Slot alterate, tra ricettazione, frode e gioco illecito

Decidendo sul ricorso proposto da un esercente, ritenuto responsabile di aver installato nel proprio locale degli apparecchi dotati di doppia scheda, che consentivano di utilizzare una slot machine sotto le mentite spoglie di un gioco di abilità, sottraendo in tal modo quanto dovuto all’Erario, la Corte di Cassazione, Sez. II Penale, nel mese di dicembre, ha ritenuto che fossero in concorso i reati di ricettazione e frode informatica, poiché il primo illecito riguarderebbe la fase preparatoria del secondo. Leggi tutto

Caso Occhionero. Le email istituzionali sono protette?

L’ordinanza di custodia cautelare emessa dal Giudice per le Indagini Preliminari presso il Tribunale di Roma, a carico dei fratelli Occhionero, ritenuti responsabili di aver violato decine di sistemi informatici italiani e stranieri, privati e pubblici, incluse alcune infrastrutture critiche, ha improvvisamente portato all’attenzione dei media il problema della sicurezza informatica contro attacchi che fanno leva sull’elemento debole di ogni strategia: l’essere umano. Leggi tutto

Torna Cryptolocker, il programma che prende in ostaggio i dati

Cryptolocker è un programma di blocco. Il suo scopo? Cifrare i dati contenuti nell’hard disk della vittima e visualizzare il messaggio con il quale viene chiesto un pagamento in cambio delle chiavi di decrittazione, sotto la minaccia di perdere i dati.

Con il termine “Malware” si indica un “MALicious softWARE”, ovvero un programma distruttivo o disturbante che si inserisce nel sistema e lo priva di alcune componenti essenziali o ne altera il normale funzionamento.

“Ransomware”, invece, individua una specifica categoria di programmi finalizzata a chiedere un riscatto (ransom) al malcapitato utente della rete che entra in contatto con un server compromesso o commette l’errore di scaricare un file già infetto, solitamente attraverso una email apparentemente proveniente da un indirizzo affidabile.

Cryptolocker – programma di blocco tramite cifratura – è il nome con il quale è stata identificata una particolare categoria di Ransomware che si caratterizza per l’esecuzione della cifratura dei dati presenti sugli hard disk delle vittime, alle quali viene richiesto un riscatto – da versare solitamente entro tre giorni – per ottenere la chiave di accesso agli archivi (affinché tornino leggibili), che altrimenti vengono distrutti.

I Bromium Labs, il 12 marzo 2015, hanno identificato una nuova variante di Cryptolocker, che hanno chiamato TeslaCrypt per distinguerla dalle versioni precedenti.

Come opera il programma di blocco. In alcune versioni di Cryptolocker, il costo della chiave di decrittazione cresce con il passare delle ore e ogni tentativo di rimozione del virus determina l’immediata distruzione delle chiavi, con conseguente perdita dei dati.

L’infezione viene diffusa attraverso siti Web compromessi, basati sul noto Content Management System chiamato WordPress.

Attraverso una clip Flash, l’utente viene reindirizzato all’Angler Exploit Kit, che verifica innanzitutto la presenza di macchine virtuali e di prodotti antivirus nel sistema, per selezionare lo schema di aggressione più adatto tra i vari disponibili.

Il programma procede, quindi, alla scansione dei file presenti nel sistema, alla ricerca delle principali estensioni di documenti, foto, filmati e, particolare di non secondaria importanza, degli archivi dei giochi più diffusi.

Sembra, infatti, che questa specifica variante del redivivo Cryptolocker sia stata studiata per superare le difese dei sistemi informatici degli utenti sfruttando le porte aperte dai canali di comunicazione utilizzati dai giocatori e dimostra un’evoluzione dei cibercriminali, sempre più orientata a nicchie di mercato ben precise.

Dopo aver eseguito la scansione, il programma inizia a cifrare gli archivi presenti in ogni disco rigido collegato al sistema, utilizzando la cifratura RSA basata su chiavi asimmetriche della lunghezza di 2048 bit, prelevate collegandosi a un server della rete TOR, sul quale torneranno disponibili dopo il pagamento del riscatto.

Nel caso di archivi sincronizzati con servizi come Drive o Dropbox, anche i file presenti sul Cloud subiscono la stessa sorte.

Terminata la cifratura, appare il messaggio che informa l’utente dei tempi e delle modalità di pagamento del riscatto (tramite Bitcoin) e di sblocco della cifratura, al fine di recuperare i dati.

Sia il sito che contiene le chiavi di decrittazione, che il conto che riceve il pagamento, sono ovviamente parte del deep Web e sfruttano l’anonimato garantito dalla rete cifrata TOR e dallo strumento di pagamento noto come Bitcoin.

Colpiti quattro ospedali di Los Angeles. Secondo Wikipedia, il primo Cryptolocker – apparso nel 2013 – ha fruttato ai suoi programmatori oltre 3 milioni di dollari di proventi prima che venisse trovato un rimedio.

La maggior parte dei Ransomware aggredisce i computer dotati di sistemi operativi Microsoft, nei quali il kernel non è separato e protetto, rispetto alle aree in cui vengono elaborati di dati delle applicazioni, e risulta quindi più vulnerabile.

Tuttavia, a luglio del 2013, è stato individuato anche un Ransomware specifico per OS X – sistema operativo di Apple – che, pur non riuscendo a compromettere i dati, impediva l’uso corretto del browser Internet.

Tra le vittime illustri dei Ransomware, si annovera il canale di notizie in diretta dell’ABC australiana – ABC news 24 – interrotto per circa mezz’ora, nell’ottobre del 2014 e spostato negli studi di Melbourne a causa dell’infezione nota come Cryptowall

È del mese di febbraio 2016 la notizia di quattro ospedali di Los Angeles paralizzati da una nuova versione di Cryptolocker, che ha impedito l’accesso alle cartelle cliniche dei pazienti per diverse ore, fino al pagamento della stratosferica somma di 40 bitcoin, circa 17.000 dollari.

Uno dei quattro ospedali non è riuscito a reperire i fondi in tempo e ha perso tutti i dati, con conseguente necessità di evacuazione e di ripetizione di tutte le analisi e anamnesi sui pazienti.

Non sono state registrate vittime, ma di certo l’operatività della struttura sanitaria è stata seriamente compromessa per alcuni giorni.

L’evento ha destato notevole allarme nella comunità statunitense, perché per la prima volta si è avuta contezza del rischio informatico a danno di strutture critiche come gli ospedali.

Le vittime preferiscono procedere al pagamento e non correre rischi. Sebbene esistano dei metodi per cercare di rimuovere la cifratura e recuperare la visibilità dei dati, le vittime preferiscono solitamente procedere al pagamento e non correre rischi.

Paradossalmente, proprio l’affidabilità dei criminali costituisce la principale motivazione che spinge le realtà colpite dal virus a eseguire il versamento delle somme richieste a titolo di riscatto.

Una sorta di “sindrome di Stoccolma” di estrazione informatica, che è perfettamente comprensibile ed è tanto più giustificata quanto più sono importanti i dati che hanno subito la cifratura.

Occorre rilevare, in ogni caso, che uno dei principali motivi di soccombenza, da parte dei soggetti colpiti dal virus, è la mancanza di una corretta politica di backup e di un piano di disaster recovery.

Secondo gli esperti, le procedure di salvataggio dei dati dovrebbero prevedere una frequenza parametrata all’importanza e alla quantità delle informazioni trattate e una rotazione dei supporti adeguata per numero e affidabilità.

In uno studio professionale o in un’azienda di piccole dimensioni, in cui non vi sia un aggiornamento quotidiano dei dati, sono ritenuti indispensabili un salvataggio a settimana e la rotazione di almeno tre supporti, al fine di garantire che anche la perdita di uno di essi non comprometta più di quindici giorni di lavoro.

Alla crescita di importanza della realtà interessata, dei dati trattati o della frequenza di aggiornamento, deve ovviamente corrispondere un incremento dei salvataggi e un maggior numero di supporti.

Di vitale importanza, inoltre, la programmazione di una procedura per la riattivazione della piena operatività aziendale, anche presso altra struttura e con altri sistemi informatici, entro un termine prestabilito, avendo a disposizione almeno un supporto di backup.

Che cosa dice il Codice per la riservatezza dei dati personali. In Italia, le procedure di backup e disaster recovery sono espressamente previste dal Codice per la riservatezza dei dati personali, D.Lgs. 196/2003, e incluse tra le misure di sicurezza che ogni titolare del trattamento deve rispettare per non incorrere nelle pesanti sanzioni civili e penali previste dalla norma.

A ciò si aggiunga che, dal punto di vista civilistico e risarcitorio, il trattamento dei dati personali è considerato attività pericolosa ex art. 2050 cc (art. 15, D.Lgs. 196/2003), con conseguente inversione dell’onere della prova a carico del titolare, che dovrà dimostrare di aver adottato tutte le misure idonee a evitare che il danno si verificasse.

Dal punto di vista della tutela del bene giuridico, consistente nell’affidabilità dei sistemi di trattamento dei dati e, indirettamente, dell’economia e dell’ordine pubblico, i reati ipotizzabili a carico dei soggetti che hanno realizzato e divulgano programmi come Cryptolocker sono quelli di diffusione di programmi destinati a danneggiare dati e informazioni (art. 615 quinquies cp), di danneggiamento di dati e informazioni (art. 635) e di estorsione (art. 629 cp), oltre a ogni altro reato ravvisabile nelle specifiche condotte, variabili in base alle modalità concrete di aggressione (nel caso di un ospedale, ad esempio, si potrebbe ravvisare anche l’ipotesi di danneggiamento di dati e informazioni di pubblica utilità, di cui all’art. 635 bis cp).

Una pena da cinque a dieci anni di reclusione. Il reato di cui all’art. 615 quinquies cp si concretizza con la sola diffusione o messa a disposizione del virus, senza dover attendere la manifestazione del danno ai sistemi informatici o ai dati e programmi in essi contenuti.

È, quindi, sufficiente che il Ransomware sia stato inviato a una persona, o che anche un solo utente abbia raggiunto il server dal quale viene distribuito, per ritenere perpetrato il reato, che prevede fino a due anni di reclusione.

L’estorsione si considera consumata (ma anche il tentativo è punibile) nel momento in cui il programma ha raggiunto il suo scopo primario, che è quello di cifrare i dati contenuti nell’hard disk e visualizzare il messaggio con il quale viene chiesto il pagamento in cambio delle chiavi di decrittazione, sotto la minaccia di perdere i dati.

Il reato è considerato particolarmente esecrabile dall’ordinamento e comporta l’applicazione di una pena da cinque a dieci anni di reclusione.

Altrettanto prevedibile l’applicazione della sanzione di cui all’art. 635 del codice penale (da sei mesi a tre anni di reclusione), nell’ipotesi di tentativo o di consumazione del reato di danneggiamento di dati e informazioni presenti su un sistema informatico, consistente, nello specifico, nel rendere inservibili temporaneamente o definitivamente i dati sottoposti a cifratura dal Ransomware.

Anche l’amministratore di sistema e il titolare del trattamento dei dati sottoposti a cifratura, tuttavia, non possono dormire sonni tranquilli nell’ipotesi in cui non abbiano curato adeguatamente le misure di sicurezza dei sistemi informatici e dell’organizzazione che ha subito l’attacco informatico.

Ove dovesse rilevarsi, a seguito del danno subito dall’azienda e dai clienti della stessa, una mancata o inadeguata formazione del personale dipendente (il Ransomware, di solito, viene scaricato e attivato accidentalmente, in seguito all’utilizzo di un link contenuto in una email), ovvero una mancata o inadeguata adozione di misure di sicurezza, si applicherebbero, le sanzioni civili e penali previste dal D.Lgs. 196/2003, che prevedono fino a due anni di arresto e fino a 120.000 euro di sanzione amministrativa, a seconda delle responsabilità accertate.

Fonte: Sicurezza magazine

Jammer: chi disturba le frequenze radio?

Si chiama “jamming” l’atto di disturbare volontariamente una comunicazione radio mediante la trasmissione – sulla stessa frequenza e con la stessa modulazione – di un segnale che va a interferire con l’originale.

Con un “jammer” – disturbatore di frequenza – adatto a disturbare i sistemi GPS, si possono, ad esempio, inviare segnali in grado di determinare errori di posizionamento.

È noto l’inserimento di un tale codice di errore nel sistema GPS statunitense per le zone in cui evolvono crisi belliche e occorre impedire che gli armamenti possano sfruttare i satelliti per individuare e puntare gli obiettivi (una supremazia tecnologica che ha portato l’Europa a sviluppare un proprio sistema di localizzazione satellitare autonomo).

Ipotesi di guerre elettroniche che si affiancano a quella consistente nell’inviare segnali di interferenza a centraline di motori e sistemi di guida, provocandone il malfunzionamento (ipotesi che furono formulate dagli inquirenti durante le indagini sull’incidente mortale di Lady Diana e Dodi Al Fayed, il 31 agosto 1997, in Francia, e in occasione del disastro aereo che coinvolse il volo di linea della Trans World Airlines New York – Roma del 17 luglio 1996, precipitato nei pressi di Long Island 12 minuti dopo il decollo).

I disturbatori di frequenza, con la crescita del mercato dell’elettronica e la riduzione di costi determinata dalle economie di scala, sono oggi alla portata di un qualsiasi cittadino che abbia intenzione di spendere qualche centinaio di euro per dotarsi di uno strumento semi-professionale.

Ovviamente, non si tratta di dispositivi idonei a scenari di guerra elettronica ma di strumenti normalmente utilizzati per difendere la riservatezza delle comunicazioni interpersonali, rendendo inefficaci eventuali microspie destinate all’intercettazione ambientale.

I bomb jammers. Non esiste un apparecchio in grado di disturbare tutte le frequenze disponibili, ma sono reperibili sul mercato, da parte di enti pubblici e istituzioni, i cosiddetti “bomb jammer”, utilizzabili per occupare le frequenze maggiormente utilizzate per le comunicazioni civili.

Oltre che per una comprensibile limitazione di natura etica, i bomb jammer non possono essere acquistati e utilizzati dai comuni mortali per difficoltà di carattere economico e tecnico.

Il costo per i modelli più performanti può superare i 100.000 euro e la loro configurazione e attivazione richiede personale esperto, con competenze certamente non alla portata di qualsiasi cittadino.

Inoltre, le dimensioni e il peso non consentono di annoverarli certamente tra i dispositivi portatili (sono trasportabili ma tramite zaini di dimensioni generose, comunque non in grado di nasconderne le grandi antenne).

Dato che inibire la maggior parte delle frequenze esistenti non ha senso per l’utilizzo che può farne un’azienda (ad esempio, per tutelare riunioni riservate da intercettazioni ambientali o impedire che vengano utilizzati i telefoni radiomobili durante un evento a numero chiuso) o un privato (ad esempio, un professionista che deve mantenere riservate le conversazioni con i propri clienti), è sufficiente per l’uso civile l’acquisto di un dispositivo portatile, del costo di poche centinaia di euro.

La potenza di tali dispositivi si misura in Watt, quindi si può semplicisticamente sostenere che a un valore più elevato corrisponda un raggio di azione superiore.

In realtà, sono necessarie altre condizioni per garantirne il funzionamento, dato che, ad esempio, il surriscaldamento è uno dei principali motivi di malfunzionamento degli apparati di disturbo ed è, quindi, importante la produzione con componenti di qualità.

Di certo, a parità di qualità della componentistica, una maggiore potenza in Watt coincide con un raggio di azione più ampio.

La potenza del segnale. Occorre considerare anche la potenza del segnale da oscurare poiché, per ottenere la sovrapposizione, lo jammer deve essere in grado di generare un segnale almeno di pari potenza.

A esempio, per impedire a un telefono cellulare di comunicare, è sufficiente acquistare un dispositivo portatile che sia in grado di oscurare le frequenze 800, 900, 1800, 2100, 2600 Mhz (frequenze GSM, 3G, LTE), il quale, tuttavia, non sarebbe pienamente utilizzabile negli Stati Uniti e in Sudamerica, dove le frequenze sono ad 850 – 1900 Mhz.

Inibire la comunicazione in un’area specifica come una sala riunioni, inoltre, è obiettivo diverso dal proteggere una sala conferenze.

Nel primo caso, il dispositivo dovrà essere dotato di antenne omnidirezionali, per creare un’area di disturbo circolare di 360 gradi.

Nell’ipotesi di una sala conferenze, invece, sarà più efficace un’antenna monodirezionale, poiché solo i telefoni delle persone che sono di fronte al relatore dovranno subire l’influsso del dispositivo jammer.

Un breve riepilogo delle frequenze più utilizzate semplifica l’individuazione delle diverse tipologie di jammers utilizzabili per le varie situazioni in cui è necessario garantire la riservatezza delle informazioni.

Le frequenze VHF e UHF, abitualmente dedicate al segnale radiotelevisivo, sono utilizzate anche da microspie e radiocomandi, per comunicare con le rispettive centraline.

Le frequenze telefoniche già descritte sono utilizzate anche da tutti gli apparati che possono disporre di una SIM, come i combinatori telefonici degli impianti di allarme, alcuni modelli di telecamere IP, alcune tipologie di localizzatori GPS e, ovviamente, diversi tipi di microspie.

Le frequenze GPS vengono utilizzate da un qualsiasi dispositivo che abbia un’antenna GPS integrata o che possa collegarsi a un sistema GPS ed estrarne i dati relativi alla localizzazione.

Le frequenze Wifi e Bluetooth vengono utilizzate per la maggior parte dei modelli di router e smartphone, oltre che da autoradio, computer, tablet, notebook, cuffie senza fili ecc.

Sono ormai così diffuse che, nei condomini, le frequenze sono sature e solo i modelli più potenti riescono effettivamente a trasmettere.

Le frequenze radio alte – da 2.600 a 5.900 Ghz – vengono infine utilizzate per impianti di videosorveglianza e radio-allarme, microspie, radiocomandi, smartphone e router wifi di fascia alta.

Che cosa dice la Legge. Giuridicamente, i disturbatori di frequenze sono riconducibili agli impianti idonei a interrompere o impedire comunicazioni telefoniche o telematiche, previsti dagli articoli 617 e seguenti del Codice Penale.

La Commissione Europea si è pronunciata nel 2002 sul quesito posto da uno degli stati membri, concludendo per la sostanziale inadeguatezza di tali apparati a risolvere i problemi legati alla necessità di impedire le comunicazioni tra apparati radi, ma senza che a tale risposta (Interrogazione parlamentare Ue E-2651/02 – Sistemi di disattivazione dei telefoni cellulari) abbia poi fatto seguito un provvedimento vincolante.

Deve quindi ritenersi che non sia penalmente rilevante il possesso dell’apparato, ovviamente, come non lo è quello delle telecamere di videosorveglianza, ma l’utilizzo che se ne fa, in relazione al soggetto passivo della condotta.

Occorre, cioè, valutare l’elemento soggettivo del reato (cioè l’intenzione della persona che installa e fa funzionare un disturbatore di frequenze) e il ruolo del soggetto che subisce gli effetti della condotta, oltre alla sua consapevolezza di quanto sta accadendo.

In una sala conferenze, ad esempio, il relatore potrebbe avere la necessità di non far trapelare all’esterno le informazioni date ai suoi ascoltatori prima del termine dell’incontro, per i più svariati motivi.

L’utilizzo di un disturbatore di frequenze, dal punto di vista soggettivo, potrebbe quindi essere ritenuto lecito, ma sempre dopo aver avvisato i presenti dell’attivazione dello stesso, facendo loro prudentemente sottoscrivere una liberatoria al momento dell’accesso.

Lo jammer, infatti, ha il pregio di impedire la comunicazione all’esterno di informazioni riservate, ma ha anche il difetto di non consentire la ricezione delle chiamate, incluse quelle importanti o addirittura di emergenza.

Il soggetto che subisce l’effetto del disturbatore di frequenze, pertanto, deve necessariamente essere informato della sua presenza e attivazione. Anche per evitare eventuali richieste di risarcimento danni.

Il testo dell’articolo 617 (conforme a quello dell’art. 617 quater, relativo alle comunicazioni elettroniche) recita testualmente “Chiunque, fuori dei casi consentiti dalla legge, installa apparati, strumenti, parti di apparati o di strumenti al fine di… …impedire comunicazioni o conversazioni telegrafiche o telefoniche tra altre persone è punito…”

La condotta ritenuta illecita è quindi quella di installare apparecchi (non detenere) che hanno come scopo quello di impedire o intercettare l’attività di comunicazione, fatti salvi i casi stabiliti dalla legge (quale, ad esempio, l’autorizzazione del Giudice per le Indagini Preliminari al Pubblico Ministero, per effettuare delle intercettazioni a carico degli indagati).

Nell’uso per scopi privati, poiché la legge – art. 50 cp, in relazione ai diritti disponibili – ritiene non punibile chi lede o mette in pericolo un diritto con il consenso della persona offesa, postulando la rilevanza dell’autonomia privata anche in campo penale, devono ritenersi leciti l’installazione e il funzionamento di un sistema di disturbo delle frequenze dopo l’acquisizione del consenso dell’interessato

Del resto, i successivi artt. 617 bis (dal quale trae spunto il 617 quinquies per le comunicazioni elettroniche) e 617 ter (idem per l’art. 617 sexies) confermano che le condotte penalmente rilevanti sono quelle caratterizzate da un comportamento dannoso nei confronti della persona offesa, inconsapevole o incapace di difendersi e comunque contraria all’uso dei sistemi.

Gli artt. 617 ter e sexies pongono particolare attenzione al dolo specifico consistente nel ricavare ingiusto profitto o nel determinare altrui danno con la condotta illecita.

Fonte: Sicurezza magazine