Re: "Utilizzabilita' legale" dei dati sniffati

----- Original Message -----
From: "P@sKy" <pasky@ecn.org>
To: <ml@sikurezza.org>
Sent: Wednesday, November 07, 2001 10:09 AM
Subject: Re: "Utilizzabilita' legale" dei dati sniffati


> Massimo Fubini wrote:
>
> > Nel momento in cui una azienda avvisasse tutti i dipendenti che tutto
> > il traffico email aziendale e' sniffato e storato e venisse a scoprire
> > che un dipendente ha inviato all'esterno informazioni riservate (ad un
> > concorrente ad esempio) puo' utilizzare come prova legale del fatto il
> > log di tutto quello che e' passato?
>
> Mah a parte l'illegalita' della cosa, visto che le email box personali

non è illegale se firmi la delibveratoria, ti ricordo che la mail aziendale,
deve essere usata "esclusivamente" per questioni lavorative e non personali,
quindi rimane comunque proprietà dell'azienda, se poi facciamo firmare ai
nostri utenti la deliberatoria... siamo nella più piena legalità.

> sono considerate come
> spazi privati e comunque coperti dal garante della privacym diciamo che
> a livello
> teorico si, ammesso che i dipendenti non siano piu' furbi del datore di
> lavoro ed
> utilizzino per le loro email PGP e la crittografia in generale cosa tra
> le altre
> cose legalissima.....
>
> > Ovvero ci sono dei sistemi di "network-forensics-sniffing"?
>
> Se proprio vuoi loggare tutto, puoi farlo, ammesso sempre che i sindacati
> e lo statuto dei lavoratori lo permettano, cosa alquanto improbabile,

Permettano ? ti ripeto, una volta che l'utente firma, nessuno può alzare un
dito contro di te.

> inoltre
> se i pc degli utenti hanno una password si presume che sia spazio privato
e
> rientra nella tutela della privacy, comunque  considerato che
ipoteticamente
> in azienda hanno un gateway di uscita verso l'esterno e che comunque si
> presume che il server di posta (sia SMTP che POP) sia sulla rete aziendale
> puoi, teoricamente e praticamente, loggare tutto sempre se la mole di
> traffico
> non e' consistente e sempre se nessun lavoratore faccia un esposto al
> garante
> anche se l'azioenda ha fatto firmare la liberatoria per l'uso dei dati
> personali
> e non......
>
> > Mi invento: e' necessario far fare una perizia sullo sniffer per far
> > vedere che cio' che viene sniffato e' esattamente cio' che e' passato?
>
> Be' penso proprio di si' diciamo che il server che logga dovrebbe essere
> in qualche modo "certificato" da qualcuno.... aziende che si occupano di
> sicurezza, ma in questo caso non e' la sicurezza in discussione, ma lo
> spionaggio che rientra in altri ambiti, almeno questo e' quello che
penso...

Ripeto, l'analisi dei log la può fare solo un pubblico ufficiale con mandato
od un investigatore privato (ai fini probatori).

> > E necessario fare un hashing md5 ogni ora sui dati registrati ed
> > inviarne copia all'autorita' di pg?  (sto delirando...)
>
> Mah sull'eventualita' di spionaggio industriale interno si dovrebbe fare
> una denuncia
> e lasciar fare il tutto allo sbirrume... non credo che una cosa "fai da
> te" sia legale
> e comunque nessun giudice penso che la prenda per "affidabile" a mio
avviso
> sarebbe un pazzo e qualunque avvocatuccio se lo potrebbe mangiare a
> colazione..
>
> > Qualcuno ha informazioni in merito?
>
> Mah dovresti dare un'occiata alle varie sentenze in giro, prova ad andare
su
> www.interlex.it, poiche' la questione e' molto legata alle leggi ed alle
> varie sentenze passate in merito...
>

Sentenze? è la legge che comanda e mio malgrado penso che sia anche troppo
precisa e chiara a riguardo.


> Ciao
>
> P@sKy
> Makkinista - Fuokista
>
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List