce a infettare, includendo non solo la macchina locale su cui \u00e8 stato scaricato, ma anche le eventuali cartelle condivise. Per ottenere la chiave di decifrazione la vittima deve pagare un riscatto, solitamente sotto forma di Bitcoin, la moneta digitale utilizzata sempre pi\u00f9 dai cybercriminali per le transazioni di questo genere, in quanto difficilmente rintracciabili.<\/p>\n\n\n\n<p>Ultimamente questo tipo di ransomware (<strong>locker-ransomware)<\/strong>, \u00e8 stato gradualmente soppiantato da un pi\u00f9 insidioso <strong>crypto-ransomware<\/strong>, co\u00addici che criptano i soli documenti lasciando per\u00f2 accesso al sistema che invece risulter\u00e0 vuoto e chie\u00addendo un riscatto (generalmente nell\u2019ordine delle centinaia di dollari) per riottenere i documenti in chiaro.<\/p>\n\n\n\n<p>Questa particolare forma di <em>malware<\/em> \u00e8 cresciuta di molto anche grazie alla diffusione di servizi di <em>ransomware as a service <\/em>gestiti da gruppi criminali che affittano servizi completi di <em>ransomware<\/em> a chi decide di gestire in proprio le campagne di estorsione informatica.<\/p>\n\n\n\n<p><strong>Attacchi alle infrastrutture Cloud<\/strong><\/p>\n\n\n\n<p>L\u2019utilizzo del <em>Cloud computing<\/em> ha introdotto nuove sfide che aziende e organizzazioni di ogni tipo e dimensione hanno la necessit\u00e0 di affrontare. Le politiche e procedure disegnate attraverso esperienze decennali nella gestione delle minacce <em>on-premise<\/em><a href=\"#_ftn7\" id=\"_ftnref7\"><em><strong>[7]<\/strong><\/em><\/a>, continuano ad avere la loro validit\u00e0 anche negli ambienti <em>public<\/em> e <em>hybrid cloud<\/em>, ma non sono pi\u00f9 sufficienti: c\u2019\u00e8 la forte necessit\u00e0 per i <em>team<\/em> di sicurezza di mantenersi aggiornati sulle nuove tipologie di minacce che il <em>cloud<\/em> <em>computing<\/em> deve affrontare, per definire la migliore strategia di protezione. Tali minacce possono essere introdotte da caratteristiche peculiari dei servizi <em>cloud<\/em> o per effetto dell\u2019interconnessione tra l\u2019ambiente <em>on-premise<\/em> con quello <em>cloud<\/em>.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Strategia di un attacco<\/strong><\/p>\n\n\n\n<p>Per individuare le vulnerabilit\u00e0 all\u2019interno di una applicazione possono essere sfruttate diverse forme di interazione, i cui passi principali sono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>controllo e identificazione<\/em>: l\u2019obiettivo dell\u2019attacco viene studiato al fine di identificare congiuntamente le caratteristiche di una applicazione, ossia ad esempio i servizi ed i protocolli utilizzati, le corrispondenti vulnerabilit\u00e0 e punti di accesso. In primo luogo si potr\u00e0 simulare il normale utilizzo da parte di un utente e a tale scopo sar\u00e0 sufficiente un qualunque <em>client<\/em> http;<\/li>\n\n\n\n<li><em>infiltrazione<\/em>: dopo aver studiato ed identificato l\u2019obiettivo, il passo successivo sar\u00e0 quello di cercare una strada che permetta di infiltrarsi nel sistema. Se la sicurezza della rete e la sicurezza dell\u2019<em>host<\/em> saranno state ben salvaguardate, sar\u00e0 presa di mira la sicurezza delle applicazioni;<\/li>\n\n\n\n<li><em>appropriazione di privilegi<\/em>: dopo aver trovato una via di ingresso, il prossimo passo potrebbe consistere nel tentativo di ottenere diritti di accesso ancora pi\u00f9 elevati, per allargare il proprio campo di azione. Se nella corrispondente gestione della configurazione sono stati previsti processi e account del servizio con privilegi troppo elevati, ci\u00f2 faciliter\u00e0 questa tipologia di intervento. Per questo motivo il principio del minimo privilegio resta sempre una contromisura molto importante da adottare;<\/li>\n\n\n\n<li><em>mantenimento di un accesso<\/em>: dopo aver ottenuto l\u2019accesso ad un sistema, si cercher\u00e0 di mantenerlo, provvedendo anche a semplificarlo per il futuro ed a cancellarne le tracce. Un esempio potrebbe consistere nell\u2019installazione di programmi di <em>back-door<\/em>, che lasciano aperta la strada o anche nella scelta di un <em>account<\/em> adatto. Per coprire le proprie tracce, sar\u00e0 poi effettuata una pulizia dei <em>log<\/em>, che costituiscono un altro potenziale obiettivo di attacco ed \u00e8 per questo motivo che i file di <em>log<\/em> dovrebbero essere salvaguardati ed analizzati sistematicamente;<\/li>\n\n\n\n<li><em>negazione del servizio<\/em> (Denial of Service): alcuni attaccanti che non riescano ad ottenere l\u2019accesso ad un sistema, spesso cambiano obiettivo, cercando di impedire agli utenti legittimi di utilizzare l\u2019applicazione, per altri ancora, questo pu\u00f2 essere invece l\u2019obiettivo primario.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.4 Le Investigazioni Digitali<\/u><\/strong><\/strong><\/p>\n\n\n\n<p>Lo \u201cstato\u201d della <em>digital forensics<\/em> in Italia si \u00e8, negli ultimi anni, evoluto sensibilmente e, fortunatamente, in maniera abbastanza omogenea. Sin dagli anni duemila, la scienza che studia la corretta identificazione, acquisizione, produzione e, in senso lato, \u201cresistenza\u201d in giudizio della fonte di prova digitale ha vantato anche in Italia uno sviluppo lineare che ha riguardato tutti i settori coinvolti, nessuno escluso: il mondo dell\u2019accademia, le Forze dell\u2019Ordine, la magistratura e l\u2019avvocatura e il mondo dei consulenti, dei tecnici, degli esperti, delle associazioni e delle aziende che producono software ed hardware per la <em>digital forensics<\/em> (soggetti, questi, giustamente pi\u00f9 votati a un approccio alla materia tecnico e d\u2019immediata utilit\u00e0, compresa la formazione nell\u2019utilizzo di tali strumenti, sovente complessi). Ci\u00f2 ha portato a uno sviluppo equilibrato del settore, cosa molto utile e apprezzabile in un ambito che viene a toccare, come \u00e8 noto, i diritti fondamentali dell\u2019individuo.<\/p>\n\n\n\n<p>Prova digitale: \u00ab<em>\u00c8 da considerarsi prova digitale il dato e la rispettiva informazione avente valore probatorio, ricavati da un accertamento tecnico-scientifico di tipo informatico, svolto nell\u2019ambito di un procedimento penale o civile.<\/em>\u00bb<\/p>\n\n\n\n<p>L\u2019aspetto pi\u00f9 importante, e che \u00e8 divenuto la questione centrale, \u00e8 che la <em>digital forensics<\/em> ha intaccato alcuni concetti base ritenuti universalmente validi in ambito legale, i quali devono essere in qualche modo ricodificati o quantomeno riadattati all\u2019inarrestabile evoluzione tecnologica del mondo digitale.<\/p>\n\n\n\n<p>Ad esempio\u2026<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>La dematerializzazione<\/strong><\/p>\n\n\n\n<p>In generale il processo di dematerializzazione \u00e8 stato largamente introdotto quando, anche la PA, ha cercato di trasformare l\u2019enorme massa di documentazione cartacea in suo possesso in file su una memoria di massa digitale.<\/p>\n\n\n\n<p>A questo va aggiunto che si \u00e8 cercato non solo di implementare l\u2019archiviazione in tal senso, ma anche le procedure, spostando le attivit\u00e0 umane su flussi descritti e contenuti in complessi <em>database<\/em> (archivi elettronici) e <em>software<\/em> basati su articolate reti di computer.<\/p>\n\n\n\n<p>Il completo processo di dematerializzazione, per\u00f2, e mi riferisco in Italia, impiegher\u00e0 lunghi periodi, lasciando ancora alla carta un centralissimo ed indiscutibile compito in qualsiasi ambito documentale e procedurale.<\/p>\n\n\n\n<p>Uno dei motivi fondamentali di tale difficolt\u00e0 di avanzamento \u00e8 la mancanza di fiducia verso il digitale, che ha sicuramente mostrato la sua pervasivit\u00e0 ed indispensabilit\u00e0, ma ha parimenti evidenziato un\u2019assoluta incapacit\u00e0 di gestire sicurezza, affidabilit\u00e0 e disponibilit\u00e0 dei dati:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>sicurezza<\/strong>: stabilire chi (identit\u00e0) \u00e8 autorizzato a fare cosa (attivit\u00e0) e con quali dati (informazioni) ed evitare che non autorizzati svolgano procedure o accedano a dati loro vietati. Non esiste ad oggi un sistema tecnico completamente sicuro per i sistemi digitali, soprattutto quando sono in rete, \u00e8 indispensabile una politica di gestione della sicurezza che coinvolga anche le persone;<\/li>\n\n\n\n<li><strong>affidabilit\u00e0<\/strong>: garanzia che i dati registrati restino integri nel tempo. La maggior parte delle memorie digitali si danneggia con frequenza molto pi\u00f9 alta della carta, che resta il supporto di memoria al momento pi\u00f9 longevo;<\/li>\n\n\n\n<li><strong>disponibilit\u00e0<\/strong>: garanzia che i dati restino disponibili agli autorizzati quando questi lo richiedono. Spesso tra guasti di sistema, difficolt\u00e0 di connessione, ecc. i dati, pur essendo presenti in una rete complessa, non sono disponibili.<\/li>\n<\/ul>\n\n\n\n<p>Succede poi che in Italia sicurezza, affidabilit\u00e0 e disponibilit\u00e0 vengono percepiti come costi sia dalle PA che dalle aziende e non come investimenti e quindi si cerca di \u201cspenderci il meno possibile\u201d conseguendo sistemi deboli e mediamente mal funzionanti che vengono rafforzati solo nelle aree in cui non se ne pu\u00f2 fare a meno (es. aree riservate o critiche).<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>La dematerializzazione nella digital forensics<\/strong><\/p>\n\n\n\n<p>Nella <em>digital forensics<\/em> i problemi appena visti per la dematerializzazione in generale, non solo esistono, ma sono rafforzati dalla pesantezza e rilevanza dell\u2019attivit\u00e0 considerata che \u00e8 quantomeno un\u2019indagine civile\/penale. Ogni volta infatti che si devono affrontare questioni critiche in cui si rischiano grosse ripercussioni per degli errori \u00e8 naturale irrigidirsi. Si pu\u00f2 passare immediatamente a considerare l\u2019aspetto <em>digital forensics<\/em> centrale di tale faccenda mediante un esempio base di semplice e diretta comprensione. Qualora un PC contenga nella sua memoria di massa (<em>hard disk<\/em>) alcuni dati di estremo interesse, per un\u2019indagine di PG nei confronti del suo possessore, se ne pu\u00f2 disporre il sequestro (fisico) per poi consentire ad un CT di svolgere un\u2019analisi forense approfondita consegnandogli l\u2019oggetto. La domanda per\u00f2 \u00e8 perch\u00e9 disporre un sequestro fisico dello strumento quando NON si \u00e8 interessati a tutto quello che contiene ma solo ad alcuni dati in esso registrati.<\/p>\n\n\n\n<p>In definitiva si \u00e8 stabilito un nuovo concetto di sequestro virtuale in cui l\u2019oggetto del sequestro non \u00e8 la \u201ccosa\u201d ma il \u201cdato\u201d. Va dunque distinto il \u201ccontenitore\u201d rispetto al \u201ccontenuto\u201d.<\/p>\n\n\n\n<p>Il punto massimo sul reperto virtuale e sulla dematerializzazione, lo si ha con i sistemi <em>cloud<\/em>. In breve un <em>cloud system<\/em> \u00e8 un sistema che usa Internet come semplice rete di appoggio, combinando il lavoro di migliaia di server in tutto il mondo, ci\u00f2 a determinare una serie di servizi.<\/p>\n\n\n\n<p>Il computer virtuale su <em>cloud<\/em> o computer remoto \u00e8 un intero sistema di elaborazione che NON esiste fisicamente ma solo virtualmente (\u00e8 definito scientificamente macchina virtuale distribuita). Il suo sequestro pu\u00f2 essere SOLO di natura virtuale ed il reperto che ne consegue \u00e8 un insieme di dati che difficilmente potr\u00e0 sussistere solo in un hard disk.<\/p>\n\n\n\n<p>In altre parole NON \u00e8 sempre possibile registrare questa fonte di prova su una nostra memoria locale, tale contenitore non \u00e8 adeguato. L\u2019unico modo di gestire la situazione \u00e8 lasciare il computer virtuale nel <em>cloud<\/em> e chiedere al gestore del <em>cloud<\/em> di \u201ccongelarlo\u201d l\u00ec dove si trova, ad esclusivo uso di PG ed AG e dei loro CT e periti.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Cyberspace vs. \u201cdomicilio informatico\u201d<\/strong><\/p>\n\n\n\n<p>A differenza di circa venti anni fa, l\u2019investigatore moderno volente o nolente si trova proiettato ad indagare in un mondo parallelo ed intangibile che costituisce di fatto una sorta di quinta dimensione, ossia il <em>cyberspace<\/em>. Ma cosa s\u2019intende con tale termine di origine anglosassone? Una definizione formale ed esaustiva l\u2019ha fornita la ISO 27032:2012, la quale ha sancito che \u00e8 intendersi come \u201c<em>l\u2019ambiente virtuale generato dall\u2019interazione tra persone, software e servizi Internet ottenuti attraverso l\u2019uso di sistemi informatici e telematici interconnessi tra loro<\/em>.<\/p>\n\n\n\n<p>Attualmente tale ambiente operativo non \u00e8 formalmente definito in specifiche norme del nostro sistema giudiziario, ma oramai per consuetudine possiamo dire che esso \u00e8 assimilato al concetto di \u201c<em>domicilio informatico\u201d<\/em> sancito dalla nostra Suprema Corte nel seguente modo: \u201c<em>\u2026 deve ritenersi \u201cdomicilio informatico\u201d \u2026<\/em> <em>quello spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, cui si estende la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto (art. 15 Cost.)\u2026\u201d<a href=\"#_ftn8\" id=\"_ftnref8\"><sup><strong><sup>[8]<\/sup><\/strong><\/sup><\/a><\/em>.<\/p>\n\n\n\n<p>Alla luce di tale asserto, possiamo senza dubbio dire che attualmente l\u2019ordinamento penale conosce un duplice significato del termine \u201c<em>domicilio\u201d<\/em>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>uno in <strong>senso reale<\/strong>, inteso come \u201c<em>spazio ideale di pertinenza della persona, al quale estendere la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto (art. 14 Cost.)<\/em>\u201d<a href=\"#_ftn9\" id=\"_ftnref9\"><sup>[9]<\/sup><\/a>;<\/li>\n\n\n\n<li>uno in <strong>senso virtuale<\/strong>, che si differenzia dal primo per la morfologia del perimetro, il quale \u00e8 caratterizzato da una \u201c<em>geometria variabile\u201d<\/em> nella disponibilit\u00e0 diretta della parte. Dalla dinamicit\u00e0 di tale ambiente deriva che il suo contenuto informativo non necessariamente coincide con quello del dispositivo fisico assicurato, ma pu\u00f2 essere distribuito anche in aree diverse dal territorio nazionale<a href=\"#_ftn10\" id=\"_ftnref10\"><sup>[10]<\/sup><\/a>, come ad esempio il <em>cloud<\/em><a href=\"#_ftn11\" id=\"_ftnref11\"><sup>[11]<\/sup><\/a>, il cui paradigma ha di fatto stravolto il \u201c<em>modus investigandi\u201d<\/em> che si era consolidato nel tempo.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>L\u2019impatto del <em>Cloud Computing <\/em>nell\u2019attivit\u00e0 investigativa<\/strong><\/p>\n\n\n\n<p>Come noto il principale problema derivante dalle indagini in materia di criminalit\u00e0 informatica in Internet \u00e8 l\u2019 \u201c<strong><em>aterritorialit\u00e0<\/em><\/strong>\u201d.<\/p>\n\n\n\n<p>Si pongono dunque problemi che si collocano a diversi livelli:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>livello investigativo<\/strong>: ampio terreno da monitorare;<\/li>\n\n\n\n<li><strong>livello procedurale<\/strong>: chi \u00e8 competente a fare cosa;<\/li>\n\n\n\n<li><strong>livello di diritto penale<\/strong>: a quale legge penale, di quale Stato, bisogna fare riferimento.<\/li>\n<\/ul>\n\n\n\n<p>Tali difficolt\u00e0 vengono ulteriormente amplificate quando l\u2019attivit\u00e0 antigiuridica viene realizzata per mezzo dei servizi c.d. \u201c<em>cloud based\u201d<\/em> (es. <em>Social Network<\/em>, <em>Cloud Storage<\/em>, ecc.) i quali sono fortemente caratterizzati da elementi come:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>ubiquit\u00e0<\/strong>, specie da parte di <em>client <\/em>leggeri come quelli previsti per i dispositivi <em>mobile <\/em>(es. <em>smartphone<\/em>, <em>tablet<\/em>, ecc.). A riscontro basti pensare che, mentre la Polizia Giudiziaria sta attuando una perquisizione informatica in un <em>account <\/em>Google, ancorch\u00e9 in presenza della parte, un soggetto terzo potrebbe contemporaneamente accedere e modificare, se non cancellare del tutto, gli elementi di prova utili per le indagini vanificando\/compromettendo l\u2019esito della stessa;<\/li>\n\n\n\n<li><strong>\u201c<em>depemetralizzazione<\/em>\u201d e condivisione <\/strong>delle risorse secondo un modello <em>multitenant <\/em>(letteralmente, \u201c<em>con pi\u00f9 affittuari<\/em>\u201d \u2013 es. cartelle o file condivisi). In tale modello le risorse fisiche e virtuali sono assegnate e riassegnate dinamicamente ai consumatori, sulla base delle loro esigenze (es. un documento GDoc scritto e revisionato da pi\u00f9 soggetti). C\u2019\u00e8 inoltre un\u2019indipendenza dalla locazione, in cui si trovano di fatto i consumatori e chi gli fornisce il servizio (CSP &#8211; <em>Cloud Service Provider<\/em>) infatti questi, per quanto appreso, <strong>non hanno n\u00e9 il controllo n\u00e9 la conoscenza dell\u2019ubicazione geografica delle risorse utilizzate<\/strong>. \u00c8 tuttavia possibile che i CSP abbiano il controllo sulla locazione a un livello di astrazione pi\u00f9 alto, ad esempio la nazione (spesso questo \u00e8 necessario per motivi prevalentemente legislativi);<\/li>\n\n\n\n<li><strong>ridondanza<\/strong>, come una risorsa complessa pu\u00f2 essere distribuita in pi\u00f9 <em>datacenter<\/em>, altrettanto la stessa pu\u00f2 essere ripetuta pi\u00f9 e pi\u00f9 volte per bilanciare il carico di lavoro del CSP.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Accertamenti informatici in ambito aziendale<\/strong><\/p>\n\n\n\n<p>Le attivit\u00e0 investigative che vedono coinvolti sistemi informatici e\/o telematici possono essere svolti anche in ambito aziendale, il cui contesto operativo necessita di accorgimenti diversi dalla privata dimora.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Ricerca Informativa<\/strong><\/p>\n\n\n\n<p>Al fine di circoscrivere e dettagliare nella maniera pi\u00f9 precisa possibile sia l\u2019area fisica che virtuale della <em>scena criminis<\/em>, gli eventuali sospettati, nonch\u00e9 gli elementi di reato, si rende necessario dapprima assumere informazioni da chi ricopre il ruolo di \u201c<em>responsabile dei sistemi informativi<\/em>\u201d<a href=\"#_ftn12\" id=\"_ftnref12\"><sup>[12]<\/sup><\/a> circa \u201c<em>policy aziendali<\/em>\u201d in materia di:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>sicurezza fisica<\/strong>, relativamente, ad esempio:<ul><li>all\u2019esistenza di apparati di videosorveglianza e rispettivo periodo di <em>data retention<a href=\"#_ftn13\" id=\"_ftnref13\"><sup><strong><sup>[13]<\/sup><\/strong><\/sup><\/a><\/em>;<\/li><\/ul><ul><li><em>policy <\/em>di accesso all\u2019edificio (es. accesso tramite <em>badge<\/em>);<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>eventuale gestione in <em>outsourcing<\/em> (societ\u00e0 terze) per la manutenzione dei sistemi precedentemente elencati;<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>sicurezza logica<\/strong>, relativamente, ad esempio:<ul><li>alla mappatura dell\u2019infrastruttura di rete (<em>subnet<a href=\"#_ftn14\" id=\"_ftnref14\"><sup><strong><sup>[14]<\/sup><\/strong><\/sup><\/a><\/em>, assegnazione statica o dinamica degli IP<a href=\"#_ftn15\" id=\"_ftnref15\"><sup>[15]<\/sup><\/a>, <em>antivirus<\/em>, <em>firewall<a href=\"#_ftn16\" id=\"_ftnref16\"><sup><strong><sup>[16]<\/sup><\/strong><\/sup><\/a><\/em>, IDS<a href=\"#_ftn17\" id=\"_ftnref17\"><sup>[17]<\/sup><\/a>, DMZ<a href=\"#_ftn18\" id=\"_ftnref18\"><sup>[18]<\/sup><\/a> ecc.);<\/li><\/ul><ul><li>regola di accesso al sistema telematico, ossia solo in locale (<em>intranet<\/em>) o anche da remoto (<em>extranet<\/em>);<\/li><\/ul><ul><li>ai criteri di autenticazione (es. <em>password<\/em>, <em>two step verification<a href=\"#_ftn19\" id=\"_ftnref19\"><sup><strong><sup>[19]<\/sup><\/strong><\/sup><\/a><\/em>, <em>strong authentication<a href=\"#_ftn20\" id=\"_ftnref20\"><sup><strong><sup>[20]<\/sup><\/strong><\/sup><\/a><\/em>) e rispettivi permessi (<em>amministratore, operatore di sistema<\/em>, ecc.) degli utenti accreditati al sistema informatico aziendale;<\/li><\/ul><ul><li>presenza di sistemi di cifratura degli hard disk (es. <em>BitLocket<\/em>, <em>File Vault<\/em>, Volumi crittografici, ecc.) ed acquisizione delle rispettive <em>passphrase<\/em>;<\/li><\/ul><ul><li>presenza di un CSIRT<a href=\"#_ftn21\" id=\"_ftnref21\"><sup>[21]<\/sup><\/a> ed eventuali <em>ticket<\/em> aperti nel periodo di interesse per le indagini;<\/li><\/ul><ul><li>metodi di <em>logging<\/em> e rispettivo periodo di <em>data retention<a href=\"#_ftn22\" id=\"_ftnref22\"><sup><strong><sup>[22]<\/sup><\/strong><\/sup><\/a><\/em> di ciascun sistema di sicurezza;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>eventuale gestione in <em>outsourcing<\/em> (societ\u00e0 terze) per la manutenzione dei sistemi precedentemente elencati.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<p>Tali dichiarazioni potranno trovare riscontro dalla consultazione del <strong>Documento di valutazione rischi<\/strong>, ovvero del <strong>Modello di organizzazione e gestione<\/strong>.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Le misure tecniche<\/strong><\/p>\n\n\n\n<p>Da un punto di vista meramente pratico, le misure tecniche da adottare sui dati, informazioni e programmi ritenuti di interesse per le indagini, potranno essere attuate seguendo le raccomandazioni fornite dall\u2019ISO 27037:2012. Tale documento definisce sia chi sono i soggetti, che le tecniche di acquisizione che questi potranno adottare sulla scena del crimine aziendale nel pieno rispetto dei principi giuridici e requisiti investigativi riconosciuti su scala transnazionale.<\/p>\n\n\n\n<p>In ambito internazionale vengono identificate le seguenti figure professionali, quali soggetti devoluti alla gestione delle fonti di prova digitali rinvenute sulla scena del crimine informatico:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>DEFR (<em>Digital Evidence First Responder<\/em> \u2013 ISO 27037:2012 Pt. 3.7), questi viene coinvolto nelle fasi di identificazione, repertamento e\/o acquisizione e preservazione della fonte di prova digitale. Tale figura professionale non dovrebbe necessariamente svolgere un\u2019attivit\u00e0 di analisi.<\/li>\n\n\n\n<li>DES (<em>Digital Evidence Specialist<\/em> \u2013 ISO 27037:2012 Pt. 3.8), questi fornisce supporto tecnico al DEFR nelle fasi di identificazione, repertamento e\/o acquisizione e preservazione delle fonti di prova digitale. Il DES deve essere caratterizzato da una formazione di tipo accademico e di comprovata esperienza nel settore tecnico-investigativo.<\/li>\n<\/ul>\n\n\n\n<p>L\u2019operato di tali soggetti deve avvenire nel rispetto dei seguenti principi e requisiti comuni alla maggior parte dei sistemi giurisdizionali internazionali:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>rilevanza\/pertinenza (<em>relevance<\/em>): secondo cui bisogna dimostrare di aver acquisito e\/o repertato solo elementi di pertinenza con il contesto d\u2019indagine, avendo cura di motivarne le ragioni;<\/li>\n\n\n\n<li>affidabilit\u00e0\/attendibilit\u00e0 (<em>reliability<\/em>): secondo cui ogni processo che caratterizza la scena del crimine informatico dovrebbe essere verificabile e ripetibile. L\u2019attuazione di tali processi dovrebbe garantire l\u2019intera riproducibilit\u00e0 dell\u2019attivit\u00e0 tecnico-investigativa;<\/li>\n\n\n\n<li>sufficienza\/proporzionalit\u00e0 (<em>sufficiency<\/em>): in cui il DEFR si assicura di avere a disposizione sufficiente materiale su cui svolgere le indagini;<\/li>\n\n\n\n<li>verificabilit\u00e0 (<em>auditability<\/em>): secondo cui dovrebbe essere possibile per una parte terza, autorizzata dall\u2019A.G. (es. il Consulente Tecnico), poter accertare tutte le attivit\u00e0 poste in essere sia dal DEFR che dal DES sulla scena del crimine informatico;<\/li>\n\n\n\n<li>ripetibilit\u00e0 (<em>repeatability<\/em>): secondo cui si producono gli stessi risultati con lo stesso <em>test<\/em> nello stesso ambiente;<\/li>\n\n\n\n<li>riproducibilit\u00e0 (<em>riproducibility<\/em>): secondo cui si producono gli stessi risultati con ambiente diverso, quindi anche <em>tool<\/em> diversi;<\/li>\n\n\n\n<li>giustificabilit\u00e0 (<em>justifiability<\/em>): secondo cui il DEFR dovrebbe essere in grado di poter giustificare la metodologia attuata per quel particolare contesto investigativo caratterizzato da vincoli giuridici, tecnologici e logistici, oltrech\u00e9 di competenze tecniche dello stesso operatore.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Ricostruzione degli eventi<\/strong><\/p>\n\n\n\n<p>La differenza sostanziale tra le indagini classiche e quelle in materia di criminalit\u00e0 informatica in <em>Internet <\/em>\u00e8 l\u2019 \u201c<em>aterritorialit\u00e0<\/em>\u201d.<\/p>\n\n\n\n<p>Tale vincolo solleva problemi a diversi livelli:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><em>territoriale<\/em>: assenza di confini ben definiti;<\/li>\n\n\n\n<li><em>livello processuale<\/em>: chi \u00e8 competente a fare cosa;<\/li>\n\n\n\n<li><em>legislativo<\/em>: Autorit\u00e0 Giudiziaria competente ad indagare o giudicare.<\/li>\n<\/ul>\n\n\n\n<p>Tali elementi, uniti a vincoli di carattere tecnologico, ostacolano, se non rendendo impossibile, l\u2019operazione di ricostruzione del percorso utilizzato dall\u2019autore del reato, non consentendo cos\u00ec l\u2019individuazione della postazione dalla quale \u00e8 stato posto in essere il comportamento illecito.<\/p>\n\n\n\n<p>A tale risultato potr\u00e0 pervenirsi unicamente seguendo a ritroso il cammino dell\u2019informazione illecita, dal destinatario ad un <em>provider <\/em>(sovente con sede all\u2019estero), e da questi sino al <em>client <\/em>dell\u2019autore del reato.<\/p>\n\n\n\n<p>Nel caso in cui la postazione sia nella disponibilit\u00e0 di pi\u00f9 soggetti, sar\u00e0 necessario correlare l\u2019attivit\u00e0 tecnico-investigativa con gli elementi di prova<a href=\"#_ftn23\" id=\"_ftnref23\">[23]<\/a> ricavati con modalit\u00e0 classica, al fine di dimostrare una disponibilit\u00e0 univoca del mezzo di un determinato lasso temporale.<\/p>\n\n\n\n<p>Qualora bisognasse svolgere operazioni di analisi inerente un sistema di rete pu\u00f2 essere conveniente, in prima approssimazione, suddividere le tematiche legate al <em>Network Forensics <\/em>in due classi, a seconda si tratti di <em>live analysis <\/em>o <em>post mortem analysis<\/em>, per una collocazione nell\u2019ambito codicistico penale procedurale che separi, seppur in modo non esaustivo, lo stato pre &#8211; e post &#8211; <em>discovery<\/em>.<\/p>\n\n\n\n<p>In ottica <em>post mortem<\/em> delle attivit\u00e0 correlate all\u2019utilizzo per fini criminali della rete, a contrario del contesto del mondo reale, si avranno a disposizione generalmente solo pochi ed incerti elementi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>indirizzo IP<a href=\"#_ftn24\" id=\"_ftnref24\">[24]<\/a> (dove IP sta per <em>Internet Protocol<\/em>) \u00e8 l\u2019elemento fondamentale che permette, all\u2019interno di una rete di calcolatori, di individuare un nodo della rete stessa. Gli indirizzi IP sono utilizzati dal protocollo IP per gestire l\u2019instradamento delle comunicazioni tra tutte le macchine connesse a <em>Internet<\/em>;<\/li>\n\n\n\n<li>i file di log, sul quale registrati gli eventi in ordine cronologico (consente di stabilire: un determinato utente in un particolare giorno ed ora si \u00e8 collegato alla rete tramite un provider; data ed ora della sessione di navigazione; quale indirizzo IP temporaneo ha avuto in assegnazione per la durata della connessione; l\u2019indirizzo IP utilizzato per la sessione di navigazione; quali informazioni ha inviato o ricevuto per mezzo dell\u2019indirizzo IP assegnato; anagrafica dell\u2019intestatario di un contratto di utenza Intenet);<\/li>\n\n\n\n<li>l\u2019URL, l<em>\u2019Uniform Resource Locator<\/em>, \u00e8 una sequenza di caratteri che identifica univocamente l\u2019indirizzo di una risorsa in Internet, come ad esempio un documento o un\u2019immagine.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Risposta alle intrusioni<\/strong><\/p>\n\n\n\n<p>Nel caso in cui si \u00e8 vittima di un accesso abusivo nella propria infrastruttura, di seguito vengono proposte le procedure di risposta alle intrusioni:<\/p>\n\n\n\n<ol style=\"list-style-type:1\" class=\"wp-block-list\">\n<li>analisi di tutte le informazioni disponibili che caratterizzano una intrusione:\n<ul class=\"wp-block-list\">\n<li>registrazione di tutte le informazioni che possono essere perse o non registrate durante una procedura di <em>backup<\/em> (connessioni di rete correnti, processi attivi o ibernati, utenti connessi, file aperti, informazioni volatili);<\/li>\n\n\n\n<li>backup dei sistemi compromessi: realizzare almeno due <em>backup<\/em> completi dei sistemi e dei dati utente identificati come compromessi, utilizzare supporti proteggibili via <em>hardware<\/em> o non riscrivibili;<\/li>\n\n\n\n<li>isolare i sistemi compromessi (trasferimento dei file di <em>backup<\/em> su un sistema di test isolato dai sistemi di produzione, <em>restore <\/em>dei sistemi compromessi sul sistema di test, analisi diretta da effettuarsi sul sistema di test);<\/li>\n\n\n\n<li>ricerca di tracce di intrusione su altri sistemi. Gli intrusori abitualmente creano pi\u00f9 di un punto di accesso in una rete dove abbiano conquistato un accesso. Nel caso sia stata rilevata una intrusione sar\u00e0 necessario controllare tutti gli altri sistemi simili al sistema violato;<\/li>\n\n\n\n<li>esame dei log file generati dai <em>firewall<\/em>, <em>router<\/em>, e <em>network monitor<\/em>. Gli attacchi spesso lasciano tracce che possono condurre all\u2019individuazione dei sistemi;<\/li>\n\n\n\n<li>identificazione dell\u2019attacco ad un sistema. Dopo aver conquistato l\u2019accesso ad un sistema, l\u2019intrusore pu\u00f2 cercare di cancellare tutti i <em>log file<\/em> o alcuni specifici <em>log entry<\/em>, e quindi \u00e8 possibile non trovare alcuna di queste utili informazioni. A volte la cancellazione dei <em>log entry<\/em> \u00e8 rilevabile, in questo caso \u00e8 la prova di una attivit\u00e0 sospetta ed \u00e8 necessario procedere ad analisi pi\u00f9 approfondite;<\/li>\n\n\n\n<li>identificazione delle attivit\u00e0 eseguite durante un attacco ad un sistema (analizzare in vari <em>log file<\/em>, come quegli specifici sistemi di <em>Intrusion Detection<\/em>);<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>raccolta e conservazione delle informazioni associate ad un\u2019intrusione:\n<ul class=\"wp-block-list\">\n<li>raccolta di tutte le informazioni relative ad un\u2019intrusione. Raccogliere le informazioni ricavate dai <em>log<\/em> dei sistemi e delle reti degli ambienti compromessi, dai sistemi di <em>intrusion detection<\/em>, <em>firewall<\/em>, <em>router<\/em> ed altri strumenti. Raccogliere i <em>backup<\/em> completi e parziali, documentare le schermate dei sistemi con <em>screen-shots<\/em>, videoregistrazioni e fotografie;<\/li>\n\n\n\n<li>raccolta delle prove. Designare un responsabile per la raccolta delle prove e per il mantenimento dei contatti con l\u2019Autorit\u00e0 Giudiziaria e con eventuali agenzie investigative private. Al fine di assicurare che le raccolte abbiano valore legale, le procedure di raccolta e conservazione delle stesse dovranno essere effettuate in accordo con la legislazione vigente;<\/li>\n\n\n\n<li>conservazione delle prove. Tutte le informazioni registrate elettronicamente saranno archiviate fuori linea e conservate in luogo fisicamente sicuro;<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>eliminazione di tutti gli strumenti utilizzati per l\u2019intrusione:\n<ul class=\"wp-block-list\">\n<li>modifica di tutte le <em>password<\/em> su tutti i sistemi ove sia stata riscontrata un\u2019intrusione;<\/li>\n\n\n\n<li>reinstallazione completa dei sistemi compromessi. Nel caso in cui sia difficoltoso o troppo oneroso verificare i <em>checksum<\/em> crittografici del sistema compromesso si dovr\u00e0 procedere alla reinstallazione integrale del sistema utilizzando i supporti di distribuzione originali o delle copie sicuramente conformi;<\/li>\n\n\n\n<li>rimozione di tutti i programmi utilizzati per realizzare l\u2019intrusione e di tutte le modifiche determinate dall\u2019intrusione;reinstallazione dei programmi eseguibili e dei <em>file<\/em> binari dai supporti di distribuzione originali;<\/li>\n\n\n\n<li>revisione delle configurazioni del sistema. Dovranno essere verificati i <em>file<\/em> di configurazione del sistema;<\/li>\n\n\n\n<li>determinare se sussistono vulnerabilit\u00e0 nel sistema e nella rete e correggerle;<\/li>\n\n\n\n<li>migliorare gli strumenti di protezione per limitare l\u2019esposizione dei sistemi e della rete;<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>ripristino dei sistemi alle condizioni di normale operativit\u00e0:\n<ul class=\"wp-block-list\">\n<li>verifica dei requisiti e della tempistica per il ritorno alla normale operativit\u00e0;<\/li>\n\n\n\n<li>ripristino dei dati utente da un <em>backup<\/em> affidabile;<\/li>\n\n\n\n<li>abilitazione dei sistemi e dei servizi;<\/li>\n\n\n\n<li>connessione dei sistemi ripristinati alla rete;<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>azioni conclusive. A seguito di una intrusione e del successivo ripristino della normale operativit\u00e0 sar\u00e0 utile effettuare una analisi complessiva delle implicazioni determinate dall\u2019evento:\n<ul class=\"wp-block-list\">\n<li>valutazione dell\u2019adeguatezza degli strumenti di protezione e individuazione delle violazioni dei sistemi;<\/li>\n\n\n\n<li>revisione dei piani di sicurezza, delle politiche e delle procedure;<\/li>\n\n\n\n<li>revisione delle direttive ad utenti ed amministratori dei sistemi volte a prevenire ulteriori violazioni;<\/li>\n\n\n\n<li>valutazione della necessit\u00e0 di una nuova analisi del rischio in base alla gravit\u00e0 degli effetti dell\u2019intrusione;<\/li>\n\n\n\n<li>aggiornamento dell\u2019inventario dei sistemi e dei loro assetti;<\/li>\n\n\n\n<li>partecipazione ad azioni investigative e legali.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.5 La Verifica dello Stato dell&#8217;Arte in Azienda<\/u><\/strong><\/strong><\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Ricognizione della situazione<\/strong><\/p>\n\n\n\n<p>Sono 5 i fattori critici che devono essere tenuti in debita considerazione al fine di realizzare una strategia di <em>cyber risk<\/em> efficace.<\/p>\n\n\n\n<p>Il 1\u00b0 elemento: riuscire ad acquisire una visione globale del rischio:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>effettuare screening sistematici in ambito <em>information security<\/em> al fine di prefigurare i possibili scenari di minacce, identificare quali siano i <em>target<\/em> potenziali e verificare i livelli di protezione in tutte le funzioni ed aree aziendali;<\/li>\n\n\n\n<li>ripartizione completa delle informazioni protette, poich\u00e9 ritenute critiche e potenziali bersagli;<\/li>\n\n\n\n<li>valutazione del rischio, a cui sono soggette le informazioni protette, dal punto di vista economico, che includa anche le misure di protezione.<\/li>\n<\/ul>\n\n\n\n<p>Il 2\u00b0 elemento: l\u2019identificazione dei <em>target<\/em> potenziali ed il relativo impatto strategico per l\u2019organizzazione, ci\u00f2 significa ottenere:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>una chiara visione del possibile pericolo causato anche da elementi \u201cperiferici\u201d dei target potenziali, (es. nuovi processi o servizi connessi &#8230; );<\/li>\n\n\n\n<li>un abbinamentoefficiente tra il probabile bersaglio e quelli imminenti ed attesi, nonch\u00e9 la loro valorizzazione economica e prioritizzazione per criterio di rischio e di potenziale impatto.<\/li>\n<\/ul>\n\n\n\n<p>Il 3\u00b0 elemento prevede lo sviluppo di un percorso di criticit\u00e0 relativamente agli scenari di rischio, ci\u00f2 significa:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>utilizzare in modo mirato l\u2019esperienza ed i dati storici aziendali per calcolare sulla base delle probabilit\u00e0 l\u2019insorgenza del potenziale rischio;<\/li>\n\n\n\n<li>dare priorit\u00e0 alle minacce pi\u00f9 significative, attraverso la rappresentazione di modelli e schemi di attacco creati su tipologie di minaccia analoghe<em>.<\/em><\/li>\n<\/ul>\n\n\n\n<p>Il 4\u00b0 elemento definisce una strategia di \u201c<em>risk appetite<\/em>\u201d la quale prevede:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>la stesura di un\u2019adeguata strategia di \u201c<em>risk appetite<\/em>\u201d, la quale deve risultare condivisa non solo con i vertici delle aree funzionali ma anche con la <em>Corporate Strategy<\/em>;<\/li>\n\n\n\n<li>la definizione di un\u2019appropriata estensione di misure per la protezione delle informazioni incentratasui potenziali effetti, catalogati secondo criterio di probabilit\u00e0 ed impatto<em>.<\/em><\/li>\n<\/ul>\n\n\n\n<p>Il 5\u00b0 evidenzia l\u2019esigenza di aggregare le misure di sicurezza adottate per la protezione dei dati, prevedendo:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>creazione di un processo integrato di misure per la sicurezza delle informazioni che va ad abbracciare le differenti funzioni aziendali;<\/li>\n\n\n\n<li>aggregazione di un insieme di strategie di mitigazione del rischio a livello organizzativo, procedurale e di sistemi;<\/li>\n\n\n\n<li>attuazione di interventi mirati e processi di controllo relativi al governo delle terze parti (es. fornitori, personale esterno\u2026).<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Il Framework Nazionale<\/strong><\/p>\n\n\n\n<p>Il Framework Nazionale definito in questo capitolo si fonda sul \u201c<em>Framework for Improving Critical Infrastructure Cybersecurity<\/em>\u201d, sviluppato dal National Institute for Standards and Technology (NIST) statunitense.<\/p>\n\n\n\n<p>Il cuore del Framework NIST \u00e8 costituito da un insieme di 21 <em>Category<\/em> e 98 <em>Subcategory<\/em>, organizzate in 5 <em>Function<\/em>. Ogni <em>Subcategory<\/em> rappresenta un\u2019area di raccomandazioni che l\u2019organizzazione pu\u00f2 decidere di implementare, se necessario riferendosi a standard o norme specifiche di settore. Il <em>Framework<\/em> NIST fornisce, per ogni <em>Subcategory<\/em>, i riferimenti agli standard e Framework esistenti: si tratta di una mappatura parziale, ma che comunque copre la quasi totalit\u00e0 dei riferimenti gi\u00e0 adottati dalle organizzazioni internazionali, quali Standard NIST, Standard ISO\/IEC e COBIT.<\/p>\n\n\n\n<p>Il <em>Framework<\/em> Nazionale amplia questa struttura inserendo due nuovi concetti: i livelli di priorit\u00e0 e i livelli di maturit\u00e0. Questi due concetti permettono di tenere conto della struttura economica del nostro Paese fatta di alcune decine di grandi aziende e infrastrutture critiche e di una galassia di piccole imprese, rendendo dunque, di fatto, il <em>Framework<\/em> adatto alle PMI, ma conservando tuttavia la sua iniziale vocazione per Grandi Imprese e infrastrutture critiche.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-medium-font-size\">Framework Core, Profile e Implementation Tier<\/h3>\n\n\n\n<p>Il <em>Framework<\/em> Nazionale eredita le tre nozioni fondamentali del <em>Framework<\/em> NIST: <em>Framework Core, Profile e Implementation Tier<a href=\"#_ftn25\" id=\"_ftnref25\"><strong>[25]<\/strong><\/a>:<\/em><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><em><u>Framework Core<\/u><\/em>. Il <em>core<\/em> rappresenta la struttura del ciclo di vita del processo di gestione della <em>cyber security<\/em>, sia dal punto di vista tecnico sia organizzativo. Il <em>core<\/em> \u00e8 strutturato gerarchicamente in <em>Function, Category e Subcategory<\/em>. Le <em>Function<\/em>, concorrenti e continue, sono: <em>Identify, Protect, Detect, Respond, Recover<\/em> e costituiscono le principali tematiche da affrontare per operare una adeguata gestione del rischio <em>cyber<\/em> in modo strategico. Il <em>Framework<\/em> quindi definisce, per ogni <em>Function, Category<\/em> e <em>Subcategory<\/em>, le quali forniscono indicazioni in termini di specifiche risorse, processi e tecnologie da mettere in campo per gestire la singola <em>Function<\/em>.\n<ul class=\"wp-block-list\">\n<li><em><u>Identify<\/u><\/em>, \u00e8 legata alla comprensione del contesto aziendale, degli <em>asset<\/em> che supportano i processi critici di <em>business<\/em> e dei relativi rischi associati;<\/li>\n\n\n\n<li><em><u>Protect<\/u><\/em>, \u00e8 associata all\u2019implementazione di quelle misure volte alla protezione dei processi di <em>business<\/em> e degli <em>asset<\/em> aziendali;<\/li>\n\n\n\n<li><em>Detect<\/em>, \u00e8 associata alla definizione e attuazione di attivit\u00e0 appropriate per identificare tempestivamente incidenti di sicurezza informatica;<\/li>\n\n\n\n<li><em>Respond<\/em>, \u00e8 legata alla definizione e attuazione delle opportune attivit\u00e0 per intervenire quando un incidente di sicurezza informatica sia stato rilevato;<\/li>\n\n\n\n<li><em>Recover<\/em>, \u00e8 associata alla definizione e attuazione delle attivit\u00e0 per la gestione dei piani e delle attivit\u00e0 per il ripristino dei processi e dei servizi impattati da un incidente.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><em>Profile<\/em> rappresentano il risultato della selezione, da parte di un\u2019organizzazione, di specifiche <em>Subcategory<\/em> del <em>Framework<\/em>;<\/li>\n\n\n\n<li><em>Implementation Tier<\/em> forniscono contesto su come l\u2019azienda, nel suo complesso, veda il rischio <em>cyber<\/em> e i processi posti in essere per gestirlo. Sono previsti quattro livelli di valutazione, dal pi\u00f9 debole al pi\u00f9 forte: (1) Parziale, (2) Informato, (3) Ripetibile, (4) Adattivo.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading has-medium-font-size\"><strong>I livelli di priorit\u00e0<\/strong><\/h3>\n\n\n\n<p>I livelli di priorit\u00e0 permettono di supportare le organizzazioni e le aziende nell\u2019identificazione preliminare delle <em>Subcategory<\/em> da implementare per ridurre maggiormente i livelli di rischio a cui sono sottoposte, bilanciandone l\u2019impegno da profondere per la loro attuazione. Il <em>Framework<\/em> suggerisce l\u2019utilizzo di una scala di priorit\u00e0 a tre livelli tra le <em>Subcategory<\/em>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-medium-font-size\"><strong>I livelli di maturit\u00e0<\/strong><\/h3>\n\n\n\n<p>I livelli di maturit\u00e0 permettono di fornire una misura della maturit\u00e0 di un processo di sicurezza, della maturit\u00e0 di attuazione di una tecnologia specifica o una misura della quantit\u00e0 di risorse adeguate impiegate per l\u2019implementazione di una data <em>Subcategory<\/em>. I livelli di maturit\u00e0 forniscono un punto di riferimento in base al quale ogni organizzazione pu\u00f2 valutare la propria implementazione delle <em>Subcategory<\/em> e fissare obiettivi e priorit\u00e0 per il loro miglioramento. I livelli devono essere in progressione, dal minore al maggiore. Ogni livello deve prevedere pratiche e controlli incrementali rispetto al livello di maturit\u00e0 inferiore<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\"><strong>Pentration Testing<\/strong><\/h2>\n\n\n\n<p>Nella \u201csicurezza informatica\u201d \u00e8 compreso anche il processo di prevenzione, ovvero quell\u2019insieme di misure atte alla protezione di informazioni dall\u2019accesso, dalla modica o dal furto da parte di \u201c<em>attivit\u00e0<\/em>\u201d non previste.<\/p>\n\n\n\n<p>\u201c<em>Un <strong>penetration test<\/strong>, occasionalmente pen test, \u00e8 un <strong>metodo&nbsp;<\/strong>per la <strong>valutazione della sicurezza<\/strong> di un <strong>sistema informatico<\/strong> o di una rete <strong>simulando un attacco<\/strong> da parte di attaccanti&nbsp;esterni (che non hanno di norma accesso ai sistemi informatici) e\/o di attaccanti interni (che hanno un qualche livello di accesso autorizzato ai sistemi)<\/em>\u201d<a href=\"#_ftn26\" id=\"_ftnref26\">[26]<\/a><\/p>\n\n\n\n<p><em>Auditor<\/em> \u00e8 colui che svolge tutte le attivit\u00e0 di verifica operando con logiche medesime a quelle di un <em>hacker<\/em>. L\u2019analisi intrapresa da un <em>auditor<\/em> comprende pi\u00f9 fasi ed ha l\u2019obiettivo di evidenziare in un <em>report<\/em> le debolezze rilevate nella piattaforma, fornendo il maggior numero di informazioni sulle vulnerabilit\u00e0 sfruttate per ottenere l\u2019accesso non autorizzato.<\/p>\n\n\n\n<p>L\u2019<em>auditor<\/em> non si fermer\u00e0 ad analizzare i soli sistemi informatici ma potr\u00e0 sfruttare tecniche di ingegneria sociale per verificare eventuali carenze formative del personale aziendale di fronte a tentativi di intrusione; questa modalit\u00e0 definita <em>Hidden Mode<\/em> prevede l\u2019accordo esclusivamente con il consiglio amministrativo dell\u2019azienda che commissiona le verifiche lasciando all\u2019oscuro tutto il personale, compreso il settore IT dell\u2019azienda.<\/p>\n\n\n\n<p>A livello metodologico il NIST descrive inoltre un concetto a cui spesso viene data poca importanza: il <em>penetration test<\/em> \u2013 per sua natura \u2013 \u00e8 un processo iterativo e non ha un andamento lineare. Ogni volta che si hanno maggiori informazioni sul bersaglio queste vengono riutilizzate e si reitera su quanto gi\u00e0 fatto. Non a caso Offensive Security<a href=\"#_ftn27\" id=\"_ftnref27\">[27]<\/a> definisce il <em>penetration test<\/em> come \u201c<em>un ciclo continuo di ricerca e di attacco<\/em>\u201d.<\/p>\n\n\n\n<p>E\u2019 estremamente importante notare come la definizione si focalizzi<strong> sul metodo e non sullo strumento<\/strong>. Il <em>penetration test<\/em> non \u00e8 un attivit\u00e0 in cui lo strumento fa da padrone e non \u00e8 un caso.<\/p>\n\n\n\n<p>L\u2019attacco ad un sistema si pu\u00f2 suddividere in cinque fasi principali:<\/p>\n\n\n\n<ol style=\"list-style-type:1\" class=\"wp-block-list\">\n<li><em>Information Gathering<\/em>; raccolta d\u2019informazioni. Ha l\u2019obbiettivo di raccogliere informazioni utili sul bersaglio come una lista di nomi di dominio, l\u2019architettura della piattaforma, delimitazione di indirizzi IP, sistemi e porte attive, servizi offerti ed infine un elenco di nominativi ed e-mail utili in caso di attacco <em>social engineering<\/em>. I dati raccolti in questa fase permetteranno di scegliere la linea di attacco da seguire nel passo successivo;<\/li>\n\n\n\n<li><em>Vulnerability Assessment<\/em>; ricerca di vulnerabilit\u00e0. Un <em>Vulnerability Assessment <\/em>(VA) \u00e8 un processo grazie al quale si identificano e quantificano le vulnerabilit\u00e0 di un sistema. Questa attivit\u00e0 permette di avere una panoramica dello stato di sicurezza della infrastruttura tecnologica consentendo ad evidenziarne le potenziali vulnerabilit\u00e0 e ad implementare conseguentemente migliori politiche di sicurezza. Le informazioni elaborate in un <em>vulnerability assessment<\/em>, riportate in appositi <em>report<\/em>, consentono di delineare piani di analisi pi\u00f9 mirati. Dato l\u2019alto numero di nuove vulnerabilit\u00e0 che vengono scoperte ogni giorno \u00e8 fondamentale svolgere un <em>vulnerability assessment<\/em> con la giusta frequenza al fine di assicurarsi che le configurazioni dei sistemi siano corrette e le opportune <em>patch<\/em> di sicurezza applicate<\/li>\n\n\n\n<li><em>Exploitation<\/em>; <em>Exploit<\/em> delle vulnerabilit\u00e0. La fase successiva di <em>exploitation <\/em>permette di ricercare all\u2019interno di un software una vulnerabilit\u00e0 in grado di provocare un imprevisto nel sistema bersaglio dell\u2019attacco. Con il termine<em> exploit <\/em>(la cui traduzione significa \u201csfruttare\u201d) si identifica un pezzo di <em>software<\/em> o una sequenza di comandi che sfrutta un <em>bug <\/em>o una vulnerabilit\u00e0 per causare inaspettati comportamenti su un computer, sia per quanto riguarda lato <em>software<\/em> che <em>hardware<\/em>;<\/li>\n\n\n\n<li><em>Privilege Escalation<\/em>; Scalata dei privilegi. Durante questa fase viene sfruttato l\u2019accesso ricavato attraverso l\u2019<em>exploit<\/em> per innalzare i propri privilegi; questo pu\u00f2 avvenire sfruttando ulteriori vulnerabilit\u00e0 di sistema, sniffando pacchetti che transitano nella rete o semplicemente cercando di ottenere in chiaro le <em>password<\/em> di un utente amministratore. Possiamo distinguere due tipi di scalata:\n<ul class=\"wp-block-list\">\n<li>scalata verticale: quando si ottengono autorizzazioni o privilegi superiori a quelli normalmente avuti;<\/li>\n\n\n\n<li>scalata orizzontale: quando si ottiene l\u2019accesso a risorse con gli stessi privilegi che normalmente concessi ma in un\u2019area di competenza diversa;<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><em>Reporting<\/em>; infine l\u2019attivit\u00e0 di <em>Pen Testing<\/em> si conclude con la stesura di un <em>Report<\/em> dettagliato includendo tutte le vulnerabilit\u00e0 riscontrate, l\u2019analisi dell\u2019impatto di rischio ed eventualmente una possibile soluzione tecnica al problema.<\/li>\n<\/ol>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.6 Dinamiche di Reazione<\/u><\/strong><\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\"><strong>Il reato informatico nella prassi giudiziaria: le linee guida internazionali per il contrasto ai nuovi fenomeni criminali<\/strong><\/h2>\n\n\n\n<p>La Convenzione di Budapest per il contrasto al <em>Cybercrime<\/em><a href=\"#_ftn28\" id=\"_ftnref28\"><sup>[28]<\/sup><\/a> ha adottato una tecnica di tipizzazione delle fattispecie incriminatrici che non riproduce pedissequamente i fenomeni criminali, riscontrati nella prassi giudiziaria ed investigativa delle attivit\u00e0 di contrasto ma individua, secondo una tecnica di tipizzazione radicata nell\u2019esperienza della codicistica italiana, una serie di fattispecie penalmente illecite caratterizzate dalle modalit\u00e0 della condotta, finalit\u00e0 perseguite ed evento realizzato. Di modo che, nella Convenzione e nelle norme che le hanno dato recepimento nell\u2019ambito degli ordinamenti nazionali, non troveremo riscontro esplicito e diretto alle modalit\u00e0 specifiche attraverso le quali la criminalit\u00e0 concretamente opera: non troveremo cio\u00e8 riferimenti a prassi criminali molto frequenti nell\u2019esperienza quotidiana quali il <em>phishing<\/em>, il <em>bombing<\/em>, i <em>botnet<\/em>, lo <em>spamming<\/em>, in quanto si \u00e8 ritenuto preferibile focalizzare l\u2019attenzione sulle condotte criminali piuttosto che sulla tecnologia da questi utilizzata.<\/p>\n\n\n\n<p>La scelta assunta dai compilatori della Convenzione ha l\u2019innegabile pregio di fornire strumenti sanzionatori che, non essendo finalizzati a fotografare e qualificare giuridicamente le mutevoli fenomenologie dell\u2019illecito cibernetico, non sono condannati a cadere in desuetudine e divenire inutilizzabili quando le tecniche di commissione degli illeciti dovessero mutare ed evolversi.<\/p>\n\n\n\n<p>Offrono, quindi, strumenti di qualificazione giuridica sempre attuali. Al contempo, la tecnica di normazione prescelta, presenta il difetto di non consentire l\u2019immediata riconduzione ad una unica fattispecie incriminatrice delle condotte illecite rilevate nella prassi.<\/p>\n\n\n\n<p>Se da un lato l\u2019operazione interpretativa finalizzata a qualificare giuridicamente le condotte criminali appare complessa e produttiva di risultati non sempre omogenei, l\u2019esigenza sottesa alla Convenzione di Budapest \u00e8 certamente quella di rendere omogenei i sistemi sanzionatori nazionali, al fine di facilitare la cooperazione giudiziaria, volta al contrasto di fenomeni criminali che presentano una eminente connotazione trans-nazionale. In questo ambito uno dei principi cardine della collaborazione internazionale \u00e8 quello della <em>reciprocit\u00e0<\/em>, ovvero il presupposto della comune qualificazione penale della condotta criminale da perseguire. Diventa quindi di centrale importanza che, non solo tutti i Paesi aderenti si dotino di un omogeneo sistema sanzionatorio ma che siano anche omogenei i canoni interpretativi che consentono di qualificare illecitamente le diverse condotte complesse nelle quali si estrinsecano le prassi criminali pi\u00f9 ricorrenti. Propri alla standardizzazione dei canoni interpretativi tendono le linee guida adottate periodicamente dal <em>Cybercrime Convention Committee<\/em> (T-CY) istituito presso il Consiglio d\u2019Europa in virt\u00f9 dell\u2019art. 46 della Convenzione e finalizzato a darle attuazione, ad arricchirne e potenziarne i contenuti, a favorire lo scambio di informazioni e di esperienze attuative tra gli Stati aderenti. In particolare le linee guida costituiscono l\u2019espressione del comune intendimenti delle parti del trattato circa le modalit\u00e0 concrete di darvi attuazione, superando, attraverso una condivisa interpretazione delle sue norme (e delle norme di recepimento dei singoli stati) le ricadute negative che potrebbero verificarsi, sul piano della cooperazione giudiziaria, per effetto della differente interpretazione di ci\u00f2 che sia o meno qualificabile come reato in base alla convenzione.<\/p>\n\n\n\n<p>Sul piano del diritto nazionale le linee guida, pur non assumendo alcun valore normativo e tanto meno vincolante per l\u2019interprete, offrono un valido strumento di ausilio nell\u2019attivit\u00e0 di interpretazione delle norme e di qualificazione giuridica dei fatti di reato, che presenta il pregio dell\u2019uniformit\u00e0 ed il prestigio culturale proveniente, oltre che dall\u2019elevata qualificazione tecnico giuridica della sua fonte, anche dall\u2019attenzione e dalla completezza con le quali sono redatte.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Delitti informatici e trattamento illecito dei dati<\/strong><\/p>\n\n\n\n<p>Il Legislatore Italiano, spesso in adempimento di obblighi di cooperazione europea od internazionale, ha, nell\u2019ultimo ventennio, introdotto nell\u2019ordinamento diverse disposizioni aventi come oggetto la tutela dei \u201cSistemi Informatici o Telematici\u201d.<\/p>\n\n\n\n<p>Prima della legge n. 547 del 1993, nel nostro ordinamento non esisteva alcuna disposizione normativa specifica sui reati informatici. La legge 547\/93 \u00e8 intervenuta in quattro diverse direzioni, punendo le seguenti forme di aggressione:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>le aggressioni alla riservatezza dei dati e delle comunicazioni informatiche;<\/li>\n\n\n\n<li>le aggressioni all\u2019integrit\u00e0 dei dati e dei sistemi informatici;<\/li>\n\n\n\n<li>le condotte in tema di falso, estese ai documenti informatici;<\/li>\n\n\n\n<li>le frodi informatiche.<\/li>\n<\/ul>\n\n\n\n<p>In data 5 aprile 2008 \u00e8 entrata in vigore la Legge n. 48, recante la ratifica ed esecuzione della Convenzione del Consiglio d\u2019Europa sulla criminalit\u00e0 informatica.<\/p>\n\n\n\n<p>Con tale norma il Legislatore ha apportato modifiche al codice penale in materia di reati informatici ed ha introdotto diverse disposizioni in relazione ai delitti informatici e al trattamento illecito dei dati.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.7 Responsabilit\u00e0 dell&#8217;Azienda<\/u><\/strong><\/strong><\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>La sicurezza delle informazioni nella legislazione italiana<\/strong><\/p>\n\n\n\n<p>Il legislatore italiano gi\u00e0 da tempo si \u00e8 preoccupato di dettare delle norme volte ad individuare alcune misure minime di sicurezza per tutti quei casi in cui la qualit\u00e0 delle informazioni contenute nei sistemi informatici di un\u2019azienda renda opportuna e giuridicamente necessaria la loro protezione.<\/p>\n\n\n\n<p>In particolare, la normativa italiana vigente \u2013 contenuta per poco tempo ancora nel D.Lgs. 196\/2003 e comunemente denominata \u201cCodice della <em>privacy<\/em>\u201d \u2013 si applica esclusivamente al trattamento di <em>dati personali<\/em>. Essi sono definiti come \u201c<em>qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale<\/em>\u201d.<\/p>\n\n\n\n<p>Accanto alla definizione di dato personale e di dato identificativo, per\u00f2, il legislatore ha espressamente previsto anche i concetti di <em>dato sensibile<\/em> e di <em>dato giudiziario<\/em>, protetti dalla normativa vigente in maniera ancora pi\u00f9 stringente, dato l\u2019alto valore delle informazioni in essi contenuto.<\/p>\n\n\n\n<p>I <em>dati sensibili<\/em>, infatti, riguardano i dati personali idonei a rivelare l\u2019origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l\u2019adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonch\u00e9 i dati personali idonei a rivelare lo stato di salute e la vita sessuale di un soggetto.<\/p>\n\n\n\n<p>I <em>dati giudiziari<\/em>, invece, sono i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualit\u00e0 di imputato o di indagato.<\/p>\n\n\n\n<p>In merito alla loro protezione, l\u2019art. 31 del Codice della <em>privacy<\/em> pone come regola generale quella secondo cui i dati personali oggetto di trattamento debbano essere \u201c<em>custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l\u2019adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalit\u00e0 della raccolta<\/em>\u201d.<\/p>\n\n\n\n<p>Occorre evidenziare come il legislatore italiano preveda esplicitamente ed analiticamente solo le misure minime di sicurezza da applicare al trattamento dei dati, ovvero quelle dell\u2019art. 34 e dell\u2019Allegato B al Codice della <em>privacy<\/em>, lasciando invece indefinite le misure di sicurezza idonee previste dall\u2019art. 31.<\/p>\n\n\n\n<p>La non applicazione delle misure minime ha come conseguenza sanzioni di tipo penale, laddove la mancata predisposizione di misure di sicurezza idonee per lo specifico trattamento dei dati comporta l\u2019applicazione delle sole sanzioni amministrative.<\/p>\n\n\n\n<p>Le norme da prendere in considerazione, per\u00f2, non si esauriscono con quanto finora accennato.<\/p>\n\n\n\n<p>Il 25 maggio 2016, infatti, \u00e8 entrato in vigore il \u201c<em>Regolamento europeo generale sulla protezione dei dati personali<\/em>\u201d n. 2016\/679<a href=\"#_ftn29\" id=\"_ftnref29\"><sup>[29]<\/sup><\/a>, che stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch\u00e9 norme relative alla libera circolazione di tali dati.<\/p>\n\n\n\n<p>Questo <em>Regolamento <\/em>diventer\u00e0 definitivamente applicabile in ogni Stato membro dell\u2019Unione Europea a partire dal 25 maggio 2018, abrogando la Direttiva 95\/46\/CE sinora vigente e andando a sostituire anche quanto attualmente previsto in Italia dal Codice della <em>privacy<\/em>.<\/p>\n\n\n\n<p>In linea generale, tutto il <em>Regolamento <\/em>si poggia su due principi fondamentali, che ispirano l\u2019intero costrutto normativo: il principio di <em>privacy by design<\/em>, che mira a proteggere ogni dato personale sin dal momento di determinare i mezzi o i processi utili al trattamento, oltre che ovviamente all\u2019atto del trattamento stesso (attraverso, ad esempio, i \u201csotto-principi\u201d di pseudonimizzazione<a href=\"#_ftn30\" id=\"_ftnref30\"><sup>[30]<\/sup><\/a> e minimizzazione dei dati trattati); e il principio di <em>privacy by default<\/em>, che mira a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalit\u00e0 del trattamento e che va ad incidere, pertanto, sulla quantit\u00e0 dei dati personali raccolti, sulla portata del trattamento, nonch\u00e9 sul periodo di conservazione e sulla loro accessibilit\u00e0.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Il Decreto Legislativo n. 231\/2001<\/strong><\/p>\n\n\n\n<p>Il Decreto Legislativo n. 231 dal titolo \u201c<em>Disciplina della responsabilit\u00e0 amministrativa delle persone giuridiche, delle societ\u00e0 e delle associazioni anche prive di personalit\u00e0 giuridica<\/em>\u201d <a href=\"#_ftn31\" id=\"_ftnref31\">[31]<\/a>, ha introdotto nell\u2019ordinamento italiano un regime di responsabilit\u00e0 amministrativa (riferibile sostanzialmente alla responsabilit\u00e0 penale) a carico degli enti (da intendersi come Societ\u00e0, associazioni, consorzi, ecc., di seguito denominati \u201centi\u201d e, singolarmente, \u201cEnte\u201d) per alcuni reati commessi, nell\u2019interesse o a vantaggio degli stessi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>da persone fisiche che rivestano funzioni di rappresentanza, di amministrazione o di direzione degli enti stessi o di una loro unit\u00e0 organizzativa dotata di autonomia finanziaria e funzionale, nonch\u00e9 da persone fisiche che esercitino, anche di fatto, la gestione e il controllo degli enti medesimi;<\/li>\n\n\n\n<li>da persone fisiche sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati.<\/li>\n<\/ul>\n\n\n\n<p>Tale responsabilit\u00e0 si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto.<\/p>\n\n\n\n<p>Il D.Lgs. 231\/01 prevede, all\u2019art. 6, una forma specifica di esonero dalla responsabilit\u00e0 amministrativa (c.d. esimente) qualora l\u2019Ente sia in grado di dimostrare:<\/p>\n\n\n\n<ol style=\"list-style-type:lower-alpha\" class=\"wp-block-list\">\n<li>di aver adottato ed efficacemente attuato, prima della commissione di eventuali fatti illeciti, modelli di organizzazione e di gestione idonei a prevenire la commissione di reati della specie di quelli verificatisi;<\/li>\n\n\n\n<li>che il compito di vigilare sul funzionamento e l\u2019osservanza dei Modelli nonch\u00e9 di curare il loro aggiornamento sia stato affidato a un organismo dell\u2019Ente dotato di autonomi poteri di iniziativa e controllo (di seguito, \u201c<em>l\u2019Organismo di Vigilanza<\/em>\u201d o \u201c<em>OdV<\/em>\u201d);<\/li>\n\n\n\n<li>che le persone che hanno commesso il reato abbiano agito eludendo fraudolentemente i suddetti modelli di organizzazione e gestione;<\/li>\n\n\n\n<li>che non vi sia stata omessa o insufficiente vigilanza da parte dell\u2019Organismo di cui alla precedente lett. b).<\/li>\n<\/ol>\n\n\n\n<p>Le circostanze appena elencate devono concorrere congiuntamente affinch\u00e9 la responsabilit\u00e0 dell\u2019Ente possa essere esclusa.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Tipologie di reato previste dal D.Lgs. 231\/01<\/strong><\/p>\n\n\n\n<p>Il Legislatore ha individuato diverse tipologie di reati che possono essere commessi da persone fisiche nell\u2019interesse o a vantaggio della societ\u00e0, fino ad includere fattispecie anche non necessariamente tipiche dell\u2019attivit\u00e0 di impresa.<\/p>\n\n\n\n<p>La responsabilit\u00e0 amministrativa dell\u2019Ente, inoltre, sussiste anche se non sia stato identificato l\u2019autore del reato, o se il reato si sia estinto per una causa che sia diversa dall\u2019amnistia.<\/p>\n\n\n\n<p>L\u2019Autorit\u00e0 competente a contestare l\u2019illecito all\u2019Ente \u00e8 il Pubblico Ministero, mentre \u00e8 il giudice penale che ha la responsabilit\u00e0 e l\u2019autorit\u00e0 per irrogare la sanzione.<\/p>\n\n\n\n<p>L\u2019Ente pu\u00f2 essere chiamato a rispondere per un numero chiuso di reati, ovvero soltanto per i cd. \u201c<em>Reati Presupposto<\/em>\u201d<a href=\"#_ftn32\" id=\"_ftnref32\">[32]<\/a> indicati negli artt. 24 e seguenti del Decreto, che appartengono alle categorie indicate di seguito:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>reati commessi nei rapporti con la P.A. (artt. 24 e 25);<\/li>\n\n\n\n<li>delitti informatici e trattamento illecito dei dati (art. 24-bis);<\/li>\n\n\n\n<li>delitti di criminalit\u00e0 organizzata (art. 24-ter);<\/li>\n\n\n\n<li>reati di falsit\u00e0 in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis);<\/li>\n\n\n\n<li>delitti contro l\u2019industria e il commercio (art. 25-bis.1);<\/li>\n\n\n\n<li>reati societari (art. 25-ter);<\/li>\n\n\n\n<li>delitti con finalit\u00e0 di terrorismo o di eversione dell\u2019ordine democratico (art. 25-quater);<\/li>\n\n\n\n<li>pratiche di mutilazione degli organi genitali femminili (art.25-quater.1);<\/li>\n\n\n\n<li>delitti contro la personalit\u00e0 individuale (art. 25-quinquies);<\/li>\n\n\n\n<li>abusi di mercato (art. 25-sexies);<\/li>\n\n\n\n<li>omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme sulla tutela della salute e sicurezza sul lavoro (art. 25-septies);<\/li>\n\n\n\n<li>ricettazione, riciclaggio e impiego di denaro, beni o utilit\u00e0 di provenienza illecita (art. 25-octies);<\/li>\n\n\n\n<li>delitti in materia di violazione del diritto d\u2019autore (art. 25-novies);<\/li>\n\n\n\n<li>induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all\u2019Autorit\u00e0 Giudiziaria (art. 25-novies);<\/li>\n\n\n\n<li>reati transnazionali (art. 10, L. 146\/2006).<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Criteri di imputazione della responsabilit\u00e0 all\u2019Ente<\/strong><\/p>\n\n\n\n<p>l\u2019Ente \u00e8 punibile solamente nel caso in cui si verifichino determinate condizioni, definite come criteri di imputazione del reato all\u2019Ente.<\/p>\n\n\n\n<p>La prima condizione \u00e8 che il reato sia stato commesso da un soggetto legato all\u2019Ente da un rapporto qualificato: soggetti apicali, soggetti subordinati, collaboratori.<\/p>\n\n\n\n<p>La seconda condizione \u00e8 che il reato sia stato commesso nell\u2019interesse o a vantaggio dell\u2019Ente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u201cl\u2019interesse\u201d sussiste quando l\u2019autore del reato ha agito con l\u2019intento di favorire la societ\u00e0, indipendentemente dalla circostanza che poi tale obiettivo sia stato realmente conseguito;<\/li>\n\n\n\n<li>il \u201cvantaggio\u201d sussiste quando la societ\u00e0 ha tratto, o avrebbe potuto trarre, dal reato un risultato positivo, economico o di altra natura.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Delitti informatici e trattamento illecito dei dati<\/strong><\/p>\n\n\n\n<p>La legge 18 marzo 2008, n. 48, \u201c<em>Ratifica ed esecuzione della Convenzione del Consiglio d\u2019Europa sulla criminalit\u00e0 informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell\u2019ordinamento interno<\/em>\u201d ha ampliato le fattispecie di reato che possono generare la responsabilit\u00e0 della societ\u00e0. L\u2019art. 7 del provvedimento, infatti, ha introdotto nel D.Lgs. 231\/01 l\u2019art. 24-bis per i reati di:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.);<\/li>\n\n\n\n<li>detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.);<\/li>\n\n\n\n<li>diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.)<\/li>\n\n\n\n<li>intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);<\/li>\n\n\n\n<li>installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.);<\/li>\n\n\n\n<li>danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.);<\/li>\n\n\n\n<li>danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilit\u00e0 (art. 635-ter c.p.);<\/li>\n\n\n\n<li>danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.);<\/li>\n\n\n\n<li>danneggiamento di sistemi informatici o telematici di pubblica utilit\u00e0 (art. 635-quinquies c.p.).<\/li>\n\n\n\n<li>falsit\u00e0 in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.);<\/li>\n\n\n\n<li>frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.).<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Le sanzioni<\/strong><\/p>\n\n\n\n<p>Le sanzioni che il legislatore ha voluto collegare alla responsabilit\u00e0 penale e amministrativa delle persone giuridiche sono di varia natura a seconda della forma di commisurazione e dell\u2019incidenza che le stesse hanno sullo svolgimento dell\u2019attivit\u00e0 di impresa. Esse possono essere suddivise come segue:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>sanzioni pecuniarie, \u00e8 incentrata sul concetto di \u201c<em>quota<\/em>\u201d e viene applicata in un numero non inferiore a cento n\u00e9 superiore a mille;<\/li>\n\n\n\n<li>sanzioni interdittive, possono comportare conseguenze dirette sull\u2019attivit\u00e0 di impresa (nella sospensione o nella revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell\u2019illecito, nel divieto di contrattare con la Pubblica Amministrazione, esclusione da agevolazioni, finanziamenti);<\/li>\n\n\n\n<li>confisca del profitto del reato, con la sentenza di condanna, il Giudice dispone sempre la confisca del prezzo o del profitto del reato, ovvero di somme di denaro, beni o altre utilit\u00e0 di valore equivalente, salvo la parte che possa essere restituita al danneggiato;<\/li>\n\n\n\n<li>pubblicazione della sentenza, a seguito dell\u2019applicazione di una sanzione interdittiva, il Giudice pu\u00f2 disporre la pubblicazione della sentenza di condanna in uno o pi\u00f9 giornali ovvero mediante affissione nel comune ove la societ\u00e0 ha la sede principale, misura capace di recare un grave impatto sull\u2019immagine dell\u2019Ente.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo<\/strong><\/p>\n\n\n\n<p>Il Decreto 231 prevede sanzioni per l\u2019Ente che non si sia organizzato per evitare fenomeni criminosi in seno all\u2019impresa, quando soggetti funzionalmente riferibili all\u2019Ente abbiano commesso taluno dei reati indicati dallo stesso decreto.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Individuazione dei rischi e protocolli<\/strong><\/p>\n\n\n\n<p>L\u2019art. 6, comma 2, del Decreto 231 indica le caratteristiche essenziali per la costruzione di un modello di organizzazione, gestione e controllo. In particolare, le lettere a) e b) della disposizione si riferiscono espressamente ad alcune attivit\u00e0 correlate ad un processo di sana e prudente gestione dei rischi.<\/p>\n\n\n\n<p>La procedura di identificazione e valutazione dei rischi deve essere applicata durante le seguenti fasi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>fase iniziale d\u2019implementazione del Modello Organizzativo 231 in conformit\u00e0 con il D.Lgs. 231\/2001, in quanto costituisce la base per potere poi intervenire con la definizione di specifici protocolli\/procedure atte a prevenire la commissione del reato ritenuto a rischio di realizzazione e comunque prima di ogni riesame del sistema al fine di garantire un aggiornamento sistematico della valutazione dei rischi;<\/li>\n\n\n\n<li>ogni qualvolta si verifichi una variazione di processo, di prodotto o del sito o contesto in cui l\u2019Ente opera, quali ad esempio modifiche nel quadro legislativo di riferimento ovvero vi siano mutamenti nell\u2019organizzazione o nell\u2019oggetto sociale dell\u2019Ente tali da richiedere una valutazione dei rischi connessi;<\/li>\n\n\n\n<li>ogni qualvolta, a fronte di valutazioni o attivit\u00e0 di controllo (ad esempio da parte dell\u2019ODV) si presenti la necessit\u00e0\/volont\u00e0 di verificare l\u2019efficacia del Modello.<\/li>\n<\/ul>\n\n\n\n<p><strong>Rischio<\/strong> = probabilit\u00e0 che sia raggiunta la soglia di commissione di un reato\/illecito presupposto della responsabilit\u00e0 amministrativa ai sensi del D. lgs. 231\/01.<\/p>\n\n\n\n<p><strong>L\u2019organismo di vigilanza<\/strong> \u00e8 la figura prevista dal Legislatore con il preciso compito di valutare l\u2019adeguatezza ed efficacia del Modello, la sua applicazione da parte dell\u2019Ente, nonch\u00e9 curarne l\u2019aggiornamento.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>I contenuti minimi di un Codice Etico<\/strong><\/p>\n\n\n\n<p>L\u2019adozione di principi etici rilevanti ai fini della prevenzione dei reati ex D. Lgs. 231\/2001 costituisce un elemento essenziale del sistema di controllo preventivo.<\/p>\n\n\n\n<p>In termini generali, i codici etici (o codice di comportamento), sono documenti ufficiali dell\u2019Ente che contengono l\u2019insieme dei principi, dei diritti, dei doveri e delle responsabilit\u00e0 dell\u2019Ente nei confronti dei \u201c<em>portatori d\u2019interesse<\/em>\u201d (dipendenti, fornitori, clienti, Pubblica Amministrazione, azionisti, mercato finanziario, ecc.).<\/p>\n\n\n\n<p>Mentre i protocolli di condotta implementati all\u2019interno del modello organizzativo di gestione e controllo perseguono la finalit\u00e0 di prevenire la commissione di reati presupposto nell\u2019interesse e a vantaggio di un ente da parte dei rispettivi destinatari, i codici etici mirano a raccomandare, promuovere o vietare determinati comportamenti, al di l\u00e0 ed indipendentemente da quanto previsto a livello normativo e quindi dalla rilevanza penale delle condotte.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Iter procedurale per l\u2019elaborazione di un modello organizzativo di gestione e controllo ex d.Lgs 231\/01<\/strong><\/p>\n\n\n\n<p>Non esiste una soluzione standard di elaborazione di un modello organizzativo di gestione e controllo ex D. Lgs. n. 231\/01.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Il \u201cdecalogo 231\u201d<\/strong><\/p>\n\n\n\n<p>Un riferimento per capire quali debbano essere le caratteristiche di un modello organizzativo 231 \u00e8 l\u2019ordinanza cautelare del Giudice per le indagini preliminari del Tribunale di Milano (dott.ssa Secchi) depositata il 9 novembre 2004, conosciuta anche come \u201c<em>decalogo 231<\/em>\u201d, in cui vengono delineate le dieci caratteristiche che un modello organizzativo deve avere per essere effettivamente considerato valido ai fini 231.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Modello Organizzativo per i reati informatici<\/strong><\/p>\n\n\n\n<p>L\u2019art. 7 della legge 18 marzo 2008 n. 48, mediante l\u2019inserimento nell\u2019ambito del D. Lgs. 231\/01 dell\u2019art 24 bis sui delitti informatici e trattamento illecito dei dati, ha introdotto nuove fattispecie di reato che possono generare una responsabilit\u00e0 in capo alle aziende.<\/p>\n\n\n\n<p>L\u2019adozione di un \u201c<em>Modello di Organizzazione, Gestione e Controllo<\/em>\u201d ai sensi del D.Lgs 231\/01 in grado di prevenire adeguatamente le differenti ipotesi di illecito introdotte con tale normativa, trova il proprio presupposto fondamentale nella volont\u00e0 di gestire la propria rete informatica attraverso l\u2019adozione di regole e procedure alla cui osservanza tutti i propri dipendenti sono chiamati.<\/p>\n\n\n\n<p>A tale proposito, le aziende potrebbero adottare specifiche procedure e misure operative finalizzate a garantire una gestione ed un utilizzo lecito e sicuro del proprio sistema informatico.<\/p>\n\n\n\n<p>A tale scopo le aziende dovrebbero appositamente designare un soggetto qualificato, al quale attribuire la funzione di Responsabile IT, con lo specifico incarico di gestire i sistemi informatici della rete, anche attraverso un costante monitoraggio avente ad oggetto un corretto e sicuro utilizzo dei medesimi.<\/p>\n\n\n\n<p>Per ci\u00f2 che specificamente attiene i controlli aziendali, l\u2019Ente dovrebbe istituire la funzione <em>Security Operations Center<\/em> (SOC).<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.8 Le Conseguenze di un Attacco Cyber<\/u><\/strong><\/strong><\/p>\n\n\n\n<p>I danni provocati da un attacco <em>cyber<\/em> all\u2019interno di un computer privato o una rete aziendale possono risultare di natura ed entit\u00e0 completamente diverse: si va da un lieve aumento del traffico in uscita (nel caso in cui il computer sia stato infettato da un <em>trojan<\/em> preposto all\u2019invio di messaggi di <em>spam<\/em>) al crollo completo del <em>network<\/em> aziendale, o alla perdita di dati sensibili di vitale importanza. In alcuni casi i risultati di un\u2019infezione da <em>malware<\/em> possono essere impercettibili all\u2019utente, altre volte possono avere conseguenze ben evidenti e di particolare gravit\u00e0.<\/p>\n\n\n\n<p>Le conseguenze potenziali di un evento cibernetico (accidentale o deliberato) posso essere ad esempio:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>interruzione dell\u2019attivit\u00e0,<strong> <\/strong>computer e reti di sistemi inutilizzabili, guasti hardware;<\/li>\n\n\n\n<li>danno reputazionale\/di immagine;<\/li>\n\n\n\n<li>diffusione di informazioni sensibili (clienti, pazienti, impiegati, fornitori);<\/li>\n\n\n\n<li>violazione informazioni finanziarie;<\/li>\n\n\n\n<li>violazione conti bancari;<\/li>\n\n\n\n<li>violazione propriet\u00e0 intellettuale;<\/li>\n\n\n\n<li>perdita quote di mercato;<\/li>\n\n\n\n<li>appropriazione identit\u00e0;<\/li>\n\n\n\n<li>azioni legali da terzi;<\/li>\n\n\n\n<li>frodi e <em>social engineering<\/em>.<\/li>\n<\/ul>\n\n\n\n<p><code>Difronte alla moltitudine di danni causati da un attacco cyber \u00e8 possibile tutelarsi con un\u2019assicurazione<\/code><\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.9 La Possibilit\u00e0 di Copertura Assicurativa del Rischio<\/u><\/strong><\/strong><\/p>\n\n\n\n<p>Nel Report Clusit 2016, con un approfondimento dedicato allo strumento assicurativo a supporto della gestione del cosiddetto <em>Cyber Risk<\/em>, si sono date le indicazioni basilari su terminologia, aspetti chiave ed utilit\u00e0 delle polizze <em>cyber<\/em>.<\/p>\n\n\n\n<p>\u00c8 emerso che si pu\u00f2 affidare la gestione del <em>Cyber Risk<\/em> e in particolare l\u2019aspetto del trasferimento del rischio, alle Assicurazioni attraverso un tavolo collaborativo che ha nel CIO<a href=\"#_ftn33\" id=\"_ftnref33\"><sup>[33]<\/sup><\/a> e nel CFO<a href=\"#_ftn34\" id=\"_ftnref34\"><sup>[34]<\/sup><\/a>, gli attori principali.<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>I cyber-danni<\/strong><\/p>\n\n\n\n<p>Avvalendoci della terminologia e delle definizioni tratte dalle polizze tradizionali, per calarci nel mondo dei danni <em>cyber<\/em>, si possono distinguere tre grandi famiglie di danni:<\/p>\n\n\n\n<ol style=\"list-style-type:1\" class=\"wp-block-list\">\n<li><strong>danni materiali diretti<\/strong>, riguardano i danni (distruzione parziale o totale, furto) subiti da beni materiali (un <em>server<\/em>, la fibra ottica, i PC, un cellulare o altro <em>device <\/em>elettronico) e direttamente causati dall\u2019evento che sar\u00e0 normalmente di natura \u201canalogica\u201d o tradizionale (incendio, terremoto, fulmine, furto, atto maldestro o doloso, ecc.); per la loro natura essi rientrano gi\u00e0 nella polizza Incendio, nella polizza Trasporti, nella polizza <em>All Risks <\/em>(che proprio \u201ctutti i rischi\u201d non copre \u2026), e naturalmente nella Polizza storicamente definita \u201cElettronica\u201d. I danni materiali e diretti possono anche non essere previsti nella Polizza <em>Cyber<\/em><strong>, <\/strong>se si \u00e8 provveduto alla corretta strutturazione delle coperture assicurative tradizionali;<\/li>\n\n\n\n<li><strong>danni materiali indiretti (o consequenziali)<\/strong>, si tratta ugualmente di danni a beni materiali, ma conseguenza di danni diretti: per esempio, un fenomeno elettrico che abbia danneggiato una scheda, il cui malfunzionamento danneggi a sua volta la macchina di produzione da essa controllata<strong>. <\/strong>I danni materiali indiretti possono rientrare sia nelle polizze tradizionali che nella <em>Cyber<\/em>, ma vanno esplicitamente inclusi;<\/li>\n\n\n\n<li><strong>danni immateriali diretti e indiretti<\/strong>, sono tutti quelli che non riguardano la materialit\u00e0 delle cose assicurate e che sono conseguenzadi un evento garantito in polizza, anche di tipo <em>Cyber<\/em>. L\u2019evento dannoso distrugge, compromette l\u2019integrit\u00e0 di un <em>software<\/em> e\/o l\u2019insieme logico di informazioni \u2013 ovvero rende indisponibili i dati aziendali.<\/li>\n<\/ol>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Il mercato degli assicuratori e metodologie di indennizzo<\/strong><\/p>\n\n\n\n<p>Il mercato assicurativo delle polizze <em>cyber risks<\/em> oggi \u00e8 in rapida evoluzione e offre la possibilit\u00e0 di creare tutele ad hoc per il cliente. Tale personalizzazione offre un ottimo livello di aderenza al rischio <em>cyber<\/em> reale cui \u00e8 esposta l\u2019azienda, ma presuppone ovviamente un precedente processo di analisi e valutazione, cos\u00ec come descritto precedentemente. Tuttavia va tenuto presente che, ancorch\u00e9 in rapida evoluzione, il mercato assicurativo italiano si trova ancora in una fase embrionale. Ci\u00f2 perch\u00e9, come sempre in questo tipo di mercato, la risposta a un rischio si attua nel momento in cui tale rischio diviene conosciuto e valutabile. La situazione di novit\u00e0 riguarda per\u00f2 il solo mercato italiano in quanto, nei paesi dell\u2019America settentrionale e anglosassoni, le problematiche afferenti i rischi cibernetici vengono affrontate da circa una decina d\u2019anni. Delle circa 50 compagnie di assicurazioni operanti in Europa che specificamente si dichiarano pronte a sottoscrivere rischi cibernetici, soltanto un terzo opera direttamente in Italia, la restante parte opera fondamentalmente dal Regno Unito (a copertura di rischi italiani).<\/p>\n\n\n\n<p class=\"has-medium-font-size\"><strong>Guida all\u2019implementazione di una copertura assicurativa cyber risk<\/strong><\/p>\n\n\n\n<p>Ai fini dell\u2019implementazione di una copertura assicurativa <em>cyber risk<\/em>, sarebbe opportuno che l\u2019azienda seguisse i seguenti 4 passaggi:<\/p>\n\n\n\n<ol style=\"list-style-type:1\" class=\"wp-block-list\">\n<li><em>coinvolgimento di un consulente assicurativo<\/em>: il settore dei rischi <em>cyber<\/em> non \u00e8 ancora maturo n\u00e9 ha standard di riferimento in ambito assicurativo, il coinvolgimento di uno o pi\u00f9 consulenti specializzati nel trasferimento dei rischi al mercato assicurativo diventa fondamentale per il trasferimento delle specifiche necessarie agli assicuratori. Interpellare direttamente le compagnie assicurative potrebbe portare le stesse a fornire prodotti non rispondenti alle esigenze dell\u2019assicurando;<\/li>\n\n\n\n<li><em>risk assessment<\/em>: ai fini di isolare correttamente il massimo danno probabile e di stimare correttamente l\u2019esposizione al rischio, sarebbe opportuno, prima di stipulare la polizza, effettuare un\u2019analisi e quantificazione del rischio stesso;<\/li>\n\n\n\n<li><em>compilazione del questionario assicurativo<\/em>: il questionario in ambito assicurativo ha lo scopo di raccogliere le informazioni base necessarie per una prima valutazione del rischio da parte degli assicuratori. La compilazione del questionario ha come risultato il fatto che possano essere apprezzate le varie ipotesi di limite di indennizzo che stanno alla base del contratto assicurativo e, parallelamente, fa prendere coscienza all\u2019assicurando di quelli che sono i suoi punti di forza e di debolezza;<\/li>\n\n\n\n<li><em>implementazione della copertura assicurativa<\/em>: una volta esaurito il processo di valutazione tramite questionario e\/o tramite <em>risk assessment<\/em> strutturato, sar\u00e0 possibile richiedere una quotazione formale al mercato assicurativo. Anche in questo caso l\u2019apporto negoziale di un consulente specializzato \u00e8 perlomeno consigliabile, in quanto la conoscenza del settore e la capacit\u00e0 negoziale di chi opera continuativamente nel settore permettono risultati pi\u00f9 performanti rispetto a quelli ottenibili dal singolo cliente direttamente con gli assicuratori, oppure da un consulente non specializzato con gli assicuratori.<\/li>\n<\/ol>\n\n\n\n<p class=\"has-medium-font-size\"><strong><strong><u>Cap.10 Protezione Cibernetica e Sicurezza Informativa<\/u><\/strong><\/strong><\/p>\n\n\n\n<p><strong>I trend di difesa: <\/strong>il contrasto a questo tipo di minacce dovrebbe basarsi su tre elementi chiave:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>il contrasto a pi\u00f9 livelli della minaccia attraverso la comprensione delle sue modalit\u00e0 operative;<\/li>\n\n\n\n<li>la prevenzione attiva, grazie all\u2019acquisizione di informazioni sui <em>trend<\/em> di attacco pi\u00f9 probabili;<\/li>\n\n\n\n<li>l\u2019adozione di una mentalit\u00e0 \u2013 e conseguentemente di un\u2019organizzazione \u2013 che consideri sempre presente l\u2019eventualit\u00e0 della violazione.<\/li>\n<\/ul>\n\n\n\n<p>Di conseguenza, data l\u2019enormit\u00e0 del suo ambito di applicazione, la <em>Cyber Security<\/em> in primo luogo non pu\u00f2 che basarsi su logiche di <em>prevenzione, riduzione e trasferimento del rischio <\/em>e su processi di <em>Risk Governance<\/em>, applicati per\u00f2 ad un dominio caotico, dai confini e dalle dinamiche sempre cangianti, il quale pertanto va presidiato costantemente, 24&#215;7, da per\u00adsonale qualificato dotato di metodologie di <em>Risk Management<\/em> e strumenti adeguati (p.es. <em>tool<\/em> di analisi comportamentale, <em>big data analytics<\/em>, intelligenza artificiale, ecc), capaci di operare <em>in tempo reale<\/em>.<\/p>\n\n\n\n<p>In secondo luogo, per definire puntualmente la componente esogena del rischio, ovvero la probabilit\u00e0 che una minaccia esterna si realizzi, \u00e8 necessario impiegare metodologie e stru\u00admenti di <em>Cyber Intelligence <\/em>capaci di osservare, tramite un monitoraggio continuo, l\u2019esterno e l\u2019interno con altrettanta attenzione, e di correlare i due domini. Anche in questo caso si tratta di sviluppare competenze sofisticate e di implementare processi nuovi, diversi rispet\u00adto alle prassi consolidate, considerando che oggi, nel migliore dei casi, le organizzazioni sono strutturate solo per osservare ci\u00f2 che avviene nell\u2019ambito di propri confini prestabiliti (i quali peraltro stanno ormai diventando sempre pi\u00f9 porosi, a causa delle nuove tecnologie).<\/p>\n\n\n\n<p>In terzo luogo \u00e8 necessario definire e costantemente aggiornare il proprio modello di minac\u00adcia, ovvero individuare quale tra le diverse tipologie di attaccanti vorr\u00e0 aggredire quale <em>as\u00adset<\/em>, perch\u00e9, sfruttando quale vulnerabilit\u00e0, con quali strumenti, atteggiamento, risorse ecc. Anche questa attivit\u00e0 di <em>Threat Modeling<a href=\"#_ftn35\" id=\"_ftnref35\"><sup><strong><sup>[35]<\/sup><\/strong><\/sup><\/a> <\/em>non pu\u00f2 che essere continuativa ed integrarsi opportunamente con i processi di <em>Risk Management<\/em> e <em>Cyber Intelligence<\/em>, per fornire al primo delle metriche precise ed aggiornate su cui ragionare, ed alla seconda indicazione in merito a quale ago cercare nel pagliaio del cyberspazio.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><a href=\"#_ftnref1\" id=\"_ftn1\">[1]<\/a> Quadro Strategico Nazionale Per La Sicurezza Dello Spazio Cibernetico, Presidenza del Consiglio dei Ministri. Dicembre 2013.<\/p>\n\n\n\n<p><a href=\"#_ftnref2\" id=\"_ftn2\">[2]<\/a> Il problema della Cyber Security e il Framework Nazionale. CIS-Sapienza http:\/\/www.cis.uniroma1.it<\/p>\n\n\n\n<p><a href=\"#_ftnref3\" id=\"_ftn3\">[3]<\/a> International Organization for Standardization.<\/p>\n\n\n\n<p><a href=\"#_ftnref4\" id=\"_ftn4\">[4]<\/a> &nbsp;&nbsp;&nbsp; V<strong>alutazione della minaccia di criminalit\u00e0 organizzata in Internet<\/strong>. https:\/\/www.europol.europa.eu\/activities-services\/main-reports\/internet-organised-crime-threat-assessment-iocta-2016&nbsp;<\/p>\n\n\n\n<p><a href=\"#_ftnref5\" id=\"_ftn5\">[5]<\/a> Una botnet \u00e8 una rete controllata da un botmaster e composta da dispositivi infettati da malware specializzato, detti bot o zombie.[<\/p>\n\n\n\n<p><a href=\"#_ftnref6\" id=\"_ftn6\">[6]<\/a> Ci si riferisce principalmente agli artt. 2, 3, 4, 5, 6, 7, 8 della convenzione ed alle corrispondenti norme incriminatici del codice penale nazionale.<\/p>\n\n\n\n<p><a href=\"#_ftnref7\" id=\"_ftn7\">[7]<\/a> Il concetto di software <em>on-premises<\/em>, in contrapposizione al software come servizio (o Saas), si traduce in pratica nell&#8217;installazione ed esecuzione del software direttamente su macchina locale, sia essa aziendale che privata, intesa sia come singola postazione di lavoro che come server raggiungibile esclusivamente dall&#8217;interno della rete aziendale<\/p>\n\n\n\n<p><a href=\"#_ftnref8\" id=\"_ftn8\">[8]<\/a> Pi\u00f9 specificatamente, secondo la Corte di Cassazione (Sez. VI, n. 3067\/1999; Sez. V, n. 31135\/2007):<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u201c<em>\u2026 deve ritenersi \u201csistema informatico\u201d, \u2026 , un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all\u2019uomo, attraverso l\u2019utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate \u2013 per mezzo di un\u2019attivit\u00e0 di \u201ccodificazione\u201d e \u201cdecodificazione\u201d\u2013&nbsp; dalla \u201cregistrazione\u201d o \u201cmemorizzazione\u201d, per mezzo di impulsi elettronici, su supporti adeguati, di \u201cdati\u201d, cio\u00e8 di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare \u201cinformazioni\u201d, costituite da un insieme pi\u00f9 o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l\u2019utente &#8230;<\/em>\u201d;<\/li>\n\n\n\n<li>\u201c<em>\u2026 \u00e8 \u201csistema telematico\u201d l\u2019insieme di pi\u00f9 sistemi informatici collegati tra loro per lo scambio di informazioni, purch\u00e9 siano connessi in modo permanente, e purch\u00e9 lo scambio di informazioni sia il mezzo necessario per conseguire i fini operativi del sistema. \u2026\u201d.<\/em><\/li>\n<\/ul>\n\n\n\n<p><a href=\"#_ftnref9\" id=\"_ftn9\">[9]<\/a> Cass, sez. VI, 14 ottobre 1999, in <em>Foro it<\/em>., 2000, II, 133.<\/p>\n\n\n\n<p><a href=\"#_ftnref10\" id=\"_ftn10\">[10]<\/a> Il lettore attento avr\u00e0 notato che non \u00e8 stato utilizzato il termine \u201c<em>estero<\/em>\u201d.<\/p>\n\n\n\n<p><a href=\"#_ftnref11\" id=\"_ftn11\">[11]<\/a> Secondo il NIST (<em>http:\/\/nvlpubs.nist.gov\/nistpubs\/Legacy\/SP\/nistspecialpublication800-145.pdf<\/em>) con il termine <em>cloud <\/em>\u00e8 da intendersi \u201c<em>a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction<\/em>\u201d, che, tradotto in italiano, potrebbe essere inteso come \u201c<em>un modello di elaborazione, che abilita un accesso in rete, su richiesta, ubiquo e conveniente ad un insieme di risorse di calcolo (CPU, memorie di massa, reti, sistemi operativi, servizi e\/o applicazioni) condivise e configurabili, le quali possono essere acquisite e rilasciate rapidamente ed in modo dinamico con uno sforzo di gestione minimo, o comunque con un\u2019interazione minima con il fornitore del servizio<\/em>\u201d.<\/p>\n\n\n\n<p><a href=\"#_ftnref12\" id=\"_ftn12\"><sup>[12]<\/sup><\/a> \u00c8 responsabile della gestione, manutenzione ed esercizio dei sistemi informativi dell\u2019organizzazione all\u2019interno della quale opera. Identifica esigenze organizzative e di gestione delle informazioni, pianifica e controlla progetti di miglioramento dei sistemi ICT, garantisce una buona operativit\u00e0 del sistema informativo nel rispetto dei requisiti di legge e di qualit\u00e0 validi nel contesto in oggetto.<\/p>\n\n\n\n<p><a href=\"#_ftnref13\" id=\"_ftn13\"><sup>[13]<\/sup><\/a> Con il provvedimento n. 1712680 del Garante per la Privacy in materia di videosorveglianza datato 8 aprile 2010, le immagini registrate possono essere conservate per periodo limitato e fino a un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini di Polizia e giudiziarie. Per attivit\u00e0 particolarmente rischiose (ad esempio, banche, videosorveglianza esercitata dai Comuni per esigenze di sicurezza urbana ecc.) \u00e8 ammesso un tempo pi\u00f9 ampio, che non pu\u00f2 superare comunque la settimana.<\/p>\n\n\n\n<p><a href=\"#_ftnref14\" id=\"_ftn14\"><sup>[14]<\/sup><\/a> In informatica e telecomunicazioni una sottorete, o <em>subnet<\/em>, \u00e8 una parte della suddivisione di una singola rete IP (<em>Internet Protocol<\/em>). Tale suddivisione \u00e8 realmente visibile solo dalla parte logica della rete, ci\u00f2 vuol dire che la differenza tra una rete e una sottorete sta nel tipo di configurazione di rete che si d\u00e0 al proprio computer. Il processo di <em>subnetting<\/em> \u00e8 la divisione di una singola rete in gruppi di computer che hanno in comune nell&#8217;indirizzo IP un determinato prefisso di instradamento (<em>routing<\/em>).<\/p>\n\n\n\n<p><a href=\"#_ftnref15\" id=\"_ftn15\"><sup>[15]<\/sup><\/a> Un\u2019associazione statica pu\u00f2 essere utile al supermercato dei limiti di <em>data retention<\/em>.<\/p>\n\n\n\n<p><a href=\"#_ftnref16\" id=\"_ftn16\"><sup>[16]<\/sup><\/a> Un <em>firewall<\/em> \u00e8 un componente di difesa perimetrale di una rete informatica, originariamente passivo, che pu\u00f2 anche svolgere funzioni di collegamento tra due o pi\u00f9 tronconi di rete, garantendo dunque una protezione in termini di sicurezza informatica della rete stessa.<\/p>\n\n\n\n<p><a href=\"#_ftnref17\" id=\"_ftn17\"><sup>[17]<\/sup><\/a> Un <em>Intrusion Detection System<\/em> \u00e8 un dispositivo <em>software<\/em> e\/o <em>hardware<\/em> utilizzato per identificare accessi non autorizzati ai <em>computer<\/em> o alle reti locali.<\/p>\n\n\n\n<p><a href=\"#_ftnref18\" id=\"_ftn18\"><sup>[18]<\/sup><\/a> Una DMZ (<em>demilitarized zone<\/em>) \u00e8 un segmento isolato di LAN (una \u201c<em>subnet<\/em>\u201d) raggiungibile sia da reti interne sia esterne, ma caratterizzata dal fatto che gli <em>host <\/em>(o nodi) attestati sulla DMZ hanno possibilit\u00e0 limitate di connessione verso <em>host<\/em> specifici della rete interna.<\/p>\n\n\n\n<p><a href=\"#_ftnref19\" id=\"_ftn19\"><sup>[19]<\/sup><\/a> L\u2019autenticazione a due fattori richiede, oltre alla conoscenza della <em>username<\/em> e <em>password<\/em>, anche un terzo codice, che potrebbe essere generato tramite un sistema OTP (<em>one time password<\/em>) tramite SMS o apposita APP.<\/p>\n\n\n\n<p><a><\/a><a href=\"#_ftnref20\" id=\"_ftn20\"><sup>[20]<\/sup><\/a> Il paradigma \u00e8 basato su qualcosa che sappiamo (es. PIN), qualcosa che abbiamo (es. smart card), qualcosa che siamo (es. elemento biometrico).<\/p>\n\n\n\n<p><a href=\"#_ftnref21\" id=\"_ftn21\"><sup>[21]<\/sup><\/a> Un <em>computer security incident response team <\/em>(ISO 27035 pt.3.2) \u00e8 un\u2019unit\u00e0 organizzativa incaricata di raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilit\u00e0 nei <em>software<\/em> che provengono dalla comunit\u00e0 degli utenti.<\/p>\n\n\n\n<p><a href=\"#_ftnref22\" id=\"_ftn22\"><sup>[22]<\/sup><\/a> Con la locuzione inglese \u201c<em>data retention<\/em>\u201d ci si riferisce al periodo di conservazione di dati o documenti elettronici (generalmente dei <em>file <\/em>di<em> log<\/em>). A meno che oggetto di indagine non sia un fornitore di connettivit\u00e0 (es. un <em>Internet Service Provider<\/em>), sia i soggetti fisici che giuridici hanno alcun vincolo di memorizzazione.<\/p>\n\n\n\n<p><a href=\"#_ftnref23\" id=\"_ftn23\">[23]<\/a> Elemento di prova: l&#8217;informazione che si ricava dal mezzo di prova come dato grezzo, non ancora valutato dal giudice: v. art. 65 comma 1 c.p.p.<\/p>\n\n\n\n<p><a href=\"#_ftnref24\" id=\"_ftn24\">[24]<\/a> Pubblico (statico e dinamico) e privato. NAT <em>Network Address Translation, <\/em>tecnica che consiste nel modificare gli indirizzi IP dei pacchetti in transito su un sistema che agisce da <em>router<\/em>.<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"><a href=\"#_ftnref25\" id=\"_ftn25\">[25]<\/a> Livello di implementazione<\/pre>\n\n\n\n<p><a href=\"#_ftnref26\" id=\"_ftn26\">[26]<\/a> Cos\u00ec il CREST, http:\/\/www.crest-approved.org\/, un organizzazione no-profit di base inglese per il supporto al&nbsp;&nbsp;mercato della sicurezza informatica definisce i penetration test.<\/p>\n\n\n\n<p><a href=\"#_ftnref27\" id=\"_ftn27\">[27]<\/a> https:\/\/www.offensive-security.com&nbsp;<\/p>\n\n\n\n<p><a href=\"#_ftnref28\" id=\"_ftn28\">[28]<\/a> La Convenzione sul Cyber Crime, firmata a Budapest il 23 novembre 2001 ed entrata in vigore l\u20191 luglio 2004, \u00e8 stata ratificata dall\u2019Italia con la legge 18 marzo 2008 n. 48 (GU n.80 del 4-4-2008 &#8211; Suppl. Ordinario n. 79 ) entrata in vigore il 5-4-2008.<\/p>\n\n\n\n<p><a href=\"#_ftnref29\" id=\"_ftn29\">[29]<\/a> \u201c<em>Regolamento (UE) 2016\/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch\u00e9 alla libera circolazione di tali dati e che abroga la direttiva 95\/46\/CE (regolamento generale sulla protezione dei dati)<\/em>\u201d, 2016, in http:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/?uri=CELEX%3A32016R0679.&nbsp;<\/p>\n\n\n\n<p><a href=\"#_ftnref30\" id=\"_ftn30\">[30]<\/a> La pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l\u2019identificazione dell\u2019utente. Le informazioni personali contengono elementi identificativi come nome, data di nascita, sesso e indirizzo. Quando le informazioni personali vengono pseudonimizzate, gli elementi identificativi sono sostituiti da uno pseudonimo, che si ottiene, per esempio, crittografando gli elementi identificativi contenuti nei dati personali. Il dato pseudonimo \u00e8 diverso dal dato anonimo: i dati sono anonimizzati quando non contengono pi\u00f9 alcun mezzo identificativo, mentre sono pseudonimizzati se i mezzi identificativi sono criptati.<\/p>\n\n\n\n<p><a href=\"#_ftnref31\" id=\"_ftn31\">[31]<\/a> Il decreto 231 indica come destinatari \u201c<em>gli enti forniti di personalit\u00e0 giuridica, le societ\u00e0 fornite di personalit\u00e0 giuridica e le societ\u00e0 e le associazioni anche prive di personalit\u00e0 giuridica<\/em>\u201d (art. 1, comma 2). La disciplina, invece, non si applica \u201c<em>allo Stato, agli enti pubblici-territoriali, agli altri enti pubblici non economici nonch\u00e9 agli enti che svolgono funzioni di rilievo costituzionale<\/em>\u201d (art. 1, comma 3).<\/p>\n\n\n\n<p><a href=\"#_ftnref32\" id=\"_ftn32\">[32]<\/a> Il reato presupposto \u00e8 il delitto non colposo da cui provengono danaro, beni o altre utilit\u00e0.<\/p>\n\n\n\n<p><a href=\"#_ftnref33\" id=\"_ftn33\">[33]<\/a> Direttore informatico (<em>Chief Information Officer<\/em>, in sigla CIO) \u00e8 il manager responsabile della funzione aziendale tecnologie dell&#8217;informazione e della comunicazione.<\/p>\n\n\n\n<p><a href=\"#_ftnref34\" id=\"_ftn34\">[34]<\/a> Direttore finanziario (in sigla CFO &#8211; <em>Chief Financial Officer<\/em>) \u00e8 il manager responsabile della gestione generale delle attivit\u00e0 finanziarie di un\u2019azienda. \u00c8 una delle cariche pi\u00f9 importanti all\u2019interno dell\u2019azienda.<\/p>\n\n\n\n<p><a href=\"#_ftnref35\" id=\"_ftn35\">[35]<\/a> https:\/\/en.wikipedia.org\/wiki\/Threat_model<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Master Executive di II livello in Cyber Security &#8211; Anno Accademico 2015-2016, estratto dalla mia tesi. Questa era la mia prefazione alla tesi redatta nel 2016, ma considerando quanto scritto nel \u201cRapporto Clusit 2023\u201d: \u201cOsservando la situazione dal punto di vista quantitativo, negli ultimi 5 anni la situazione \u00e8 peggiorata nettamente, seguendo un trend pressoch\u00e9 &hellip; <a href=\"https:\/\/www.fabriziogiancola.eu\/index.php\/2023\/06\/10\/il-rischio-cyber-nelle-aziende\/\" class=\"more-link\">Leggi tutto<span class=\"screen-reader-text\"> &#8220;Il Rischio Cyber nelle Aziende&#8221;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"iawp_total_views":0,"footnotes":""},"categories":[12],"tags":[],"class_list":["post-622","post","type-post","status-publish","format-standard","hentry","category-cyber-security"],"_links":{"self":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/comments?post=622"}],"version-history":[{"count":67,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/622\/revisions"}],"predecessor-version":[{"id":1977,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/622\/revisions\/1977"}],"wp:attachment":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/media?parent=622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/categories?post=622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/tags?post=622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}