Re: DENUNCIARE O NO in caso di intrusione? Was: [ Re: piccolo Log IIS ]

On Wed, Jun 06, 2001 at 07:17:42PM +0200, Fabio Pietrosanti (naif) wrote:
[...]
> Su questo concordo, una denuncia a scopo cautelativo non fa' mai male se
> stiamo trattando di banche o enti che per 1 secondo di down possono
> dichiararsi parte civile e chiedere 10 miliardi, ma
> renditi conto di quanto appesantirebbe il lavoro dei nostri, gia'
> sottodimensionati come personale, poliziotti telematici ricevere centinaia di
> denunce su cui dovrebbero investire "inutilmente" risorse?

Il caso a cui mi riferisco e' leggermente diverso. Un tecnico di rete
dell'universita' locale si e' trovato una macchina bucata da un 
gruppo di craker bulgari (o paesi dell'est analoghi). La macchina,
attaccata ovviamente a un grosso bocchettone e' stata usata per fare
guerre e bounce in irc. In particolare ogni tanto (un crontab) faceva
un ping -f su una serie di host. 

L'opinione del tecnico era, a prima vista, di formattare e reinstallare.
Poi, ha deciso invece di sporgere denuncia contro anonimi, per avere
un pezzo di carta (la denuncia appunto) che  tutelasse lui (in quanto
lavoratore) e l'universita', da ipotetiche denunce. 

Quello che la polizia ha spiegato e che, avendo fatto denuncia, loro
risultavano non responsabili di ogni eventuale danno prodotto da quella
macchina. 

> Se tu fai una denuncia, loro devono indagare, e se trovano qualcuno, e quel
> qualcuno ha un buon avvocato e alla fine il signor "qualcuno" viene dichiarato
> innocente, magari ti devi ritrovare anche a dover pagare le spese del processo
> e "il tuo avvocato" perche' per sporgere denuncia e' sempre bene munirsi di avvocato.

La denuncia, nel caso specifico e' stata solo un atto dovuto , non credo
che la polizia abbia sprecato 5 minuti per indagare. 

Inoltre, afaik, e' un reato penale l'intrusione in un sistema informatico,
quindi non vieni coinvolto (ovvero il processo e' tra lo stato e il presunto
colpevole). 

> In caso di compromissione io consiglio di:
> 
> - Seguire le solite procedure di Incident Handling
> 
> - documentare il tutto
> 
> - dumpare una immagine degli hard disk su tape/cdrom farne una analisi di
>   computer forensic per capire who/where/why e solo se dopo questa analisi
>   si e' certi che una denuncia "sia utile" farla.

Questo viene fatto dalla polizia, nel caso uno li chiami. Nel caso siano
loro (o dicano di essere loro) ad aver raccolto le prove, le prove stesse
hanno validita' legale, se no non sono "utilizzabili" (notare le ").

> - sporgere denuncia solo e soltanto se e' il caso ( avete perso dati, avere
>   avuto il web sfigurato[solo se questo danno all'immagine vi causera' un danno
>   economico, perche' ad esempio se sfigurano il sito del macellaio al piano di
>   sotto a lui importa poco, ma se lo fanno al sito degli eeye.com cambia.. ],
>   vi hanno fatto un dos che vi ha bloccato il sito 3 giorni e non potete fare
>   e-commerce e  cosi' via.

Ripeto, molto spesso, non sapendo cosa e' stato fatto con la macchina,
e' "tranquillizzante"  sporgere denuncia, sapendo che si attiva una reazione
a catena (raccolta prove, verbale, eventuale indagine etc etc etc). 

Tanto per banalizzare, se usano una mia macchina crackata come bounce
per tentare di crackare chesso' il norad  o la banca d'italia o il sito 
del vaticano, io *devo* poter dimostrare legalmente che quella macchina
era crackata (e che non ero io) e, afaik, l'unico modo e' avere una denuncia.

ovviamente, l'idea, nel caso l'ipotetico cracker sia rintracciabile
(ovvio che nessuno andra' mai in bulgaria a beccarli, ma se fosse italiano),
di rovinare la vita a qualcuno puo' seriamente far riflettere se
sporgere denuncia...

Un saluto
a.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List