Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Cybersecurity Investigations, Appunti di Sicurezza delle reti

Appunti della parte di Manno del corso di Cybercrime, Cybersecurity e Intelligence

Tipologia: Appunti

2023/2024

In vendita dal 19/03/2025

lexilux
lexilux 🇮🇹

5

(2)

7 documenti

1 / 32

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Indagini, investigazioni e cybersecurity Lezioni Manno
Lezione 1
Obiettivi:
- Delineare la fenomenologia del problema cyber ai giorni nostri, problema che implica una serie di
considerazioni sul piano della vulnerabilità dei rischi dei sistemi informatici. Quindi avere una
cognizione del mondo cyber e quali sono i rischi e le minacce che caratterizzano questo mondo.
- Delineare le vicende attuali dei giorni nostri anche dal punto di vista normativo e legislativo.
- Individuare quali sono gli strumenti dal punto di vista investigativo e dal punto di vista delle indagini
che in questo contesto sono ovviamente atipiche: entriamo in un campo in cui occorre affinare le
tecniche investigative.
La cornice normativa relativa al fenomeno è abbastanza “schizofrenica” perché molteplici situazioni e
panorami, sia nazionali che transazionali, sono state oggetto di vicende di cybersecurity. In questo contesto
è chiaro che la normativa ha risentito di una accelerazione. Partiremo dalle prime indicazione nazionali in
tema di criminalità informatica: Convenzione di Budapest e la Legge 18 marzo 2008 n. 48 fino ad arrivare
Codice dell’amministrazione digitale, individuato come supporto e garanzia dei dati e delle informazioni.
Accanto ad una cornice normativa accelerata, negli ultimi anni si sono formati una serie di organismi per
poter arginare i fenomeni di vulnerabilità dei sistemi informativi da minacce mediante malware. Oltre ai
presidi normativi, anche le forze di polizia si sono attrezzate per poter contrastare tutta la fenomenologia
dei crimini informatici per cui sia la polizia postale e delle comunicazioni sia i settori speciale dell’arma dei
carabinieri sia la Guardia di Finanza (Nucleo speciale tutela della privacy e frodi tecnologiche) hanno
formato il proprio personale per poter creare presidi di protezione cibernetica e di sicurezza informatica.
VIDEO - L’INTERNET DELLE COSE:
Il video parla delle opportunità che la tecnologia ci offre oggi: bisogna accettare le sfide della modernità. È
importante avere buon senso e sono importanti i comportamenti individuali di ognuno di noi. Un habitus
che dobbiamo avere è la cura e l’attenzione di come interagiamo anche utilizzando i supporti informatici.
Il problema della sicurezza informatica non è arginato alle solo forze di polizia ma anche alle aziende. È
importante che con l’evoluzione della tecnologia anche le aziende si dotino di protocolli di base, i quali
devono essere accettati in modo trasversale tra le diverse entità statali. Oltre ai protocolli è necessario
sviluppare maggiori controlli interni per garantire che i presidi di sicurezza dei prodotti che vengono
commercializzati siano sicuri anche dal punto di vista delle informazioni. Nel momento in cui c’è innovazione
e progresso tecnologico c’è bisogno di una maggiore coscienza non solo del consumatore ma anche a livello
aziendale. Tecnologia, progresso e sicurezza devono andare di pari passo.
RIFERIMENTI NORMARTIVI: Prima di addentrarci nella cybersecurity e in tutte le sue caratteristiche è
necessario dal punto di vista normativo parlare di sicurezza delle informazioni.
La cornice normativa a cui far riferimento è il DPCM 6 NOVEMBRE 2015 N.5 successivamente modificato
con altri interventi normativi nel 2017, il quale reca “Disposizioni per la tutela amministrativa del segreto
di stato e delle informazioni classificate e a diffusione esclusiva”. L’obiettivo di tale normativa è quello di
garantire la sicurezza delle informazioni classificate. Tale garanzia si persegue attraverso l’adozione di norme
e procedure, anche di tipo organizzativo, da parte delle singole amministrazioni in tre macrosettori: l’area
delle abilitazioni di sicurezza, l’area della sicurezza fisica, ovvero dei locali che devono custodire le
informazioni classificate e l’area della sicurezza dalle minacce esterne, ovvero dalla tecnologia delle reti,
delle informazioni e delle comunicazioni classificate. Il DPCM del 2015 è un provvedimento normativo
abbastanza agevole, ovviamente non classificato. Quando si parla di informazioni classificate facciamo
riferimento alle cosiddette classifiche di segretezza”, ovvero all’attribuire a un determinato documento o
informazione una classifica; un sigillo di segretezza che è parametrato in relazione alla sensibilità del
1
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20

Anteprima parziale del testo

Scarica Cybersecurity Investigations e più Appunti in PDF di Sicurezza delle reti solo su Docsity!

Indagini, investigazioni e cybersecurity – Lezioni Manno Lezione 1 Obiettivi:

  • Delineare la fenomenologia del problema cyber ai giorni nostri, problema che implica una serie di considerazioni sul piano della vulnerabilità dei rischi dei sistemi informatici. Quindi avere una cognizione del mondo cyber e quali sono i rischi e le minacce che caratterizzano questo mondo.
  • Delineare le vicende attuali dei giorni nostri anche dal punto di vista normativo e legislativo.
  • Individuare quali sono gli strumenti dal punto di vista investigativo e dal punto di vista delle indagini che in questo contesto sono ovviamente atipiche: entriamo in un campo in cui occorre affinare le tecniche investigative. La cornice normativa relativa al fenomeno è abbastanza “schizofrenica” perché molteplici situazioni e panorami, sia nazionali che transazionali, sono state oggetto di vicende di cybersecurity. In questo contesto è chiaro che la normativa ha risentito di una accelerazione. Partiremo dalle prime indicazione nazionali in tema di criminalità informatica: Convenzione di Budapest e la Legge 18 marzo 2008 n. 48 fino ad arrivare Codice dell’amministrazione digitale, individuato come supporto e garanzia dei dati e delle informazioni. Accanto ad una cornice normativa accelerata, negli ultimi anni si sono formati una serie di organismi per poter arginare i fenomeni di vulnerabilità dei sistemi informativi da minacce mediante malware. Oltre ai presidi normativi, anche le forze di polizia si sono attrezzate per poter contrastare tutta la fenomenologia dei crimini informatici per cui sia la polizia postale e delle comunicazioni sia i settori speciale dell’arma dei carabinieri sia la Guardia di Finanza (Nucleo speciale tutela della privacy e frodi tecnologiche) hanno formato il proprio personale per poter creare presidi di protezione cibernetica e di sicurezza informatica. VIDEO - L’INTERNET DELLE COSE: Il video parla delle opportunità che la tecnologia ci offre oggi: bisogna accettare le sfide della modernità. È importante avere buon senso e sono importanti i comportamenti individuali di ognuno di noi. Un habitus che dobbiamo avere è la cura e l’attenzione di come interagiamo anche utilizzando i supporti informatici. Il problema della sicurezza informatica non è arginato alle solo forze di polizia ma anche alle aziende. È importante che con l’evoluzione della tecnologia anche le aziende si dotino di protocolli di base, i quali devono essere accettati in modo trasversale tra le diverse entità statali. Oltre ai protocolli è necessario sviluppare maggiori controlli interni per garantire che i presidi di sicurezza dei prodotti che vengono commercializzati siano sicuri anche dal punto di vista delle informazioni. Nel momento in cui c’è innovazione e progresso tecnologico c’è bisogno di una maggiore coscienza non solo del consumatore ma anche a livello aziendale. Tecnologia, progresso e sicurezza devono andare di pari passo. RIFERIMENTI NORMARTIVI: Prima di addentrarci nella cybersecurity e in tutte le sue caratteristiche è necessario dal punto di vista normativo parlare di sicurezza delle informazioni. La cornice normativa a cui far riferimento è il DPCM 6 NOVEMBRE 2015 N.5 successivamente modificato con altri interventi normativi nel 2017, il quale reca “Disposizioni per la tutela amministrativa del segreto di stato e delle informazioni classificate e a diffusione esclusiva”. L’obiettivo di tale normativa è quello di garantire la sicurezza delle informazioni classificate. Tale garanzia si persegue attraverso l’adozione di norme e procedure, anche di tipo organizzativo, da parte delle singole amministrazioni in tre macrosettori: l’area delle abilitazioni di sicurezza, l’area della sicurezza fisica, ovvero dei locali che devono custodire le informazioni classificate e l’area della sicurezza dalle minacce esterne, ovvero dalla tecnologia delle reti, delle informazioni e delle comunicazioni classificate. Il DPCM del 2015 è un provvedimento normativo abbastanza agevole, ovviamente non classificato. Quando si parla di informazioni classificate facciamo riferimento alle cosiddette “classifiche di segretezza”, ovvero all’attribuire a un determinato documento o informazione una classifica; un sigillo di segretezza che è parametrato in relazione alla sensibilità del

contenuto all’interno di quel documento e l’ente originatore del documento è colui che stabilisce il grado di riservatezza di un documento, esso attribuisce una valenza (segretissimo, segreto, riservatissimo, riservato.) Il DPCM del 2015 è un provvedimento normativo abbastanza agevole e facilmente consultabile su internet, non è classificato. Su internet la documentazione classificata non può viaggiare. Non troveremo mai un documento classificato su internet perché è una rete geografica aperta e rende le informazioni vulnerabili. ART 4 -AUTORITA’ NAZIONALE PER LA SICUREZZA: L’autorità nazionale per la sicurezza fa capo al Presidente del Consiglio dei ministri che ha il compito di stabilire quali sono quelle informazioni/documenti che hanno tutela amministrativa rappresentata dal segreto di stato. Il Presidente del Consiglio dei ministri, inoltre, si avvale di una autorità delegata che è il sottosegretario di stato; quindi, si avvale di una serie di organismi che sono organi di staff. L’Autorità nazionale per la sicurezza: a) ha l’alta direzione delle attività concernenti la protezione e la tutela delle informazioni classificate a diffusione esclusiva o coperte da segreto di Stato trattate da qualunque soggetto, pubblico o privato, sottoposto alla sovranità nazionale, anche in attuazione di accordi internazionali e della normativa dell’Unione europea; b) adotta ogni disposizione ritenuta necessaria alla tutela e protezione delle informazioni, assicurando altresì l’armonizzazione delle disposizioni di tutela delle informazioni classificate a carattere settoriale con le disposizioni previste dal presente regolamento e dai provvedimenti attuativi o collegati; c) provvede ai sensi di legge, in caso di mancata conferma del segreto di Stato all’autorità giudiziaria, a declassificare gli atti, i documenti, le cose o i luoghi oggetto di classifica di segretezza, prima che siano messi a disposizione dell’autorità giudiziaria competente; g) promuove l’adozione, nel quadro delle normative in materia di sicurezza delle informazioni vigenti in ambito parlamentare e presso altri organi costituzionali e di rilievo costituzionale, di misure finalizzate a garantire livelli di protezione delle informazioni classificate e a diffusione esclusiva analoghi a quelli previsti dal presente regolamento e da organizzazioni internazionali di cui l’Italia è parte.

  1. Per l’esercizio delle sue funzioni, l’Autorità nazionale per la sicurezza si avvale dell’ Organizzazione nazionale per la sicurezza. ART 5 -Organizzazione nazionale per la sicurezza. 1. L’Organizzazione nazionale per la sicurezza si articola in: a) Organo nazionale di sicurezza; b) Ufficio centrale per la segretezza; c) Organi centrali di sicurezza; d) Organi periferici di sicurezza; e) Organizzazioni di sicurezza presso gli operatori economici. ART 6 -ORGANO NAZIONALE DI SICUREZZA: il Direttore generale del DIS, ovvero del Dipartimento delle informazioni per la sicurezza, quale Organo nazionale di sicurezza esercita le funzioni di direzione e coordinamento dell’Organizzazione nazionale per la sicurezza. Inoltre: a) assicura l’attuazione delle disposizioni regolamentari e di ogni altra disposizione emanata dall’Autorità nazionale per la sicurezza in materia di tutela amministrativa del segreto di Stato, delle classifiche di segretezza e della diffusione esclusiva, vigilando sulla loro corretta applicazione; b) emana le direttive e le disposizioni attuative in materia di tutela delle informazioni classificate o coperte da segreto di Stato o a diffusione esclusiva; c) adotta i provvedimenti concernenti l’Organizzazione nazionale per la sicurezza. ART 7- UFFICIO CENTRALE PER LA SEGRETEZZA (UCSe) : è l’articolazione del DIS. L’Ufficio centrale per la segretezza svolge funzioni di direzione e di coordinamento, di consulenza e di controllo sull’applicazione della normativa in materia di protezione e tutela delle informazioni classificate, a diffusione esclusiva e del segreto di Stato. ART 8 -ORGANI CENTRALI DI SICUREZZA (OCS): sono i referenti dell’Ufficio centrale per la segretezza, per cui tutte le amministrazioni dello Stato si devono dotare di un OCS. Si tratta di organi che hanno per l’area di loro stretta pertinenza e competenza la responsabilità della salvaguardia delle informazioni classificate del loro ministero, ente o delle varie forze armate. Nella Guardia di Finanza, ad esempio, l’OCS è individuato

comunicazioni. La classifica di segretezza può essere applicata ad un documento, una lettera o una missiva ma può essere applicata anche ad un’attività che avrà a sua volta anch’essa una classifica di segretezza. La classifica di segretezza è il livello attributo ad una informazione classificata in funzione del danno potenzialmente arrecabile agli interessi fondamentali del paese, nel caso in cui la stessa informazione fosse divulgata. Il legislatore ha voluto attribuire una tutela amministrativa anche nell’eventualità in cui l’informazione classificata potesse essere conosciuta da soggetti non autorizzati ad accedere a quell’informazione. Questo perché se l’informazione arrivasse in mani sbagliate potrebbe compromettere l’eventuale dispositivo di contrasto messo in piedi per poter contrastare il compimento di un reato. Ci potrebbe essere un potenziale danno la cui misurazione è codificata attraverso diversi gradi: Classifica di segretezza Entità del danno potenziale SEGRETISSIMO DANNO ECCEZIONALMENTE GRAVE SEGRETO DANNO GRAVE RISERVATISSIMO DANNO RISERVATO DANNO LIEVE Per danno si fa riferimento agli interessi fondamentali della Repubblica, cioè il danno che si ricava è potenzialmente pregiudizievole agli interessi della Repubblica e della collettività. (Esempio sequestro di Abu Omar). Il 90% della documentazione classificata che viaggia tra enti, ministeri e forze di polizie è di tipo riservato, soltanto una piccola percentuale (10%) è documentazione riservatissima, segreta e segretissima. Riducendo il numero della documentazione classificata si riduce anche la platea dei destinatari di riferimento mentre più alta è la classifica e maggiormente circoscritta è la platea dei soggetti che sono destinatari di un documento o atto. QUALIFICA DI SICUREZZA: Per qualifica di sicurezza si intende la sigla o altro termine convenzionale (es. NATO, UE, EURATOM ecc.) che, attribuita ad una informazione classificata o non classificata, indica l’Organizzazione internazionale o dell’Unione europea o il programma intergovernativo di appartenenza della stessa e il relativo circuito di divulgazione. Se un documento è riservato/UE significa che quel documento come circuito di divulgazione risulta essere riservato a tutti gli stati dell’Unione europea mentre lo stesso documento in America, che è fuori dall’Ue, può avere una diversa classifica di segretezza. Un documento potrebbe essere riservato per Italia e Francia e riservatissimo per l’America. Questo è anche il problema del disallineamento delle classifiche di segretezza dei documenti su cui i governi e le varie autorità competenti stanno lavorando per uniformare le informazioni. Le informazioni classificate sono tutte quelle informazioni alle quale viene attribuita una determinata classifica di segretezza -riversato, riservatissimo, segreto, segretissimo-. Accanto a queste ci sono le INFORMAZIONI NON CLASSIFICATE CONTROLLATE (INCC ) si intende tutte quelle informazioni che, sebbene non classificate, in ragione della sensibilità dei contenuti, richiedono comunque misure minime di protezione che ne definiscano l’esatto ambito di circolazione. Si tratta di informazioni che pur non essendo disciplinate secondo la normativa e non avendo le garanzie previste per la documentazione classificata, presentano delle misure minime di protezione in relazione alla divulgazione e quindi bisogna circoscrivere comunque i destinatari. NULLA OSTA DI SICUREZZA (NOS): Il nulla osta di sicurezza è una abilitazione che viene attribuita all’Ufficio Centrale della segretezza (UCSe), il quale disciplina l’istruttoria e il procedimento amministrativo per il rilascio e la revoca del NOS. In particolare, per accedere alle informazioni classificate come segretissimo, segreto e riservatissimo , è necessario essere in possesso di una specifica abilitazione denominata nulla osta di sicurezza.

ART 25 -PROCEDIMENTO PER IL RILASCIO DEL NOS:

  1. Il NOS viene rilasciato a persone fisiche maggiorenni all’esito di un procedimento di accertamento diretto ad escludere dalla possibilità di conoscere informazioni, documenti, atti, attività o cose protette ogni soggetto che non dia sicuro affidamento di scrupolosa fedeltà alle istituzioni della Repubblica, alla Costituzione ed ai suoi valori, nonché’ di rigoroso rispetto del segreto. 2. Il procedimento di rilascio del NOS è condotto con modalità e criteri che consentano l’acquisizione ed il vaglio di elementi, pertinenti e non eccedenti lo scopo, necessari ai fini della valutazione dell’affidabilità della persona. 3. Il soggetto pubblico o privato legittimato a chiedere il rilascio del NOS per l’impiego di una persona in attività che comportano la trattazione di informazioni protette dalle classifiche di cui al comma 1 ha l’obbligo di informare la persona interessata della necessità dell’accertamento, con esclusione del personale per il quale il rilascio del NOS costituisce condizione necessaria per l’espletamento del servizio istituzionale nel territorio nazionale ed all’estero. Il rifiuto dell’accertamento da parte dell’interessato comporta la rinuncia al NOS e all’esercizio delle funzioni per le quali esso è richiesto. per accedere alle informazioni classificate come riservato è necessario aver ricevuto da parte del responsabile per l’impiego l’istruzione alla sicurezza, che ha ad oggetto il complesso delle norme relative alla protezione delle informazioni classificate. In questo caso il soggetto che accede alle informazioni riservate deve aver avuto una istruzione da parte del suo dirigente o responsabile riguardo tutte le norme finalizzate alla protezione e tutti gli accorgimenti necessari per garantire la loro custodia. per accedere alle informazioni non classificate controllate (INCC) non è prevista nessuna forma particolare di autorizzazione, ma le stesse devono essere conosciute solo dal personale che ne ha necessità in funzione del proprio incarico. DECLASSIFICA AUTOMATICA LEGGE 124/2007, ART 42: Il comma 5 afferma che la classifica di segretezza è automaticamente declassificata a livello inferiore quando sono trascorsi 5 anni dalla data di apposizione. Decorso un ulteriore periodo di 5 anni cessa comunque ogni vincolo di classifica. Ad esempio, un documento riservatissimo dopo 5 anni diventa riservato, si abbassa di grado, e decorsi ulteriori 5 anni diviene una comune carta ordinaria: non ha più gli stessi oneri di custodia, gestione e di conservazione. Il comma 6 afferma che la declassificazione automatica non si applica quando, con provvedimento motivato, i termini e l’efficacia del vincolo sono prorogati dal soggetto che ha proceduto alla classifica o, nel caso di proroga oltre il termine di 15 anni, dal Presidente del Consiglio dei ministri. Quindi se un documento è classificato come segretissimo, segreto, riservatissimo o riservato, rimane tale per tutta la vita? No. Il legislatore ha disciplinato la declassifica automatica sia perché altrimenti avremmo gli armadi, le caserme e uffici pieni di carta e quindi anche per alleggerire il carico sia perché trascorsi degli anni il documento perde di valore. Lezione 2 Oggi chiudiamo un primo ciclo attinente alla sicurezza degli atti, delle notizie e delle informazioni. Abbiamo già accennato alcuni elementi cardine del DPCM n. 5 del 2015 - “ Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva ” - ora proveremo ad analizzarlo. Innanzitutto, l’obiettivo è quello di garantire la sicurezza delle informazioni attraverso tre aree di riferimento:
    1. l’area delle abilitazioni di sicurezza ogni amministrazione, ogni ente si avvale delle procedure sul piano organizzativo; parliamo quindi di personale dotato di un nulla osta sulla sicurezza che consente di trattare informazioni, documenti, notizie, atti, materiali di tipo riservatissimo, segreto e segretissimo;

caserme di polizia, perché conosciute solo da una ristretta cerchia di persone, le quali però non sono coperte da segreto (la notizia non deve rimanere occulta), ma da riservatezza (quindi la notizia è conosciuta dagli operatori di polizia). Un’altra fattispecie da ricordare è l’ art. 257 c.p. spionaggio politico o militare “chiunque si procura, a scopo di spionaggio politico o militare, notizie che, nell'interesse della sicurezza dello Stato o, comunque, nell'interesse politico, interno o internazionale, dello Stato, debbono rimanere segrete è punito con la reclusione non inferiore a 15 anni”. Abbiamo poi l’ art. 258 c.p. spionaggio di notizie di cui è stata vietata la divulgazione “chiunque si procura, a scopo di spionaggio politico o militare, notizie di cui l'Autorità competente ha vietato la divulgazione è punito con la reclusione non inferiore a 10 anni”; inoltre “si applica l'ergastolo se il fatto è commesso nell'interesse di uno Stato in guerra con lo Stato italiano”. Le notizie riservate si possono chiedere? Si, sulla documentazione classificata però anche l’autorità giudiziaria deve seguire le procedure previste, così come qualsiasi altro ente che ha un interesse nell’acquisire una determinata informazione. Per esempio, se arriva un esposto alla guardia di finanza nell’ambito di una gara di appalto e si presume che siano state pagate delle tangenti per pilotare tale gara, la procura della Repubblica emette, a seguito di preliminari accertamenti da parte della guardia di finanza e necessitando della documentazione contrattualistica, un decreto di perquisizione e sequestro. Nel momento in cui la guardia di finanza esegue il sequestro potrebbe accorgersi che i contratti hanno una classifica e che sono quindi documenti riservatissimi (questo perché si tratta, magari, di appalti che hanno come oggetto beni militari). A questo punto, per ottemperare all’esecuzione del provvedimento dell’autorità giudiziaria, bisogna chiedere a chi ha originato quel documento (ente originatore) di declassificarlo. Quale sarà quindi l’accortezza della polizia giudiziaria? Quella sì di eseguire il provvedimento, ma di cautelare in una busta sigillata tutta la documentazione e richiedere all’ente originatore di declassificarla da riservatissima a ordinaria. Successivamente verrà poi analizzato il contenuto del contratto. Le altre fattispecie da tenere a mente sono: Art. 259 c.p. agevolazione colposa “quando l'esecuzione di alcuno dei delitti preveduti dagli articoli finora esaminati è stata resa possibile, o soltanto agevolata, per colpa di chi era in possesso dell'atto o documento o a cognizione della notizia, questi è punito con la reclusione da 1 a 5 anni”. Art. 261 c.p. rivelazione di segreti di Stato “chiunque rivela taluna delle notizie di carattere segreto indicate nell'articolo 256 è punito con la reclusione non inferiore a 5 anni. Se il fatto è commesso in tempo di guerra, ovvero ha compromesso la preparazione o l'efficienza bellica dello Stato o le operazioni militari, la pena della reclusione non può essere inferiore a 10 anni”; inoltre “se il colpevole ha agito a scopo di spionaggio politico o militare, si applica la pena dell'ergastolo”. Art. 262 c.p. rivelazione di notizia di cui sia stata vietata la divulgazione “chiunque rivela notizie, delle quali l'Autorità competente ha vietato la divulgazione, è punito con la reclusione non inferiore a 3 anni. Se il fatto è commesso in tempo di guerra, ovvero ha compromesso la preparazione o l'efficienza bellica dello Stato o le operazioni militari, la pena è della reclusione non inferiore a 10 anni”; inoltre “se il colpevole ha agito a scopo di spionaggio politico o militare, si applica la reclusione non inferiore a 15 anni”. Art. 263 c.p. utilizzazione dei segreti di Stato “il pubblico ufficiale o l'incaricato di un pubblico servizio, che impiega a proprio o altrui profitto invenzioni o scoperte scientifiche o nuove applicazioni industriali che egli conosca per ragione del suo ufficio o servizio, e che debbano rimanere segrete nell'interesse della sicurezza dello Stato, è punito con la reclusione non inferiore a 5 anni e con la multa non inferiore a euro 1.032”. Iniziamo ora a parlare del CYBERSPAZIO e degli attacchi cyber. Il problema principale è stato quello di capire e garantire i termini della tutela della sovranità digitale, ovvero individuare i responsabili e un’eventuale

legislazione in materia. Ovviamente le nuove tecnologie informatiche hanno contribuito allo sviluppo di una società digitale, ma allo stesso tempo hanno contribuito al significativo aumento della criminalità informatica. Questo ha fatto sì che alla sicurezza cibernetica fosse conferito un ruolo di primo ordine nel PNR (Programma Nazionale per la Ricerca). Tale scelta mira sostanzialmente a realizzare un livello di sicurezza delle reti dei sistemi informativi in linea con l’obbiettivo perseguito dall’Unione Europea tramite il Cyber Security Act, ovvero il Regolamento 2019/881 che ha costituito l’agenzia dell’unione europea per la cyber sicurezza (ENISA). Un ulteriore problema è stato quello relativo alla condivisione di una strategia uniforme in materia. Ad ogni modo, nonostante tali iniziative a livello europeo, il panorama internazionale è stato caratterizzato da numerose attività ostili ed offensive nel mondo digitale, ponendo una serie di problemi relativi alla gestione e repressione del rischio da parte delle autorità statali. Ricordiamo come il 1° agosto 2021 un gruppo di hackers russi (“Sprite Spider”) si è infiltrato nel sistema informatico del dipartimento salute della Regione Lazio bloccando il programma di vaccinazione da Covid e quindi subordinando la restituzione dei dati sanitari criptati al pagamento di un riscatto. Qui parliamo di Ransomware attività illecita di criptazione di dati contenuti in un server la cui decriptazione è condizionata al pagamento di un riscatto (tramite bitcoin). La maggior parte delle attività ostili che stanno caratterizzando il panorama della cyber sicurezza è caratterizzata proprio da questa tipologia di attività. Tra gli altri attacchi cyber troviamo l’attacco “Dark Side” (da parte di uno storico gruppo di hacker russi) contro gli Stati Uniti che ha portato al blocco dei rifornimenti di gasolio e al relativo aumento del prezzo. Stesso attacco è avvenuto nell’Irlanda del nord per mano di un gruppo criminale, sempre di origine russa, chiamato “Wizard Spider” che ha causato il blocco del servizio sanitario nazionale irlandese. Altro caso è l’attacco alla centrale nucleare iraniana di Natanz mediante un virus informatico conosciuto con il termine “Stuxnet”. Tutti questi esempi presentano un elemento comune, hanno infatti messo in luce la vulnerabilità tecnologica di aziende strategiche impegnate nell’erogazione di servizi essenziali attraverso il cyberspazio. È quindi emersa la fragilità dei loro sistemi informatici. Qui arriviamo alla definizione di cyberspazio. Quest’ultimo può essere definito come il luogo virtuale composto dall’insieme delle infrastrutture informatiche interconnesse a livello globale che si caratterizza per l’assenza di confini fisici. Attualmente, quindi, il cyberspazio costituisce il quinto dominio della difesa militare, insieme a quello terrestre, marittimo, aereo e spaziale. Fino a qualche tempo fa noi eravamo a conoscenza soltanto di 4 tipi di difesa da parte dello Stato (terrestre, marittima, aerea e spaziale), ora si parla addirittura di cyberspazio. Qui diventa necessario sottolineare come ai giorni nostri questo elemento sia diventato il “non luogo” privilegiato per le attività ostili: ovvero, se si ha la necessità da parte di un soggetto di arrecare un danno ad uno Stato si predilige il cyberspazio. Naturalmente, bisogna poi individuare chi si cela dietro a queste azioni criminali. È infatti interessante osservare come le organizzazioni criminali impegnate in tali attività agiscano indirettamente, mettendo quindi a disposizione le loro piattaforme digitali reperibili nel dark web, o direttamente, inserendo dei malware o dei trojans, strumenti atti a criptare, distruggere ed esfiltrare informazioni dai database delle diverse banche dati e causando danni rilevanti alla società (o ente, agenzia etc.) interessata. Tra le attività ostili delle organizzazioni criminali si annoverano anche le attività di cyberspionaggio industriale e quelle relative al settore militare, minando quindi la difesa di un determinato paese. A queste categorie dirette o indirette di ostilità se ne aggiungono altre due: ● CYBERTERRORISMO consiste nello svolgimento, sul piano virtuale, di opere di proselitismo, radicalizzazione e autofinanziamento (che ha portato sostanzialmente allo sviluppo del cyber Califfato, della cyber Jihad); ● CYBERINTERFERENZE operazioni finalizzate a manipolare o diffondere notizie false per orientare l’opinione pubblica e i processi elettorali nel web. Sostanzialmente, le famose fake news. Il loro obiettivo è quindi quello di aumentare l’instabilità del paese colpito e di creare tensioni

Qual è l’elemento comune a tutte queste organizzazioni? Anche l’ONU con i suoi principi ha stabilito come non vi siano dubbi sul fatto che quando si verifica un attacco cyber che esprime un potenziale altamente ostile e distruttivo nei confronti dello Stato attaccato, quest’ultimo possa agire per legittima difesa. Quindi anche l’attacco cyber è stato ricompreso tra gli elementi di legittima difesa previsti dall’art. 51 della Carta dell’ONU. Accanto all’Onu anche la Nato si è espressa con le medesime indicazioni e ha riconosciuto che al verificarsi di tali ipotesi si può ricorrere ad una capacità difensiva da parte dello Stato attaccato. Come accennato in precedenza, un’altra problematica è quella relativa all’attribuzione giuridica della minaccia che proviene dalle organizzazioni criminali. Un attacco informatico, che possa essere attribuito a hackers di un certo paese, comporta ed implica degli accertamenti di tipo investigativo e di natura tecnica (es. digital forensics). Il problema attualmente esiste, soprattutto in riferimento a quelle organizzazioni in grado di occultare sia i dati che indicano la provenienza della minaccia che il link di collegamento tra l’organizzazione criminale e lo Stato che l’ha eventualmente supportata. Quando si ha un’attività ostile, dunque, non si esclude che gli Stati siano responsabili di quanto accade nell’ambito del territorio sottoposto alla loro giurisdizione. Ad ogni modo, comunque, tutti gli stati sono tenuti a prevenire le attività ostili che vengono predisposte o eseguite sul loro territorio. Nel caso in cui sia certo che l’attacco parta da un determinato Stato allora le autorità statali (del paese colpito) dovranno adottare tutte quelle misure necessarie a bloccare o quantomeno limitarne gli effetti. L’unione Europea per rispondere al problema della cyber sicurezza ha istituito, come già affermato, l’agenzia dell’Unione Europea per la cyber sicurezza - ENISA - alla quale spetta la gestione delle minacce cibernetiche e la procedura di certificazione dei sistemi informatici e dei prodotti in ambito europeo. Tra gli obiettivi perseguiti dall’UE ve ne è uno fondamentale: tutti gli Stati membri devono disporre di strumenti per partecipare alle attività di resilienza, deterrenza e risposta ai cyberattacchi. Nell’ambito di tali iniziative si inserisce l’Italia che, come visto nel PNR, ha individuato la creazione di un’apposita agenzia per la cyber sicurezza. Accanto all’ENISA vi è un ulteriore organismo, l’agenzia europea di difesa, che ha l’obiettivo di creare una forza militare di cyber difesa e di garantire lo sviluppo di tutto ciò che è relativo alla tecnologia cyber. Sul piano dell’attività investigativa abbiamo poi l’Europol. Lezione 3 Oggi daremo una più ampia definizione di cyberspazio e vedremo quali possono essere le diverse tipologie di minacce informatiche, quali sono i cyber crimes e quali sono le diverse tecniche utilizzate dagli “attaccanti” nelle loro attività. Definiremo le minacce che vengono poste in essere, in particolare sulle attività di social engineering, i malware e i vari tipi di attori che esercitano tutte queste tipologie di minacce e vedremo anche le motivazioni alla base degli attacchi informatici e le tipologie di attacchi informatici. CYBER SPAZIO: Il cyber spazio viene spesso utilizzato come sinonimo di Internet però è chiaro che tra i due termini vi sia una sostanziale differenza, in quanto le due realtà sottendono a due entità diverse:

  • Internet rappresenta una ben precisa infrastruttura tecnologica fatta di oggetti materialmente esistenti
  • il cyber spazio rappresenta la dimensione, cioè lo spazio che promana da quella infrastruttura quando viene utilizzata per diffondere o scambiare informazioni. Il cyber spazio è, quindi, un sistema di cui fanno parte milioni di computer interconnessi tra loro nelle più eterogenee modalità ed ognuno di essi è composto da diversi programmi che interagiscono tra di loro. Il cyber spazio è utilizzato e sviluppato in modo imprevedibile da parte di coloro che lo hanno progettato, possiede delle cosiddette “proprietà emergenti”, non originariamente concepite come potenzialità del sistema. Si tratta di proprietà emergenti quindi non desiderabili in principio e che sono costituite sia dalla

vulnerabilità che dai bug, cioè disfunzioni tipiche dei sistemi informatici che non portano a delle vere e proprie interruzioni di servizio ma che a volte, anche in maniera inspiegabile, inducono gli stessi sistemi informatici a dei comportamenti indesiderati o imprevisti e in genere anche dannosi. Queste proprietà emergenti portano a conseguenze sulla sicurezza stessa del sistema inteso come cyber spazio, sistema inteso come coloro che lo hanno in principio concepito e originato. La conseguenza di queste proprietà emergenti è quella delle difficoltà di rendere lo stesso sistema sicuro; quindi, la sicurezza è una delle priorità del cyber spazio. Uno dei problemi della sicurezza del cyber spazio, dal punto di vista normativo, era già stato particolarmente discusso nei primi anni del duemila. Infatti nel 2002 l’Assemblea Generale dell’ONU con il Regolamento 239/57/2001 aveva enunciato la necessità di creare una cultura globale di sicurezza sul cyber spazio. in questo senso la cyber sicurezza, così come anche definita dall’ONU nel 2002, non può essere considerata una entità a sé stante ma un’entità che consta di una vasta gamma di misure e contromisure. La cyber sicurezza è una continua ricerca di un compromesso tra il valore di ciò che deve essere protetto, il livello di protezione auspicabile e i costi da sostenere sia in termini di misure da implementare sia in termini di usabilità delle risorse da proteggere. La caratteristica tipica della cyber sicurezza è quella della gestione del rischio. Il rischio, quindi, nell’ambito della cyber sicurezza, è funzione di tre variabili: 1- Probabilità che esista una minaccia 2- Probabilità che vi siano vulnerabilità nel sistema informatico 3- Potenziale impatto derivante dal concretizzarsi dell’evento dannoso. La cyber minaccia è invece una terminologia piuttosto vaga. Essa implica un utilizzo malevolo delle tecnologie e delle realtà che appartengono al cyber spazio sia come strumenti di minaccia sia come obiettivi. Gli attori che operano all’interno del cyber spazio sono generalmente attori umani (criminali, terroristi, organizzazioni ma anche nazioni o autorità non governative). Quindi le minacce informatiche e gli attacchi informatici possono essere definiti come delle azioni dirette contro reti o sistemi informatici per interrompere le operazioni, assumerne il controllo e distruggerne o corromperne i dati inseriti (in elaborazione o memorizzati). In altri termini la minaccia informativa o l’attacco informatico è caratterizzato da un’azione che mira a compromettere una triade del sistema e cioè la riservatezza , l ’integrità e la disponibilità dell’informazione e dei sistemi che la gestiscono in formato digitale. Un attacco informatico può essere di diverse tipologie a seconda delle caratteristiche e dalla vulnerabilità dei sistemi informatici così come possono essere diverse le armi che vengono utilizzate, le azioni e le minacce per finalizzare un attacco. Sulla base delle analisi condotte un attacco informatico si suddivide in tre metodi: 1- ATTACCO FISICO: attacco più semplice e noto. Viene effettuato con l’uso di armi convenzionali contro la stessa infrastruttura che ospita i sistemi informatici o contro le stesse linee di trasmissione che assoggettano i sistemi informatici. È un attacco diretto contro il requisito della disponibilità delle informazioni e dei sistemi che le gestiscono. 2- ATTACCO ELETTRONICO: alla base di questo tipo di attacco c’è l’uso delle cosiddette Direct Energy Weapons , cioè armi in grado di emettere fasci di energia elettromagnetica o in grado di emettere degli impulsi elettromagnetici. Lo scopo è quello di sovraccaricare e rendere inefficienti i circuiti elettronici degli stessi sistemi, rendendo inaccessibile ed inutilizzabile il sistema informatico. Questo tipo di attacco mira a compromettere il requisito della disponibilità del sistema informatico e viene utilizzato anche attraverso l’uso di un malware, cioè di una inoculazione all’interno del sistema informatico di un codice malevolo, con il quale si vanno a ledere la riservatezza e l’integrità dell’informazione in modo da comprometterle. 3- CYBER ATTACCO : è un attacco mirato alla compromissione di uno o più requisiti della sicurezza informatica ed è rivolto contro computer in rete quindi una rete geografica di computer o contro la

competitivo. In questo periodo messo in atto dalle grandi case farmaceutiche in quanto i profitti dietro la creazione di vaccini ha moltiplicato l’attività di spionaggio economico ed industriale per acquisire un vantaggio competitivo nell’individuazione dei brevetti più performanti per arginare il Covid. STATI OSTILI SERVIZI DI INTELLIGENCE Effettuano attacchi informatici per rivalità strategica. Ad esempio, acquisizione di informazioni (furto d’identità ed accessi non autorizzati) da parte dei servizi di intelligence dei vari stati stranieri Information operations INSIDERS, DIPENDENTI, FORNITORI DI BENI E SERVIZI Effettuano attacchi informatici per curiosità, ego, vendetta, intelligence, arricchimento illecito, errori non intenzionali ed omissioni, inserimento di dati errati-sabotaggi ed errori di programmazione Computer abuse, frode o furto, inserimento di dati errati o falsi intercettazione, malware, sabotaggio, accesso non autorizzato, social engineering Questa è la mappa che dobbiamo tener presente quando dobbiamo catalogare come attacchi informatici i cosiddetti “attaccanti”, quindi gli attori, quali sono le motivazioni che portano gli attaccanti a realizzare le loro azioni e quali sono le modalità di svolgimento dell’attacco stesso. I cyber attacchi sfruttano qualsiasi forma di debolezza o vulnerabilità sia tecnica che umana: TECNICAsistema informatico che viene messo in sofferenza UMANAquando c’è anche un comportamento proattivo dell’utente che subisce l’attacco informatico. Quando i cyber attacchi sono favoriti dalle vulnerabilità tecniche vengono definiti attacchi tecnici mentre quando fanno leva sul fattore umano rientrano nella categoria del social engineering. SOCIAL ENGINEERING : Nella cyber sicurezza l’espressione “Social Engineering” indica un tipo di attacco che non si avvale di tecniche informatiche per essere portato a compimento ma consiste in una interazione diretta tra individui che è rivolta ad indurre chi ne è vittima ad infrangere le normali cautele sia di norme che di procedure di sicurezza; quindi, è l’arte di utilizzare il comportamento umano per violare la cyber sicurezza senza che la vittima realizzi di essere stata manipolata. Fino a quando l’utente non si rende conto di essere la vittima compie delle azioni favorevoli e compartecipi all’attacco stesso. (Ad esempio indurre qualcuno a cedere le proprie credenziali poiché, al cedere delle stesse credenziali, potrà avere un arricchimento economico in relazione ad una serie di step successivi ai quali lo stesso dovrà ottemperare). Per carpire la vulnerabilità del soggetto, i casi di social engineering sono anticipati da un’analisi dei comportamenti del soggetto da “attaccare” o da cui carpire le stesse informazioni, ad esempio l’analisi delle abitudini del soggetto attaccato (ad esempio il soggetto utilizza spesso gli stessi siti di compravendita, siti di acquisto). Il fatto di mappare una certa categoria di utenti con determinate abitudini comportamentali, come ad esempio l’uso dei soliti siti internet, può essere un campanello d’allarme da parte di chi analizza. La maggior parte degli attaccanti sono hacker appartenenti alla prima categoria (cfr. tabella) i quali, studiano la vittima per avere un arricchimento: il furto d’identità, il carpire le informazioni personali, è prioritario al successivo arricchimento.

PHISHING: Un’altra forma di attacco informatico è rivolta al mercato di massa dei consumatori in quanto ad oggi i principali attacchi sono nel settore dei consumatori. L’induzione a cedere informazioni personali con l’inganno è sempre stato l’oggetto dei gruppi criminali, soprattutto con l’affermarsi delle transazioni elettroniche. Basta pensare al fatto che negli ultimi anni utilizziamo sempre di più pagamenti online, carte di credito, carte di debito per poter effettuare pagamenti. Proprio per questo gli stessi istituti di credito cercano di migliorare i sistemi di crittografia di sicurezza per evitare l’esfiltrazione delle informazioni private. Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali e sensibili, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. È la pratica di predisporre e spedire falsi messaggi di posta elettronica scritti per apparire come provenienti da entità e organizzazioni affidabili e attendibili (attività finanziarie, organizzazioni, banche, assicurazioni) solo ed esclusivamente per lo scopo di indurre il destinatario a rivelare le proprie informazioni sensibili. Il termine “phishing” descrive qualsiasi tipo di acquisizione fraudolenta delle informazioni sensibili dietro un inganno carpendo la fiducia dell’utente, il quale ha il reale bisogno di ricevere quelle stesse informazioni. Il phisher utilizza come metodo principale quello di inviare una grandissima quantità di falsi messaggi di posta elettronica al maggior numero di utenti. Aprire determinati messaggi molte volte implica l’accettazione di un virus che si inserisce nel nostro account con l’obiettivo principale di carpirne le informazioni che sono al suo interno. Spesso le tecniche di phishing sono ben strutturate perché gli attaccanti, i phisher, si palesano e sì spacciano per organizzazioni conosciute e affidabili (ad esempio vengono usati loghi e nomi di banche, di assicurazioni o di aziende finanziarie che garantiscono eventuali profitti o rendimenti per investimenti. Si tratta di messaggi scritti provenienti da banche o altre organizzazioni attendibili che hanno lo scopo di indurre il destinatario a rivelare informazioni personali sensibili (carte di credito, password, account vari). Ritornando alla definizione di vulnerabilità, in questo caso la vulnerabilità è proattiva nei confronti di un comportamento umano e cioè quello dell’utente orientato allo scoprire il contenuto del messaggio. In questo caso la vittima è ignara di favorire l’attacco informatico attraverso la ricezione e l’accettazione di uno spam o messaggio. Inoltre i messaggi a volte sono delle richieste di azioni urgenti nei confronti del destinatario per poter proteggere, paradossalmente, le informazioni riservate. Ad esempio, si è invitati ad aprire il link per proteggere il proprio account da eventuali attività malevoli; quindi, l’utente ha la necessità di attivare determinate contromisure perché è stato oggetto di un attacco quando in realtà è quello l’attacco stesso. Il messaggio consiste in un link che poi riconduce l’utente ad una pagina web che simula il sito pubblico dell’organizzazione presa di mira. È possibile distinguere una mail proveniente da una organizzazione affidabile da una mail falsa? Non ci sono delle indicazioni stratificate che individuano un sito attendibile o meno ma quello che possiamo fare è analizzare quali sono i messaggi/mail che una persona riceve quotidianamente o frequentemente. Ad esempio se la Deutsche Bank non ti ha mai inviato un’e-mail dove richiede di verificare le tue credenziali o la password di accesso, è nella normale diligenza dell’utente contattare la banca prima di dare le sue credenziali o aderire ad un’eventuale richiesta; quindi l’utente stesso diventa un analista: cliccando l’indirizzo/l’URL su Google, potresti già verificare che quello stesso indirizzo è uno spam e quindi sei oggetto di una truffa. Non c’è un catalogo degli indirizzi URL che ci dice quale indirizzo sia malevolo e quale affidabile. Spesso possiamo notare questo tipo di situazioni quando navighiamo su Internet e accettiamo i cookie o quando ci vengono indirizzati messaggi di pubblicità non graditi, questo perché magari abbiamo visualizzato siti non sicuri o comunque il sistema informatico memorizza le abitudini dell’utente. Ad esempio se cerchiamo su Google un hotel/una località, a distanza di giorni arrivano dei messaggi pubblicitari di quella località o di quell’hotel stesso. I sistemi informatici memorizzano le abitudini dell’utente e chi opera in maniera malevola, cioè l’attaccante, la prima cosa che fa è analizzare le abitudini dell’utente per poter carpire le informazioni private e riservate.

diversificano le loro attività attraverso tecniche diverse. Un MALWARE in generale è una particolare categoria di programmi informatici il cui scopo è quello di danneggiare l’utente o i sistemi sui quali tali programmi vengono involontariamente caricati, mediante l’esecuzione di processi inattesi e non autorizzati. Da questa definizione la prassi investigativa ha enucleato una serie di programmi che possono essere considerati anch’essi dei malware: ● VIRUS: definito come la “madre di tutte le battaglie”, i virus sono parti di codice che si diffondono copiandosi all’interno di altri programmi o in una particolare sezione dell’hard disk del computer in modo tale da essere eseguiti all’apertura del file infetto. Il termine virus è anche utilizzato nel linguaggio cyber come sinonimo di malware. Questo equivoco dal punto di vista della terminologia deriva dal fatto che i programmi antivirus permettono di rilevare e rimuovere anche altre categorie di software malevoli (i malware). ● WORM: a differenza del virus, i worm non hanno bisogno di infettare altri file per diffondersi in quanto sono realizzati in modo tale da essere eseguiti automaticamente e replicarsi sfruttando le connessioni in rete. Quindi per indurre gli utenti a riprodurli sfruttano le tecniche di Social Engineering (indurre l’utente a fornire le proprie info) oppure sfruttano i bug (i difetti di alcuni programmi informatici che sono meno performanti rispetto ad altri e che quindi permettono ai worm di insinuarsi e replicarsi) per diffondersi automaticamente. Sono più dannosi dei Trojan Horse perché non hanno dalla loro parte il fattore umano come elemento scatenante di replicazione della infezione. ● TROJAN HORSE: software che hanno sia funzionalità lecite che inducono l’utente ad utilizzarli sia istruzioni dannose che vengono eseguite di nascosto; a differenza dei Worm, non hanno delle funzioni di auto-replicazione per diffondersi e quindi devono essere volontariamente inviati dalla vittima. Per potersi attivare, hanno bisogno della stessa vittima o volontariamente perché indotta pensando ad esempio di effettuare una operazione lecita o involontariamente. ● BOT : abbreviazione di Robot. Sono programmi informatici che vengono installati inavvertitamente in un computer dalla vittima con lo scopo di permettere il controllo da remoto ad un utente non autorizzato. Sono progettati per la creazione di reti di computer compromessi, le cosiddette BOT NETWORK, che possono essere utilizzate da un attaccante per condurre degli attacchi contro altri computer. ● BACKDOOR: sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Sono programmi che vengono associati ad un Worm o ad un Trojan Horse (non vengono mai usati da soli) e spesso costituiscono una forma accesso di emergenza lecita ad un sistema ed inserita per permettere ad esempio il recupero di una password dimenticata. ● SPYWARE: software che viene usato per raccogliere delle informazioni dal sistema su cui è installato per trasmetterle ad un destinatario interessato. Le informazioni carpite possono andare dalle abitudini di navigazione fino alle password e alle chiavi crittografiche dell’utente ● HIJACKER: categoria di programmi, i più diffusi, che si appropriano di applicazioni per la navigazione in rete, soprattutto quando utilizziamo taluni browsers, e causano l’automatica apertura di pagine web indesiderate. Ad esempio quando andiamo sul web, cerchiamo un hotel ed in seguito quell’attività di acquisizione dell’informazione viene replicata con l’apertura automatica di pagine web della stessa tipologia. Questa che vediamo è una classificazione non esaustiva, questa è la situazione ad oggi ma magari domani saranno sperimentati ed utilizzati nuovi software/programmi ancora più performanti, più subdoli, più nocivi che attualmente la prassi investigativa non ha mappato perché il cyber spazio è quell’area, distinta da internet, le cui conseguenze e potenzialità non sono conosciute neanche da chi ha costruito quest’area. Area in cui una moltitudine di programmi/di software sono interconnessi tra di loro e creano

quotidianamente opportunità anche illecite (i cosiddetti software pirata: categoria di programmi informatici malevoli capaci di destabilizzare il mercato digitale, l’e-commerce). Due contromisure per arginare i fenomeni di furto delle identità digitali e delle credenziali:

  1. L’accortezza principale risiede nella normale diligenza dell’utente di poter ovviare ad accedere a link che può trovare nella posta indesiderata (spam). Si dovrebbe evitare che questa vulnerabilità dei sistemi informatici/della nostra area digitale personale possa essere compromessa, perché le vittime, come nel caso dei Money Mule, sono intermediari che non hanno la consapevolezza di essere inseriti in un’attività illecita, anzi spesso ritengono di essere inseriti in un’attività lecita. Quindi la prima considerazione è quella della diligenza e dell’ accortezza perché il fattore umano è il fattore principale scatenante anche di tutta una serie di conseguenze negative/nocive degli obiettivi degli attacchi informatici.
  2. La necessità dell’investigatore di conoscere i principali programmi informatici malevoli che possono creare un danno e causare l’apertura automatica alle informazioni personali della collettività. Lezione 4 Prima di continuare con la spiegazione facciamo un piccolo riepilogo degli argomenti trattati nella scorsa lezione. Abbiamo iniziato a dare una definizione di cyberspazio, differenziandola da quella di internet. Abbiamo poi parlato di minacce e attacchi informatici, evidenziando come la specificità della cyber sicurezza sia soprattutto la gestione del rischio, intesa come continua ricerca di una sorta di compromesso tra il valore di ciò che deve essere protetto, il livello di protezione auspicabile e i costi da sostenere per questa protezione. Costi intesi sia in termini di misure da implementare per poter garantire una determinata sicurezza che in termini di usabilità delle risorse da proteggere. Ci siamo poi soffermati su alcune definizioni nell'ambito del cyberspazio e della cyber-minaccia, classificando le diverse tipologie di attacco: attacco fisico, attacco elettronico e, ovviamente, il cyber attacco. Inoltre, abbiamo individuato la definizione di malware e ci siamo soffermati su una tabella che, sostanzialmente, ha inquadrato quali siano i tre elementi principali, ovvero:
  • gli attori, chi si cela dietro un attacco cyber, un attacco informatico;
  • le diverse motivazioni che spingono alcuni attori a comportarsi in un determinato modo;
  • le tipologie di azioni messe in campo dalle diverse categorie attenzionate. È stato così possibile evidenziare come dietro la figura dell’attaccante non si celino solo “persone fisiche” - vale a dire individui singoli che utilizzano tecniche tali da esfiltrare, acquisire dati e informazioni e ricavarne un obiettivo - ma anche imprese e governi stranieri, servizi di intelligence e altri attori istituzionali. Abbiamo poi definito quali sono le caratteristiche del cyber attacco che si insinuano nel “difetto” del sistemo operativo, rappresentato da una vulnerabilità tecnica ma anche umana. In tal senso, abbiamo parlato di social engineering dandone una definizione. Abbiamo poi evidenziato quali possono essere le diverse tipologie di attacco. Il primo è quello del phishing , consistente nell’inviare falsi messaggi di posta elettronica che sembrano provenire da organizzazioni, assicurazioni o banche. Mediante l’utilizzo dei loghi di organizzazioni attendibili, inducono il destinatario a rilevare informazioni personali come password o account fino ad arrivare alle proprie credenziali di accesso alle carte di credito. Abbiamo messo in evidenza come negli ultimi anni si siano sviluppate tutta una serie di tecniche fraudolente che, attraverso l’inganno, cercano di acquisire le informazioni del consumatore e le proprie ricchezze. In quest’ambito i gruppi “criminali” utilizzano le banche dati di cui gli stessi spammer dispongono;

aggiungono, alla parola del dizionario, delle variazioni che vengono definite “L33T”. Il L33T è una tecnica che consiste nel rimpiazzare alcune lettere con dei caratteri simili per forma, ma senza una relazione diretta; sostituisce quindi le lettere con un simbolo che ricorda la lettera stessa. Tra i L33T più comuni abbiamo, ad esempio, la sostituzione della O con lo zero, della Z con il 7, della S con il 5, della A con il 4, della I con il punto esclamativo. Sono tutte tecniche che vengono utilizzate dal software perché in grado di aumentare le possibilità di recupero dell’eventuale password da svelare. Vi sono poi dei software che vengono utilizzati nella prassi investigativa come l’ all-in-one password unlocker , un software che è in grado di recuperare le password di accesso per i file Zip e i file in pdf. Quali sono ordinariamente gli step da seguire nel corso di un'investigazione in relazione ad un attacco informatico? Innanzitutto, è bene precisare che il cyber attacco, finalizzato sostanzialmente a guadagnare un accesso non autorizzato e a prendere possesso di un computer in rete, si sviluppa secondo delle tecniche già consolidate nell’ambito delle quali possono essere distinti 5 passi fondamentali. Alcuni di essi sono già automatizzati nella prassi investigativa e vengono compiuti attraverso dei software o degli strumenti ottenibili in rete. Gli attaccanti professionisti, tuttavia, utilizzano strumenti molto sofisticati e personalizzati che difficilmente gli stessi addetti alla cyber security riescono a debellarli. Queste cinque tappe sono:

  1. Ricognizione e sorveglianza pre-operativa: in questa fase l’attaccante effettua un’approfondita ricognizione volta a reperire informazioni sull’organizzazione da attaccare. Quindi studia e analizza le caratteristiche del soggetto / organizzazione e il metodo più comunemente utilizzato è quello del social engineering in cui si cerca di ottenere da un soggetto appartenente all’organizzazione (insider) delle info sensibili. Possono essere dei numeri di telefono, dati di account ecc. Vi è quindi una vera e propria preparazione all’attacco. Oltre all’acquisizione di informazioni sensibili da parte dell’insider, un’altra strategia in questa prima fase potrebbe essere quella di infettare il sistema bersaglio con alcuni programmi malware come virus, worm etc.;
  2. Scanning: una volta entrati in possesso delle info sensibili, l’attaccante effettua un accurato esame del sistema e della rete dell’organizzazione con la finalità di ricercare quelle vulnerabilità da sfruttare e verificare in maniera tale da garantirsi dei possibili punti di accesso all’organizzazione stessa. Questa fase può durare anche dei mesi. Parliamo quindi di attacchi preordinati, poiché spesso il tutto viene organizzato in un tempo dilatato;
  3. Ottenere l’accesso: dopo mesi di studio dell’organizzazione e dopo aver individuato gli obiettivi e le relative vulnerabilità, l’attaccante può prendere il controllo del sistema e della rete usando quelle password che è riuscito ad ottenere per creare dei falsi account o comunque sfruttando le vulnerabilità attraverso dei trojan horse (ricordiamo che i trojan horse sono dei malware che vengono attivati attraverso delle successive operazioni che possono essere poste in essere dalla vittima stessa);
  4. Mantenere l’accesso: ottenuto l’accesso al sistema possono essere istallati degli ulteriori sistemi informatici, dei virus, che agiscono in modo silente all’interno della rete attaccata consentendo all’attaccante di accedervi in maniera occulta senza essere individuato. Questo è possibile ottenendo gli stessi privilegi di essere un amministratore del sistema. Già in questa fase l’attaccante diviene il possessore del software e può quindi configurarlo a suo piacimento;
  5. Nascondere le tracce: i gruppi hacker, soprattutto quelli più sofisticati, cercano, una volta entrati all’interno del sistema, di rimanervi il più a lungo possibile in maniera inosservata. In questo caso è necessario che gli stessi acquisiscano il maggior numero di informazioni possibili per massimizzare il danno inflitto al sistema o alla rete informatica dell'organizzazione attaccata. Questo avviene mediante l’utilizzo di software e programmi in grado di creare dei file nascosti all’interno del sistema infettato senza essere individuati da eventuali sistemi di protezione.

Dopo aver messo in evidenza i diversi passaggi della tecnica utilizzata, andiamo ora ad analizzare quali sono i tipi di attaccanti. Molto spesso lo scopo dell’hacker è quello di conoscere in modo approfondito e di adattare alle proprie esigenze il sistema informatico dell’organizzazione attaccata. Come anticipato in precedenza, l’attività di hacking non deve essere identificata esclusivamente come un’attività illecita perché spesso propone, anche se in percentuale inferiore, uno scopo istruttivo; ad esempio, quello di evidenziare le eventuali vulnerabilità del sistema per poi ricorrere a tutte quelle correzioni in grado di schivare potenziali attacchi. Accanto a questo tipo di attività, vi è poi quella più nota in cui vengono utilizzate le tecniche per accedere illegalmente ai vari sistemi operativi o comunque sistemi e reti informatiche. Possiamo quindi affermare che vi sono 4 categorie di attaccanti:

  1. “White hat haker” o “sneacker” : sono gli hacker più conosciuti, ovvero quelli che si limitano a cercare la conoscenza senza procurare danni al sistema informatico attaccato. Questa categoria rientra infatti nelle forme di hackeraggio “lecito”, in cui l’obiettivo è quello di migliorare le condizioni della cyber sicurezza. Nonostante l’apparente inoffensività di questa pratica, però, la giurisprudenza e la prassi investigativa nutrono dei dubbi sulla liceità della stessa;
  2. “Cracker” o “black hat hacker” : al contrario della prima categoria, mira allo sfruttamento illegale o al danneggiamento del sistema informativo; quindi, facciamo riferimento alle classiche pratiche di spionaggio e pirateria del software. Appartengono a questa categoria i principali agenti di minaccia nell’ambito della cybersecurity, i quali utilizzano dei software raffinati e programmi informatici che consistono nell’invio di malware ad altri utenti con l’obiettivo di guadagnare l’accesso ai loro sistemi o addirittura di modificarne i criteri di accesso richiedendo un’eventuale procedura di riscatto;
  3. “Grey hat hacker” : si tratta di una piccolissima e circoscritta categoria di “pirati”, di dubbia etica, che operano ai confini della legalità. Parliamo, sostanzialmente, di una categoria residuale nell’ambito delle attività investigative attenzionate;
  4. “Gli hackivisti” : altra categoria particolarmente insidiosa che utilizza tecniche simili agli hacker ma per scopi politici o sociali. L’obiettivo non è esclusivamente quello di arricchirsi, ma di richiamare l’attenzione del pubblico su determinate problematiche che riguardano la collettività (cause politiche o sociale). Un esempio è quello di attaccare il sito di un'organizzazione ritenuta contraria alle proprie convinzioni politiche per modificarne l’home page con un messaggio molto visibile e in aperta contraddizione con le idee della stessa; o ancora, bloccare il traffico diretto a quel sito, schermandolo e creando un’impossibilità di accesso. Ulteriore argomento molto importante riguarda un’altra tipologia di frode informatica individuata dalle forze di polizia durante la prassi investigativa che prende il nome di “business e-mail compromise” (BEC). È sicuramente la più pericolosa sotto il profilo economico, poiché vede i truffatori identificarsi in dirigenti di alto livello con lo scopo di entrare in possesso dell’account e-mail di una figura executive dell’azienda. L’obiettivo, infatti, è quello di deviare ingenti somme di denaro aziendali su conti correnti fraudolenti attraverso delle richieste di trasferimento ad altri membri dell’azienda. Anche qui si ricorre alle classiche modalità di ingegneria sociale, soprattutto nel momento in cui i truffatori hanno bisogno di ottenere l’indirizzo e-mail del dirigente per poterne poi acquisire la proprietà. In questi casi, come si avvia un’attività di indagine investigativa? Naturalmente parliamo di un'indagine investigativa digitale, il cui obiettivo è quello di individuare quale sia l’origine dell’attacco informatico. L'indagine viene avviata dalla presentazione di una denuncia/querela da parte dell’amministratore delegato o dal titolare dell’azienda ai competenti organi di polizia. Un aspetto fondamentale è che la denuncia, per risultare efficace in termini di risultati, oltre ad essere circostanziata deve anche apparire ricca di particolari e, soprattutto, delle evidenze digitali che sono state compromesse. Dunque, l'ufficiale di polizia giudiziaria che riceve la denuncia/querela deve farsi consegnare dalla cosiddetta “persona offesa del reato” tutte quelle evidenze digitali in proprio possesso e inerenti ai fatti della segnalazione.