Re: security bugs e stato dell'arte (azione civile e penale)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2003 ml@sikurezza.org
Soggetto: Re: security bugs e stato dell'arte (azione civile e penale)
Mittente: naty
Data: 29 Apr 2003 11:22:59 -0000

facciamo il caso di un'azienda: computer organizzati in rete e collegati ad Internet.
sui pc sono memorizzati dati strategici, dati personali (e magari anche sensibili) di impiegati e clienti e documenti in genere che è opportuno mantenere segreti.
sfruttando una vulnerabilità, un intrusore entra nella intranet, si diverte un po' e alla fine esce, lasciando dietro di sè il deserto
[NB: e anche qui vorrei il vostro aiuto: che genere di danni può provocare? può aspirare ad un risultato tipo Attila, rendendo definitivamente inutilizzabili i dati memorizzati, oppure può provocare danni seri all'architettura della rete, al funzionamento dei computer, ma senza provocare una situazione irreversibile?]

e allora, l'art. 615quinquies c.p. mi dice " Chiunque diffonde, comunica o consegna un programma
informatico da lui stesso o da altri redatto, avente per scopo o _PER EFFETTO_ (...) è punito con la
reclusione sino a due anni e con la multa sino a lire 20 milioni". quindi, con i potenti mezzi della computer forensic, trovo l'intrusore e gli faccio causa e lo tengo rinchiuso per due anni. 

ma io ho tenuto chiuso l'azienda per una settimana, e ho perso credibilità agli occhi dei miei clienti presenti ed eventuali, i miei progetti ora vagano per la rete..  in sede civile, così, chi mi impedisce di fare causa: 
- al mio amministratore di rete, che non ha installato la patch che era già disponibile da tempo per quella vulnerabilità;
- al responsabile dei dati sensibili, che invece di vigilare perchè fossero tenuti sottochiave senza possibilità di accesso, ha permesso che rimanessero memorizzati sui capienti Hd da 60Gb dei miei impiegati, che non sia mai che cancellano un dato dal loro computer;
- alla casa produttrice del software?
ed è qui che mi interessa sapere se la sw house mi può opporre il "rischio di sviluppo", cioè che, allo stato delle conoscenze scientifiche e tecniche, al momento del rilascio del sw non si poteva considerare il prodotto _difettoso_.

è come dire: mi compro un cancello automatico hi-tech per salvaguardare il mio laboratorio in cui custodisco la formula della cocacola e dove sto progettando la bibita del nuovo millennio.
un bambino, con una rivista che in copertina ha il mio faccione, passa davanti al rilevatore ottico del cancello, il quale, sbagliandosi, si spalanca al mondo: tutta la città mi invade il laboratorio, il segreto della cocacola è perso, l'alchimia per la nuova bibita è irripetibile.
il produttore del cancello mi potrà opporre "non potevo prevedere che mettevano il tuo faccione in prima pagina"?

grazie, 
naty solda

* * * * * * * * * *
Quota Stefano Zanero <stefano.zanero@ieee.org>:


> > L´impossibilità tecnica di individuare in sede di progettazione
> > le carenze di un software, esclude la configurabilità di un difetto?
> 
> Piano.
> 
> Non confondiamo l'impossibilita' _teorica_ di rilevare in modo automatico e
> completo i difetti di un software (che e' un bel risultato di Rice e
> discende dal teorema della fermata), con l'impossibilita' tout court di
> rilevare errori.
> 
> Come dimostra, tra gli altri, il progetto OpenBSD, una accurata
> progettazione e un ancora piu' accurato auditing POSSONO ridurre a una rate
> accettabile i problemi di security del software.
> 
> Che non sia possibile, tecnicamente, produrre software che non sia
> l'equivalente del formaggio svizzero per il numero di buchi, e' una bella
> scusa che  tanti produttori di software hanno portato avanti per troppo
> tempo.
> 
> > potevano evitare (in termini giuridici si parla di DILIGENZA)?
> 
> Ti diro': se parliamo in termini giuridici e di legislazione italiana, c'e'
> poco da considerare la diligenza. Tu stai considerando gli aspetti civili e
> di "danno" causato, ma ti ricorderei un trascurato articolo della legge
> 547/93.
> 
> 615/quinquies: "Chiunque diffonde, comunica o consegna un programma
> informatico da lui stesso o da altri redatto, avente per scopo o per
> effetto
> il danneggiamento di un sistema informatico o telematico, dei dati o dei
> programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione,
> totale o parziale, o l'alterazione del suo funzionamento, è punito con la
> reclusione sino a due anni e con la multa sino a lire 20 milioni"
> 
> Per scopo _O PER EFFETTO_. Volontario o INVOLONTARIO (la differenza,
> immagino, e' tra doloso e colposo, ma sempre reato rimane). Questa
> interpretazione tra l'altro mi e' stata recentemente confermata dall'esimio
> avv. Sarzana di Sant'Ippolito, che della 547 e' stato uno degli autori
> "tecnici".
> 
> Cordialmente,
> Stefano Zanero
> 
> ComputerWorld Italia (www.cwi.it)
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
> 



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Posta elettronica e Certificati di firma digitale., Alfredo Martino
- successivo: Eucd e SC, Ruben Caris
- indice

Argomento:
- precedente: Posta elettronica e Certificati di firma digitale., Alfredo Martino
- successivo: Eucd e SC, Ruben Caris
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005