¡Descarga Sicurezza e vulnerabilità della posta elettronica: phishing, spamming e altre minacce y más Apuntes en PDF de Informática Jurídica solo en Docsity!
La posta elettronica
Posta elettronica (electronic mail o e-mail). E’ un servizio di Internet che permette di scambiare messaggi fra gli utilizzatori della rete. Ciascun utente può avere uno o più caselle di posta elettronica, cui corrispondono indirizzi del tipo: nomeutente@dominio es. mario.rossi@studio.unibo.it L’accesso ad una casella di posta elettronica è controllata da un sistema di autenticazione (pwd o altro) Il servizio è asincrono, non garantisce la consegna al destinatario Come molti servizi di Internet è un sistema client server Esistono oggi diversi programmi per gestire la posta elettronica (programmi mailer).
Protocolli del servizio e-Mail Tradizionalmente si hanno due protocolli: SMTP (Symple mail transfer protocol) -trasferisce i messaggi da un host all’altro (centro di smistamento) porta 25 POP (Post Office Protocol) -trasferisce i messaggi al destinatario (postino) porta 110
L’evoluzione ha aggiunto nuovi protocolli IMAP – protocollo che consente la gestione della casella di posta in remoto. Si usa quando non si ha una postazione fissa per evitare di avere molte caselle di posta sparse in diversi PC HTTP – webmail: i messaggi risiedono sul web server e si utilizza il browser per leggerli; e pagine scaricate vengono memorizzate nella cache) MIME – protocollo sovrapposto all’SMTP per inviare contenuti o allegati multimediali
Come è fatto un messaggio Nel messaggio c’è sempre un header (intestazione) e una parte di testo che costituisce il vero messaggio l L’header contiene informazioni che sono impostate direttamente dall’utente e dal suo client di posta elettronica e altre informazioni di servizio, aggiunte dai programmi che manipolano il messaggio, preziose per comprendere il percorso fatto dal messaggio e tramite queste verificare se il messaggio è vero o falso
Header di un messaggio
Informazioni inserite dal mittente e dal suo programma di posta elettronica (sulla base delle configurazioni che sono state impostate) Subject: (Oggetto:) breve descrizione dell'oggetto del messaggio From: (Da:) indirizzo di posta elettronica del mittente To: (A:) indirizzi di posta elettronica dei destinatari principali Cc: indirizzi di posta elettronica dei destinatari in copia conoscenza Bcc: (Ccn:) indirizzi di posta elettronica dei destinatari in copia conoscenza nascosta (Blind Carbon Copy), cioè destinatari che riceveranno il messaggio ma il cui indirizzo non apparirà tra i destinatari Reply-to: (Rispondi a:) indirizzo di posta elettronica al quale devono essere inviate le eventuali risposte al messaggio, se diverso da quello del mittente. Date: (Data:) data e ora in cui il messaggio è stato scritto (viene preso dalla impostazioni del programma del mittente)
Utilities Il mittente del messaggio può essere facilmente contraffatto Alcuni strumenti per verificare la provenienza del messaggio: NSLookUP è uno strumento che consente di interrogare un server DNS per poter ottenere da un dominio il relativo indirizzo IP o nome host e viceversa WHOIS: un protocollo di rete che consente, mediante l'interrogazione di appositi database, di stabilire chi appartenga un determinato indirizzo IP, sulla base delle registrazioni, o uno specifico DNS Possono essere richiamati da linea di comando, oppure esistono numerosi strumenti web-based per eseguire le interrogazioni
Altre informazioni nell’header
Dkim-Signature e Received-Spf: controlli basati su SPF e DKIM, framework opzionali di sicurezza per combattere la contraffazione dei messaggi di posta. X-Ms-Exchange-Organization-Antispam- Report: campo relativo a controlli di antispam (e antivirus)
Principali vulnerabilità della posta elettronica
Contraffazione dell’intestazione dei messaggi (email spoofing) non esistono strumenti efficaci per controllare quali messaggi vengono consegnati nella casella di un utente (autorizzazione) non esiste autenticazione del mittente del messaggio Esecuzione di codice arbitrario inserito nel messaggio. Tali attacchi sono possibili solo se il messaggio è in formato HTML
Comportamenti scorretti con l’e-mail
flamming - usare toni polemici, critici, logorroici, acidi approfittando del mascheramento indotto dal mezzo tecnologico boombing - invio di una mole massiccia di posta ad un server o ad una casella e-mail provocando la caduta del servizio di e-mail o del server o della casella in oggetto invio di virus, worm, cavalli di troia, rootkit, malware inivio di e-mail con identificativi falsi - scrivere e-mail falsificando il proprio identificativo, indirizzo di mittente, IP phishing – metodo per estorcere credenziali direttamente alle vittime con il metodo dell’inganno l spamming – mail non desiderata
Phishing
Tecnica di Ingegneria Sociale che mira al furto di identità “identity theft” attuato mediante i più svariati mezzi (spesso tecnologici) per poter carpire dati riservati relativi alla identità elettronica dell’individuo e poterli utilizzarli per commettere illeciti o reati (spesso frodi informatiche)
Le fasi del phishing
Il malintenzionato spedisce un messaggio email che simula nella grafica e nel contenuto quello di un’istituzione nota al destinatario
- L’email contiene avvisi di problemi o situazioni particolari
- l’email invita il destinatario a seguire il link per risolvere il problema
- il link porta ad un sito civetta (copia identica del sito ufficiale) in cui il destinatario è chiamato ad inserire i propri dati
- i dati sono acquisiti dal phisher (fuorto dell’account!)
Come è sanzionato il phishing in EU
Convenzione europea sul cybercrimine, approvata dal Consiglio d’Europa che lo tratta come frode informatica ma solo quando il reato si è già consumato nella sua fase n. 4 Non esistono capi di accusa preventivi
Come è sanzionato il phishing in Italia.
Il reato di phishing non esiste in Italia come in Europa e in America. Esistono i reati commessi con le credenziali acquisite. CODICE PENALE Art. 640-ter Frode informatica modificato dal DL 14
con modalità assimilate alle prime (quali: e-mail, fax,sms, mms). Ai fini dell'applicazione del Codice, non è necessario un invio massiccio e/o simultaneo a una pluralità di indirizzi o numeri di telefono, poiché siffatta modalità rileva solo eventualmente per qualificare il trattamento come sistematico per la quantificazione delle sanzioni.
Diritto alla riservatezza/Diritto alla protezione dei dati personali
0 0 1 F
0 0 1 F
0 0 il diritto alla riservatezza (^) 1 F F 0 E 0 diritto “alla tutela di quelle situazioni personali o familiari svoltesi anche al di fuori del domicilio domestico che non hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze non giustificate da interessi pubblici prevalenti, anche se lecite e tali da non offendere l’onore e il decoro. Questo diritto non può essere negato ad alcuna categoria di persone, solo in considerazione della loro notorietà, salvo che un reale interesse sociale all’informazione o altre esigenze pubbliche lo esigano”. (Cass. 27 maggio 1975, n. 2129) il diritto alla protezione dei dati personali F 0E 0 «Chiunque ha diritto alla protezione dei dati personali che lo riguardano». (art. 1 Codice privacy)
Profilazione
Provvedimento Garante privacy 19 marzo 2015 “Linee guida in materia di trattamento di dati personali per profilazione on line”. In un numero considerevole di casi, i dati raccolti vengono utilizzati per finalità di profilazione, cioè per l'analisi e l'elaborazione di informazioni relative a utenti o clienti, al fine di suddividere gli interessati in "profili", ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici, con l'obiettivo di pervenire all'identificazione inequivoca del singolo utente (cd. single out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo. La menzionata categorizzazione è generalmente strumentale sia alla messa a disposizione di servizi sempre più mirati e conformati sulle specifiche esigenze dell'utente, sia alla fornitura di pubblicità personalizzata, che pertanto abbia un grado di probabilità di successo (ma, al tempo stesso, anche un livello di pervasività) molto più elevati rispetto a messaggi promozionali generici, sia all'analisi e monitoraggio dei comportamenti dei visitatori dei siti web, sia allo sfruttamento commerciale dei profili ottenuti, i quali possono avere un significativo valore di mercato in ragione della loro capacità di fornire indicazioni sulle propensioni al consumo di beni e servizi.
Finalità – art. 2
“Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.”
DEFINIZIONI
DATO PERSONALEF 0E 0 qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. DATI IDENTIFICATIVI F 0E 0 i dati che permettono l’identificazione diretta dell’interessato.
DATI SENSIBILI F 0E 0 i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; DATI GIUDIZIARI F 0E 0 i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; DATI ANONIMI F 0E 0 il dato che in origine, o a seguito di trattamento, non può più essere associato ad un interessato identificato o identificabile. TRATTAMENTO F 0E 0 qualunque operazione o complesso di operazioni effettuate, anche senza l’ausilio di strumenti elettronici, concernenti: COMUNICAZIONE F 0E 0 il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. DIFFUSIONE F 0E 0 il dare conoscenza di dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. INTERESSATO del trattamento F 0E 0 la persona fisica cui si riferiscono i dati personali. TITOLARE del trattamentoF 0E 0 la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisione in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. RESPONSABILE del trattamento F 0E 0 la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente, associazione o organismo preposti dal titolare al trattamento dei dati personali. INCARICATO del trattamento F 0E 0 è la persona fisica autorizzata dal titolare o dal responsabile a compiere le operazioni di trattamento.
Il Garante per la protezione dei dati personali
0 0 È un’autorità amministrativa indipendente (istituita nel 1996); (^) 0 1è organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica; I componenti: sono scelti tra esperti di riconosciuta competenza; durano in carica sette anni; eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità. 0 0 controlla se i trattamenti sono effettuati nel rispetto della disciplina applicabile; 0 0 (^) 0 1provvede sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano; 0 0 (^) 0 1promuove la sottoscrizione di codici deontologici; (^) 0 1segnala al Governo e al Parlamento l’opportunità di 0 0 interventi normativi; (^) 0 1esprime pareri;
L’informativa
L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati, oralmente o per iscritto, circa: le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati; l’ambito di diffusione dei dati medesimi; i diritti spettanti all’interessato; gli estremi identificativi del titolare e, se questo designato, del responsabile 18 I
I diritti dell’interessato
la conferma dell’esistenza o meno di dati personali che lo riguardano; la loro comunicazione in forma intellegibile; l’indicazione dell’origine dei dati, delle finalità e modalità di trattamento, della logica applicata in caso di trattamento effettuato con l’ausilio di mezzi elettronici, degli estremi identificativi del titolare, dei responsabili, dei soggetti o categorie di soggetti ai quali i dati possono essere comunicati. l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati, l’attestazione che le operazione di cui ai primi due punti sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccetto il caso in cui tale adempimento si rileva impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. L’interessato ha, infine, diritto di opporsi, in tutto o in parte: per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta per il compimento di ricerche di mercato o di comunicazione commerciale. L'interessato può presentare un'istanza al titolare o al responsabile (se designato), anche per il tramite di un incaricato del trattamento, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.). (Interpello preventivo) All'istanza il titolare o il responsabile (se designato), anche per il tramite di un incaricato, deve fornire idoneo riscontro, senza ritardo e non oltre: - 15 giorni dal suo ricevimento; - 30 giorni, se le operazioni necessarie per un integrale riscontro sono di particolare complessità. Se la risposta ad un'istanza non perviene nei tempi indicati o non è soddisfacente, l'interessato può far valere i propri diritti: - o dinanzi all'autorità giudiziaria (Tribunale civile) - o rivolgendosi al Garante per la protezione dei dati personali
Responsabilità civile
Ai sensi dell’art. 152 Codice tutte le controversie che riguardano l’applicazione del Codice privacy sono di competenza dell’autorità giudiziaria ordinaria. (tribunale monocratico) L’art. 15 del D.lgs. 196/2003 dispone l‘obbligo di risarcimento del danno a carico di chiunque cagioni un pregiudizio per effetto del trattamento dei dati personali di cui è responsabile , ai sensi dell’art. 2050 cod. civ. Il richiamo all’art. 2050 c.c. comporta che il danneggiato si può limitare ad indicare il danno subito, l’azione del danneggiante e il nesso causale, mentre quest’ultimo deve dimostrare, per liberarsi dalla responsabilità, di avere adottato tutte le misure idonee ad evitare il danno (non essendo sufficiente dimostrare di non aver violato norme di legge, prudenza e perizia).
Responsabilità Penale
L’art. 167 c. 1, sotto la rubrica “trattamento illecito di dati”, apre il capo II (dedicato agli illeciti penali) del titolo III (rubricato “sanzioni”) del d.lgs 196/2003. La norma prevede due distinte 0 0 condotte tipiche: (^) 0 1l’una, punita con la reclusione da sei a diciotto mesi, relativa al trattamento 0 0 illecito di dati personali da cui derivi nocumento al titolare dei dati stessi e (^) 0 1l’altra, punita con la reclusione da sei a ventiquattro mesi, consistente nella comunicazione o diffusione dei dati illecitamente trattati, indipendentemente dal potenziale nocumento che ne derivi a terzi.
Firma autografa e documento
La sottoscrizione autografa consiste nella scrittura a mano del nome e del cognome in calce ad un documento. Funzioni: • indicativa: consiste nell’identificare l’autore del documento • dichiarativa: prevede che la sottoscrizione imputi al titolare del nome la paternità del documento • probatoria: la sottoscrizione è un mezzo di prova
Le firme elettroniche La normativa prevede 4 tipi di firme elettroniche:
- Firma elettronica • Firma elettronica avanzata • Firma elettronica qualificata • Firma elettronica digitale
Il servizio fiduciario:
è un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi: creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure creazione, verifica e convalida di certificati di autenticazione di siti web; conservazione di firme, sigilli o certificati elettronici relativi a tali servizi; (art. 3, n. 16) Il servizio fiduciario qualificato: è un servizio fiduciario che soddisfa i requisiti pertinenti stabiliti nel presente regolamento e che viene fornito da un prestatore di servizi qualificato.
Certificato di firma elettronica
: è un attestato elettronico che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona. Certificato qualificato di firma elettronica: un certificato di firma elettronica che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato
Valore legale del documento informatico sottoscritto con firma elettronica
0 0 1 F l documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta, e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.
