Chiunque voglia impostare in modo razionale una politica di sicurezza valutandone costi e benefici, deve essere in grado di rispondere ad alcuni quesiti fondamentali: i rischi considerati sono puramente teorici o hanno reali probabilità di concretizzarsi? Quali possono essere le conseguenze del verificarsi degli eventi temuti? Quale livello di sicurezza possono offrire le difese realizzabili?
Non è mai molto facile trovare risposte soddisfacenti a queste domande, ma il problema diventa particolarmente impervio quando si parla di sicurezza in relazione alla criminalità informatica, fenomeno complesso e variegato, che include una vastissima casistica di illeciti.
La maggiore difficoltà di valutazione del rapporto costi/benefici nel caso della criminalità informatica è dovuta a varie ragioni: la notevole difficoltà tecnica della rilevazione degli attacchi: la rapidità con cui evolve la tecnologia dell'informazione; la diffusa resistenza culturale e psicologica ad affrontare il problema.
Se tutto ciò evidenzia quanto sia difficile il compito di garantire la sicurezza dell'informazione, è altrettanto vero che si tratta di un impegno assolutamente indispensabile, in quanto l'informazione è un bene dal valore economico e strategico in continua crescita e quindi sempre più appetibile da parte di criminali, interessati a trarne profitto o a danneggiare i legittimi detentori.
Sulla base di queste considerazioni e con l'intento di facilitare il compito di chi deve garantire la tutela del patrimonio informativo, FTI-Sicurforum Italia e SPACE hanno deciso di promuovere un Osservatorio sulla criminalità informatica finalizzato alla raccolta di dati utili a rispondere ai quesiti precedentemente ricordati.
Pertanto, obiettivo dell'Osservatorio è quello di esplorare questo mondo, in larga misura sommerso, alla ricerca dei dati che possano delineare una dimensione quantitativa al fenomeno sia nel suo complesso che nei suoi aspetti particolari, e degli episodi che, per la loro significatività, siano utilizzabili come casi di studio per la verifica della validità delle difese approntate. Il risultato di questa ricerca verrà presentato in rapporti periodici (di cui questo volume è il primo esempio) che, oltre ai dati statistici e alle descrizioni di casi esemplari, tratterà altri temi di interesse per una migliore comprensione del fenomeno e per il rafforzamento delle difese.
INDICE
Premessa, di Sergio Pivato
Presentazione, di Antonello Cigala Fulgosi
1. Ready for Cyberwar?
Premessa
Cyberwar
Il conflitto per il controllo dell'informazione
Uno sguardo al cyberpunk
Conclusioni
2. Le tecniche di attacco su Internet, di David Vincenzetti, Stefano Taino e Fabio Bolognesi
Introduzione
Tecniche di attacco
Conseguenze di un attacco: la backdoor
Conclusioni
3. Come impostare una politica di sicurezza, di Massimo Cotrozzi
Come si stabilisce una politica di sicurezza?
Fattori che riguardano l'organizzazione delle procedure della sicurezza
Divulgazione della politica
Cosa fare in caso di violazione della politica di sicurezza
Conclusioni
4. Rassegna stampa, a cura di Paola Guerra e Barbara Ferrario
5. Un'intrusione annunciata, di Paolo Da Ros, Stefano Taino e David Vincenzetti
L'antefatto
Il fatto
Conclusioni
6. Il caso della chiocciola, di Giuliano Tavaroli
L'attore
La storia
7. Un caso di sabotaggio informatico, di Franco De Bartolomeis
8. Le indagini in materia di criminalità informatica, di Cristina Ascenzi
Premessa
L'Operazione "ICE-TRAP"
Frode ai danni di Telecom Italia attraverso sistemi di clonazione di nuova concezione
L'Operazione "Hackers' Hunter"
L'Operazione Eclipse
L'Operazione Videotel
L'Operazione Bancomat
L'Operazione Aids
Conclusioni
9. Statistiche 1995 sugli attacchi su Internet segnalati a CERT-IT, a cura di David Vincenzetti
10. Estratto del Rapporto statistico 1995 sui virus circolanti in Italia e situazione internazionale, a cura di Fulvio Berghella
Il campione osservato
Considerazioni generali
I virus in Italia e il contesto internazionale
Come entrano i virus in Azienda
11. Commento alla legge n. 547/93 in materia di criminalità informatica, di Pietro Tamburrini
12. Gli standard di sicurezza, di Vittorio Asnaghi
Gli standard per la sicurezza
TCSEC: L'Orange Book
I criteri europei: ITSEC
L'evoluzione americana (FCITS) e i criteri canadesi (CTC-PEC)
I Common Criteria e il futuro Standard ISO
Standard di tipo funzionale
13. Questionario sulla criminalità informatica