Tutor Online

Per gli argomenti esaminati è possibile usufruire del Servizio “Tutor Online”.

Attività di Vulnerability Assessment e Pentesting

Le attività di Vulnerability Assessment sono propedeutiche a quelle di Penetration Testing.

Esse consistono nella raccolta di informazioni sensibili, ottenute anche sfruttando fonti aperte di pubblico dominio interrogate tramite tools di Open Source Intelligence (OSINT).

Tra le fonti aperte vi rientrano le informazioni disponibili sul web e sui social media.

La raccolta e l’organizzazione delle informazioni reperite tramite Osint può integrare la profilazione e il dossieraggio, e come tali devono essere debitamente autorizzate

Il vulnerability assessment (VA) prevede delle fasi specifiche quali:

  • ottenere il pieno consenso del cliente;
  • firma dell’accordo di non divulgazione;
  • programmazione delle attività di collaudo;
  • esecuzione dei test di sicurezza;
  • analisi dei risultati ottenuti;
  • predisposizione del report finale per il cliente.

Attività di Penetration Testing

Le attività di penetration testing sono quelle più rappresentative degli ethical hacker, al punto che il termine stesso di ethical hacking viene spesso considerato sinonimo di tali attività.

L’idea sottostante ai penetration test è quella di tentare di penetrare le difese di un’organizzazione sfruttando le vulnerabilità rilevate nella fase del Vulnerability Assesment.

Nel realizzare i penetration test gli hacker etici sono tenuti ad osservare uno specifico codice deontologico, al fine di prevenire possibili danni al sistema e al patrimonio informativo del Cliente.

Di particolare importanza la necessità di ottenere una adeguata autorizzazione da parte del Cliente, al fine di prevenire il rischio di imputazione per il reato di Accesso Abusivo.

Di seguito analizziamo gli aspetti normativi dell’accesso abusivo a sistema informatico.

Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita´ di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e´ palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l´interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all´ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d´ufficio (1).

(1) Articolo aggiunto dall´art. 4, L. 23 dicembre 1993, n. 547.

Il reato di accesso abusivo ad un sistema informatico o telematico (art. 615-ter codice penale)

La norma tutela il c.d. domicilio informatico, e reprime qualsiasi introduzione in un sistema informatico posta in essere contro la precisa volontà del legittimo titolare del sistema informatico.