Re: Wireless e leggi

At 13.43 04/03/2002 +0100, you wrote:
>dalla 615/ter
>--
>Chiunque abusivamente si introduce in un sistema informatico o telematico 
>protetto da misure di sicurezza ovvero vi si mantiene contro la volontà 
>espressa o tacita di chi ha il diritto di escluderlo, è punito con la 
>reclusione fino a tre anni.
>--
>ergo: se mi connetto a internet e lascio l'utente root senza password con 
>il telnetd aperto gli altri commettono reato a usare il mio computer.
>ciò è in contrasto con le ultime sentenze di cui ho sentito vociferare, 
>nelle quali la colpa è maggiore per il sysadmin perché non ha protetto 
>bene il sistema.
>ma noi se giriamo con un portatile acceso che cerca la rete di continuo 
>(direi che ci sta tutto...) se io accedo a una rete esterna e la rete 
>esterna condivide i miei doccumenti, commettiamo entrambedue reato.
>a questo punto chi conta di più, il server o il client? considerate che in 
>questo caso esistono 2 sysadmin con le stesse "colpe". e poi in base quali 
>dati puoi dire che "si mantiene" nel server?
>
>ecco un altro tipico caso nel quale la legge non sta dietro al "progresso"
>
>ciao
>daniele


Beh vedi secondo me il problema sta nel fatto che in sede legale è ben 
difficile definire oggettivamente la nozione di sistema protetto *bene*: 
non esiste una tabella di riferimento delle configurazioni (per fortuna) 
tramite la quale poter univocamente stabilire il grado di protezione di un 
sistema (ai fini legali intendo).  Oltretutto, staccandoci per un attimo 
dal contesto teorico per avvicinarci al piano pratico, bisogna rendersi 
conto che con tutta probabilità nel caso in cui un amministratore di 
sistema venga effettivamente citato in giudizio per un caso di intrusione 
e/o similari, probabilmente sarà cento volte più competente di tutti quelli 
che esamineranno e/o giudicheranno il suo caso nelle varie sessioni. A 
questo punto dunque probabilmente  rivalse legali, paradossi e 
sfaccettature dei cavilli conteranno ben poco dato che, di fatto, come fai 
notare non è possibile determinare univocamente un "colpevole", nemmeno fra 
le stesse parti in causa. La mia opinione dunque è che anche nel caso in 
cui il pedissequo amministratore di wireless LAN si accorgesse di 
"intrusione" non autorizzata nella rete e decidesse di denunciare (su quali 
basi poi? se mi sono connesso dal mitico "furgoncino alla A-team" con IP 
interno hai voglia a risalire...) l'intrusore, il tutto probabilmente si 
risolverebbe con un patteggiamento all'italiana, con il giudice, PM o 
maresciallo del caso che mette d'accordo tutti (scordamoc'e 'o passato) 
proprio in quanto incapace di sbrogliare la matassa legale. Concludendo, 
quello che voglio dire è che (secondo me) non ha senso interrogarsi e 
spremersi le meningi su interpretazioni delle leggi (palesemente 
out-of-date) ed eventuali "scudi legali" ad essi correlati: molto meglio è 
cercare di implementare una struttura informativa che non riveli, già ad un 
primissimo livello di analisi, una fallacità così evidente, come ad esempio 
quella sottolineata in questo thread.

Ciao a tutti

Emilio


PS. mi permetto di porre un ulteriore interrogativo: riprendendo il testo 
della tua mail, al passo:

 >ecco un altro tipico caso nel quale la legge non sta dietro al "progresso"

mi domando quale sia una possibile codifica legale di tale problematica. In 
effetti, se anche io mi trovassi nei panni del legislatore, non avrei certo 
la certezza sulla definizione della regolamentazione in merito.

Saluti
Emi


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List