La sicurezza informatica
Competenze
Sviluppare applicazioni informatiche per reti locali o servizi a distanza.
Gestire progetti secondo le procedure e gli standard previsti dai sistemi aziendali di
gestione della qualità e della sicurezza.
Conoscenze
Normative di settore nazionale e comunitaria sulla sicurezza.
Problematiche sulla sicurezza informatica.
La crittografia.
Abilità
Applicare le normative di settore sulla sicurezza.
Salvaguardare un sistema dai virus.
Prerequisiti
Realizzare applicazioni in rete.
Saper progettare e realizzare sistemi informativi.
Accertamento dei prerequisiti
1 Che differenza c’è tra dato e informazione?
2 ICT vuol dire:
a Informatica & Computer Tecnologici
b Information & Communication Tecnologies
c Information, & Computer Transmission
d Information & Communication Transmission
3 Indica in quali situazioni è più efficiente un
computer (C) e in quali l’uomo (U).
a Attività ripetitive
b Scrivere una poesia
c Calcolare la distanza dalla terra alla luna
d Controllare i biglietti di ingresso a un museo
e Progettare una casa
4 Nei sistemi peer-to-peer...
a vi può essere un solo server
251-272_U14.indd 251
b vi è un client e più server
c ogni nodo è sia client sia server
d vi può essere un solo client
5 Quali di questi è un indirizzo errato?
a www.brown.uk
b www.setup.pip
c www.comune.torino.it
d comp.scuola.it
6 Quale di questi non è protocollo di Internet?
a HTTP
b PTHP
c SMTP
d HTML
7 Quali sono le parti di cui si compone una pagina
HTML?
10/02/12 19.50
14
UNITÀ
lezione
1
Dal problema al programma.
La
sicurezza
Come
programmare
●
Gestione rischi
Uno dei principali problemi dei sistemi informatici è la sicurezza nel tempo delle apparecchiature hardware, dei programmi e dei dati.
Uno degli aspetti più controversi è quello della stima della probabilità del verificarsi di
un pericolo, del costo della sua prevenzione e del costo dei danni che potrebbe procurare
(esposizione). Dal punto di vista economico bisogna riuscire a formulare un piano che
riduca il costo e il rischio di esposizione. È importante quindi classificare i tipi di rischi a
cui i sistemi possono essere soggetti.
Le misure da adottare si possono classificare in due categorie:
• riguardanti la sicurezza fisica del sistema basata sul controllo dell’ambiente;
• riguardanti la sicurezza dei dati e dei programmi.
●
figura 1 Controllo impronte digitali
●
Sicurezza fisica
I primi tipi di rischio sono quelli accidentali. Rientrano in questa casistica tutti i problemi che possono capitare al sistema per eventi non
prevedibili come per esempio gli incendi, le alluvioni, i terremoti ecc.
Tra questi il rischio di incendio è sicuramente il più diffuso e quindi
tutti gli ambienti devono essere dotati di sistemi per la rilevazione
degli incendi e di sistemi antincendio molto sofisticati.
Più complesso il problema delle manomissioni e dei sabotaggi. In questo caso l’unico modo è controllare l’accesso alle aree con porte chiuse
e apribili solo con particolari sistemi, meglio ancora se l’accesso è unico
e sorvegliato. I sistemi più diffusi sono quelli con porte dotate di badge,
semplici ed economici, ma che garantiscono una sicurezza relativa (il
badge può essere rubato e utilizzato da altri). Più sicuri sono i sistemi
con accesso tramite controllo delle impronte digitali che richiedono
meccanismi più sofisticati (figura 1).
Sicurezza dati e programmi
Anche per quanto riguarda la sicurezza dei dati si può fare una suddivisione tra danni
accidentali e danni dolosi. Tra i primi, oltre a quelli dovuti a problemi sugli ambienti
già visti prima, vi sono i problemi dovuti a danni alle apparecchiature, con particolare
riferimento ai dischi in cui sono memorizzati dati e programmi. Tra questi il problema
più frequente è la cosiddetta “aratura” del disco, cioè il fatto che la testina tocchi il disco
creando un solco sullo stesso rendendo così illeggibili i dati. In questi casi anche se parte
del disco risulta ancora utilizzabile (sempre che la testina sia ancora buona) è meglio
cambiare completamente il disco ripristinando il contenuto dello stesso con un sistema
di backup/restore.
Un altro problema frequente è la caduta di tensione della corrente dovuta al malfunzionamento dell’alimentazione (fulmini, blackout). In questo caso ciò che viene danneggiata è la
transazione applicativa che non può concludersi, e quindi i dati non risultano consistenti.
Un primo tipo di soluzione è quella di dotare questi sistemi di gruppi di continuità, cioè
particolari apparecchiature che permettono di fornire corrente all’elaboratore per un certo
2
251-272_U14.indd 252
La sicurezza
© Mondadori Education
10/02/12 19.50
periodo di tempo anche a fronte di un blackout (figura 2). In
questo modo la transazione può terminare regolarmente e possono
essere effettuate tutte le operazioni di chiusura previste in questi
casi. Se mancano queste apparecchiature vi è una soluzione a
posteriori, cioè quella di creare dei file di LOG in grado di contenere tutte le operazioni fatte sino a quel momento. Il sistema è così
in condizione di riportare la situazione dati a uno stato consistente.
Per evitare l’uso fraudolento dei dati bisogna invece provvedere a
fornire il sistema di protezioni all’accesso. Anche in questo caso
possiamo avere sistemi di controllo più o meno sofisticati a seconda del livello di sicurezza che si vuole raggiungere. Poiché questi
metodi possono risultare particolarmente costosi (soprattutto per
elaboratori personali), si possono utilizzare metodi semplici, come
la digitazione di un codice identificativo e di una password oppure si possono dotare i personal computer di lettori di badge o di
riconoscitori di firma.
●
figura 2 Gruppi di continuità
Backup e restore
I rischi di perdita dei dati sui dischi magnetici possono, in parte, essere prevenuti attraverso una corretta manutenzione degli stessi. Per risolvere questo problema sono nati sistemi
appositi, che si articolano in due componenti: la funzione di backup e quella di restore.
L’operazione di backup permette di copiare il contenuto dei dischi magnetici su supporti rimovibili (floppy, nastri magnetici, dischi magneto/ottici ecc.) che possono essere archiviati in luogo
sicuro. Nelle grosse organizzazioni questi vengono messi in apposite casseforti a prova di acqua
e di fuoco.
Il restore è l’operazione inversa, quella cioè che permette di ricostruire, se necessario, il contenuto dei dischi magnetici dai supporti rimovibili preventivamente prodotti. I dati inseriti nel sistema tra un backup e l’altro verranno però perduti.
!
Poiché il backup dei dischi dei grossi calcolatori può essere anche molto lungo (decine
di ore), in genere si effettua quello completo solo periodicamente (per esempio nel fine
settimana o ogni 15 giorni) e tutte le sere si realizza un backup incrementale, salvando
cioè solo i file che sono stati modificati rispetto al backup precedente. In questo modo
l’attività di salvataggio è più veloce, anche se l’eventuale ripristino risulterà più complesso
e più lento. È comunque da considerare che quest’ultima operazione andrà fatta solo in
casi eccezionali.
Nei sistemi in cui la perdita non può essere accettata neanche a livello giornaliero (banche,
aziende di produzione ecc.), si utilizzano in appoggio anche i sistemi di journaling, cioè la
creazione di file (detti di LOG) in grado di registrare tutte le operazioni fatte nella giornata,
così da permettere di ricostruire la situazione del sistema fino all’attimo prima del problema. Ovviamente questo file sarà registrato su un disco diverso da quello cui fa riferimento.
I sistemi più moderni sono basati sul mirroring. Questi sistemi provvedono al controllo di consistenza e qualità dei dati su disco e sono in grado di spostare i dati da zone del disco che stanno
gradualmente diventando inaffidabili verso zone più sicure, o su altri dischi.
Avere gli stessi dati memorizzati su due dischi può risultare più costoso, ma permette a un
sistema di ripartire immediatamente dopo una perdita su disco, senza aspettare il restore:
basta sostituire il disco originale con il disco copia.
Il controllo degli accessi
La protezione contro gli accessi non autorizzati ai dati deve tenere conto della diversificazione degli utenti interessati alle informazioni.
La telematica ha reso insufficiente la protezione garantita dalle barriere fisiche adottate nei
sistemi tradizionali, in cui il calcolatore viene posto in una stanza chiusa, di cui solo le
© Mondadori Education
251-272_U14.indd 253
Lezione 1 La sicurezza
3
Esempio di password non sicura:
Giovanni
17-5-1982
AAAA
Esempio di password sicura:
xyK!2L3;
QuR1-/kzl
B!2cVz!5k
persone autorizzate hanno la chiave, all’interno di un edificio controllato da rigorosi sistemi
di sicurezza.
Oltre a questi mezzi, che comunque vanno adottati per salvaguardare fisicamente i server, è
necessario prevedere delle barriere logiche, cioè delle procedure di controllo dell’accesso ai
dati e di identificazione dell’utente, in particolare di fronte alla sempre più diffusa necessità
di permettere accessi remoti.
●
La password è una parola d’ordine elettronica necessaria per attivare il sistema di elaborazione o consentire l’accesso a dati e applicazioni. È una delle più semplici e diffuse barriere
logiche. Purtroppo è anche un sistema di controllo molto vulnerabile, perché a essa si può
arrivare attraverso una serie di congetture: molti, per ricordarsi più facilmente le proprie
password, le costruiscono in base alla data di nascita, al nome di un familiare o ad altre
informazioni che possono essere indovinate o scoperte con relativa facilità.
Se invece si è scelta una password più complessa (magari perché obbligati dai superiori o
dall’azienda), spesso per paura di dimenticarla la si annota da qualche parte (su un’agenda,
in qualche file del computer, o su foglietti), risultando quindi facilmente reperibile anche da
altri. Va infatti ricordato che, nella maggior parte dei casi, gli accessi indesiderati avvengono
dall’interno di un’azienda o di un’organizzazione: un dipendente ha molte più possibilità di
procurarsi la password di un altro, a volte venendone informati direttamente da lui (anche se
involontariamente) magari osservandolo mentre la digita o leggendola da qualche parte.
Nel seguito forniamo alcune indicazioni che normalmente si danno su come andrebbe
creata una password.
• Usare almeno 8 caratteri.
• Usare lettere maiuscole, minuscole, cifre numeriche e segni di interpunzione (?,!) nella stessa
password.
• Per ricordarla, combinare a qualche numero o carattere speciale le lettere iniziali o finali di
qualche frase celebre o pensiero ricorrente; per esempio: “Quel ramo del lago di Como” potrebbe diventare 6QrDLdC3.
●
Internet
figura 3 Firewall
4
251-272_U14.indd 254
Password
Firewall
Il firewall (letteralmente “paratia tagliafuoco”) è un’altra linea di difesa contro gli intrusi di
rete e consiste in particolari
dispositivi che funzionano
come sentinella alla porta
di collegamento del computer con una rete pubblica
come Internet.
La sicurezza di tutta una
rete aziendale connessa a
Internet viene ricondotta
Firewall
quindi alla sicurezza di un
ristrettissimo numero di
nodi, molto spesso uno.
Solo il nodo in questione,
il firewall appunto, risulta
essere direttamente colleLAN
gato a Internet e particolari software di quel nodo
effettuano le operazioni di
controllo e verifica degli
accessi (figura 3).
La sicurezza
© Mondadori Education
10/02/12 19.51
Così, all’esterno del firewall, l’azienda può anche disporre di una rete locale accessibile a
tutti (la “zona demilitarizzata”), consentendo ai clienti di inviare posta elettronica all’azienda, navigare all’interno del sito aziendale in Internet o conoscere informazioni sui prodotti
dell’impresa, ma per poter accedere a dati aziendali riservati o personali dovrà passare
attraverso il firewall (figura 4).
Una grande azienda può aver bisogno di più di un firewall: quando la rete aziendale cresce,
può essere necessario aggiungerne altri per proteggere i computer di importanti dipartimenti aziendali, come la direzione finanziaria.
In questo modo si impedirà l’accesso ai dati non solo da accessi indesiderati esterni
all’azienda, ma anche da quelli interni, differenziando i dipendenti a seconda che appartengano a un dipartimento aziendale piuttosto che a un altro.
Rete aziendale
Internet
Firewall
Zona
demilitarizzata
Rete aziendale
protetta
figura 4 Protezione della rete aziendale
verifica le tue conoscenze
1 Quali sono le principali cause di rischio fisico per i
sistemi?
2 A che cosa servono i file di LOG?
5 Quali sono le regole che definiscono una buonaVerifica
password?
3 Come funziona il backup incrementale?
6 In che ambito si usa il firewall?
© Mondadori Education
251-272_U14.indd 255
4 Quando si usa il restore?
Lezione 1 La sicurezza
5
10/02/12 19.51
Crittografia
●
figura 1 Macchina
Enigma
Crittografare messaggi e documenti
Con lo sviluppo del commercio elettronico, l’aumento dello scambio di dati in formato
telematico e la necessità di effettuare pagamenti in formato elettronico, il problema della
sicurezza nella circolazione delle informazioni in rete è diventato di notevole importanza.
Infatti, con le misure di controllo all’accesso dei dati quali password e firewall, viene
garantita la sicurezza dei dati e delle applicazioni a livello locale, ma non vi sono garanzie di ciò che può succedere ai nostri dati una volta che circolano sulla rete.
Questo problema ha trovato soluzione nella crittografia, che consiste nell’applicazione di
particolari tecniche che permettono di trasformare il messaggio da trasmettere in un testo
cifrato, che risulti incomprensibile a chiunque, eccettuato il legittimo destinatario.
La crittografia è una scienza molto antica perché le problematiche legate all’esigenza di
inviare messaggi riservati era ancora più sentita in tempo di guerra (dai tempi degli antichi
romani fino alla più recente Guerra Fredda).
La necessità di inviare messaggi sicuri per l’impiego militare ha sviluppato sofisticati algoritmi matematici per eseguire una trasformazione crittografica intelligente dei messaggi. In
figura 1 l’invenzione della macchina Enigma usata dai tedeschi durante la seonda guerra
mondiale. Ma se inizialmente le tecniche crittografiche erano appannaggio dei militari, con
lo sviluppo di Internet e del commercio elettronico e le conseguenti necessità di pagamenti
elettronici, nelle università e nei centri di ricerca dell’industria si formò una vivace comunità “crittografica” che pubblicò un numero via via crescente di articoli, costruendo di fatto
una nuova disciplina scientifica.
Esaminiamo dunque le principali regole della crittografia, tenendo presente che il processo
di trasformazione del testo in chiaro in un testo cifrato viene chiamato criptazione, il processo inverso decriptazione (o decifrazione) ed entrambi i processi si basano su un codice
particolare, detto chiave.
●
Chiave privata
La crittografia a chiave privata è chiamata anche crittografia tradizionale, perché risale
addirittura ai tempi di Giulio Cesare, quando ogni lettera del messaggio da cifrare veniva
sostituita con quella che la precede o la segue di un certo numero (x) di posizioni. Questo
sistema crittografico, chiamato anche simmetrico, utilizza dunque una sola chiave (il valore
di x, eventualmente con segno), tanto nella fase di codifica quanto in quella di decodifica.
Così, il mittente del messaggio lo cripterà con la propria chiave privata, lo invierà al destinatario che già conosce quella chiave, e che, quindi, potrà decifrarlo.
Questo modello di crittografia presenta però alcuni notevoli inconvenienti:
• sia chi invia, sia chi riceve conosce la chiave questa quindi diventa fissa e facilmente
individuabile riducendo di molto la sicurezza;
• la chiave potrebbe cambiare da messaggio a messaggio ed essere inviata al destinatario, però è necessario che la trasmissione della chiave crittografica avvenga
preliminarmente all’invio del messaggio e soprattutto attraverso un canale sicuro; avendo a disposizione un canale sicuro, si potrebbe utilizzarlo per inviare il messaggio evitando di crittografarlo. La chiave però ha una dimensione
inferiore e quindi ha costi di trasferimento inferiori, rispetto al messaggio;
• si presenta la necessità di generare un numero molto elevato di chiavi quando il numero
dei possibili trasmettitori di messaggi aumenta, come nel caso di Internet. Infatti, dato
un sistema di N utenti, sono necessarie N(N–1)/2 chiavi per permettere il dialogo cifrato
bidirezionale tra tutti i soggetti del sistema.
6
251-272_U14.indd 256
Crittografia
© Mondadori Education
10/02/12 19.51
esempio
Algoritmo: “scalare di x posizioni”, dove x rappresenta la chiave di soluzione
A B C D E F G H .... .
X
4,
E F G H I L M N .... .
●
CRIPTAZIONE
DECRIPTAZIONE
CIAO + chiave = GOES
GOES + chiave = CIAO
perché bisognerà scalare di 4
posizioni in avanti per scrivere
il messaggio criptato, e 4 posizioni
indietro per decifrarlo
Chiave pubblica
La crittografia a chiave pubblica permette di comunicare senza dover ricercare percorsi
segreti per trasmettere le chiavi. In questo tipo di crittografia a ogni utente vengono assegnate due chiavi, diverse ma complementari: una chiave pubblica e una privata.
Ogni chiave mette in chiaro il messaggio che l’altra chiave ha codificato, ma il processo
non è reversibile: la chiave usata per cifrare un messaggio non può essere utilizzata per
decriptarlo (ecco perché questo sistema si chiama asimmetrico). In questo modo, una delle
chiavi complementari (quella pubblica) può essere disseminata ovunque ed è disponibile
all’interno di un apposito archivio online, mentre l’altra (la privata) è conservata solo dal
suo proprietario (figura 2).
Così, per spedire un messaggio a un determinato soggetto, è necessario procurarsi la sua
chiave pubblica e criptare il messaggio con essa; il destinatario, e solo lui, potrà decifrare
il messaggio con la propria chiave privata. In questo modo viene meno il problema della
comunicazione della chiave e il numero delle chiavi necessarie nel sistema diminuisce
notevolmente: con n utenti, basteranno 2*n chiavi.
Testo in chiaro
Testo in chiaro
Crittografia
Decriptazione
Chiave
pubblica
del destinatario
Testo
crittografato
MITTENTE
Testo
crittografato
Chiave
privata
del destinatario
DESTINATARIO
figura 2 Crittografia a chiave pubblica
© Mondadori Education
251-272_U14.indd 257
Lezione 2 Crittografia
7
10/02/12 19.51
Gli algoritmi matematici su cui si basano questi sistemi sono facili da calcolare in un
senso (la fase di criptazione), ma lenti e complicati da risolvere nel senso inverso.
Per migliorare la sicurezza è possibile applicare un meccanismo di doppia criptazione per
garantire sia la riservatezza sia la sicurezza del mittente (figura 3).
Con questo sistema, non solo il messaggio cifrato è molto più sicuro, ma è anche possibile
autenticare i propri messaggi. Il destinatario può dunque verificare l’identità del mittente
poiché il mittente sarà quello la cui chiave pubblica renderà leggibile il messaggio cifrato.
Nell’esempio illustrato di seguito, solo se il Rag. Bianchi potrà capire il messaggio sarà
sicuro che il mittente è il Dott. Rossi.
Testo in chiaro
Testo in chiaro
Crittografia
Chiave
privata
del mittente
(autocertificazione)
Testo
crittografato (A)
Chiave
pubblica
del mittente
Decriptazione
Testo
crittografato (A)
Decriptazione
Crittografia
Testo
crittografato (B)
Chiave pubblica
del ricevente
(riservatezza)
MITTENTE
Testo
crittografato (B)
RICEVENTE
Chiave privata
del ricevente
figura 3 Mittente e ricevente
esempio
Vediamo dunque come funziona lo scambio di messaggi con la crittografia a chiave pubblica:
se il Dott. Rossi vuole mandare un messaggio al Rag. Bianchi, dapprima lo cripterà usando la
propria chiave privata, quindi ricripterà il messaggio con la chiave pubblica del Rag. Bianchi,
e glielo invierà.
Nel passaggio, il messaggio non è decifrabile da nessuno, perché anche se qualcuno ipotizzasse
o sapesse che il messaggio proviene dal Dott. Rossi e provasse a decriptarlo con la chiave
pubblica del Dott. Rossi, il risultato saebbe ancora in forma cifrata per la criptazione con la
chiave del Rag. Bianchi.
Solo il Rag. Bianchi, appunto, potrà decriptarlo, oltre che con la chiave pubblica del Dott. Rossi,
anche con la propria chiave privata e, quindi, leggere il messaggio.
●
Tecnica mista
Anche la crittografia a chiave pubblica ha i suoi inconvenienti:
• la relativa lentezza delle elaborazioni matematiche nelle operazioni di criptazione/decriptazione rende poco pratica la codifica di messaggi di grandi dimensioni;
• il possibile vuoto nella cifrazione di alcune strutture dei messaggi rende più facile risalire
al testo in chiaro.
Per queste ragioni esistono alcune varianti della crittografia a chiave pubblica che permettono di utilizzarla soltanto per la funzione ridotta, ma essenziale, dello scambio della
8
251-272_U14.indd 258
Crittografia
© Mondadori Education
10/02/12 19.51
chiave simmetrica. In pratica, si tratta di cifrare il messaggio con una chiave simmetrica,
come nel sistema della crittografia a chiave privata, quindi, avendo la necessità di inviare al
destinatario la propria chiave simmetrica, la si codifica con il sistema della chiave pubblica
asimmetrica, così che il Rag. Bianchi dell’esempio precedente dovrà decriptare dapprima
la chiave e poi il messaggio con la chiave simmetrica decifrata.
●
Certificazione digitale
Un ultimo aspetto legato all’utilizzo di chiavi pubbliche riguarda la certificazione delle
chiavi stesse: in effetti, un intruso potrebbe creare una propria copia di chiavi e inviare
quella pubblica al Rag. Bianchi, dicendogli che appartiene al Dott. Rossi.
Il solo metodo per prevenire questo tipo di attacchi è di avere in qualche maniera la conferma che la chiave pubblica usata da un utente sia veramente la sua. Questo è ancora
più importante se si tratta di effettuare dei pagamenti e l’oggetto della transazione è, per
esempio, il numero della carta di credito.
Una soluzione è quella di conferire a una terza parte affidabile il compito di verificare e
certificare le chiavi: si parla dunque di certificazione digitale.
Un certificato digitale di sicurezza è l’equivalente di un libretto di circolazione o di un
passaporto: è un marchio numerico di riconoscimento rilasciato da un ente di certificazione affidabile (organizzazioni internazionali, banche, organizzazioni di categoria ecc.), che
assicura che una chiave pubblica appartiene a una certa persona o azienda.
Quindi, per poter utilizzare il meccanismo della chiave pubblica, occorre:
• la registrazione dell’utente presso un’autorità di certificazione;
• la generazione di una coppia di chiavi (una pubblica e una privata);
• la certificazione della chiave pubblica;
• la registrazione della chiave pubblica.
●
Molto spesso la firma digitale viene
confusa con l’impronta digitale. La
firma digitale è un’ulteriore informazione che viene aggiunta a un
documento informatico al fine di certificarne l’integrità e la provenienza.
Firma digitale
Nell’art. 1 del D.P.R. 28.12.2000, n. 445 (disposizioni legislative e regolamentari in materia di documentazione amministrativa, anche denominato Testo Unico in materia di
Documentazione Amministrativa) è contenuta la definizione legislativa di firma digitale:
“firma digitale è un particolare tipo di firma elettronica qualificata basata su un
sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al
titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”
In base alla normativa italiana, che ha recepito le disposizioni in materia di firma elettronica emanate a livello europeo, solo se ricorrono alcuni requisiti, la firma digitale può avere
lo stesso valore di quella autografa e quindi rendere legali i documenti.
I requisiti necessari sono i seguenti:
a. essere connessa in maniera unica al firmatario;
b. essere idonea a identificare il firmatario;
c. essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;
d. essere collegata ai dati cui si riferisce in modo da consentire l’identificazione di ogni
successiva modifica di detti dati.
Affinché sussistano tali requisiti, la firma digitale deve passare attraverso la validazione di
un Ente certificatore esterno, che operi secondo procedure rigorose e a loro volta “certificate” verificabili ricorrendo ad un elenco pubblico, e a ciò espressamente preposto (ad es. le
Camere di Commercio), e deve rispondere a tutta una serie di certezze di carattere tecnico
e materiale (ad es. che il firmatario, sia il solo a conoscere la chiave privata che attiva la
procedura di firma).
© Mondadori Education
251-272_U14.indd 259
Lezione 2 Crittografia
9
10/02/12 19.51
Crimini informatici
●
Il reato informatico
Il reato informatico ingloba svariate tipologie di attività illegali, accomunate dal fatto di
avere a che fare con le nuove tecnologie dell’informazione e della comunicazione e in particolare con il mondo di Internet.
Nella comunicazione COM (890) 2000 del 26 gennaio 2001, fornita dall’apposita commissione al Consiglio europeo, il reato informatico viene definito “reato connesso ai sistemi
informatici”, “reato tramite la tecnologia”, “reato telematico”.
Una prima suddivisione è tra reati informatici specifici e convenzionali. I primi nascono da
“nuove idee criminali” e impongono la modifica e l’aggiornamento dei codici già esistenti,
poiché ci si trova di fronte a nuove attività illegali non ancora previste dalla normativa
vigente. Nel secondo caso siamo di fronte all’utilizzo dei nuovi mezzi tecnologici per effettuare attività illegali già note e generalmente già previste dalla normativa.
Con la legge n. 347 del 23 dicembre 1993, vengono apportate numerose modifiche e integrazioni al codice di procedura in tema di criminalità informatica.
In particolare:
• viene esteso il concetto di violenza sulle cose e attentato a impianti di pubblica utilità, in
modo che venga punito anche chi danneggia programmi e sistemi informativi (art. 392
e 420 c.p.);
• nel concetto di documento viene considerato anche quello informatico per quanto
riguarda la falsità (art. 491 bis c.p.) e la segretezza (art. 621 c.p.);
• vengono introdotti come reati l’accesso abusivo a un sistema informatico (art. 615 ter
c.p.), la detenzione e diffusione abusiva di codici di accesso (art. 615 quater c.p.) e la
diffusione di programmi diretti a danneggiare o interrompere un sistema informatico
(art. 615 quinquies c.p.);
• viene esteso il concetto di “corrispondenza” alle comunicazioni informatiche e telematiche sia per quanto riguarda la violazione, intercettazione, interruzione e falsificazione
(artt. 616, 617 quater, 617 quinquies, 617 sexies c.p.);
• viene esteso il concetto di “trasmissione a distanza di dati” (art. 623 bis c.p.) comprendendo qualunque tipo di dato;
• vengono introdotte norme che riguardano il “danneggiamento di sistemi informatici o
telematici” (art. 635 bis c.p.) e la “frode informatica” (art. 640 ter c.p.).
●
I virus informatici
Un virus informatico è un programma (cioè una serie di istruzioni scritte da un programmatore ed eseguibili da un computer) scritto per inserirsi all’interno di istruzioni di altri
programmi modificandoli.
Il virus inizia la propria attività quando il programma che gli fa da portatore viene eseguito. Tra le istruzioni del virus che vengono eseguite ve ne sono alcune che provvedono a
copiare il virus stesso su altri programmi. È normale che il virus prima di portare a termine
il compito per cui è stato scritto provveda a replicarsi.
Normalmente dopo la fase di replicazione, il virus comincia a compiere l’azione per cui è
stato scritto, che può consistere, per esempio, nel distruggere dati e/o programmi presenti
su di un supporto magnetico o, semplicemente, nel far comparire a video un messaggio.
10
251-272_U14.indd 260
Crimini informatici
© Mondadori Education
10/02/12 19.51
I virus informatici (virus in latino significa veleno) hanno mutuato il loro nome dal campo
medico-biologico, per una vaga somiglianza con alcune caratteristiche dei virus nella
microbiologia: come questi ultimi, per riprodursi, devono penetrare in una cellula ospite e
assumere il controllo dei suoi processi metabolici, così i virus informatici devono penetrare
nel programma ospite modificandolo, sia per riprodursi sia, in seguito, per danneggiare
dati e/o programmi presenti su supporti registrabili.
Come nella biologia i virus sono organismi relativamente semplici e molto piccoli rispetto
all’organismo che invadono, così anche i virus informatici sono dei programmi costituiti
da poche centinaia di istruzioni, al massimo un migliaio; ciò consente loro di portare a
termine il compito per cui sono stati scritti senza, in genere, far notare la loro presenza
all’utente del computer.
Le tipologie di virus che possono infettare un sistema informatico sono diverse, ma hanno
in comune lo schema della figura 1:
• il virus arriva sul computer (tramite penna USB, posta elettronica, collegamento in rete);
• il virus viene fatto eseguire (involontariamente) e si replica nella macchina;
• il virus si diffonde altrove (infettando altri dispositivi USB, attaccandosi ad allegati e
spedendo e-mail, duplicandosi su altre macchine tramite collegamenti in rete).
2
VIRUS
1
Computer
A
3
Computer
B
figura 1 Virus
Con la diffusione di Internet i pirati informatici utilizzano pesantemente la posta elettronica per trasmettere i virus. Oggi, infatti, la posta elettronica è uno dei maggiori veicoli di
trasmissione dei virus. In alcuni casi, se viene abilitata la funzione anteprima sul client di
posta, l’esecuzione del virus può essere avviata anche solo posizionandosi su un allegato,
senza aprirlo esplicitamente.
Internet sta diventando, come qualsiasi mezzo di trasmissione, una fonte di diffusione di
virus informatici. In particolare la possibilità di scaricare programmi da tutto il mondo può
consentire una rapida diffusione di qualsiasi virus, anche appena creato.
●
Tipi di virus
Esistono molte classificazioni dei virus; in genere sono basate su come si comportano dal
punto di vista informatico o sui tipi di danni che fanno.
Un virus informatico può essere distruttivo oppure solamente invasivo. La prima tipologia
caratterizza tutti quei virus che sono in grado di infettare uno o più file e che determinano
sempre effetti negativi sul sistema. La seconda tipologia riguarda virus che hanno solo
scopo didattico e, pur attaccando uno o più file, non hanno conseguenze distruttive. La
stragrande maggioranza dei virus, comunque, appartiene alla prima categoria.
Diamo alcune definizioni di tipi di virus:
• boot-virus: sono quei visus che infettano il settore di avvio o la tabella delle partizioni
di un disco. I sistemi informatici vengono in genere infettati da questi virus se avviati
con dischi floppy infetti, sempre più rari per la graduale scomparsa dei floppy;
• worm: è un programma (o un insieme di programmi) autonomo in grado di diffondere
copie funzionanti di se stesso o di suoi segmenti su altri sistemi informatici. La propagazione avviene normalmente attraverso le connessioni di rete o gli allegati e-mail;
• cavallo di Troia: è una tecnica che consente di alterare l’esecuzione dei programmi,
modificando o aggiungendo istruzioni nei programmi stessi; la particolarità di questo
© Mondadori Education
251-272_U14.indd 261
Lezione 3 Crimini informatici
11
10/02/12 19.51
software è che in apparenza svolge compiti inoffensivi mentre lavora minuziosamente
per danneggiare l’integrità o la sicurezza dei dati presenti nel sistema;
bomba logica: è un programma che viene eseguito al verificarsi di condizioni prestabilite e che, a sua volta, determina condizioni che facilitano l’attuazione di un atto non
autorizzato; spesso la bomba logica è la condizione scatenante sulla quale è in attesa un
troiano;
rabbit: è un programma che, riproducendosi velocemente nel sistema, tende a saturare
le risorse e la capacità di elaborazione della CPU; non si riproduce nei programmi ed è
specificatamente diretto all’intasamento degli organi della macchina;
virus nelle Macro: può essere contenuto generalmente in un documento di Microsoft
Word, Microsoft Excel o Microsoft PowerPoint, e consiste in una Macro; può diffondersi
a tutti i documenti che vengono aperti con quella particolare applicazione. Questo tipo
di virus può essere trasmesso da una piattaforma all’altra, limitatamente a quelle su cui
gira MS Office, a causa dello scambio di file;
retrovirus: virus che si annida nei programmi antivirus e li mette fuori uso. Il nome
deriva dai retrovirus biologici, in grado di attaccare il sistema immunitario (come agisce,
per esempio, l’HIV).
•
•
•
•
●
Prevenzione
Per prevenire i problemi legati ai virus è importante seguire alcune norme sia a livello
strutturale sia comportamentale.
Antivirus
Esistono molti programmi antivirus
gratuiti. Forniscono protezione a
livello base, ma per i computer a
livello domestico o di piccoli uffici
vanno benissimo.
Se invece si hanno neccessità di protezione maggiori, gli stessi software
offrono delle versioni a pagamento
più complete.
12
251-272_U14.indd 262
Per anticipare e prevenire le più comuni infezioni da virus è opportuno:
• nel caso di elaboratori aziendali, dotare ciascuna macchina di una password che impedisca l’accesso al personale non autorizzato; evitare che vengano installati programmi
senza licenza e che ci sia un frequente scambio di dischetti tra casa e ufficio;
• qualora si lavori in rete è opportuno gestire il file server esclusivamente come elaboratore dedicato, evitando di utilizzarlo come postazione di lavoro (è necessario ricordare
che se un virus contagia direttamente un server, viene trasferito più velocemente a tutta
la rete da lui dipendente ed, eventualmente, ad altre reti connesse tramite router o bridge); anche per le operazioni di posta elettronica è opportuno utilizzare un elaboratore
dedicato esclusivamente a tale funzione;
• eliminare le e-mail che hanno come allegati dei file eseguibili (.EXE, .COM, .BAT ecc.).
• impostare un’elevata protezione da Macro eventualmente prevedendo l’attivazione solo
su richiesta;
• non installare mai sul proprio computer programmi passati da amici e conoscenti specialmente su floppy disk: potrebbero contenere virus;
• disabilitare dal BIOS del proprio computer il BOOT da floppy; i virus da BOOT SECTOR
(è il settore o record di avviamento del Sistema Operativo) sono tra i più diffusi;
• effettuare sempre il salvataggio dei dati (backup) con cadenza almeno settimanale; con i
dati salvati e i dischi programmi intatti, anche in caso di disastro non imputabile a virus
(se si rompe l’hard disk): si sarà in grado di ripristinare il contenuto del computer;
• effettuare una copia del settore di avviamento (boot record) e della tabella delle partizioni (partition table) del proprio hard disk usando uno dei programmi di utilità in
commercio; questa copia potrebbe scongiurare necessità di riformattare l’hard disk.
I programmi antivirus
I programmi antivirus sono programmi che cercano di individuare i virus informatici presenti sul computer e di provvedere, poi, alla loro eliminazione. Per individuarli analizzano
il contenuto del disco e verificano la presenza del virus in base a un “pattern” o stringa
di riconoscimento. Per funzionare in maniera corretta questi programmi devono essere
aggiornati di frequente per riconoscere anche i virus di nuova produzione. Per ovviare a
questo problema oramai tutti i produttori di antivirus offrono l’aggiornamento via Internet.
Crimini informatici
© Mondadori Education
10/02/12 19.51
Nel caso, poi, che il programma antivirus rilevi la presenza di un virus spesso è anche in
grado di rimuoverlo (in automatico o su richiesta).
A volte, però, la rimozione automatica non è possibile perché il virus è troppo recente e
quindi viene messo in quarantena in attesa che venga trovato un metodo per rimuoverlo.
●
Hacker e cracker
Un hacker è una persona che si impegna nell’affrontare sfide intellettuali per aggirare o
superare creativamente le limitazioni che gli vengono imposte. Il termine è applicato a ogni
aspetto della vita e si esplicita prevalentemente in ambito informatico ed elettronico. Il termine hacker viene in genere associato ai criminali informatici, ma l’intenzione dell’hacker
è generalmente l’esplorazione, il divertimento, l’apprendimento, senza creare reali danni.
Il cracker è invece colui che si ingegna per eludere blocchi imposti da qualsiasi software, in
genere con scopi distruttivi. Il cracking può essere usato per diversi scopi secondari, una
volta guadagnato l’accesso di root nel sistema desiderato o dopo aver rimosso le limitazioni
di un qualsiasi programma. I cracker possono essere spinti da varie motivazioni che vanno
dal guadagno economico (tipicamente coinvolti in operazioni di spionaggio industriale o
in frodi) all’approvazione all’interno di un gruppo di cracker.
Vediamo alcune delle tecniche che spesso utilizzano per superare le barriere logiche dei
sistemi:
• collegarsi direttamente con un calcolatore della rete interna che dispone di un accesso
autonomo, aggirando così il filtro del firewall;
• passare attraverso una “porta di servizio” (back door), una porta virtuale che può essere
stata lasciata nel sistema per facilitare, per esempio, interventi di manutenzione;
• fare spoofing, cioè sfruttare il meccanismo delle comunicazioni basate sul protocollo
Internet a livello di rete (IP), per assumere un’altra identità e infiltrarsi in una intranet.
●
Programmatori di virus
Gli autori dei virus informatici rientrano nella più ampia cerchia di coloro che commettono
crimini mediante l’uso del mezzo informatico; questi ultimi presentano delle caratteristiche
proprie. Le indagini sinora condotte indicano concordemente che si tratta, nella maggior
parte dei casi, di soggetti giovani, dall’età media compresa fra i 24 ed i 33 anni, ben preparati in informatica, di indole audace e, quasi sempre, di sesso maschile. In particolare
coloro che realizzano virus informatici hanno studiato per anni il funzionamento dei computer e dei diversi sistemi operativi, conoscono il linguaggio assembler e il linguaggio C e
ne sanno sfruttare tutte le più recondite caratteristiche; il virus rappresenta spesso un vero
e proprio capolavoro di programmazione.
In genere i computer criminal e, in particolare, quasi tutti gli autori di virus informatici, sono
soggetti senza precedenti penali, ma esistono sintomi che lasciano intuire il modificarsi di
questa realtà. La stessa criminalità organizzata si va orientando verso reati la cui complessità di preparazione e di attuazione è tale da richiedere o, addirittura, rendere indispensabile
l’uso del computer.
verifica le tue conoscenze
1 Che cos’è un reato informatico?
3 Come si possono classificare i virus?
2 Come ci si difende dai virus?
4 Che differenza c’è tra un hacker e un cracker?
© Mondadori Education
251-272_U14.indd 263
Lezione 3 Crimini informatici
13
10/02/12 19.51
Privacy e diritto d’autore
●
Privacy e dati personali
Con la diffusione dei sistemi informatici sono nati molti problemi di tipo giuridico connessi alle problematiche della privacy. Ricordiamo a questo proposito che la legge n. 675 del
31 dicembre 1996 sulla salvaguardia dei dati personali è stata promulgata allo scopo di:
• migliorare la protezione dei dati personali;
• tener conto della tutela giuridica e della riservatezza individuale nella stesura e nella
conservazione dei documenti contenenti dati personali;
• proteggere i dati personali da utilizzi esterni non autorizzati;
• garantire i diritti dei soggetti a cui si riferiscono i dati personali;
• definire le responsabilità dei detentori di dati personali altrui e imporre loro obblighi di
prevenzione;
• proteggere i dati personali, tenendo conto della sicurezza nazionale.
Chiunque detenga e gestisca dati personali altrui deve:
• avere ottenuto autorizzazione scritta dal soggetto a cui i dati si riferiscono;
• comunicare all’interessato le finalità dell’utilizzo di tali dati;
• essere disponibile a verifiche su richiesta dell’interessato;
• attuare procedure di protezione dei dati gestiti.
●
Diritto d’autore
La norma di riferimento sul diritto d’autore è la legge . 633 del 22 aprile 1941. A questa
sono state apportate nel tempo molte modifiche. Le più significative riguardo all’informatica sono quelle contenute nel decreto legislativo n. 518 del 29 dicembre 1992 che attua la
direttiva europea 91/250/CEE relativa alla tutela giuridica dei programmi per l’elaboratore.
Il decreto legislativo n. 68 del 09 aprile 2003 modifica la precedente legge sul diritto
d’autore n. 633/1941. Si tratta del completamento di un processo di adeguamento delle
leggi alle mutate condizioni, durato alcuni anni, in cui vengono date ai magistrati maggiori
possibilità di applicare la normativa anche a casi completamente nuovi, a seguito della
diffusione sempre maggiore di banche dati e Internet. In particolare viene chiarito con
maggior precisione il concetto di “diffusione”, “distribuzione” e “riproduzione”, in modo
da prevedere il concetto di download di file.
Altre importanti modifiche sono quelle riportate nella legge del 18 agosto 2000 n. 248 su
“Nuove norme di tutela del diritto d’autore” che ha previsto particolari ipotesi di reato per
i casi di contraffazione e pirateria informatica relativi anche ai programmi per computer,
nonché norme più severe in caso di contravvenzione delle leggi.
Nel seguito si riportano alcuni degli articoli più significativi del decreto 518/92.
Art. 1
1. All’art. 1 della legge n. 633 del 22 aprile 1941, è aggiunto il seguente comma:
“Sono altresì protetti i programmi per l’elaboratore come opere letterarie ai sensi della
Convenzione di Berna sulla protezione delle opere letterarie e artistiche ratificata e resa
esecutiva con legge 20 giugno 1978, n. 309”.
Art. 2
1. Dopo il n. 7 dell’art. 2 della legge n. 633 del 22 aprile 1941, è aggiunto il seguente
numero:
“8) i programmi per l’elaboratore in qualsiasi forma espressi purché originali quali risultato
di creazione intellettuale dell’autore. Restano inclusi dalla tutela accordata dalla presente
14
251-272_U14.indd 264
Privacy e diritto d’autore
© Mondadori Education
10/02/12 19.51
legge le idee e i principi che stanno alla base di qualsiasi elemento di un programma,
compresi quelli alla base delle sue interfacce. Il termine programma comprende anche il
materiale preparatorio per la progettazione del programma stesso”.
Art. 3
1. Dopo l’art. 12 della legge n. 633 del 22 aprile 1941, è inserito il seguente:
“Art. 12 bis – Salvo patto contrario, qualora un programma per l’elaboratore sia creato dal lavoratore dipendente nell’esecuzione delle sue mansioni o su istruzioni impartite dal suo datore di
lavoro, questi è titolare dei diritti esclusivi di utilizzazione economica del programma creato”.
Art. 4
1. Dopo l’art. 27 della legge n. 633 del 22 aprile 1941, è inserito il seguente:
“Art. 27 bis – La durata dei diritti di utilizzazione economica del programma per elaboratore
prevista dalle disposizioni della presente Sezione si computa, nei rispettivi casi, a decorrere
dal 1 gennaio dell’anno successivo a quello in cui si verifica l’evento considerato dalla norma”.
Art. 5
1. Dopo la Sezione V del Capo IV del Titolo I della legge n. 633 del 22 aprile 1941, è
inserita la seguente Sezione IV – Programmi per elaboratori.
Art. 64 bis
1. Fatte salve le disposizioni dei successivi articoli 64 ter e 64 quater, i diritti esclusivi
conferiti dalla seguente legge sui programmi per elaboratore comprendono il diritto di
effettuare o autorizzare:
a) la riproduzione, permanente o temporanea, totale o parziale, del programma per elaboratore con qualsiasi mezzo o in qualsiasi forma. Nella misura in cui operazioni quali il
caricamento, la visualizzazione, l’esecuzione, la trasmissione o la memorizzazione del programma per elaboratore richiedano una riproduzione, anche tali operazioni sono soggette
all’autorizzazione del titolare dei diritti;
b) la traduzione, l’adattamento, la trasformazione e ogni altra modificazione del programma per elaboratore, nonché la riproduzione dell’opera che ne risulti, senza pregiudizio dei
diritti di chi modifica il programma;
c) qualsiasi forma di distribuzione al pubblico, compresa la locazione, del programma per
elaboratore originale o di copia dello stesso. La prima vendita di una copia del programma
della Comunità Economica Europea da parte del titolare dei diritti, o con il suo consenso,
esaurisce il diritto di distribuzione di detta copia all’interno della Comunità, a eccezione
del diritto di controllare l’ulteriore locazione del programma o di una copia dello stesso.
Art. 64 ter
1. Salvo patto contrario, non sono soggette all’autorizzazione del titolare dei diritti le attività indicate nell’art. 64 bis, lettere a) e b), allorché tali attività sono necessarie per l’uso
del programma per elaboratore conformemente alla sua destinazione da parte del legittimo
acquirente, inclusa la correzione degli errori.
2. Non può essere impedito per contratto, a chi ha diritto di usare una copia del programma per elaboratore, di effettuare una copia di riserva del programma, qualora tale copia
sia necessaria per l’uso.
3. Chi ha diritto di usare una copia del programma per elaboratore può, senza l’autorizzazione del titolare dei diritti, osservare, studiare o sottoporre a prova di funzionamento del
programma, allo scopo di determinare le idee e i principi su cui è basato ogni elemento del
programma stesso, qualora egli compia tali atti durante operazioni di caricamento, visualizzazione, esecuzione, trasmissione o memorizzazione del programma che egli ha il diritto
di eseguire. Gli accordi contrattuali conclusi in violazione del presente comma sono nulli.
Art. 64 quater
1. L’autorizzazione del titolare dei diritti non è richiesta qualora la riproduzione del codice
del programma di elaboratore e la traduzione della sua forma ai sensi dell’art. 64 bis, lettere
a) e b), compiute al fine di modificare la forma del codice, siano indispensabili per ottenere le
informazioni necessarie per conseguire l’interoperabilità, con altri programmi, di un programma per elaboratore creato autonomamente purché siano soddisfatte le seguenti condizioni:
a)le predette attività siano eseguite dal licenziatario o da altri che abbiano il diritto di usare
una copia del programma oppure, per loro conto, da chi è autorizzato a tal fine;
b)le informazioni necessarie per conseguire l’interoperabilità non siano già facilmente e
rapidamente accessibili ai soggetti indicati alla lettera a);
© Mondadori Education
251-272_U14.indd 265
Lezione 4 Privacy e diritto d’autore
15
10/02/12 19.51
c) le predette attività siano limitate alle parti del programma originale necessarie per conseguire l’interoperabilità.
2. Le disposizioni di cui al comma 1 non consentono che le informazioni ottenute in virtù
della loro applicazione:
a) siano utilizzate a fini diversi dal conseguimento dell’interoperabilità del programma
creato autonomamente;
b) siano comunicate a terzi, fatta salva la necessità di consentire l’interoperabilità del programma creato autonomamente;
c) siano utilizzate per lo sviluppo, la produzione o la commercializzazione di un programma per elaboratore sostanzialmente simile nella sua forma espressiva, o per ogni altra
attività che violi il diritto d’autore.
3. Gli accordi contrattuali conclusi in violazione dei commi 1 e 2 sono nulli.
4. Conformemente alla Convenzione di Berna sulla tutela delle opere letterarie e artistiche
ratificata e resa esecutiva con legge 20 giugno 1978, n. 399, le disposizioni del presente
articolo non possono essere interpretate in modo da consentire che la loro applicazione
arrechi indebitamente pregiudizio agli interessi legittimi del titolare dei diritti o sia in
conflitto con il normale sfruttamento del programma.
Art. 8
1. All’art. 161 della legge n. 633 del 22 aprile 1941, è aggiunto, infine, il seguente comma:
“Le disposizioni di questa Sezione si applicano anche a chi mette in circolazione in qualsiasi modo, o detiene per scopi commerciali copie non autorizzate di programmi e qualsiasi
mezzo inteso unicamente a consentire e facilitare la rimozione arbitraria o l’esecuzione
funzionale dei dispositivi applicati a protezione di un programma per elaboratore”.
Art. 10
1. Dopo l’art. 171 della legge n. 633 del 22 aprile 1941, è inserito il seguente:
“Art. 171 bis – 1. Chiunque abusivamente duplica a fini di lucro programmi per elaboratore, o, ai medesimi fini e sapendo o avendo motivo di sapere che si tratta di copie non autorizzate, importa, distribuisce, vende, detiene a scopo commerciale, o concede in locazione
i medesimi programmi, è soggetto alla pena della reclusione da tre mesi a tre anni e della
multa da L. 500.000 a L. 6.000.000. Si applica la stessa pena se il fatto concerne qualsiasi
mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l’elusione funzionale dei dispositivi applicati a protezione di un programma per elaboratore. La pena
non è inferiore nel minimo a sei mesi di reclusione e la multa a L. 1.000.000 se il fatto è di
rilevante gravità ovvero se il programma oggetto dell’abusiva duplicazione, importazione,
distribuzione, vendita, detenzione a scopo commerciale o locazione sia stato precedentemente distribuito, venduto o concesso in locazione su supporti contrassegnati dalla Società
italiana degli autori ed editori ai sensi della presente legge e del relativo regolamento di
esecuzione approvato con regio decreto 18 maggio 1942, n. 1369.
2. La condanna per i reati previsti dal comma 1 comporta la pubblicazione della sentenza
in uno o più quotidiani e in uno o più periodici specializzati”.
Art. 11
1. Dopo l’art. 199 della legge n. 633 del 22 aprile 1941, è inserito il seguente:
“Art. 199 bis – 1. Le disposizioni della presente legge si applicano anche ai programmi creati prima della sua entrata in vigore, fatti salvi gli eventuali atti conclusivi e i diritti acquisiti
anteriormente a tale data”.
I sistemi peer-to-peer
per scambio file
●
Il peer-to-peer (scritto abbreviato come p2p) è una tecnologia che consente ai computer di
essere collegati tra loro senza passare da un server centrale, permettendo la condivisione
diretta di file (anche di file musicali) tra tutti gli utenti Web. Tutto ciò installando semplici software gratuiti sul proprio pc. L’assenza di un server centrale ha di fatto reso il “file
sharing”, ovvero lo scambio di file con programmi peer-to-peer, un’opportunità per costruire un’enorme rete di conoscenze condivise. Poiché questa pratica di massa è molto diffi-
16
251-272_U14.indd 266
Privacy e diritto d’autore
© Mondadori Education
10/02/12 19.51
cilmente controllabile, il file sharing può anche essere un sistema truffaldino per aggirare il
copyright in un’incontrollata “terra di nessuno”. È quindi buona norma prestare attenzione
a ciò che si condivide in rete con i programmi peer-to-peer per non violare le leggi sul
copyright.
La legge italiana sul peer-to-peer (o Legge Urbani, dal nome del ministro proponente) è il
nome convenzionale attribuito alla normativa della legge n. 128 del 21 maggio 2004 della
Repubblica Italiana. La materia principale è il finanziamento pubblico per certe attività
cinematografiche e sportive, ma al suo interno è stato trattato anche un argomento del tutto
eterogeneo, ovvero la distribuzione di opere coperte dal diritto d’autore anche attraverso
il cosiddetto peer-to-peer.
Prima del 22 marzo 2004, data dell’entrata in vigore di tale legge, non erano previste sanzioni per la condivisione di opere tutelate dal diritto d’autore qualora non vi fosse scopo
di lucro.
Però nel 2007 la III sezione penale della Cassazione, con la sentenza numero 149/2007,
ha accolto il ricorso presentato da due studenti torinesi, condannati in appello a una pena
detentiva, sostituita da un’ammenda, per avere “duplicato abusivamente e distribuito” programmi illecitamente duplicati, giochi per PSX, video CD e film, “immagazzinandoli” su
un server del tipo Ftp (File transfer protocol).
È bene precisare che in Italia chiunque effettui il download di un’opera protetta dal diritto
d’autore e la metta in condivisione commette un illecito penale (è l’art. 171, lett. a-bis, lda).
La norma è chiarissima: è punito chiunque lo fa “senza averne diritto, a qualsiasi scopo e
in qualsiasi forma”. La pena è una multa da 51 a 2.065 euro, ma è possibile evitare il processo penale pagando la metà del massimo previsto (quindi circa mille euro) e le spese del
procedimento. I programmi di p2p più diffusi mettono automaticamente in condivisione
un file mentre questo viene scaricato, per cui se viene effettuato il download di materiale
protetto da diritto d’autore mediante uno di essi si concretizza la fattispecie penale.
Inoltre, la violazione del suddetto articolo comporta altresì l’irrogazione di una sanzione
amministrativa pari al doppio del prezzo di mercato dell’opera o del supporto oggetto della
violazione (art. 174-bis lda), ma detta cifra non può essere mai inferiore a 103 euro.
In ambiente peer to peer
entrambi i computer possono
comportarsi sia come dei
server sia come dei client
figura 1
Sistema peer-to-peer
La legge n. 633 del 22 aprile 1941 afferma che tutti i brani coperti da copyright, qualunque
sia il loro formato (quindi anche MP3) e il mezzo di distribuzione (quindi anche Internet),
sono tutelati dalla legge sul diritto d’autore.
A partire da tale legge, con le sue successive integrazioni e modifiche relativamente alla
diffusione della musica via Internet (principalmente tramite MP3), si possono riassumere i
tratti principali della normativa come segue.
È permesso:
• scaricare software di lettura e codifica MP3;
• scaricare brani musicali diffusi dagli autori;
• creare MP3 per uso personale da un CD acquistato regolarmente dalla stessa persona;
• creare CD audio da file MP3 scaricati, a condizione che i file siano stati diffusi con l’autorizzazione dell’autore.
Non è permesso:
• diffondere gli MP3 prendendo il materiale dalla propria raccolta personale;
• più in generale diffondere MP3 senza esplicita autorizzazione dell’autore;
• scaricare file MP3 creati da altri utenti.
verifica le tue conoscenze
1 Come devono essere gestiti i dati personali dal punto
di vista informatico?
2 Che cosa si intende per diritto d’autore?
© Mondadori Education
251-272_U14.indd 267
3 Come funzionano i sistemi peer-to-peer?
4 In quali casi è possibile duplicare file MP3?
Lezione 4 Privacy e diritto d’autore
17
10/02/12 19.51
Altre norme
●
Sicurezza sul luogo di lavoro
La normativa al riguardo è contenuta nel decreto legislativo n. 81 del 9 aprile 2008 che
tratta dell’attuazione dell’articolo 1 della legge n. 123 del 3 agosto 2007, in materia di tutela
della salute e della sicurezza nei luoghi di lavoro. Si tratta della realizzazione di un Testo
Unico sulla Sicurezza che raccoglie varie leggi e norme create nel tempo. In particolare
viene ripreso il decreto legislativo n. 626 del 1° settembre 1994 che si occupava della prevenzione attraverso la formazione e l’informazione dei lavoratori stessi.
In particolare con questa legge vengono abrogati, poiché superati o incorporati le seguenti
leggi:
• DPR 27 aprile 1955, n. 547;
• DPR 7 gennaio 1956 n. 164;
• DPR 19 marzo 1956, n. 303 (eccetto l’articolo 64);
• DLGS 15 agosto 1991, n. 277;
• DLGS 19 settembre 1994, n. 626;
• DLGS 14 agosto 1996, n. 493;
• DLGS 14 agosto 1996, n. 494;
• DLGS 19 agosto 2005, n. 187;
• legge 5 agosto 2006, n. 248 (art. 36-bis, commi 1 e 2);
• legge 3 agosto 2007, n. 123 (articoli 2, 3, 5, 6 e 7);
• ogni altra disposizione legislativa e regolamentare in materia di sicurezza e salute sul
lavoro incompatibile con il Testo Unico.
Informazione ai lavoratori addetti ai videoterminali
Il decreto legislativo prescrive dei requisiti a cui devono corrispondere i posti di lavoro
muniti di videoterminale e alcune norme per la tutela della salute e del benessere di quanti
utilizzano professionalmente un videoterminale, in modo sistematico e abituale, almeno 4
ore al giorno per tutta la settimana. L’operatore deve, quindi, avere a disposizione un posto
di lavoro munito di videoterminale che risponde a requisiti ergonomici, antropometrici, di
accettabilità e di sicurezza.
Questi criteri possono essere derivati, per esempio, dalle norme dell’Ente Nazionale di
Unificazione (UNI) per gli arredi da ufficio, che permettono di fornire un prodotto adeguato
alla quasi totalità della popolazione impiegata. O, ancora, dalla norma UNI EN 29541-1994
che elenca i requisiti ergonomici ottimali del lavoro su videoterminale per garantire agli utenti
di operare con sicurezza e in condizioni di benessere.
In questa nota vengono fornite informazioni su quali rischi per la salute possono derivare
dall’attività che richiede l’uso continuativo, per quattro o più ore al giorno, di un videoterminale.
Poiché le condizioni ambientali, lo stato di benessere individuale e le richieste lavorative
possono cambiare di giorno in giorno, è consigliabile dedicare i primi minuti di ogni turno
di lavoro a scegliere la migliore disposizione del posto di lavoro munito di videoterminale:
in questa nota riportiamo gli accorgimenti suggeriti dai maggiori esperti di ergonomia.
Tra i principali argomenti trattati riguardanti i rischi ricordiamo:
• rischi da radiazioni (ionizzanti e non);
• rischi per la vista;
• rischi da postura;
• ambiente (rumore e microclima).
18
251-272_U14.indd 268
Altre norme
© Mondadori Education
10/02/12 19.51
Relativamente alla prevenzione vengono indicate norme su come regolare
• la sedia;
• lo schermo;
• l’illuminazione;
• il tempo di lavoro.
Rapporti con le pubbliche
amministrazioni
●
Si va sempre più diffondendo la possibilità di utilizzare i mezzi informatici per gestire le
informazioni fiscali e per comunicare con l’amministrazione pubblica. Molti adempimenti
fiscali sono già da tempo gestiti per via informatica, e ultimamente anche per via telematica:
si sta così realizzando lo scenario B2A (business to administration). Anche se in molti casi la
carta è ancora il supporto più usato (e a volte l’unico ammesso) si sta sempre più diffondendo la possibilità di far valere autonomamente l’informazione elettronica attraverso l’uso
della firma digitale per la certificazione delle dichiarazioni.
Autonomia amministrativa
La filosofia che guida l’utilizzo delle tecnologie informatiche per lo snellimento dei rapporti
tra cittadino e amministrazione si trova espresso nell’articolo 15 della legge n. 59 del 15
marzo 1997 sull’autonomia legislativa, nota come “Legge Bassanini”.
1. Al fine della realizzazione della rete unitaria delle pubbliche amministrazioni, l’Autorità
per l’informatica nella Pubblica Amministrazione è incaricata, per soddisfare esigenze di
coordinamento, qualificata competenza e indipendenza di giudizio, di stipulare, nel rispetto delle vigenti norme in materia di scelta del contraente, uno o più contratti-quadro con
cui i prestatori dei servizi delle forniture relativi al trasporto dei dati e all’interoperabilità
si impegnano a contrarre con le singole amministrazioni alle condizioni ivi stabilite. Le
amministrazioni di cui all’art. 1, comma 1, del decreto legislativo n. 39 del 12 febbraio
1993, in relazione alle proprie esigenze sono tenute a stipulare gli atti esecutivi dei predetti
contratti-quadro. Gli atti esecutivi non sono soggetti al parere dell’Autorità per l’informatica nella Pubblica Amministrazione e, ove previsto, del Consiglio di Stato. Le amministrazioni non ricomprese tra quelle di cui all’art. 1, comma 1, del decreto legislativo n. 39 del
12 febbraio 1993, hanno facoltà di stipulare gli atti esecutivi di cui al presente comma.
2. Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di
legge. I criteri e le modalità di applicazione del presente comma sono stabiliti, per la Pubblica
Amministrazione e per i privati, con specifici regolamenti da emanare entro centottanta giorni
dalla data di entrata in vigore della presente legge ai sensi dell’art. 17, comma 2, della legge n.
400 del 30 agosto 1988. Gli schemi dei regolamenti sono trasmessi alla Camera dei deputati e
al Senato della Repubblica per l’acquisizione del parere delle competenti Commissioni.
Uso di strumenti informatici
Il decreto del Presidente della Repubblica n. 513 del 10 novembre 1997 sancisce le modalità di utilizzo degli strumenti informatici nei rapporti con la Pubblica Amministrazione.
Si tratta del regolamento attuativo del comma 2 dell’articolo 15 visto precedentemente, e
reca criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con
strumenti informatici e telematici.
verifica le tue conoscenze
1 Che cosa prevede la norma sulla sicurezza
per i lavoratori informatici?
2 Che cosa va regolato per poter lavorare
correttamente?
© Mondadori Education
251-272_U14.indd 269
3 Che cosa è l’autonomia amministrativa?
4 Si possono usare strumenti informatici
nei rapporti con la pubblica amministrazione?
Fai degli esempi.
Lezione 5 Altre norme
19
10/02/12 19.51
sintesi
lezione
1
La sicurezza
I costi che le aziende spendono per l’informatica porta a considerare come importantissima la problematica della sicurezza. Si parla di sicurezza sia per quanto riguarda i sistemi (hardware e software) sia soprattutto per quanto riguarda i dati e le informazioni,
vero patrimonio aziendale.
lezione
2
Crittografia
Fin dai tempi più remoti è invalso l’utilizzo di messaggi cifrati per evitare che venissero letti da altri che si sono evoluti con il tempo permettendo di raggiungere attulmente
livelli di sicurezza veramente notevoli. Anche su Internet, per garantire la sicurezza dei
dati, vengono usate tecniche crittografiche.
lezione
3
Crimini informatici
Con lo sviluppo dell’informatica si evolvono anche i crimini e le attività illegali. Dalla
diffusione dei virus al furto e all’uso illegittimo del software. Anche le leggi si sono adeguate, recependo in molti casi le direttive europee.
lezione
4
Privacy e diritto d’autore
Un tema da sempre dibattuto è stato quello del diritto d’autore, sia per quanto riguarda i programmi, sia per quanto riguarda la copia e la diffusione di opere (libri, musica,
film) su supporti informatici. Anche in questo caso la diffusione di Internet e delle reti
ha amplificato il problema.
lezione
5
Altre norme
Tra importanti norme nel settore informatico vi sono quelle che riguardano la sicurezza
per i lavoratori del settore e quelle che riguardano i rapporti tra aziende e cittadini con
la Pubblica Amministrazione.
20
251-272_U14.indd 270
La sicurezza informatica
© Mondadori Education
10/02/12 19.51
domande per l’orale
La sicurezza informatica
unità
Ripasso MP3
1 Descrivi come funzionano i meccanismi del backup e del restore.
➞ L1
2 Descrivi il meccanismo di funzionamento della crittografia a chiave pubblica.
➞ L2
3 Come funziona un virus?
➞ L3
4 Quali sono i principali reati informatici?
➞ L3
5 Come viene applicata la norma sul diritto d’autore per le opere informatiche?
➞ L4
6 Quali sono le norme per prevenire i rischi da lavoro al computer?
➞ L5
© Mondadori Education
251-272_U14.indd 271
Unità 14 La sicurezza informatica
21
10/02/12 19.51
in English, please
Abstract
COMPUTER SECURITY
Security issues are an important aspect of software development and
information systems. These security issues affect hardware and software, as well
as data. With the development of the Internet the possibilities of fraudulent
access to data and information have multiplied, and thus there is a need to
develop procedures that provide protection against criminal activity.
The legislative bodies of the EU have issued several security regulations to be
implemented by the individual states. Many of these regulations already existed
in Italy, while others have been introduced only recently.
c Extended Data Processing
d Electronic Document Processing
Exercises
1 Using a password is the best way
to prevent intrusions
T
F
2 A computer program is covered by copyright
T
F
3 Security standards are in place for people
working with computers
T
F
4 EDP means:
a Enterprise Data Processing
b Electronic Data Processing
5 Which of these passwords provides the best security?
a Nicola
b Ax7B2
c CI17758
d A!xC23”
6 List the main professional operators involved with the
Internet.
7 When is copying software not illegal?
Glossary
Glossario
Anonymous: A term used in place of your name when
connecting to the Internet, when you wish to remain
incognito.
Backup: Indicates both the procedures and equipment
used in case of breakdown or emergency.
Encryption: Process that converts a text into code to
prevent it being easily understood by all. Encrypted text
can only be decrypted using a special key.
Freeware: A program that can be copied and distributed
freely without cost.
Gateway: A hardware device that allows two networks to
22
251-272_U14.indd 272
La sicurezza informatica
connect and exchange data.
Peer to Peer: Organization in which each computer on
the network can act as the server for some computers and
log on as a client to others.
Restore: Procedure to recover and reinstall previously
stored data on your computer.
Shareware: Software that may be distributed and used for
free for a certain amount of time, after which you must pay
the manufacturer to continue using it.
Userid: Abbreviation used to define the identity of the user
seeking access to the computer system.
© Mondadori Education
10/02/12 19.51