Le aziende non denunciano i crimini informatici

Lo afferma la Polizia Postale, secondo cui si parla poco e si subisce molto

Roma - I dati della Polizia Postale parlano chiaro: nei primi quattro mesi di quest'anno le imprese italiane hanno denunciato alle autorità 44 crimini informatici. Un numero che sarebbe però ben al di sotto di quello delle aggressioni e incursioni elettroniche realmente accadute.

Domenico Vulpiani, direttore della Polizia Postale, ha spiegato che si osserva "un velo di omertà" da parte di quelle aziende che dopo essere state colpite da attacchi informatici hanno deciso di non rendere pubblica la cosa. Per Vulpiani questa situazione rende difficile la definizone di "un quadro complessivo del fenomeno".

La situazione non era diversa nel 2001 quando, stando ai dati della Polizia Postale, sono stati denunciati 150 reati informatici che hanno portato alla denuncia di 600 persone.
TAG: cybercops
21 Commenti alla Notizia Le aziende non denunciano i crimini informatici
Ordina
  • in italia non abbiamo veri hacker ma bensi lameroni del xazzo eeheheheh che cercano di bucare con tecniche e sistemi operativi che non hanno niente a che vedere con i sistemi di intrusione...
    ma è anche vero che ci sono delle eccezioni...
    la polizia postale non riesce a gestire tale fenomeno anche per il semplice motivo che malgrado i loro consulenti esterni non sono in grado di arginare il problema relativo ai crimini informatici ce da dire che il garante delle telecomunicazioni da parte sua insieme al governo ha emanato leggi obsolete e piene di scappatoie ed in ogni modo i tempi burocratici per i processi sono enormi che se veramente un hacker in italia buca qualcosa di grosso ha tutto il tempo per emigrare eeeeehehehehehehehehehhehe
    io parlo per esperienza diretta un accusa di crimine per reati informatici afflittami nel gennaio scorso con indagini iniziate un'anno prima è ancora tutto da chiarire.... ehheheheheh
    quindi posso francamente dire che la competenza in materia da parte dello Stato è zero...
    anche perchè i veri crimini che si commettono non sono mai visti dagli organi competenti...
    mi riferisco a transazioni economiche ecc... ecc..
    by rovinirovi alias wabaa
    non+autenticato

  • Domanda: come fa Vulpiani a dire che esistono aziende che essendo state vittima di attacchi non han reso pubblica la cosa?
    Vorrei capire come fa lui ha sapere qualcosa che una azienda non rende pubblico? Ha degli agganci nei servizi segreti o dei delatori in tutte le aziende italiane?

    Ande' a lavura' barbun!
    non+autenticato
  • Non si tratta di omertà. E' che è inutile. Si perde solo tempo tra scartoffie, bolli, file lunghe di ore e interlocutori incompetenti.

    Ciao.
    non+autenticato
  • Concordo.

    Anche se a volte l'incompetenza è dall'altro lato.
    non+autenticato
  • apro volutamente un nuovo thread, l'unico post esistente nasce gia' male e senza possibilita' di discussione.

    Non sono le ragioni piu' istintive (pirateria interna, sottovalutazione delle attivita' online, perdita d'immagine) che spingono a NON denunciare questo tipo di reati.

    Una mia macchina aziendale (un webserver supplementare) e' stata bucata lo scorso anno, senza pero' effettuare visibili defacement. Ed era difesa ragionevolmente, non era un IIS installato di default Occhiolino

    La ragione per la quale NON ho denunciato alla postale questo reato e' perche' ritengo la pena, in caso di condanna dell'eventuale responsabile, troppo pesante. Inoltre, trattandosi di diritto penale, la denuncia non puo' essere ritirata e si arriva comunque in tribunale, anche se esiste qualsiasi attenuante (test da parte dell'ISP, e' il figlio del capo, chiede scusa e si pente, aveva sbagliato target Occhiolino

    Per un ragazzo di vent'anni farsi qualche mese in galera e' deleterio per la sua personalita'. Non dico che non debba essere _responsabilizzato_ per questa azione, quanto piuttosto che per un ragazzo tecnologicamente intraprendente il venire sbattuto in galera (con tutte le aggravanti del caso, dalla fedina penale sporca alla possibilita' di prendere qualche malattia o essere seviziato eccetera) e' decisamente grave. Avete mai visto _davvero_ un carcere, non dico in televisione o nei film?

    Per questa ragione, e dopo una accesa discussione, ho preferito ripristinare il server, ed ho iniziato l'analisi dell'effrazione. Purtroppo i cracker erano molto ingenui ed alle prime armi, per cui sono riuscito a ricostruire l'accaduto, arrivando a capire chi era il colpevole. Al quale ho, in modo molto discreto ed informale, fatto capire che lo avevo sgamato, che non era cosi' in gamba per quanto fosse presuntuoso, che avrebbe rischiato una condanna grave (ed entrambi sapevamo cio' di cui si parlava). Ed al quale ho consigliato di rivolgere altrove la sua competenza tecnica e la sua "creativita'", non ci sarebbe stata una seconda volta.

    La mia "indagine", fatta a tempo perso, e' durata circa un paio di mesi, risalendo dalle tracce lasciate sul server.

    Pensate forse che la postale possa e voglia dedicare tante risorse umane (che non siano solo il chiedere i log delle reti anche estere attraversate) per operazioni di basso profilo e senza un beneficio per la loro immagine? Azioni quotidiane che non culminano con una intervista televisiva al Rapetto catodico che gongola per la SUA tolleranza zero, mentre secondo me la GdF invece di prendersela coi ragazzini dovrebbe fare il suo VERO lavoro.

    Se cosi' non e', e vogliono anzi chiedono di agire contro questi reati e/o tentativi di reato, sara' mia premura segnalare loro un estratto di error.log dove ogni giorno ricevo una ventina di tentativi di unicode (script kiddies, apache non ci casca) e ricordare loro che sono obbligati ad indagare su ogni IP sospetto. Anzi, vorrei segnalare a tutti di dare loro modo di poter indagare facendo lo stesso aprendo migliaia di inchieste (inutili) contro quelli che loro si ostinano a considerare reati, come ad esempio i portscan che gia' loggo ed agisco automaticamente di conseguenza.

    Il danno d'immagine e' decisamente trascurabile, non ritengo sia la componente piu' importante. Forse per un amministratore delegato che pensa piu' ai soldi ed al suo piccolo guadagno che alla gente, ma per chi come me invece ritiene la persona al di sopra di ogni interesse economico, ecco che la scala di valori si ribalta.

    Roberto Odoardi, odo@micronet.it
    non+autenticato


  • - Scritto da: R.Odoardi
    > apro volutamente un nuovo thread, l'unico
    > post esistente nasce gia' male e senza
    > possibilita' di discussione.
    >
    > Non sono le ragioni piu' istintive
    > (pirateria interna, sottovalutazione delle
    > attivita' online, perdita d'immagine) che
    > spingono a NON denunciare questo tipo di
    > reati.
    >
    > Una mia macchina aziendale (un webserver
    > supplementare) e' stata bucata lo scorso
    > anno, senza pero' effettuare visibili
    > defacement. Ed era difesa ragionevolmente,
    > non era un IIS installato di default Occhiolino
    >
    > La ragione per la quale NON ho denunciato
    > alla postale questo reato e' perche' ritengo
    > la pena, in caso di condanna dell'eventuale
    > responsabile, troppo pesante. Inoltre,
    > trattandosi di diritto penale, la denuncia
    > non puo' essere ritirata e si arriva
    > comunque in tribunale, anche se esiste
    > qualsiasi attenuante (test da parte
    > dell'ISP, e' il figlio del capo, chiede
    > scusa e si pente, aveva sbagliato target Occhiolino
    >
    > Per un ragazzo di vent'anni farsi qualche
    > mese in galera e' deleterio per la sua
    > personalita'. Non dico che non debba essere
    > _responsabilizzato_ per questa azione,
    > quanto piuttosto che per un ragazzo
    > tecnologicamente intraprendente il venire
    > sbattuto in galera (con tutte le aggravanti
    > del caso, dalla fedina penale sporca alla
    > possibilita' di prendere qualche malattia o
    > essere seviziato eccetera) e' decisamente
    > grave. Avete mai visto _davvero_ un carcere,
    > non dico in televisione o nei film?
    >
    [CUT]>
    > Roberto Odoardi, odo@micronet.it

    Complimenti per l'analisi e la reazione assolutamente corretta.
    Penso anch'io che buona parte degli attacchi siano fatti da ragazzi che vogliono provare e dimostrare agli amici ed a se stessi le loro "competenze" informatiche.
    Ed assolutamente esagerate,e qui è la legge troppo semplicistica ed incompetente, le pene correlate.
    Io ho sempre suggerito alle aziende con una struttura server interna, di tenersi i log;se c'è
    da qualche parte un vero genietto è molto piu' proficuo assumerlo che denunciarlo Sorride
    Sono ben altre le cose da denunciare..
    Finalmente qualcuno che prima di parlare (o di muovere le dita sulla tastiera) si collega al proprio cervello.
    Ciao
    non+autenticato
  • > La ragione per la quale NON ho denunciato
    > alla postale questo reato e' perche' ritengo
    > la pena, in caso di condanna dell'eventuale
    > responsabile, troppo pesante. Inoltre,
    > trattandosi di diritto penale, la denuncia
    > non puo' essere ritirata e si arriva
    > comunque in tribunale, anche se esiste
    > qualsiasi attenuante (test da parte
    > dell'ISP, e' il figlio del capo, chiede
    > scusa e si pente, aveva sbagliato target Occhiolino
    >

    Resta il fatto che il ragazzo (o presunto tale) HA COMMESSO UN REATO. Magari la pena è esagerata; ma HA COMMESSO UN REATO. E lui LO SAPEVA.
    Magari hai ragione, ma non è compito tuo valutare l'impatto psicologico su un ragazzo (o presunto tale).
    HA COMMESSO UN REATO e dovrebbe essere PUNITO come se fosse passato col rosso o avesse fatto una rapina a mano armata.
    Al resto penserà il giudice. E' pagato apposta....
    Non è possibile continuare a sottovalutare un crimine informatico, rispetto a un crimine non.
    La legge è uguale per tutti.

    non+autenticato
  • - Scritto da: Webmaster
    > > La ragione per la quale NON ho denunciato
    > > alla postale questo reato e' perche'
    > ritengo
    > > la pena, in caso di condanna
    > dell'eventuale
    > > responsabile, troppo pesante. [...]
    > Resta il fatto che il ragazzo (o presunto
    > tale) HA COMMESSO UN REATO. Magari la pena è
    > esagerata; ma HA COMMESSO UN REATO. E lui LO
    > SAPEVA.

    se e' effettivamente entrato nel tuo computer ok.

    ma se ha fatto magari solo un portscan?
    e se voleva fare un portscan ad un amico (con la sua autorizzazione) e ha sbagliato ip?
    e se era qualcuno che faceva test per conto del tuo ISP?

    > Magari hai ragione, ma non è compito tuo
    > valutare l'impatto psicologico su un ragazzo
    > (o presunto tale).
    > HA COMMESSO UN REATO e dovrebbe essere
    > PUNITO come se fosse passato col rosso o
    > avesse fatto una rapina a mano armata.

    il problema e' che se qualcuno passa col rosso in una stada deserta, senza rischiare di fare del male a nessuno commette comunque un'infrazione, paga (giustamente) una multa proporzionata; chi fa una rapina a mano armata commette un reato ben peggiore e paga si piu'.
    con i crimini informatici e' come se si pagasse quasi allo stesso modo per essere passati con il rosso e per aver fatto una rapina a mano armata...

    > Al resto penserà il giudice. E' pagato
    > apposta....

    il giudice fa quello che puo', ma se la legge prevede una pena minima non puo' andare al di sotto di quella, anche se la maggior parte degli addetti ai lavori la considerano eccessiva...

    > Non è possibile continuare a sottovalutare
    > un crimine informatico, rispetto a un
    > crimine non.

    ma non bisogna neanche fare la cosa opposta e sopravvalutare i crimini informatici rispetto a quelli non informatici

    > La legge è uguale per tutti.

    e allora perche' chi ruba via computer e' punito piu' di chi ruba con mezzi tradizionali?
    non+autenticato
  • >
    > se e' effettivamente entrato nel tuo
    > computer ok.
    >
    > ma se ha fatto magari solo un portscan?
    > e se voleva fare un portscan ad un amico
    > (con la sua autorizzazione) e ha sbagliato
    > ip?
    > e se era qualcuno che faceva test per conto
    > del tuo ISP?

    E allora ? Cambia qualcosa ? Eppoi, scusa, avvertire la Polizia Postale non è mica mettre uno in galera! Dopo i dovuti accertamenti, la cosa si sarebbe risolta....

    > il problema e' che se qualcuno passa col
    > rosso in una stada deserta, senza rischiare
    > di fare del male a nessuno commette comunque
    > un'infrazione, paga (giustamente) una multa
    > proporzionata; chi fa una rapina a mano
    > armata commette un reato ben peggiore e paga
    > si piu'.
    > con i crimini informatici e' come se si
    > pagasse quasi allo stesso modo per essere
    > passati con il rosso e per aver fatto una
    > rapina a mano armata...

    Sicuro ? E poi chi lo dice ?
    Hai idea delle centinaia di milioni di che costa un intrusione informatica ? Solo il tempo che ci perde un webmaster a "inseguire" la sicureza, i tentativi, i portscan ecc...
    ...e i virus ? Hai idea di quanto COSTA ripristinare i dati di un PC ? Il tempo perso ?
    E chi lo paga tutto questo ?

    >
    > il giudice fa quello che puo', ma se la
    > legge prevede una pena minima non puo'
    > andare al di sotto di quella, anche se la
    > maggior parte degli addetti ai lavori la
    > considerano eccessiva...

    Si, anche per me 60? di multa per un rosso alle 2 di notte su due strade deserte bucato a 10 all'ora mi sembrano tante.....

    non+autenticato


  • - Scritto da: Webmaster
    > >
    > > se e' effettivamente entrato nel tuo
    > > computer ok.
    > >
    > > ma se ha fatto magari solo un portscan?
    > > e se voleva fare un portscan ad un amico
    > > (con la sua autorizzazione) e ha sbagliato
    > > ip?
    > > e se era qualcuno che faceva test per
    > conto
    > > del tuo ISP?
    >
    > E allora ? Cambia qualcosa ? Eppoi, scusa,
    > avvertire la Polizia Postale non è mica
    > mettre uno in galera! Dopo i dovuti
    > accertamenti, la cosa si sarebbe risolta....

       Ma avverti chi??? La polizia postale?
       Perche' qualcuno, magari di qualche altro paese,
       ti ha fatto solo 'no portscan?
       Ma andiamo su, siamo seri! Occhiolino
       Ciao
    non+autenticato
  • - Scritto da: Webmaster
    > [...]
    > E allora ? Cambia qualcosa ? Eppoi, scusa,
    > avvertire la Polizia Postale non è mica
    > mettre uno in galera! Dopo i dovuti
    > accertamenti, la cosa si sarebbe risolta....

    se tu fai la denuncia (e non la puoi ritirare) credo che si debba comunque arrivare al processo...

    > Sicuro ? E poi chi lo dice ?
    > Hai idea delle centinaia di milioni di che
    > costa un intrusione informatica ? Solo il
    > tempo che ci perde un webmaster a
    > "inseguire" la sicureza, i tentativi, i
    > portscan ecc...

    il costo per la sicurezza (webmaster??? non dovrebbe essere un amministratore di sistema ad occparsene???) e' indipendente dall'attacco: e' un costo da sostenere che l'attacco ci sia o non ci sia (e quindi non e' giusto farlo pagare al ragazzino che ti ha fatto un portscan...)

    se poi il sistema e' ben protetto, si puo' fare in modo che provveda ai portscan in modo quasi automatico (basta un firewall configurato bene...) e per quello che riguarda i tentativi da script kiddies basta prenderne atto e riderci sopra

    a quel punto l'unica cosa della quale bisogna preoccuparsi sono gli attacchi seri, ma quelli sono decisamente meno frequenti...

    > ...e i virus ? Hai idea di quanto COSTA
    > ripristinare i dati di un PC ? Il tempo
    > perso ?

    dipende da come e' organizzato il sistema: se ci sono delle buone policy di sicurezza non dovrebbero esserci la maggior parte dei virus e se c'e' un buon sistema di backup ripristinare i dati e' una cosa magari non istantanea, ma abbastanza meccanica...

    certo che se in un'azienda si perdono dei dati e si scopre che l'ultimo backup e' stato fatto un anno prima... (appena successo a dei miei conoscenti)

    > E chi lo paga tutto questo ?

    per i virus piu' diffusi potrebbe pagare chi ha causato l'infezione: o l'amministratore che non ha stabilito una buona policy di sicurezza o l'impiegato che l'ha trasgredita aprendo l'allegato di quell'e-mail che prometteva donne discinte...

    per il resto: quando si decide di usare un sistema informatico bisogna tener conto del fatto che va mantenuto sicuro: se si decide che il costo e' eccessivo tanto vale andare avanti a carta e penna...

    per quello che riguarda invece il costo per il ripristino di un sistema dopo un'intrusione, dipende dall'entita' della stessa e da come e' organizzato il sistema: se si ha modo di accorgersi subito, si ha un buon backup e l'intruso non ha fatto danni, ma solo curiosato un po' (senza accedere ai dati riservati, che ovviamente sono ben piu' protetti del sito web... vero...), bastano meno di un paio di ore e il sistema e' come nuovo, se l'intruso e' entrato per fare danni ed e' riuscito a farli e' tutta un'altra questione, ma in quel caso ben venga la denuncia...

    > > il giudice fa quello che puo', ma se la
    > > legge prevede una pena minima non puo'
    > > andare al di sotto di quella, anche se la
    > > maggior parte degli addetti ai lavori la
    > > considerano eccessiva...
    > Si, anche per me 60? di multa per un rosso
    > alle 2 di notte su due strade deserte bucato
    > a 10 all'ora mi sembrano tante.....

    andiamo... un rosso bucato e' potenzialmente pericoloso anche a quell'ora di notte e una multa non ti cambia sicuramente la vita... una denuncia penale per aver fatto poco piu' di un portscan, facendo perdere al piu' mezz'ora di tempo ad un amministratore ti puo' causare seri problemi... per cose di simile entita' dovrebbe essere sufficiente pagare i danni effettivamente causati... (50/100? nel caso in questione? se proprio l'admin e' ben pagato...)
    non+autenticato
  • Ma che è 'sta cazzata che il portscan è reato?
    A meno di non creare un DOS (cosa un tantino improbabile), il portscan non comporta effrazione né danneggiamento. Ergo non viola alcuna legge.

    Ciao,
    Luigi
    non+autenticato
  • - Scritto da: io
    > Ma che è 'sta cazzata che il portscan è
    > reato?
    > A meno di non creare un DOS (cosa un tantino
    > improbabile), il portscan non comporta
    > effrazione né danneggiamento. Ergo non viola
    > alcuna legge.

    eppure c'e' gente che minaccia di denunciare per un portscan, sostenendo che non puo' che avere fini illeciti e che equivale ad andare in giro per le strade cercando di aprire tutte le porte che si incontrano

    non so chi abbia ragione: a rigor di logica dovrebbe essere la prima ipotesi, ma di solito le leggi su argomenti informatici non si affidano molto alla logica...
    non+autenticato
  • Mai visti i ragazzini che guardano attraverso i finestrini dei BMW per vedere "quanto fà"? Tutti mariuoli colti in flagranza per tentato furto?
    Le leggi esistono e sono precise, semmai ci sono dei PM che pensano che l'Hard Disk contenga solo film porno per 'definizione'...

    Ciao,
    Luigi
    non+autenticato
  • - Scritto da: R.Odoardi
    > apro volutamente un nuovo thread, l'unico
    > post esistente nasce gia' male e senza
    > possibilita' di discussione.

    Il discorso è più che corretto, anche se ci sono un paio di 'grinze' che non mi piacciono.

    > Non sono le ragioni piu' istintive
    > (pirateria interna, sottovalutazione delle
    > attivita' online, perdita d'immagine) che
    > spingono a NON denunciare questo tipo di
    > reati.

    Secondo me sono anche queste. Non tutti i tecnici si fanno scrupoli di ordine morale nel non avvertire le forze dell'Ordine, ma tutti si fanno scrupoli nel tenere nascosto il fatto che sono stati bucati, la reputazione della ditta ne risente pesantemente. Tempo fa subimmo un attacco DOS che ci tenne la linea bloccata per una mezz'ora, feci l'errore di raccontarlo a un paio di persone... e dopo un paio di giorni qualcuno mi venne a chiedere se ci avevano bucato un server. Morale: anche se non è successo nulla troverai sempre quello che pensa che sia stato il finimondo, figuriamoci poi se veramente succede qualcosa, la reputazione della ditta va a ramengo.
    Senza contare che anche l'amministratore di rete è più che interessato a minimizzare quella che può essere vista come una prova della sua incapacità, e spesso succede che il buco venga scoperto dall'amministratore, che provvede a tapparlo senza che nessun altro lo venga a sapere.

    > Una mia macchina aziendale (un webserver
    > supplementare) e' stata bucata lo scorso
    > anno, senza pero' effettuare visibili
    > defacement. Ed era difesa ragionevolmente,
    > non era un IIS installato di default Occhiolino

    Qui non ci siamo: una macchina 'ragionevolmente difesa' non viene bucata da uno sprovveduto. Se esistono degli exploit scaricabili dal primo ragazzino che passa e la macchina non è immune a questi exploit non si può parlare di macchina 'ragionevolmente difesa', ma solo di macchina 'pericolosamente non seguita' dal suo amministratore. Onore al merito di aver rintracciato la persona che è entrata, resta però il fatto che mai e poi mai vorrei nella mia struttura un amministratore che considera 'ragionevolmente protetto' un server che viene bucato dal primo script kiddie che passa. Senza contare che comunque se la persona fosse stata un pelo più scafata avrebbe cancellato le tracce, perlomeno quelle dentro il server.

    > Anzi, vorrei
    > segnalare a tutti di dare loro modo di poter
    > indagare facendo lo stesso aprendo migliaia
    > di inchieste (inutili) contro quelli che
    > loro si ostinano a considerare reati, come
    > ad esempio i portscan che gia' loggo ed
    > agisco automaticamente di conseguenza.

    Da quando in qua i portscan sono reati? Se non vado errato a grandi linee la legge dice che commette reato chi si introduce in un sistema informativo altrui e ci rimane senza l'esplicita approvazione del su gestore, indipendentemente dal fatto che ne turbi il funzionamento o meno. Il caso dell'hacker della Rai ha anche posto il precedente che se il sistema non è 'ragionevolmente' protetto può essere inteso come di uso libero e quindi chi ci entra non è punibile. Un postscan non entra dentro al sistema, si limita a vedere quali porte sono aperte e non ci fa nulla, su questa base mi pare un po' azzardato considerarlo 'reato'.

    A parte questo, il discorso fila ma solo assumendo che chi ha bucato sia uno 'stupido' ragazzino che non ha idea di quello che sta facendo, e del 'costo' che comporta una revisione completa di tutta una rete di server per valutare   correttamente l'entità dell'intrusione. Se si è sicuri che sia solo uno script kiddie si può benissimo agire così, se non lo si è, o se si sospetta che l'attacco avesse ben altri fini, è giusto andarci giù a fondo.
    E non facciamo sentimentalismi dicendo che chi ha bucato il server è un genio incompreso: di 100 che lo fanno forse ce n'è uno veramente brillante, tutti gli altri si limitano a provare exploit scritti da altri, magari con l'idea che anche se verranno beccati troveranno in men che non si dica dei lavori strapagati da 'esperto di sicurezza': sarebbe innanzitutto 'questo' il mito da sfatare.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)