Reti scolastiche e sicurezza Dario Zucchini

Un PC in rete e non protetto per 3 settimane: Esperimento Microsoft (2005) 5 milioni di accessi non autorizzati 18 milioni di messaggi spam Pubblicità per siti web 13 aziende individuate

Informazioni sugli attacchi 86,9% virus 35,2% intrusioni nel sistema A seguito di attacchi subiti: 20,5% blocco dei sistemi informativi 14% rallentamento delle attività 6,6% arresto totale delle attività 13,1% la perdita di dati 9% danneggiamento o modifica Fonte uff. Stampa Microsoft

Affidabilità 1 ora (50 min) in laboratorio 8 minuti spostamento 2 minuti accensione dei pc 10 minuti per ripristinare 2-3 PC sabotati 5 minuti per riportare all’ordine i ragazzi 5 minuti per avviare il software 15 minuti di lezione 5 minuti spegnimento e spostamento

Definizione La "Sicurezza" è un processo che deve garantire: la riservatezza delle comunicazioni l'integrità di dati e applicazioni modificabili solo da coloro che ne hanno la titolarità la disponibilità continua del sistema

Proprietà Per mezzo delle reti locali si "trattano" dati che non vengono considerati pubblici Da proteggere per garantire le seguenti proprietà: confidenzialità: i dati devono poter essere esaminati solamente dagli addetti al loro trattamento; integrità: i dati non devono essere alterati, sia che risiedano stabilmente su un solo sistema, sia che vengano trasmessi.

Cosa proteggere e da chi Il Curioso: vuole capire che tipo di dati e di sistema avete il Malizioso: mettere fuori uso il vostro sistema o renderlo non operante la Concorrenza: interesse nei dati che avete sul vostro sistema lo Sfruttatore: sfruttare il vostro sistema attività illecite (spam) L’ Intrusore di alto profilo: usarlo come base di appoggio per penetrare in altri sistemi o rendersi anonimo Il dipendente o lo studente: modificare a suo vantaggio le informazioni Virus, Trojan, Worm, Malware, Spyware: software che agiscono per conto terzi

Hacker e Cracker Il volto degli autori dei reati informatici: hacker e cracker Il termine hacker viene utilizzato generalmente con un significato prettamente negativo, anche se il New Hacker's Dictionary di Eric S. Raymond definisce come hacker colui che ama esplorare le possibilità offerte da un sistema informativo e mette alla prova le proprie capacità. Cracker è invece colui che agisce con l'intenzione violare la legge allo scopo di causare danno.

Quadro normativo MIUR CM 114/2002: infrastrutture tecnologiche nelle scuole. “Dotare le scuole di connettività ad internet con ampiezza di banda adeguata ed estesa a tutto l'istituto, utilizzabile sia per le funzionalità amministrative che per le attività didattiche” CR 142/2003: linee d'indirizzo per una cultura d'uso corretto delle risorse tecnologiche e di rete nelle scuole. PUA – Politica Uso Accettabile della rete Garante Privacy DL 30/06/2003 n.196: Codice in materia di protezione dei dati personali Misure minime: firewall, antivirus, aggiornamenti, backup, credenziali DL 30/12/2004 n.314: “milleproroghe”.

Reti diverse, esigenze diverse Segreteria Riservatezza comunicazioni Integrità dati e applicazioni Disponibilità continua del sistema Rete Didattica Navigazione Protetta Disponibilità continua del sistema Integrità delle applicazioni

Reti Aziendali Prestazioni Sicurezza

Reti Scolastiche Prestazioni Sicurezza

Contesto paradossale Proviamo ad immaginare di trovarci, in qualità di spettatori invisibili, in una classe di scuola media superiore un po’ particolare… L’insegnante sta spiegando ai ragazzi come utilizzare in modo efficace i motori di ricerca, ma i suoi studenti (e non solo loro) sembrano interessati a tutt’altro: sono affascinati dalle nuove possibilità che Internet ha messo loro disposizione.

La compagna di banco Pierino con il suo nuovo cellulare scatta una fotografia a Francesca. La fotografia, scattata a scuola, viene poi inviata (upload), sempre da scuola, su un sito (con aggiunta di apprezzamenti). La famiglia sporge denuncia. Delitto non informatico, presumibilmente violazione della privacy L675 (tutela dell'immagine) e diffamazione art 595 cp.

Il sito degli Hacker Mirko, scarica da un sito un software ed esegue tentativi di Port Scanning - Brute Force - Denial of Service; incappa in un sito pubblico protetto da firewall; scatta la procedura di allarme e la denuncia (automatica nel caso di server pubblici); delitto informatico (accesso abusivo ad un sistema telematico ed informatico art 615 ter cp). Giorgio, sui canali IRC, trova le istruzioni per diffondere un virus e lo invia per scherzo via ; delitto informatico (diffusione di programmi diretti a danneggiare od interrompere un sistema informatico art 615 quinquies cp).

Download a tutti i costi Un gruppo di studenti usa eMule per scaricare delle musiche per il loro lavoro di storia; con lo stesso programma Katia scarica film in prima visione; anche in segreteria usano eMule con il quale scaricano e ascoltano musica; violazione legge sul diritto d’autore; comportamenti non conformi alla policy dell'ente; eMule contiene Spyware: Sicurezza compromessa per la rete della segreteria!!!

Il brutto voto Uno studente decide di vendicare un brutto voto; da scuola partono (attraverso internet) con apprezzamenti offensivi verso la casella di posta privata e/o la casella di posta della scuola; lo spamming o il mail bombing sono reati informatici; ingiuria art 594 cp. (comunicando con una persona); il cellulare della prof viene inserito in un messaggio su newsgroup a carattere pornografico, si scatena il finimondo e la sfortunata insegnante deve sporgere denuncia; delitto non informatico, presumibilmente diffamazione art 595 cp. (comunicando con più persone) e molestie art. 660 cp.

Giochi dei “Grandi” Un allievo si diverte un nel vedere le tracce di navigazione lasciate dai prof e dai tecnici: scopre che, quando i laboratori sono senza gli studenti, gli adulti navigano su siti “proibiti” In segreteria un dipendente durante l'orario d'ufficio gioca in borsa Un docente passa il tempo a organizzare viaggi e a vendere francobolli su ebay comportamenti non conformi alla policy dell'ente.

Il Conto È molto facile collezionare molti reati con poco sforzo: violazione della privacy e della tutela dell’immagine; diffamazione; accesso abusivo ad un sistema informatico e telematico; diffusione di programmi diretti a danneggiare od interrompere un sistema informatico; utilizzo non conforme alla policy della scuola; violazione della legge sul copyright.

Reati La normativa italiana, prendendo spunto da quella europea si è espressa riguardo a questa tematica prevedendo due tipologie di comportamenti: reati non informatici reati informatici Inoltre possiamo ancora individuare comportamenti non conformi alla politica di utilizzo della rete dell'ente.

Reati non informatici Sono da considerare reati non informatici tutti quei reati o violazioni del codice civile o penale in cui il ricorso alla tecnologia informatica non sia stato un fattore determinante per il compimento dell’atto: ingiuria; diffamazione; minacce e molestie; trattamento illecito dei dati personali; violazione della privacy; violazione dei diritti d’autore.

Reati informatici Sono da considerare reati informatici tutti quei reati o violazioni del codice civile o penale in cui il ricorso alla tecnologia informatica sia stato un fattore determinante per il compimento dell’atto: accesso abusivo ad un sistema informatico e telematico; diffusione di programmi diretti a danneggiare o interrompere un sistema; danneggiamento informatico; detenzione abusiva di codici di accesso a sistemi informatici o telematici; frode informatica.

Comportamenti non conformi Con l’espressione comportamenti non conformi si vogliono indicare tutti quei comportamenti o atteggiamenti informatici non “adatti “ai contesti lavorativi o di studio. Il fatto di visitare siti a sfondo pornografico (soggetti maggiorenni) utilizzando il proprio pc da casa non è reato e per questo non può essere punibile. Ma se questa navigazione viene fatta sul posto di lavoro o nell’aula computer della scuola potrebbe diventare un comportamento oggetto di contestazione.

Policy dell’Ente Il comportamento “non conforme” potrebbe non essere contestabile se il dipendente o l’alunno non hanno mai firmato un documento di divieto esplicito. Le policy non sono altro che regole condivise per l’uso della Rete che definiscono una linea di condotta precisa e chiara a cui tutti gli utenti devono attenersi. Il datore di lavoro può chiarire che il visitare siti pornografici o giocare in borsa sul posto di lavoro sono comportamenti non conformi alle finalità lavorative, non morali e non adatti al contesto. Vengono utilizzate a fini privati risorse (computer, collegamenti telefonici) di proprietà e pagati dall’azienda o dalla scuola.

Autenticazione “Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.”

Non cedibile a terzi “Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi”.

Privacy Ravvedimento operoso L'omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell'Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l'arresto sino a due anni o l'ammenda da 10 mila euro a 50 mila euro, e l'eventuale "ravvedimento operoso" di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l estinzione del reato).