Security Specialist Courseware

Manuale di sicurezza informatica per la preparazione alla CompTIA Security+ certification

VOLUME TERZO
Capitolo 9: Prevenire la
perdita di dati

Proteggere l'azienda dalla perdita dei dati è un imperativo strategico.

Procedure ottimali per evitare la perdita dei dati aziendali:
1. Individuare quali sono i dati aziendali più sensibili
2. Sapere dove questi dati sono ubicati
3. Comprendere il proprio modello di rischio
4. Selezionare i controlli appropriati sulla base delle politiche aziendali,
dei rischi e della posizione di memorizzazione dei file
5. Gestire la sicurezza in modo centralizzato
6. Verificare la sicurezza per un miglioramento continuo
Implementando tali procedure, le aziende non solo migliorano la
protezione dei dati sensibili, ma proteggono anche i flussi di ricavi,
fidelizzano il cliente e soddisfano i requisiti normativi.

Il senso dell’espressione “disponibilità dei dati”, e dei rischi che possono

comprometterla, può apparire quasi intuitivo. Viene spontaneo pensare
alla possibilità che si guastino i dischi fissi, che la rete cessi di
funzionare, che si verifichi un black-out, che si guasti qualche altro
apparato vitale. Tuttavia, è necessario ricordare che, a livello tecnico,
l’espressione “disponibilità dei dati” ha un’accezione piuttosto ampia e
articolata che a volte sconfina anche in questioni collaterali. Vediamo
quali sono, anche attraverso qualche esempio. Innanzitutto
l’accessibilità. Il fatto che i dati esistano senza che sia possibile avervi
accesso non è di grande interesse. Per la disponibilità dei dati è quindi
necessario anzitutto assicurare che gli eventuali meccanismi di
3
protezione e di controllo degli accessi (dall’autenticazione del
richiedente, all’autorizzazione per mezzo di uno schema di permessi)
funzionino regolarmente e che i relativi database, che sono necessari
per il loro funzionamento, siano a loro volta accessibili e contengano
dati validi. Questi comprendono i database di chiavi crittografiche usate
per rendere sicuro il processo di autenticazione e accesso, quelli di
elenchi di utenti e relative password, nonché le Access Control List
(l’elenco dei diritti di accesso riconosciuti per una risorsa) e le Capability
List (tutti i permessi che sono attribuiti a un particolare utente o
processo). Sempre per garantire l’accessibilità dei dati è naturalmente
necessario che le connessioni di rete funzionino e siano affidabili, come
approfondiremo fra breve. Vi sono poi aspetti che riguardano
intrinsecamente i dati stessi, a cominciare dalla loro integrità. Non si
possono definire disponibili, infatti, dati che siano solo parziali, privi di
informazioni essenziali per il loro utilizzo. Per esempio, in un database
relazionale usato per modellare i dati di un istituto bancario, è del tutto
inutile che esistano la tabella A, con la situazione dei conti correnti e la
tabella B, dei dati anagrafici dei correntisti, se è andata perduta la
tabella C, che mette in relazione i correntisti con conti correnti. La
mancanza della tabella C rende di fatto inutili, e non disponibili, i dati
delle tabelle A e B. Anche se formalmente i dati sono accessibili e tutti
presenti, vi può essere tuttavia un problema di consistenza. Sempre
sulla falsariga all’esempio bancario, il fatto che formalmente siano
presenti le tabelle A, B e C non serve a nulla se la corrispondenza
espressa dalla tabella C fa riferimento a identificativi di conto corrente
oppure a codici cliente non corretti, ai quali non fa riscontro alcun conto
La garanzia di disponibilità dei dati, insieme all’ininterrotto e regolare
funzionamento dei processi aziendali, sono i pilastri della cosiddetta
"Business Continuity", intesa come la misura in cui un’organizzazione
riesce a garantirsi la stabilità ininterrotta dei sistemi e delle procedure
operative anche a fronte di eventi “eccezionali”. Tale risultato non è
realisticamente raggiungibile aggiungendo una “stratificazione” di rimedi
a processi e sistemi che di base sono fragili e vulnerabili: occorre
piuttosto progettarli in modo che siano intrinsecamente robusti e “fault
tolerant” ossia resistenti ai guasti. La Business Continuity è dunque il

4
risultato di una corretta pianificazione della gestione delle criticità (Crisis
Management), di un’accurata identificazione, valutazione e gestione dei
rischi (Risk Analysis, Assessment and Management), di processi
organizzativi e informatici progettati con criteri di ridondanza e
sicurezza, e di appropriate procedure di recupero dati in grado di fornire
un grado supplementare di protezione in caso di eventi eccezionali.
Naturalmente la sicurezza ha un costo proporzionale al livello di servizio
garantito, pertanto ogni organizzazione deve stabilire il livello di
compromesso tra il rischio d’interruzione dell’operatività e il costo delle
misure preposte a garantire la Business Continuity. Idealmente si
sarebbe portati a dire che non ci si può permettere di perdere alcun dato
e che non è tollerabile alcuna interruzione di servizio; purtroppo è assai
probabile che un simile livello di protezione abbia un costo proibitivo. Si
deve inoltre osservare che non tutte le applicazioni e i dati usati in
azienda sono ugualmente “mission-critical”. È quindi utile definire alcune
soglie ed è qui che torna utile definire due concetti, quello di Recovery
Time Objective (RTO) e quello di Recovery Point Objective (RPO). Il
Recovery Time Objective, riferito a un determinato sistema o processo
organizzativo, è un valore che indica il tempo -disponibile per il recupero
della piena operatività di quel sistema o processo. In altre parole è la
massima durata prevista o tollerata dell’eventuale downtime, ove questo
si verificasse. L’aspetto di primaria importanza è che un qualche valore
di RTO sia definito, conosciuto e verificato. Infatti, se è vero che un
downtime lungo danneggia l’organizzazione più di uno breve, il danno
peggiore deriva senza dubbio dal non avere alcuna idea precisa di
quanto tempo sarà disponibile per terminare il downtime quando si
verifica. Avere una soglia di RTO conosciuta e verificata permette se
non altro di reagire all’emergenza in modo ordinato e potendo contare
su un tempo massimo garantito prima del ritorno alla normalità. Una
misura utile per ridurre l’RTO consiste nel fare in modo che i dati siano
disponibili integralmente e “a caldo” in un sito secondario, che sia
immediatamente accessibile qualora il sito primario subisca
un’interruzione di servizio. Se l’RTO stabilisce un limite di tempo entro il
quale è atteso il ritorno alla normalità, l’RPO (Recovery Point Objective)
quantifica invece l’entità massima della perdita di dati che può essere

5
tollerata a seguito di un evento di crisi. Per rimanere dentro le richieste
imposte dall’RPO occorre, per esempio, che i dati vengano salvati e
replicati con immediatezza, con un minimo tempo di permanenza in
memoria volatile (come un buffer in RAM) o priva di protezione (come
un disco non ridondato). Una soluzione ben più idonea consiste però
nell’adozione di schemi di replicazione dei dati sulle unità a disco
(RAID), come vedremo tra poco. I valori di RPO ed RTO devono
risultare da un’analisi della struttura informatica nel suo complesso e il
loro diminuire porta progressivamente a una struttura sempre più critica.
Ad esempio, una struttura che disponga di un RTO alto può rimanere
inattiva senza problemi per un lungo periodi, al fine di consentire
riparazioni anche complesse. Una struttura con un RPO alto può invece
tollerare un numero alto di transazioni non ripristinate senza problemi.

Le cause che provocano la perdita di dati

Guasti degli hard disk

A causa di un mercato sempre alla ricerca di maggiori capacità e

prestazioni, vengono prodotti Hard Disk sempre più performanti in
termini di capienza e velocità a prezzi esponenzialmente decrescenti,
ovviamente perchè prodotti industrialmente. La produzione di massa li
ha trasformati da macchine di grande precisione a macchine
potenzialmente soggette a rotture. Di seguito i guasti più comuni per un
hard disk che portano alla necessità di un recupero dati.

Corruzionelogica.
Avviene a causa di errori logici nel file system. Informazioni di
distribuzione dei file sulla superfice del disco vengono a mancare o
subiscono una corruzione. Un esempio pratico è rappresentato dalla
disconnessione imprudente di un supporto USB collegato al sistema.

Corruzione magnetica.
Danneggiamento di settori logici della superfice magnetica del supporto
dovuta all´instabilità della superfice stessa. Gli hard disk di qualunque
produttore possono presentare settori danneggiati all´uscita della
fabbrica. Quando vengono a danneggiarsi settori in cui accede il
6
sistema operativo o il file system, la macchina può essere soggietta a
fallimento.

Guasto elettronico.
La maggiorparte dei guasti di hard disk è rappresentata da fallimenti
della infrastruttura elettronica. Possono danneggiarsi le PCB,
solitamente visibili all´esterno del disco, come il sistema di
preamplificazione del segnale delle testine (sensori GMR) interne. meno
comune, ma estremamente grave il danneggiamento di induttanze del
motore.

Corruzione firmware.
Gli hard disk oltre alla infrastruttura elettronica, dispongno di sofisticati
software interni le cui informazioni sono memorizzate in aree accessibili
solo dalla propria infrastruttura. Nel Firmware in generale sono
registrate:

-le smart
-i moduli di calibrazione
- le tabelle dei difetti
- il translator dell´area di servizio

Oltre a queste che sono le più importanti sono registrate innumerevoli

altre informazioni fondamentali per il funzionamento del hard disk.

Danneggiamento Sensori GMR.

I sensori GMR, denominati più comunemente testine induttive, sono
componenti interni di nanoprecisione che leggono e scrivono sulla
superfice magnetica dei piatti presenti all´interno degli hard disk. Questi
microsensori, sono estremamente fragili e soggetti a danneggiamenti.
Un urto dell´hard disk o un difetto di fabbricazione può compromettere
l´operatività delle testine e di conseguenza l´impossibilità di accedere ai
dati. Per vedere come funzionano i sensori GMR

Grippaggio Motore.
Il motore dell´hard disk non è altro che un comune motore elettrico. Sul
rotore sono montati i piatti, che ricoperti da una pellicola magnetica,
rappresentano il media di immagazinamento dei dati. Questo motore
che nei modelli più performanti può raggiungere i 15.000 giri al minuto,
può ovviamente gripparsi. Il grippaggio del motore rende i dati salvati
sull´hard disk completamente inaccessibili.
7
Danneggiamento superfice magnetica.
Il danno più grave e spesso irremediabile è rappresentato da abrasioni o
vere e proprie incisioni sulla pellicola magnetica presente sui piatti.
Ovviamente i settori presenti sulla superfice danneggiata non possono
essere recuperati in nessun modo, ma anche i settori circostanti
possono non essere recuperati a causa del daneggiamento che tali
abrasioni ed incisioni provocano sui sensori GMR. Statisticamente, solo
il 25% dei dischi che presentano tali danneggiamenti possono essere
recuperati, ma tali recuperi implicano un impegno in risorse umane e
pezzi di ricambio di molto superiori al normale.

Possiamo riassumere nel seguente elenco le cause che, più

frequentemente, causano la perdita dei dati aziendali:
 Problemi a livello di componenti hardware
 Virus
 Eliminazioni accidentali o dolose dei dati
 Incendi dolosi o dovuti a problemi elettrici
 Disastri naturali (temporali, inondazioni, terremoti)
 Interruzioni e sbalzi di corrente
 Furti e vandalismi

Backup
Per prevenire la perdita dei dati è opportuno attuare una serie di misure
di prevenzione che mirano a ridurre il rischio che si verifichino tali
incidenti. Prima fra tutte è la regolare attuazione della procedura di
salvataggio e ripristino dei dati: tali operazioni sono meglio conosciute
rispettivamente con il nome di backup e restore. Oltre a disporre di tutte
quelle tecnologie che realizzano l’alta disponibilità dei dati è necessario
attuare una strategia di protezione dei dati che includa un piano
completo di backup e ripristino per proteggere i dati da qualsiasi tipo di
interruzione o danno non previsto e che sia conforme a tutti i requisiti di
settore rilevanti per la memorizzazione dei dati. Dopo aver eseguito
un'analisi dettagliata dei requisiti aziendali e aver definito gli SLA

8
(Service Level Agreement) per ognuno dei servizi forniti dal CED, è
possibile esaminare gli aspetti tecnici della soluzione di backup e
ripristino. Durante la progettazione di una strategia di backup, si è tentati
probabilmente di eseguire un backup completo di ogni server
dell'ambiente. È necessario tuttavia tenere presente che l'obiettivo è
quello di ripristinare correttamente l'ambiente dopo un'interruzione o un
danno. Pertanto è consigliabile finalizzare la strategia di backup ai
seguenti scopi:

 I dati da ripristinare devono essere facilmente individuabili.

 Il ripristino deve essere quanto più rapido possibile.

Il backup indiscriminato di ogni server comporta il ripristino di un grande

volume di dati. Sebbene i prodotti di backup e di archiviazione su nastro
correnti consentano un rapido ripristino dei dati, questi possono
determinare un aumento dei tempi di inattività nel caso in cui sia
necessario ripristinare tutte le informazioni dal nastro. La maggior parte
dei prodotti di backup, ad esempio, richiede la procedura seguente:

 Reinstallazione del sistema operativo.

 Reinstallazione del software di backup.
 Ripristino del backup dal nastro.

Facciamo un esempio con il browser Mozzilla Firefox!

La posizione predefinita della cartella del profilo di Firefox è
%APPDATA%\Mozilla\Firefox\Profiles\xxxxxxxx.default\.

 %APPDATA% è una scorciatoia per la cartella C:\Users\<nome

utente>\AppData\Roaming\ (in Windows 7/Vista) o la cartella
C:\Documents and Settings\<nome utente>\Dati applicazioni\ (in
Windows XP/2000), che dipende dal nome utente utilizzato per
l'accesso a Windows.
 xxxxxxxx è una stringa casuale di 8 caratteri.
È possibile individuare la cartella del profilo seguendo queste istruzioni:

9
Windows 7 e Vista

1. Fare clic sul pulsante Start, e digitare

%APPDATA%\Mozilla\Firefox\Profiles\ nella casella di ricerca
posta accanto alla base del menu Start, senza premere Invio. # Un
elenco di profili apparirà in alto a sinistra nel menu Start. È
possibile fare clic su uno dei profili (ad esempio xxxxxxxx.default)
per aprirlo con Esplora risorse.

<img class="frameless "

src="/media/uploads/gallery/images/41c16b61bcc518ebcbdc4339347e5
fdc-1258914329-163-1.png"
alt="41c16b61bcc518ebcbdc4339347e5fdc-1258914329-163-1.png"
title="" />
Windows XP e 2000
10
1. Fare clic sul pulsante Start, e selezionare Esegui....

<img class="frameless "

src="/media/uploads/gallery/images/41c16b61bcc518ebcbdc43393
47e5fdc-1257532338-612-2.png"
alt="41c16b61bcc518ebcbdc4339347e5fdc-1257532338-612-
2.png" title="" />
2. Digitare %APPDATA%\Mozilla\Firefox\Profiles\ quindi fare clic su
OK.

<img class="frameless "

src="/media/uploads/gallery/images/41c16b61bcc518ebcbdc43393
47e5fdc-1257532338-612-3.png"
alt="41c16b61bcc518ebcbdc4339347e5fdc-1257532338-612-
11
 3.png" title="" /> Verrà aperta in Esplora risorse la cartella Profiles,
che contiene a sua volta le cartelle di ciascun profilo.
Effettuare un backup del profilo

Per effettuare il backup del profilo, è necessario per prima cosa

chiudere completamente Firefox e successivamente copiare la cartella
in un'altra destinazione:
1. Nella parte superiore della finestra di Firefox, fare clic sul pulsante
Firefox (menu File in Windows XP) e successivamente su Esci.
2. Individuare la cartella del profilo, come spiegato in precedenza.
3. Salire di un livello nella visualizzazione delle cartelle del profilo, ad
esempio %APPDATA%\Mozilla\Firefox\Profiles\
4. Con il clic destro sulla cartella del profilo (ad esempio
xxxxxxxx.default) selezionare Copia.
5. Con il clic destro sulla cartella in cui posizionare il backup (ad
esempio una pen-drive USB o un CD registrabile vuoto)
selezionare Incolla.
Ripristinare un backup del profilo

1. Nella parte superiore della finestra di Firefox, fare clic sul pulsante
Firefox (menu File in Windows XP) e successivamente su Esci.
2. Se la cartella del profilo esistente e quella del backup del profilo
hanno lo stesso nome, è sufficiente sostituire quella esistente con
il backup e riavviare Firefox.
Importante: perché questa procedura funzioni, i nomi delle cartelle
devono essere esattamente identici, inclusi gli 8 caratteri casuali. Se i
nomi sono differenti o se si vuole ripristinare il backup in una posizione
diversa dall'originale, leggere oltre.
Ripristinare in una posizione diversa
Se i nomi delle cartelle sono diversi o se si ha intenzione di spostare o
ripristinare un profilo in una posizione diversa, ecco i passi da seguire:
12
 1. Chiudere completamente Firefox come spiegato in precedenza.
2. Utilizzare il gestore dei profili di Firefox per creare un nuovo profilo
nella posizione desiderata e successivamente chiudere il gestore
dei profili.
Nota: se Firefox è stato appena installato su un nuovo computer è
possibile ignorare questo punto ed utilizzare il profilo predefinito creato
automaticamente invece di crearne uno nuovo.
3. Individuare la cartella principale del profilo sul disco fisso o sul
dispositivo di backup (ad esempio la pen-drive USB).
4. Aprire la copia salvata in precedenza del profilo (cioè la cartella
xxxxxxxx.default).
5. Utilizzando il menu contestuale, copiare tutto il contenuto della
cartella del profilo salvata - cioè il file mimeTypes.rdf, il file prefs.js,
la cartella bookmarkbackups, ecc. ecc.
6. Individuare a aprire la nuova cartella del profilo così come spiegato
precedentemente. Chiudere Firefox (se è ancora in esecuzione).
7. Utilizzando il menu contestuale, incollare il contenuto della cartella
del profilo salvata all'interno della nuova cartella sovrascrivendo i
file con lo stesso nome.
8. Avviare Firefox.

Maggiore è il numero di file sottoposti a backup, maggiore sarà il tempo

necessario per l'esecuzione del processo e, ancora più importante, per il
ripristino dei file. Se si verifica un danno, il tempo diventa un fattore
critico e di conseguenza il processo di ripristino deve essere quanto più
rapido possibile. I backup di notevoli quantità di dati eseguiti
regolarmente, inoltre, influiscono negativamente sulle prestazioni di rete,
a meno che venga stabilita una rete di backup dedicata.

13
La modalità di backup determina l'esecuzione del processo in relazione
ai dati da sottoporre a backup. Esistono due modalità di backup dei dati:

 Backup in linea: i backup vengono eseguiti mentre i dati sono

ancora accessibili agli utenti.
 Backup non in linea: i backup vengono eseguiti sui dati già resi
inaccessibili agli utenti.

Il backup su nastro, che rappresenta il media maggiormente usato per i

backup,offre diversi vantaggi quali:

 Consente un backup rapido e una memorizzazione a lungo

termine.
 Ha un'alta capacità di archiviazione.
 È meno costoso dei dischi magnetici e magneto-ottici.

Gli svantaggi, invece sono:

 Si deteriora più rapidamente ed è più soggetto a errori rispetto ai

dischi magnetici e magneto-ottici.
 Risulta difficile da configurare e mantenere, specialmente in una
configurazione SAN (Storage Area Network).
 Richiede la pulizia periodica delle unità.

14
Esistono varie tipologie di backup:

 Completo: acquisisce tutti i dati, inclusi i file di tutte le unità disco

rigido. Ogni file viene contrassegnato come sottoposto a backup;
 Incrementale: acquisisce tutti i dati modificati dopo il backup
completo o incrementale più recente. Per ripristinare un server, è
necessario utilizzare un nastro di backup completo,
indipendentemente dalla data di creazione, e tutte le serie
successive di backup incrementali
 Differenziale: acquisisce i dati modificati dopo l'ultimo backup
completo. Per eseguire un ripristino completo del sistema saranno
necessari un nastro di backup completo e il nastro del backup
differenziale più recente.

15
Ogni backup ha associato un file di log, indispensabile per ricostruire la
corretta sequenza di backup da ripristinare, che deve avere almeno le
seguenti informazioni:

 Data di backup
 Numero del nastro nel set
 Tipo backup
 Server di cui è stato fatto il backup
 File di cui è stato eseguito il backup
 Autore del backup

Un criterio che può essere eseguito prevede cicli settimanali in cui il

primo giorno della settimana viene effettuato il backup completo, gli altri
incrementali.

16
I gruppi di continuità
Un altro strumento per la prevenzione dalla perdita dei dati, a volte
sottovalutato, specie nelle piccole e medie realtà è rappresentato
dall’UPS(Uninterruptible Power Source) o gruppo di continuità. I gruppi
di continuità sono apparecchi da interporre tra gli elaboratori e
l'alimentazione di linea per assicurare al sistema così protetto una
alimentazione corretta, esente da disturbi di qualsiasi natura. E' quindi
evidente che gli UPS sono necessari in quanto la maggior parte delle
apparecchiature elettroniche è assai sensibile ad ogni imperfezione
dell'alimentazione elettrica. In particolare, l'evoluzione della tecnologia
costruttiva degli elaboratori, che si basa su logiche sempre più veloci,
tende ad accentuare la vulnerabilità dei sistemi rispetto a tutti i disturbi
della rete elettrica. Due sono le soluzioni possibili: impianto centralizzato
o distribuito. Nel caso dell'impianto centralizzato si sceglie un grande
UPS, di potenza adeguata a supportare l'intero sistema. Tale UPS, se di
grossa potenza (> 20-30 KVA) dovrà essere localizzato in un'apposita
17
sala adeguatamente ventilata. Si dovrà inoltre provvedere a stendere
una vera rete dedicata che va dall'UPS a tutti i sistemi di calcolo da
proteggere. E’ opportuno completare il sistema con un Gruppo
Elettrogeno in grado di intervenire ripristinando la corrente normale
(almeno dal punto di vista dell’UPS) ed evitando che l’UPS centralizzato
possa scaricare le batterie. Nell'impianto distribuito invece, tutte le
stazioni informatiche sono dotate di apposito UPS locale. La prima
tecnica è la più tradizionale ed anche la più spontanea. Il suo principale
vantaggio è costituito dalla semplicità concettuale e di gestione. Gli
svantaggi tuttavia sono molteplici. Il sistema così concepito è infatti
"rigido": ogni espansione del parco macchine richiederebbe la
sostituzione dell'UPS (a meno di non acquistare in partenza un UPS di
potenza superiore). Inoltre, nell'impianto centralizzato, ogni
inconveniente a livello di UPS fermerà l'intero sistema; tutti gli eventi a
valle dell'UPS, guasti o carichi impropri o eccessivi sulla linea protetta,
producono la caduta del sistema. Dal punto di vista economico c'è da
notare che l'impianto centralizzato richiede la realizzazione di una linea
elettrica dedicata. Tutti questi svantaggi vengono superati nell'impianto
"distribuito". Le economie di scala, oggi consentite dai gruppi di piccole
dimensioni, permettono di realizzare un impianto in modo competitivo,
dove ogni eventuale guasto resta localizzato alla stazione asservita. Se
l'UPS è provvisto di RS232, un software di comunicazione consente
l'interfacciamento con PC e server di rete. La funzione principale del
software è quella di segnalare a tutte le postazioni connesse in rete
eventuali situazioni di emergenza dovute ad eventi elettrici e la gestione
di un corretto shutdown dell'intero sistema. Oggi è però possibile avere
anche informazioni su tutte le grandezze elettriche in gioco, è possibile
consultare uno storico degli eventi elettrici degli ultimi x giorni o
programmare l'accensione e lo spegnimento automatico del sistema
giorno per giorno per tutta la settimana e monitorare l'UPS da una
postazione remota via internet.

18
Le tecniche delle server farm
Altre tecniche che consentono la prevenzione dalla perdita dei dati
consistono nell’utilizzare delle tecnologie che assicurano la cosiddetta
alta disponibilità o affidabilità dei servizi offerti dalla server farm . Quelle
più usate sono:

 Sistemi RAID
 SAN (Storage Area Network )
 Cluster di server

Storage Area Network

Le San rappresentano una soluzione molto applicata in ambienti di
medio-grandi dimensioni e consistono in vere e proprie reti con apparati
attivi dedicati che contengono grandi quantità di storage (in genere
formate da array di dischi in configurazione RAID) aventi lo scopo di
memorizzare i dati di tutti i server appartenenti all’azienda. Oltre allo
storage array ed agli apparati attivi, in genere collegati tra loro da
connessioni in fibra ottica, nella SAN sono inserite delle librerie a nastri
veloci (tape library) che hanno il compito di effettuare a loro volta il
backup dello storage array.

Clustering
Un cluster di server è un gruppo di sistemi indipendenti, denominati
nodi, che interagiscono come un sistema unico allo scopo di garantire ai
client la costante disponibilità delle applicazioni e delle risorse di
importanza strategica. Il clustering consente a utenti e amministratori di
accedere e gestire i nodi come fossero un solo sistema anziché
computer distinti. Un cluster di server può comprendere fino a otto nodi
e può essere configurato in tre modi diversi: come cluster di server a
nodo singolo, come cluster di server a periferica quorum singola o come
cluster di server a maggioranza dei nodi. Il Cluster ha un unico indirizzo

19
pubblico sulla rete aziendale. Ogni nodo ha propri processori, memoria
Ram e di Massa, ma tutti i nodi hanno accesso ad una memoria di
massa condivisa. In un cluster di server vengono eseguiti numerosi
componenti software, classificabili in due categorie generali: software
che consente il funzionamento del cluster, o software di cluster, e
software che consente di amministrare il cluster, o software di
amministrazione.

RAID
Esistono alcune tecniche di controllo dei dischi che migliorano
l'affidabilità operando in modo trasparente. La gestione dei dischi
denominata RAID (Redundant Array of Independent Disks) mira a
prevenire i danni e a favorire il recupero automatico dei dati.RAID indica
un complesso meccanismo di memorizzazione che utilizza più dischi
fissi con l'obiettivo di aumentare le prestazioni della memoria di massa
20
in termini di velocitàe/o di affidabilità. In particolare i miglioramenti di
affidabilità consentono in alcuni tipi di RAID di recuperare
automaticamente e in modo trasparente alcuni errori hardware. Le
diverse tipologie RAID combinano alcuni meccanismi base:

 Striping, una tecnica di miglioramento della velocità di

lettura/scrittura che consiste nello spalmare i dati di un blocco in
più dischi. Il blocco viene diviso in n sottoblocchi,ognuno dei quali
è memorizzato su un disco diverso e ogni lettura innesca n letture
(da n dischi), riducendo il tempo di trasferimento e di latenza.
Questa tecnica di per sé nonincide sulla resa dei dischi poiché non
inserisce informazioni di controllo.
 Mirroring, in cui ogni disco viene duplicato e dunque esiste una
copia di sicurezzadi ogni informazione. Il mirroring, oltre ad
aumentare l'affidabilità, consente l'uso in parallelo dei dischi in
lettura. Non migliorainvece le prestazioni in scrittura. Le copie
vengono gestite direttamente dal sistema, per cui utente e
amministratore vedono unasola istanza del file. Il mirroringprevede
una ridondanza totale delle informazioni che dimezza la resa dei
dischi.
 I blocchi di parità, che consentono di ricostruire porzioni di
informazioni andateperse a causa di errori. I blocchi di parità sono
blocchi utilizzati per memorizzare informazioni riassuntive
(calcolate da apposite funzioni matematiche) sugli n blocchi
precedenti e non possono quindi garantire ridondanza totale. Per
questo motivo non recuperano da qualunque tipo di difetto, ma
solo da errori circoscritti. La ridondanza incide però molto meno
del mirroringsulla resa dei dischi poiché prevede l'inserimentodi un
blocco di parità ogni n blocchi dati e dunque una perdita in termini
di spazio di un(n+1)-esimo.

Combinando striping, mirroring e blocchi di parità si ottengono

sistemi RAID differenti che offrono diversi gradi di affidabilità e l'aumento
delle prestazioni inlettura/scrittura.
In particolare:
21
  RAID 0: utilizza striping per ottenere un miglioramento di
prestazioni in lettura e scrittura. È tipicamente utilizzato su dischidi
uguali dimensioni in modo da non avereperdite di capacità
complessiva. Se si utilizzano 5 dischi da 10 GB si riesce a usare
tutti i 50 GB disponibili, che vengono visti come un unico disco, e si
velocizzano le letture e le scritture di 5 volte. RAID 0 non prevede
ridondanza e se si verifica un guasto su un disco vengono
compromesse anche informazioni contenute in stripesuglialtri
dischi.
 RAID 1: utilizza mirroringper aumentare l'affidabilità del sistema.
Recupera da situazioni di danno totale dei dischi. Se si utilizzano4
dischi da 10 Giga si usano effettivamente solamente 20 GB.
 RAID 1+0: utilizza stripingemirroringcombinati nel modo
seguente: i dischi vengono messi in mirror, ovvero metà dei dischi
sono predisposti per essere copia dell'altra metà. Sono dunque
visibili n/2 unità che vengono messe in stripingpermigliorare le
prestazioni. È sia molto affidabile (di ogni disco in stripeesiste una
copiaridondante) che molto veloce. Se si utilizzano 8 dischi da 10
Giga si possono velocizzare le letture e le scritture di 4 volte
usando però effettivamente solo 40 GB,visti come un'unica unità.
 RAID 5: utilizza striping e blocchi di parità combinati per
ottenere un miglioramento di prestazioni e di affidabilità. È meno
affidabile rispetto a RAID 1+0, ma rende disponibile all'utente una
quantità maggiore di memoria. Se sono disponibili 5 dischi da 10
GB, ne usa uno per la parità e 4 per i blocchi dati effettivi, col
risultato che si usano 40 GB e si velocizzano le letture e le scritture
di 4 volte. Rispetto alla soluzione con RAID 1+0 si ottengono
risultati analoghi con 30 GB in meno. È tollerante rispetto al guasto
di un solo disco.

Le tecniche RAID possono essere realizzate via hardware,utilizzando

appositi controllerche gestiscono le singole azioni di lettura e di
scritturaimplementando una strategia RAID, oppure viasoftware,
attraverso il sistema operativo, che consente di definire politiche di
gestione dell'hardwareche attuano metodiche RAID.
22
Esistono altri livelli RAID come:

 Livello 2: ho i dati protetti su N dischi e i dati di verifica su m dischi;

 Livello 3: ogni blocco di disco virtuale (l’array è un disco virtuale) è
suddiviso e distribuito attraverso tutti i dischi di dati. I dati di verifica
di parità sono archiviati su un disco di parità separato;
 Livello 4: blocchi di dati come nel livello 0. Dati di verifica di parità
archiviati su un disco;
 Livello 6: come RAID 5 con l’aggiunta di dati di verifica calcolati in
modoindipendenti.

I dischi ottici
Un ruolo importante, nella conservazione sicura dei dati e quindi nella
prevenzione dalla loro perdita, è rivestito dai dischi ottici. Esistono
diverse tipologie di dischi ottici che possiamo sintetizzare in:
23
  CD-Rom
 DVD
 Magneto-ottici
 Worm

I CD- ROM sono il tipo di memorizzazione ottica più diffuso. Sono in

commercio sia nel formato di sola lettura che in quello riscrivibile.
Rispecchiano lo standard ISO 9660 ed hanno una capacità di 700 Mb.
Possono essere masterizzati sia in formato monosessione (scrivo una
volta e solo quella volta) che multisessione (scrivo in momenti diversi un
po’ per volta). I DVD invece si presentano in vari formati:

 DVD-Rom: hanno capacità di 4.7 Gb in dischi a lato singolo o 9.4

Gb in dischi a lato doppio, 8.5 Gb a lato singolo e strato
doppio(Dual Layer), 17 Gb a lato doppio (Double Sided)e strato
duale
 DVD-Audio
 DVD-Video
 DVD-R (Registrable): per aggiornamenti incrementali 3.95 Gb in
dischi lato singolo o 7.9 Gb in dischi a lato doppio
 DVD-Ram (Dischi riscrivibili) 2.6 Gb in dischi lato singolo o 5.2 Gb
in dischi a lato doppio I dischi magneto-ottici sono invece dischi
ottici riscrivibili e sono nel formato di 5” ¼ da 9.1 Gb.

24
I dischi ottici Worm (Write once, read many) sono dischi ottici non
riscrivibili (utilizza laser per modificare permanentemente i settori del
disco) usati per le applicazioni di archiviazione documentale secondo le
normative emanate dal CNIPA. Si presentano in formati 12 “ da 30 Gb
(vecchio tipo) o in formati da 5” ¼ da 30 Gb con tecnologia UDO (Ultra
Density Optical). Molto spesso viene trascurato l’ambiente in cui sono
tenuti i server. Vanno generalmente tenute presenti le seguenti linee
guida: Temperatura costante : 18°-22° Umidità costante : 50%-70% No
polvere e fumo No rumore No interfenze elettromagnetiche No
vibrazioni Protezione dei cavi con corrugati appositi Sistema di controllo
Accessi in Sala Server Sistema di rilevazione e spegnimento incendi
Sistema di segnalazione condizioni ambientali Rinforzo infrastrutturale
Infine, per completare, il quadro della prevenzione e della sicurezza
sarebbe auspicabile prevedere, in caso di grosse strutture con molti
server, delle strutture “gemelle” (chiamati siti di disaster recovery) ad
almeno un paio di centinaia di Km di distanza che possano intervenire in
caso di disastri di grosse dimensioni (l’11 settembre ha causato la
chiusura di molte aziende che avevano il sito di disaster recovery nella
torre di fronte). Anche in questo caso elenchiamo delle linee guida da
tener presente quando si deve progettare un sito di disaster recovery:

 Individuare i fattori controllabili

 Determinare qual è il metodo di prevenzione migliore
 Implementare ed imporre le misure preventive scelte
 Verificare la disponibilità di metodi di prevenzione nuovi e migliori
 Eseguire regolarmente la manutenzione dell’Hardware e del
Software
 Fare formazione del personale
 Preparare un piano per l’Hardware (scorta di parti di ricambio)
 Preparare un piano per il Software
 Preparare un piano per i Dati.

25
Domande di comprensione del capitolo 9
Rispondere alle domande che seguono per verificare di aver appreso
tutti i concetti illustrati in questo capitolo.
Le risposte alle domande sono riportate nell’allegato A alla fine del libro.
Se qualche risposta data dovesse risultare errata, si consiglia di
rivedere i concetti specifici dove si sono commessi errori.
1. Che cos'è un UPS?
a. un'apparecchiatura che si usa per mantenere costantemente
la corrente elettrica nei dispositivi di rete
b. un'apparecchiatura che si usa per mantenere costantemente
la corrente elettrica e per evitare sbalzi di tensione in
qualsiasi dispositivo dell’infrastruttura ne abbia bisogno
c. E' un computer con una batteria
2. Indicare la giusta definizione per backup differenziale?
a. Acquisisce tutti i datimodificati dopo il backup completo g
b. Acquisisce tutti i dati modificati dopo il backup completo o
incrementale più recente
c. Acquisisce tutti i dati
3. Che cos’è una SAN?
a. Un server che conserva tutti gli archivi utili agli utenti della
rete
b. Dischi rigidi in configurazione RAID
c. Reti che permettono la memorizzazione e l’accesso a grandi
quantità di dati g
4. Indicare l’esatta definizione di Clustering
a. Super computer con enorme capacità di calcolo
b. Gruppo di dischi rigidi che permettono la memorizzazione di
grandi quantità di dati
c. Gruppo di sistemi che interagiscono come un sistema unico g
5. Quale tecnica è utilizzata da RAID 5?
a. Mirroring
b. Striping
c. Striping e blocchi di parità
26
Capitolo 10: La politica di
sicurezza

Qualunque programma che si occupi di preservare la sicurezza delle

informazioni, persegue, in qualche misura, tre obiettivi fondamentali: la
disponibilità, l’integrità e la riservatezza delle informazioni.
La disponibilità è il grado in cui le informazioni e le risorse informatiche
sono accessibili agli utenti che ne han no diritto, nel momento in cui
servono. Questo significa che sistemi, reti e applicazioni hanno le
capacità necessarie a fornire il livello di servizio e le prestazioni richieste
e che, in caso di guasto o di eventi distruttivi, sono pronti gli strumenti e
le procedure per ripristinare l’attività in tempi accettabili. Per impedire
l’inaccessibilità delle informazioni, si deve preservare la disponibilità
delle condizioni ambientali (energia, temperatura, umidità, atmosfera,
ecc.) e delle risorse hardware e software a fronte sia di problemi interni
(guasti, errori, blackout, disastri e altro), sia di attacchi esterni, per
esempio provenienti da Internet, volti a impedire o a ridurre
l’accessibilità ai sistemi e alle informazioni. Sistemi di backup locale e
remoto, ridondanza del l’hardware e degli archivi, firewall e router
configurati per neutralizzare attacchi DoS (denial of Service), sistemi di
climatizzazione, gruppi di continuità, controllo dell’accesso fisico,
monitoraggio delle prestazioni sono alcuni degli strumenti che servono
per mantenere la disponibilità.
L’integrità è il grado di correttezza, coerenza e affidabilità delle
informazioni e anche il grado di completezza, coerenza e condizioni di
funzionamento delle risorse informatiche. Per l’hardware e i sistemi di
comunicazione, l’integrità consiste di fattori come elaborazione corretta
dei dati, livello adeguato di prestazioni e corretto instradamento dei dati.
L’integrità del software riguarda fattori come la completezza e coerenza

27
dei moduli del sistema operativo e delle applicazioni e la correttezza dei
file critici di sistema e di configurazione. Per le informazioni, l’integrità
viene meno quando i da ti sono alterati, cancellati o anche inventati, per
errore o per dolo, e quando si perde, per esempio in un database, la
coerenza tra dati in relazione tra loro (per esempio i record coinvolti in
una transazione). Procedure di manutenzione e diagnosi preventiva,
hardware e software per la rilevazione e prevenzione di accessi illeciti,
attacchi virali e intrusioni, applicazioni che minimizzano errori logici e
formali di data entry, accesso ristretto alle risorse critiche e controllo
degli accessi sono alcuni degli strumenti utili a preservare l’integrità
delle informazioni e delle risorse. Anche le tecniche di hashing (calcolo
di un numero di lunghezza fissa a partire da un qualsiasi messaggio o
documento) sono usate per verificare che le informazioni non vengano
alterate per dolo o per errore (anche di trasmissione).
La riservatezza consiste nel limitare l’accesso alle informazioni e alle
risorse informatiche alle sole persone autorizzate e si applica sia
all’archiviazione sia alla comunicazione delle informazioni.
Un’informazione è composta generalmente di più dati in relazione tra di
loro, ciascuno dei quali non necessariamente costituisce
un’informazione. Il nome e il numero di conto corrente di una persona,
separati, non sono informazioni; è la combinazione dei due da ti che
costituisce l’informazione. La riservatezza dell’informazione può essere
quindi garantita sia nascondendo l’intera informazione (per esempio con
tecniche di crittografia) sia nascondendo la relazione tra i dati che la
compongono. La riservatezza non dipende solo da strumenti hardware e
software; il fattore umano gioca un ruolo chiave quando vengono
ignorate le elementari regole di comportamento: tenere le password
segrete, controllare gli accessi a reti e sistemi, rifiutare informazioni a
sconosciuti (anche quando affermano di essere tecnici del la
manutenzione), cifrare i documenti e i messaggi riservati e così via.
Possiamo aggiungere altri due obiettivi di sicurezza che possono essere
considerati un’estensione dell’integrità delle informazioni, applicata a
eventi più complessi come l’invio di un messaggio o una transazione.
L’autenticità garantisce che eventi, documenti e messaggi vengano
attribuiti con certezza al legittimo autore e a nessun altro. Il non ripudio
28
impedisce che un evento o documento possa essere disconosciuto dal
suo autore. Queste due caratteristiche trovano applicazione nella firma
digitale, che utilizza tecniche di hashing e crittografia per garantire che
un documento resti integro e provenga da un autore univocamente
identificato.

Gestione del rischio

Per esaminare i rischi connessi ai vari aspetti di sicurezza delle
informazioni, iniziamo introducendo i termini del discorso: beni da
difendere, obiettivi di sicurezza, minacce alla sicurezza, vulnerabilità dei
sistemi informatici e impatto causato dall’attuazione delle minacce.
Beni
Un bene è qualsiasi cosa, materiale o immateriale, che abbia un valore
e debba quindi essere protetta. Nel campo della sicurezza delle
informazioni, tra i beni di un’azienda ci sono le risorse informatiche, il
personale (utenti, amministratori, addetti alla manutenzione), le
informazioni, la documentazione e l’immagine aziendale. Per un
individuo, i beni comprendono non solo risorse informatiche,
informazioni e mezzi di comunicazione, ma anche le informazioni
personali e la privacy. Esempio è il defacing, ovvero l’alterazione di un
sito web per rovinare l’immagine del proprietario; è una forma di
vandalismo che colpisce sia le informazioni sia l’immagine dell’azienda
o persona titolare. A livello personale, la privacy degli individui è
minacciata da più parti: aziende che non proteggono adeguatamente le
informazioni in loro possesso, applicazioni che trasmettono via Internet
dati personali, software maligno che spia le abitudini degli utenti
(acquisti, navigazione Internet ecc.) o che altera la navigazione Internet
a scopo di truffa o furto di informazioni.
Bene Secondario
Un esempio di bene secondario è la password che permette di accedere
a un computer, a una rete, ai dati archiviati e a Internet. La password in
sé non ha alcun valore, ma è un’informazione che permette a un altro
29
utente o a un estraneo di accedere ai beni primari (sistemi, periferiche,
reti, archivi) e di eseguire operazioni a nome dell’utente titolare della
password, che ne sarà ritenuto responsabile. La password, bene
secondario, assume un’importanza paragonabile a quella degli archivi e
delle attrezzature hardware/software, bene primario a cui la password
dà accesso. Lo stesso vale per i dispositivi di identificazione e
autenticazione, come le Smart Card. Se la scheda viene utilizzata da
qualcuno che si è procurato il corrispondente PIN (Personal
Identification Number), il titolare della scheda sarà ritenuto responsabile
dell’utilizzo fino alla denuncia di furto o smarrimento.
Obiettivi
Gli obiettivi di sicurezza sono il grado di protezione che si intende
predisporre per i beni, in termini di disponibilità, integrità e riservatezza.
Per definire gli obiettivi, si classificano i beni in categorie e si assegnano
i criteri di sicurezza da applicare. Ci sono beni, come le password e i
numeri di identificazione, che hanno più requisiti di riservatezza che non
problemi di integrità e disponibilità.
Minacce
Una minaccia è un’azione potenziale, accidentale o deliberata, che può
portare alla violazione di uno o più obiettivi di sicurezza. Le minacce
possono essere classificate secondo la loro origine: naturale,
ambientale o umana. Un cavallo di Troia installato all’apertura di un
allegato di posta elettronica infetto, è una minaccia deliberata di origine
umana e coinvolge tutti gli obiettivi di sicurezza: il computer può cadere
sotto il controllo esterno e non essere più completamente disponibile per
il suo proprietario (disponibilità), le sue informazioni possono essere
alterate e cancellate (integrità) e dati da non divulgare (password,
informazioni personali, informazioni sensibili aziendali) possono essere
letti da estranei (riservatezza). L’entità che mette in atto la minaccia
viene chiamata agente. Esempi di agenti di minaccia sono un intruso
che entra in rete attraverso una porta del firewall, un processo che
accede ai dati violando le regole di sicurezza, un tornado che spazza via

30
il centro di calcolo o un utente che inavvertitamente permette ad altri di
vedere le password.
Vulnerabilità
Mentre una minaccia è sempre portata da un agente esterno
(fenomeno naturale o intervento umano), una vulnerabilità è un punto
debole del sistema informatico (hardware, software e procedure) che, se
colpito o sfruttato da una minaccia, porta alla violazione di qualche
obiettivo di sicurezza. Gli obiettivi di sicurezza maggiormente violati
sono la disponibilità ed eventualmente l’integrità delle informazioni. Se
un dirigente in viaggio connette il portatile a Internet senza protezione
(programmi firewall e antivirus), apre una e-mail infetta e di ritorno
propaga l’infezione alla rete aziendale, l’impatto può essere grave e
coinvolgere tutti gli obiettivi di sicurezza (disponibilità, integrità e
riservatezza). In questo esempio l’agente della minaccia è l’utente, le
vulnerabilità sono la cattiva configurazione del portatile e le falle di
sicurezza di Windows e la minaccia sta nelle cattive abitudini e
incompetenza dell’utente.
Rischio
Concettualmente, il rischio è la possibilità che si verifichi un evento
dannoso ed è tanto maggiore quanto è forte l’impatto causato
dall’evento e quanto è alta la probabilità che esso si verifichi. In termini
numerici, il rischio R può essere definito come il prodotto scalare tra la
gravità G dell’impatto (conseguenze di un evento dannoso) e la
probabilità P che si verifichi l’evento dannoso (la minaccia). Nella
gestione del rischio si possono individuare due fasi distinte.
1. Analisi del rischio. In questa fase si classificano le informazioni e
le risorse soggette a minacce e vulnerabilità e si identifica il livello
di rischio associato a ogni minaccia. Ci sono vari metodi per
quantificare il rischio, basati su un approccio quantitativo,
qualitativo o combinazione dei due. L’approccio quantitativo è
basato su dati empirici e statistiche, mentre quello qualitativo si
affida a valutazioni intuitive. Entrambi hanno vantaggi e svantaggi.
Il primo richiede calcoli più complessi ma può basarsi su sistemi di
31
 misura indipendenti e oggettivi, fornisce risultati numerici (il valore
delle perdite potenziali) e un’analisi dei costi e benefici. Il secondo
utilizza l’opinione del personale che ha esperienza diretta in
ciascuna delle aree interessate. Si divide in classificazione delle
informazioni e delle risorse informatiche e l’altra è l’identificazione
delle minacce
2. Controllo del rischio. In questa fase vengono individuate le
modalità che l’azienda intende adottare per ridurre i rischi associati
alla perdita della disponibilità di informazioni e risorse informatiche
e della integrità e riservatezza di dati e informazioni. Ogni tipo di
minaccia deve essere trattata separatamente e la pianificazione
delle contromisure richiede un’analisi di costi e benefici che
ottimizzi il valore della protezione.

32
Organizzazione della sicurezza
La sicurezza delle informazioni è il risultato di un insieme di processi ai
vari livelli dell’organigramma aziendale.

33
 DPS

Formazione

Sicurezza elettronica Sicurezza meccanica (e non solo)

Controllo Accessi Salvaguardia Informazioni Protezione Strutture

Politica Password Firma Digitale Sorveglianza Locali

Posta Elettronica Copie di sicurezza Impianti Allarme

Firewall Antivirus Serrature Efficienti

Verifiche Periodiche
Non
Bastano strumenti e tecnologie per ottenere la sicurezza. Occorre, in
primo luogo, creare un’organizzazione per la sicurezza che assuma la
responsabilità di quanto attiene alla sicurezza e coinvolga l’intera
struttura aziendale, in modo che tutto il personale contribuisca nel
proprio ambito al disegno generale della sicurezza. Infatti, la sicurezza
delle informazioni, delle risorse informative (non solo informatiche) e in
generale dei beni e del valore dell’azienda dipende non solo dal lavoro
del gruppo addetto alla sicurezza ma anche dal comportamento del
personale (interno ed esterno) a tutti i livelli dell’organigramma.
L’organizzazione della sicurezza dovrebbe partire dall’alto, dove gli
obiettivi e le politiche di sicurezza sono definiti in termini generali dal top
management, per essere poi specificati nei dettagli man mano che si
scende attraverso gli strati del modello organizzativo della sicurezza.
L’approccio dall’alto al basso permette di coinvolgere tutti i livelli
aziendali interessati, di assegnare precise responsabilità, di definire
politiche coerenti per l’intera struttura aziendale, di sensibilizzare ed
educare il personale, di finanziare adeguatamente il progetto sicurezza
e di rimuovere gli ostacoli che si presenteranno quando verranno
adottate procedure e strumenti che avranno un impatto sull’operatività
quotidiana e sulle abitudini del personale (a tutti i livelli).
A volte nelle aziende vengono prese iniziative di sicurezza dal basso,
con le buone intenzioni di proteggere alcuni obiettivi di sicurezza
immediati. Senza la forza di spinta, l’autorità, la responsabilità, il
34
coinvolgimento generale e i mezzi assicurati dal management superiore,
i tentativi dal basso si scontrano facilmente con ostacoli insormontabili e
sono spesso destinati a fallire. Il migliore interesse dell’azienda esige
che la responsabilità della sicurezza si diffonda a cascata dalla cima
verso la base della piramide aziendale, con la partecipazione dei vari
strati di utenti della sicurezza. In questo modo, anziché turare alcune
falle senza un piano preciso, si potrà corazzare l’intera struttura
aziendale nel modo più efficiente rispetto al rischio da controllare e al
budget disponibile. Una volta definiti gli obiettivi, le politiche, un piano e
le soluzioni da adottare, si potrà sensibilizzare e informare tutto il
personale sugli aspetti concernenti la sicurezza, rendendo esplicite le
responsabilità e le sanzioni per manager, amministratori e utenti. La
struttura organizzativa della sicurezza può assumere varie forme
secondo il tipo e le dimensioni dell’azienda, il campo di attività, il
rapporto con l’ambiente, il mercato e altri fattori. Può essere informale in
una piccola azienda senza particolari problemi di sicurezza oppure
essere complessa con rappresentanti delle diverse aree aziendali in una
grande società. Può limitarsi alla sicurezza delle informazioni o
estendere la propria sfera all’intera sicurezza aziendale, inclusa la
gestione del rischio nei settori operativo, marketing, finanziario ecc. Un
aspetto che modella i processi di sicurezza è il costo in base al rischio e
all’attività dell’azienda. E’ facile immaginare una scala crescente di
rischi e investimenti in sicurezza. Uno dei primi compiti del gruppo
incaricato della sicurezza è quindi quello di inquadrare l’azienda in base
al modello di attività, all’esposizione ai rischi e alla dipendenza
dall’infrastruttura informatica e di comunicazioni. Questo esame
preliminare dovrà tenere in considerazione il quadro legislativo tracciato
dalle leggi sulla criminalità informatica e sulla privacy che si sono
succedute numerose nel corso degli anni e che sono culminati con il
decreto legge 196 del 2003 (Codice in materia di protezione dei dati
personali). Le norme di legge pongono dei vincoli, secondo il tipo di
attività, che devono essere calcolati nel delineare l’organizzazione, le
politiche e i progetti di sicurezza. Di conseguenza, l’organizzazione della
sicurezza dovrebbe partire dagli individui, top manager e personale
delegato, che per legge sono ritenuti proprietari e custodi delle

35
informazioni e pertanto responsabili delle eventuali violazioni da parte
dell’intero personale aziendale e responsabili dei danni verso terzi che
ne conseguono. La partecipazione in questo caso dovrebbe allargarsi a
tutti i livelli. Il management di livello superiore ha la visione globale
dell’azienda e degli obiettivi di business. I manager intermedi sanno
come funzionano i propri dipartimenti, conoscono il ruolo degli individui
e possono valutare l’impatto diretto della sicurezza nelle loro aree. I
manager di livello inferiore e lo staff sono a contatto con l’effettiva
operatività dell’azienda e conoscono in dettaglio le esigenze tecniche e
procedurali, i sistemi e il loro utilizzo; tutti utilizzano i meccanismi di
sicurezza nel lavoro quotidiano e sanno come essi si integrano nei
sistemi e nei flussi di lavoro e come influiscono sulla produttività.

Politiche di sicurezza
Di solito, le informazioni e le risorse informatiche hanno una relazione
diretta con gli obiettivi e con l’esistenza stessa di un’azienda. Il
management di livello superiore dovrebbe perciò considerare prioritaria
la loro protezione, definendo gli obiettivi della sicurezza, fornendo il
supporto e le risorse necessari e avviando il programma di sicurezza
aziendale. Il management deve definire la sfera d’azione della
sicurezza, che cosa deve essere protetto e in che misura, tenendo
conto delle leggi vigenti e dei risultati dell’analisi del rischio. Quindi deve
precisare ciò che ci si aspetta dal personale e le conseguenze delle
violazioni. Un programma di sicurezza dovrebbe contenere tutti gli
elementi necessari a fornire all’azienda una protezione completa
secondo una strategia a lungo termine. Questi elementi comprendono
tra l’altro le politiche di sicurezza, le procedure, gli standard, le linee
guida, i criteri minimi di sicurezza, le azioni di sensibilizzazione e
addestramento, le modalità di reazione agli incidenti e un programma
per il controllo della sicurezza. La definizione delle politiche di sicurezza
a livello aziendale è il primo risultato dell’organizzazione di sicurezza.
Una politica di sicurezza è un documento sintetico in cui il management
superiore, o un comitato delegato allo scopo, delinea il ruolo della
sicurezza nell’organizzazione o in un suo aspetto particolare.
36
Generalmente sono necessarie diverse politiche di sicurezza a più livelli,
da quello superiore riguardante l’intera azienda, scendendo ad
argomenti più specifici, come il sistema informatico e i singoli aspetti
tecnici. Il linguaggio, il livello di dettaglio e il formalismo dei documenti di
sicurezza dovranno essere realistici per avere efficacia.
Un’organizzazione altamente strutturata sarà più portata a seguire
politiche e linee guida dettagliate, mentre un’azienda meno strutturata
richiederà maggiori spiegazioni e una particolare enfasi per ottenere
l’applicazione delle misure di sicurezza. La terminologia usata per
individuare i livelli principali delle politiche di sicurezza può variare. In
una grande organizzazione si può parlare di organizational security
policy, issue-specific policies e system-specific policies per indicare le
politiche di sicurezza aziendale, le politiche per l’implementazione di
funzioni di sicurezza specifiche e quelle riguardanti direttamente i
computer, le reti, il software e i dati. Un’altra suddivisione, applicabile
anche su scala medio piccola, individua tre livelli: la politica di sicurezza
aziendale (corporate security policy), la politica di sicurezza per il
sistema informativo (system security policy) e la politica di sicurezza
tecnica (technical security policy). La politica di sicurezza aziendale
indica tutto ciò che deve essere protetto (beni materiali e immateriali) in
funzione del tipo di attività dell’azienda, del modello di business, dei
vincoli esterni (mercato, competizione, leggi vigenti) e dei fattori di
rischio. Questo documento definisce gli obiettivi del programma di
sicurezza, assegna le responsabilità per la protezione dei beni e
l’implementazione delle misure e attività di sicurezza e delinea come il
programma deve essere eseguito. La politica di sicurezza aziendale
fornisce la portata e la direzione di tutte le future attività di sicurezza
all’interno dell’organizzazione, incluso il livello di rischio che il
management è disposto ad accettare. La politica di sicurezza del
sistema informatico definisce, coerentemente con la politica di sicurezza
aziendale, in che modo l’azienda intende proteggere le informazioni e le
risorse informatiche, senza entrare nel merito delle tecnologie che
verranno adottate. In questa fase vengono presi in considerazione
requisiti di sicurezza di tipo fisico e procedurale, mentre gli aspetti
tecnici sono demandati al livello inferiore. La politica di sicurezza tecnica

37
traduce in requisiti tecnici funzionali gli obiettivi che si desidera
raggiungere attraverso le contromisure di tipo tecnico informatico, nel
contesto dell’architettura di sistema adottata o pianificata dall’azienda. In
un’azienda di piccole dimensioni potranno essere sufficienti singole
politiche di sicurezza per ciascuno dei due livelli inferiori, ma in
presenza di più sistemi, dipartimenti e divisioni, è probabile che le
politiche di sicurezza si suddividano per area e per argomento.

Disaster Recovery e Business Continuity

La Disaster Recovery, nel contesto informatico, è la capacità di
un’infrastruttura di riprendere le operazioni dopo un disastro. La maggior
parte dei grandi sistemi di calcolo include programmi di disaster
recovery, inoltre esistono applicazioni di disaster recovery autonome
che, periodicamente, registrano lo stato corrente del sistema e delle
applicazioni, in modo da poter ripristinare le operazioni in un tempo
minimo. Il termine disaster recovery può essere usato sia dal punto di
vista della prevenzione contro la perdita di dati sia delle azioni per
rimediare a un disastro. Due caratteristiche per valutare l’efficacia di un
sistema di disaster recovery sono il Recovery Point Objective (RPO, il
momento nel tempo a cui il sistema è riportato) e il Recovery Time
Objective (RTO, il lasso di tempo che intercorre prima di ripristinare
l’infrastruttura). Per ridurre la distanza dell’RPO rispetto al presente
occorre incrementare il sincronismo della data replication, ovvero la
replica di archivi e database su un altro sistema, generalmente remoto
per motivi di sicurezza. Per ridurre l’RTO, ossia il tempo di ripristino,
occorre che i dati siano tenuti on line su un sistema di riserva pronto a
subentrare in caso di avaria al sistema principale.

Criteri di valutazione della garanzia

Abbiamo visto in precedenza che i sistemi di sicurezza sono
caratterizzati dalla funzionalità (quello che il sistema deve fare per la
38
sicurezza) e dalla garanzia (la fiducia nella protezione offerta dalla
funzionalità), a sua volta costituita da correttezza (qualità di
implementazione della funzionalità) e da efficacia (in quale grado la
contromisura protegge dalle minacce). Le tre fonti citate sopra a
proposito dei criteri di valutazione della garanzia si chiamano appunto
criteri di valutazione, anziché norme o standard, perché, sia pure con
diversa attenzione ai requisiti funzionali, tutti si esprimono sui livelli di
garanzia, un concetto troppo astratto per essere ridotto a uno standard.
In ogni caso, TCSEC mischia funzionalità e garanzia, ITSEC tenta di
separare le due categorie, ma non ci riesce del tutto, mentre questo
risultato è stato raggiunto nei Common Criteria, più efficaci e agevoli da
applicare. I criteri di valutazione dei processi di sicurezza hanno seguito
idee e metodi diversi nel tempo e nelle varie aree geografiche. Oggi il
TCSEC viene considerato troppo rigido, l’ITSEC troppo morbido e
complicato e i Common Criteria accettabili da tutti. Il TCSEC è stato
sviluppato dal Dipartimento della Difesa USA e pubblicato dal National
Computer Security Center (parte della National Security Agency) nel
cosiddetto Orange Book del 1985. Sebbene in Europa possa essere
visto come superato, nella cultura di sicurezza americana occupa
ancora uno spazio rilevante ed è considerato indicativo delle esigenze di
sicurezza degli ambienti militari. Il TCSEC serve per valutare sistemi
operativi, applicazioni e prodotti di vario genere. I criteri di valutazione
sono stati pubblicati in un volume dalla copertina arancione, detto perciò
Orange Book. Le valutazioni di sicurezza risultanti dall’applicazione del
TCSEC servono ai compratori per confrontare diverse soluzioni e ai
produttori per sapere a quali specifiche conformarsi. L’Orange Book
viene usato per accertare se i prodotti offrono le caratteristiche di
sicurezza dichiarate e per valutare se un prodotto è appropriato per una
funzione o applicazione specifica. Durante la valutazione, l’Orange Book
prende in considerazione la funzionalità e la garanzia di un sistema e
fornisce un sistema di classificazione suddiviso in una gerarchia di livelli
di sicurezza: A. Protezione verificata B. Protezione obbligatoria C.
Protezione discrezionale D. Sicurezza minima. Ognuna delle quattro
divisioni, da A (massima sicurezza) a D (minima sicurezza), può avere
una o più classi di sicurezza, ognuna numerata e corrispondente a un

39
certo insieme di requisiti da soddisfare. Le classi con numero superiore
indicano un maggiore grado di fiducia e garanzia. I criteri di valutazione
includono quattro argomenti principali: politiche di sicurezza,
rendicontabilità (accountability), garanzia (assurance) e
documentazione, ciascuna delle quali si suddivide in sei aree: - Politiche
di sicurezza (la policy deve essere esplicita e ben definita e imposta da
meccanismi interni al sistema) - Identificazione (i singoli soggetti devono
essere identificati) - Etichette (le etichette per il controllo degli accessi
devono essere associate in modo appropriato agli oggetti) -
Rendicontabilità (si devono raccogliere e proteggere i dati di audit per
imporre la rendicontabilità) - Garanzia del ciclo di vita (software,
hardware e firmware devono poter essere testati individualmente per
assicurare che ciascuno imponga la politica di sicurezza in modo
efficace per tutto il ciclo di vita) - Protezione continua (i meccanismi di
sicurezza e l’intero sistema devono funzionare con continuità in modo
prevedibile e accettabile in tutte le diverse situazioni). Queste categorie
sono valutate in modo indipendente, ma alla fine viene assegnata una
valutazione complessiva. Ogni divisione e classe di sicurezza include i
requisiti delle classi e divisioni inferiori (per esempio la B2 include i
requisiti di B1, C2 e C1). Le classi sono: C1 (protezione di sicurezza
discrezionale), C2 (protezione ad accessi controllati), B1 (protezione
obbligatoria), B2 (protezione strutturata), B3 (domini di sicurezza) e A1
(progetto controllato). TCSEC s’indirizza alla riservatezza, ma non
all’integrità. Mette grande enfasi su controllare quali utenti possono
accedere al sistema e ignora praticamente che utilizzo costoro facciano
delle informazioni. Funzionalità e garanzia dei meccanismi di sicurezza
non sono valutate separatamente, ma combinate tra loro. Viste le
numerose carenze dell’Orange Book, specialmente se applicato in
ambito civile, furono pubblicate diverse estensioni, in quella che prese il
nome di Rainbow Series (serie arcobaleno). Ne fa parte il Trusted
Network Interpretation (TNI), detto Red Book, che si occupa di sicurezza
delle reti, uno dei tanti argomenti non trattati dall’Orange Book. L’ITSEC
è stato il primo tentativo di stabilire un unico standard di valutazione
degli attributi di sicurezza da parte di molti paesi europei. Durante gli
anni ’80, Regno Unito, Germania, Francia e Olanda avevano prodotto

40
versioni dei loro criteri nazionali, in seguito armonizzate e pubblicate
come Information Technology Security Evaluation Criteria (ITSEC). La
versione 1.2 corrente è stata pubblicata nel 1991 dalla Commissione
Europea, a cui ha fatto seguito nel 1993 l'IT Security Evaluation Manual
(ITSEM) che specifica la metodologia da seguire per realizzare le
valutazioni ITSEC. L’innovazione rispetto al TCSEC è stato il tentativo di
rendere indipendente la definizione delle funzionalità, così da poter
applicare i criteri ITSEC a un ampio spettro di prodotti e sistemi, che nel
gergo ITSEC si chiamano TOE (target of evaluation). La definizione
delle funzionalità di sicurezza è scorporata in un documento chiamato
Security Target, che descrive le funzionalità offerte dal TOE e l’ambiente
operativo del TOE. Nel caso di un sistema, il Security Target contiene
una System Security Policy (regole operative definite su misura per uno
specifico ambiente operativo). La valutazione ITSEC viene eseguita da
terze parti chiamate CLEF (Commercial Licensed Evaluation Facility) a
cui spetta fornire le certificazioni di conformità ai requisiti di sicurezza. Il
processo ISEC inizia con lo sponsor (di solito lo sviluppatore del
prodotto, o TOE) che nomina un CLEF. Il CLEF valuta il Security Target
e produce un piano di lavoro. Viene nominato un certificatore e il
processo ha inizio. Lo sponsor fornisce tutto il materiale al valutatore,
che valuta se esso soddisfa i requisiti in termini di completezza,
coerenza e accuratezza. Una volta soddisfatto, il valutatore produce un
report e lo sottopone al certificatore per l’approvazione. Se il certificatore
è soddisfatto, produce un report di certificazione e pubblica un certificato
ITSEC. Il Security Target è il documento chiave per la valutazione e
contiene il target evaluation level, ossia il livello di valutazione di
sicurezza a cui il produttore aspira per commercializzare il suo prodotto
in un certo mercato. Ci sono sei livelli di valutazione da E1 a E6;
maggiore è il livello, maggiore è il dettaglio e il rigore richiesto ai
materiali sottoposti alla valutazione. I requisiti di efficacia sono gli stessi
per i sei livelli di valutazione e sono valutati in una serie di analisi:
Suitability Analysis, Binding Analysis, Ease of Use Analysis,
Construction Vulnerabilities Analysis e Operational Vulnerabilities
Analysis. Per valutare la correttezza del prodotto viene prodotto il
documento Architectural Design, che identifica ad alto livello la struttura

41
di base del TOE, le interfacce e la suddivisione in hardware e software.
Il Detailed Design è un documento che scende nei dettagli
dell’Architectural Design fino a un livello di dettaglio utilizzabile come
base per l’implementazione. Durante il processo di valutazione, viene
verificato se le specifiche di sicurezza del Detailed Design sono
implementate correttamente e vengono esaminati i sorgenti del software
e i diagrammi di progetto dell’hardware. Ulteriori materiali forniti dal
produttore per la valutazione includono l’ambiente di sviluppo (controllo
di configurazione, linguaggi di programmazione, compilatori eccetera),
la documentazione operativa (guida utente e manuale di
amministrazione) e l’ambiente operativo (distribuzione, configurazione,
installazione e utilizzo). L’ITSEC ha tentato di fornire un approccio più
flessibile del rigido TCSEC, di separare funzionalità e garanzia e di
consentire la valutazione di interi sistemi. La flessibilità ha però portato
con sé la complessità, perché i valutatori possono mescolare e abbinare
le valutazioni di funzionalità e garanzia, facendo proliferare le
classificazioni e rendendo il processo tortuoso. I tempi erano maturi per
tentare un approccio più efficace e unificato tra aree geografiche. Nel
1990 l’ISO riconobbe l’esigenza di criteri standard di valutazione di
applicabilità globale. Il progetto Common Criteria iniziò nel 1993 quando
diverse organizzazioni si associarono per combinare e allineare i criteri
di valutazione esistenti ed emergenti: TCSEC, ITSEC, il canadese
CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) e i
criteri federali USA. Il progetto fu sviluppato attraverso la collaborazione
degli enti nazionali di standardizzazione di Stati Uniti, Canada, Francia,
Germania, Regno Unito e Olanda. I benefici di questo sforzo comune
comprendono la riduzione della complessità del sistema di valutazione,
la disponibilità di un unico linguaggio per le definizioni e per i livelli di
sicurezza e, a beneficio dei produttori, l’uso di un unico insieme di
requisiti per vendere i prodotti sul mercato internazionale. La versione
1.0 dei Common Criteria è stata completata nel gennaio 1996. Sulla
base di approfondite prove, valutazioni e reazioni del pubblico, la
versione 1.0 subì un’estesa revisione e diede vita alla versione 2.0
dell’aprile 1998, che divenne lo standard ISO 15408 nel 1999. Il progetto
ha in seguito incorporato modifiche di lieve entità che hanno prodotto la

42
versione 2.1 dell’agosto 1999. Oggi la comunità internazionale ha
adottato i CC attraverso il Common Criteria Recognition Arrangement,
un accordo in base al quale i firmatari concordano nell’accettare i
risultati delle valutazioni CC eseguite da altri membri della CCRA. La
flessibilità dell’approccio dei Common Criteria sta nel fatto che un
prodotto è valutato a fronte di un certo profilo di protezione, strutturato in
modo da soddisfare specifici requisiti di protezione. Rispetto all’ITSEC,
di cui conserva molti aspetti, come la separazione tra funzionalità e
garanzia, i Common Criteria forniscono cataloghi di funzionalità e
requisiti di garanzia che rendono più formale e ripetibile la compilazione
del Security Target. Alla valutazione di un prodotto viene assegnato un
Evaluation Assurance Level (EAL) che va da 1 a 7 (massima garanzia).
La completezza e il rigore dei test crescono con il livello di garanzia
assegnato. I sette livelli hanno questi significati: EAL1 testato
funzionalmente EAL2 testato strutturalmente EAL3 testato e verificato
metodicamente EAL4 progettato, testato e riveduto metodicamente
EAL5 progettato e testato in modo semi-formale EAL6 verifica del
progetto e testing semi-formali EAL7 verifica del progetto e testing
formali Il sistema Common Criteria utilizza i protection profile per la
valutazione dei prodotti. Il protection profile contiene l’insieme di requisiti
di sicurezza, il loro significato e le ragioni per cui sono necessari, oltre
che il livello EAL che il prodotto deve soddisfare. Il profilo descrive le
condizioni ambientali, gli obiettivi e il livello previsto per la valutazione
della funzionalità e della garanzia. Viene elencata ogni vulnerabilità e
come dev’essere controllata da specifici obiettivi di sicurezza. Inoltre il
documento fornisce le motivazioni per il livello di garanzia e la
robustezza dei meccanismi di protezione. Nella struttura del sistema
Common Criteria, il protection profile descrive la necessità di una
specifica soluzione di sicurezza, che è l’input per il prodotto da valutare
(TOE). Il TOE è il prodotto proposto per fornire la soluzione alle
esigenze di sicurezza. Il security target è scritto dal produttore e spiega
le funzionalità di sicurezza e i meccanismi di garanzia che soddisfano i
requisiti di sicurezza. I Security Functionality Requirements e i Security
Assurance Requirements formano dei componenti (package) riutilizzabili
che descrivono gli insiemi dei requisiti di funzionalità e di garanzia da

43
soddisfare per ottenere lo specifico EAL a cui il produttore aspira. Questi
documenti di requisiti sono indipendenti dalle tecnologie con cui
vengono realizzati i prodotti. L’utilizzo di prodotti certificati, oltre a
rispondere a requisiti formali di approvvigionamento, offre numerosi
benefici, tra cui la disponibilità di un documento di specifiche di
sicurezza formalizzate (il security target) contenente la descrizione delle
minacce che il prodotto è in grado di contrastare e l’esistenza di test e
verifiche effettuate, secondo metodologie documentate, da un ente
indipendente. Le pubblicazioni relative ai Common Criteria sono inoltre
di ausilio per tenere conto dei requisiti di funzionalità e di garanzia nella
progettazione di sistemi informatici con requisiti di sicurezza, anche se
non s’intende sottoporli al processo di certificazione.

44
Domande di comprensione del capitolo 10
Rispondere alle domande che seguono per verificare di aver appreso
tutti i concetti illustrati in questo capitolo.
Le risposte alle domande sono riportate nell’allegato A alla fine del libro.
Se qualche risposta data dovesse risultare errata, si consiglia di
rivedere i concetti specifici dove si sono commessi errori.
1. Indicare la giusta definizione per “gestione del rischio”
a. Il processo che analizza tutti i rischi fisici, ambientali e di
gestione
b. Il processo mediante il quale si misurano tutti i rischi legati a
fattori fisici, ambientali e di gestione per sviluppano delle
strategie per governarlo g
c. Una politica di sicurezza che prevede una risposta a tutti i
rischi di perdita di dati per un’azienda
2. Indicare la giusta definizione per “analisi del rischio”
a. L’analisi dei fattori ambientali che possono provocare la
perdita dei beni aziendali
b. Un processo che, tramite la classificazione dei beni, e
l’identificazione delle minacce, stabilisce un livello di rischio g
c. L’analisi del pericolo derivante da ogni tipologia di malware
3. Che cos’è l’”Evaluation Assurance Level”?
a. Uno standard che stabilisce un livello di sicurezza per un
prodotto informatico g
b. Uno standard che stabilisce un livello di sicurezza per i
sistemi operativi
c. Un’organizzazione che assicura un risarcimento alle aziende
in caso di perdita di dati
4. Quanti livelli EAL sono previsti?
a. 5
b. 9
c. 7 g
5. Indicare quali sono enti di standardizzazione validi
a. IETF g
45
b. ISO g
c. IFO
d. Unifo

46
Capitolo 11: Sicurezza
sociale e legale

Il trattamento dei dati personali

La facilità di venire in possesso e di manipolare le informazioni è stata
notevolmente aumentata grazie agli sviluppi tecnologici e ad Internet.
Questo cambiamento sociale ha portato a legislazioni che riconoscono il
diritto alla riservatezza, che si concretizza come la possibilità di
controllare l'utilizzo delle proprie informazioni personali da parte di terzi.
Una prima esigenza è di evitare la divulgazione incontrollata
d'informazioni che possono essere usate per recare danno all'individuo.
Un'altra esigenza, non meno importante, è d'impedire l'incrocio tra
banche dati diverse allo scopo di costruire un profilo soggettivo e
dettagliato dell'individuo, utilizzabile a suo danno. Le normative vigenti,
emanate in base alla direttiva CE n. 95/46, hanno lo scopo di
regolamentare il trattamento dei dati personali. Misure come
l'informativa all'interessato con la richiesta di consenso e l'adozione di
misure di sicurezza per impedire la divulgazione dei dati servono a
limitare l'uso delle informazioni personali ai casi previsti dalla legge e
concordati col cittadino. D'altra parte, l'utilizzo sempre più capillare delle
tecnologie informatiche (basti pensare alle transazioni finanziarie e ai
rapporti con la pubblica amministrazione) impedisce che le
comunicazioni possano svolgersi nel completo anonimato, visti gli illeciti
civili e penali che verrebbero commessi senza poter rintracciare i
responsabili. Reati come truffe, terrorismo e pedofilia destano già
allarme sociale e sono nel raggio d'attenzione di legislatori e forze
dell'ordine; ben più diffusa tra la massa degli utenti Internet è la
violazione del diritto d'autore, favorita da software di duplicazione e di
scambio peer-to-peer e dalla pubblicazione illecita su Internet di
47
materiale soggetto a copyright. L'esigenza è quindi, da un lato, di
assicurare l'anonimato degli interessati e la riservatezza delle
informazioni scambiate nel rispetto dei diritti altrui e dei valori di una
società democratica che si riconosce nella Convenzione Europea dei
diritti dell'uomo del 1950 (basata sulla Dichiarazione Universale dei
Diritti dell'Uomo del 1948), che nell'articolo 8 specifica il Diritto al rispetto
della vita privata e familiare. D'altro canto, l'anonimato cessa di essere
garantito quando si tratta d'individuare e perseguire i responsabili di
azioni criminali. A tale proposito, la “Raccomandazione n. R (99) 5 del
Comitato dei Ministri agli stati membri relativa alla protezione della
privacy su Internet e linee guida per la protezione delle persone rispetto
alla raccolta e al trattamento di dati personali sulle autostrade
dell'informazione", adottata dal Comitato dei Ministri del Consiglio
d'Europa il 23/2/1999, ha fissato una serie di principi per equilibrare la
privacy con l'impossibilità di completo anonimato, che includono il diritto
all'uso di pseudonimi. La raccomandazione suggerisce che sia prevista
la possibilità d'uso di pseudonimi in modo che la reale identità personale
degli utenti Internet sia nota solo ai service provider. In tal modo, l'utente
può evitare di essere riconosciuto dagli altri utenti, ma resta legalmente
responsabile dei suoi comportamenti sulla rete, perché rintracciabile su
richiesta dell'autorità giudiziaria.

La privacy
Abbiamo visto che la totale anonimità è irraggiungibile, dato che i
provider e i gestori dei servizi di posta tengono traccia degli accessi da
parte degli utenti, che devono essere registrati per utilizzare il servizio.
Un certo livello di anonimità può essere raggiunto illegalmente,
impossessandosi delle credenziali di accesso di un altro utente e
usandole senza autorizzazione, ma si tratta di una soluzione limitata,
rischiosa e di efficacia temporanea. Legalmente, un utente può utilizzare
software e servizi (alcuni a pagamento, altri gratuiti) che garantiscono
l'anonimità del browsing Internet e dei messaggi di posta inviati
attraverso web mail. Tuttavia, anche in questi casi viene tenuta traccia
dell'utilizzo del servizio, che può essere interrotto in qualsiasi momento
48
in caso di abuso, inoltre le registrazioni sono a disposizione delle
autorità competenti. Se da un lato un utente è interessato a difendere la
privacy e la riservatezza mentre naviga su Internet, in altre occasioni è
di fondamentale importanza poter autenticare un soggetto per
identificare con certezza l'autore di un certo comportamento o l'utente
che accede a determinate risorse. Nel caso di azioni illecite o criminali,
un'indagine può utilizzare tecniche di monitoraggio e i log dei provider
Internet. Nel caso di accessi e transazioni legittime, l'autenticazione
serve ad accertare l'identità di chi le esegue, impedendo l'accesso ai
soggetti non autorizzati e, se abbastanza forte, vincolando l'utente a far
fronte all'impegno contratto senza possibilità di ripudio (al di là di quelle
stabilite per legge, come il diritto di recesso per gli acquisti online).
L'autenticazione rappresenta una prova di identità, che identifica
univocamente un individuo sulla base di uno o più dei seguenti fattori:
un dato conosciuto (come una password o la risposta a una domanda),
un oggetto posseduto (come un token USB o una Smart Card) o una
caratteristica fisica (come un'impronta digitale o la mappa dell'iride).
Riservatezza e autenticazione sembrano due obiettivi antagonisti, ma
ciò è vero solo in termini relativi e in determinate circostanze. Ad
esempio, la richiesta di autenticazione per eseguire una transazione
commerciale protegge i contraenti e normalmente comporta una perdita
accettabile della riservatezza, se ogni parte in causa applica le leggi sul
trattamento delle informazioni personali o sensibili. Nel panorama
italiano di leggi e decreti, un esempio che tratta sia di autenticazione sia
di privacy è il decreto legislativo 196/2003 (Nuovo codice in materia di
protezione dei dati personali). Gli articoli da 31 a 34 prescrivono sia la
riservatezza a protezione dei dati personali sia le misure autenticazione
e autorizzazione come condizione per accedere alle informazioni.
L'allegato B precisa le "misure minime di sicurezza" che devono essere
adottate dai soggetti che trattano dati personali per non incorrere in
responsabilità penali. In particolare, sulla base delle indicazioni
comunitarie, il legislatore italiano ha stabilito la necessità di proteggere i
computer utilizzati nel trattamento di dati personali attraverso un sistema
di credenziali di autenticazione basato su codice di identificazione e
password o altro dispositivo di autenticazione, come token, Smart Card

49
o caratteristica biometria eventualmente associata a un codice o
password. Tra le norme specificate, c'è la lunghezza minima di otto
caratteri per le password, il suo contenuto non associabile all'utente, la
sua modifica al primo utilizzo e almeno ogni sei mesi (pena la perdita
delle credenziali) e regole di utilizzo delle credenziali. La scelta di
imporre forme di autenticazione per accedere alle risorse si riflette nella
protezione dei tre attributi fondamentali della sicurezza:

 riservatezza delle informazioni, riducendo il rischio di accesso alle

informazioni (visione o furto) da parte di soggetti non autorizzati
 integrità dei dati, riducendo il rischio di modifiche, aggiunte e
cancellazioni per interventi non autorizzati
 disponibilità dei dati, riducendo il rischio che agli utenti legittimi sia
impedito di accedere alle risorse nei tempi e modi appropriati.

Ci sono circostanze in cui l'autenticazione può avere risvolti delicati:

procurarsi la possibilità di sapere quando un soggetto ha avuto accesso
a una risorsa e quali operazioni ha eseguito può costituire una
violazione della legge sulla privacy, se l'interessato non è stato
adeguatamente informato; inoltre, in Italia, azioni di monitoraggio che
possano configurarsi come controllo a distanza (lecite in altri paesi)
sono vietate dallo statuto dei lavoratori. In un'azienda, la registrazione
delle attività degli utenti durante la giornata comporta la registrazione
nei file di log di un ingente quantità di informazioni, soprattutto se gli
accessi sono soggetti ad autenticazione. L'analisi di tali informazioni, se
condotta con l'intenzione di scoprire come un lavoratore impiega il
tempo e le risorse, rischia di contravvenire alla legge sulla privacy e allo
statuto dei lavoratori. L'autenticazione, d'altra parte, ha una funzione
essenziale nelle organizzazioni e trova applicazioni che per loro natura
hanno l'esigenza di verificare con certezza l'identità di chi esegue le
operazioni. Il settore bancario, ad esempio, prevede forme di
autenticazione particolarmente sofisticate per garantire che solo un
certo soggetto sia autorizzato a eseguire una certa transazione. A tale
scopo la legislazione comunitaria, seguita poi da quella nazionale, ha
introdotto vari tipi di firma elettronica, solo alcuni dei quali hanno
efficacia giuridica.
50
Le quattro tipologie di firma previste sono:
1. Firma elettronica semplice: è l'insieme dei dati in forma elettronica
allegati o connessi tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di autenticazione informatica. E'
paragonabile a una firma cartacea non riconosciuta, quindi non ha
valore legale.
2. Firma elettronica avanzata: è ottenuta attraverso una procedura
informatica che garantisce la connessione univoca al firmatario e
la sua univoca identificazione, creata con mezzi su cui il firmatario
mantiene un controllo esclusivo e collegata ai dati cui si riferisce in
modo da rilevare se essi sono stati successivamente modificati.
3. Firma elettronica qualificata: una firma elettronica avanzata, in sé
tecnologicamente neutra, assume valore legale (pari a una firma
autografa) solo quando è utilizzata insieme a un "certificato
qualificato" ed è creata attraverso un "sistema di creazione di firma
sicura". Per produrre una firma di tale livello bisogna soddisfare
una trentina di requisiti.
4. Firma digitale: è una specie particolare di firma elettronica
qualificata, basata sulla crittografia a chiave asimmetrica (detta
anche crittografia a chiave pubblica). Il decreto legislativo 82/2005
è impostato come se si potessero avere più tipi di firma elettronica
qualificata, cioè più sistemi che consentono l'identificazione
univoca del titolare, uno dei quali è la firma digitale a chiavi
asimmetriche. Di fatto, però, la firma digitale è l'unico tipo di firma
elettronica avanzata oggi noto e utilizzato, per cui i due concetti
tendono a coincidere.

L'articolo 21 del DL 82/2005 stabilisce, con un rimando al Codice Civile,

che la firma digitale (o altra firma elettronica qualificata) è probatoria
salvo querela per falso, equiparando il documento informatico
sottoscritto con firma digitale alla scrittura privata con firma autografa.
La titolarità della firma digitale è garantita dagli enti certificatori
accreditati presso il CNIPA (Centro Nazionale per l'Informatica nelle
Pubbliche Amministrazioni, ex AIPA), che tengono registri delle chiavi
pubbliche presso i quali si può verificare la titolarità del firmatario di un
documento elettronico (verificando la validità del certificato digitale del
titolare e dei certificati delle Certification Authority interessate). I
certificatori hanno requisiti di capitale sociale non inferiore a quello
51
richiesto per svolgere attività bancaria, quindi non sono individui (come i
notai), bensì grandi enti o società. Una chiave privata viene fornita a
pagamento e ha una scadenza, il che potrebbe essere opinabile, visto
che la firma (autografa o digitale) è un mezzo legale per l'esercizio dei
diritti naturali della persona.

Tutela della privacy

Nel corso degli anni, le aziende si sono trovate costrette, anche a
termini di legge, ad adottare sistemi di sicurezza basati su tecnologie
sempre più sofisticate, rese necessarie dall'evoluzione e diffusione dei
mezzi di attacco e dal crescente danno causato da tali attacchi a
organizzazioni sempre più dipendenti dai sistemi e dalle reti
informatiche per il proprio funzionamento. Il trattamento di dati personali
è regolamentato da numerose leggi, tra cui la Direttiva 95/46/CE del
Parlamento Europeo e del Consiglio dell'Unione Europea (relativa alla
tutela delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati) e DL 196/2003
(codice in materia di protezione dei dati personali). La direttiva europea
stabilisce che: 1. Gli Stati membri garantiscono, conformemente alle
disposizioni della direttiva, la tutela dei diritti e delle libertà fondamentali
delle persone fisiche e particolarmente del diritto alla vita privata, con
riguardo al trattamento dei dati personali. 2. Gli Stati membri non
possono restringere o vietare la libera circolazione dei dati personali tra
Stati membri, per motivi connessi alla tutela garantita a norma del
paragrafo 1. Il codice italiano della privacy, molto più dettagliato, rimarca
il diritto di chiunque alla protezione dei dati personali che lo riguardano e
disciplina le modalità di trattamento dei dati, specificando anche i
requisiti di sicurezza dei dati e dei sistemi informatici. Include anche una
sezione sulle sanzioni, che per i casi più gravi possono arrivare a
90.000 euro di sanzione amministrativa, reclusione fino a tre anni (nei
casi di responsabilità penale) e pagamento dei danni. Entrambe le leggi
stabiliscono che la custodia e il trattamento dei dati personali sono legati
ai progressi tecnici, alla natura dei dati e alle caratteristiche del
trattamento, in modo che adeguate misure preventive di sicurezza
52
riducano al minimo i rischi in termini di riservatezza, integrità e
disponibilità. Gli articoli di legge includono due concetti che meritano
attenzione nell'ambito della sicurezza informatica: l'idoneità e
l'evoluzione delle misure di sicurezza. L'idoneità è un criterio che non
descrive una particolare soluzione se non attraverso i risultati ottenuti. In
caso di contestazione, chi è responsabile delle scelte e dell'attuazione
delle politiche di sicurezza dovrà dimostrare di avere adottato le misure
necessarie per evitare la perdita di sicurezza che si è verificata e che
quest'ultima è attribuibile a eventi fortuiti o di causa maggiore.
L'evoluzione delle misure di sicurezza è inevitabile per stare al passo
(idealmente per anticipare) delle modalità e degli strumenti di attacco.
L'aggiornamento delle politiche di sicurezza e delle contromisure
tecnologiche è indispensabile per mantenere nel tempo l'idoneità delle
soluzioni messe in campo ed evitare quindi azioni di responsabilità civile
intraprese dai soggetti che si dichiarano danneggiati. L’esigenza di
ottenere gli obiettivi di sicurezza in termini e costi ben definiti ha favorito
l'outsourcing della sicurezza attraverso contratti che impegnano il
fornitore a gestire le problematiche di sicurezza in nome e per conto del
committente. Tali contratti garantiscono il rispetto di specifici SLA
(Service Level Agreement) o di standard internazionali come il BS
7799/ISO 17799 (vedi la lezione 1) che, se adottati, producono il livello
di idoneità del livello di sicurezza richiesto dai legislatori. L'Allegato B del
Codice della privacy italiano (Disciplinare tecnico in materia di misure
minime di sicurezza) definisce le misure minime di sicurezza che
devono essere adottate dalle organizzazioni che trattano dati personali
attraverso strumenti elettronici o in altro modo. Si deve tuttavia
osservare che l'osservanza delle misure minime di legge elencate
nell'Allegato B (riportate nel riquadro) evita il rischio di sanzioni di tipo
penale, ma solo l'adozione di misure di livello superiore - idonee al
conseguimento degli obiettivi - può tenere l'azienda al riparo da azioni di
responsabilità civile. L'Allegato B prescrive l'uso di credenziali di
autenticazione per accedere al sistema, specifica norme per la scelta e
l'amministrazione delle password, prevede sistemi di autorizzazione per
limitare gli accessi alle informazioni minime necessarie e include altre
misure di sicurezza (aggiornamenti software, backup periodici, sistemi

53
anti-intrusione, programmi anti-malware). Ulteriori misure sono richieste
per il trattamento e la custodia di dati sensibili o giudiziari Il tutto deve
essere descritto nel documento programmatico; sia il documento sia le
misure di sicurezza (tecniche e amministrative) devono essere
aggiornati con cadenza annuale. Nell'allegato B (vedi più avanti) il
legislatore, conscio che la sicurezza non è un prodotto che si acquista,
ma un costante processo che coinvolge diverse figure aziendali, ha
stabilito che il titolare e il responsabile del trattamento dei dati personali
devono redigere, almeno una volta l'anno, un documento
programmatico sulla sicurezza dei dati particolarmente dettagliato. I
contenuti richiesti comprendono i dati trattati, il personale responsabile,
l'analisi dei rischi, le contromisure fisiche, procedurali e tecniche da
adottare, le misure di disaster recovery adottate, le azioni programmate
di formazione del personale, i criteri per garantire i criteri minimi di
sicurezza del trattamento dati in caso di outsourcing, i criteri da adottare
per la cifratura o altra forma di protezione di dati sensibili. È interessante
notare che la legge recepisce l'importanza dell'analisi del rischio, che
include il censimento dei beni da proteggere, la valutazione delle
minacce e dei danni potenziali e la definizione delle contromisure.
Anche le attività di formazione e gli interventi organizzativi lasciano
trasparire la necessità di coinvolgere nelle problematiche di sicurezza
tutti i soggetti che condividono la responsabilità della custodia e del
trattamento dei dati. Anche in caso di outsourcing, il titolare conserva la
responsabilità finale del trattamento dei dati e per contratto dovrà
ricevere dal fornitore un documento che attesti la conformità con le
disposizioni dell'allegato B. La mancata adozione delle misure minime di
sicurezza è sanzionata penalmente dal Codice della privacy; l'articolo
169 prevede l'arresto sino a due anni o l'ammenda da 10.000 a 50.000
euro per chi è soggetto al codice e omette di adottare le misure minime
prescritte. L'insieme delle sanzioni, suddivise tra violazioni
amministrative e illeciti penali, è descritto negli articoli 161- 172 del
codice.

54
Etica della privacy
Negli ambienti di lavoro sono utilizzate, in misura sempre più
crescente,delle tecnologie informatiche che pongono notevoli problemi
di natura etica e giuridica. Queste riguardano l'utilizzo corretto delle
risorse da parte del personale e, per l'azienda, le attività di controllo e
sorveglianza del personale. Prima di entrare nel merito, è utile prendere
atto di un comunicato stampa del Garante per la protezione dei dati
personali, ampiamente riportato dalla stampa nazionale.
“Illecito spiare il contenuto della navigazione in
Internet del dipendente” Il Garante: "L'uso indebito del
computer può essere contestato senza indagare sui siti
visitati" Il datore di lavoro non può monitorare la
navigazione in Internet del dipendente. Il Garante
privacy ha vietato a una società l'uso dei dati relativi
alla navigazione in Internet di un lavoratore che, pur
non essendo autorizzato, si era connesso alla rete da
un computer aziendale. Il datore di lavoro, dopo aver
sottoposto a esame i dati del computer, aveva
accusato il dipendente di aver consultato siti a
contenuto religioso, politico e pornografico, fornendone
l'elenco dettagliato. Per contestare l'indebito utilizzo di
beni aziendali, afferma il Garante nel suo
provvedimento sarebbe stato in questo caso sufficiente
verificare gli avvenuti accessi a Internet e i tempi di
connessione senza indagare sui contenuti dei siti.
Insomma, altri tipi di controlli sarebbero stati
proporzionati rispetto alla verifica del comportamento
del dipendente. "Non è ammesso spiare l'uso dei
computer e la navigazione in rete da parte dei
lavoratori", commenta Mauro Paissan, componente del
Garante e relatore del provvedimento. "Sono in gioco
la libertà e la segretezza delle comunicazioni e le
garanzie previste dallo Statuto dei lavoratori. Occorre
inoltre tener presente che il semplice rilevamento dei
55
siti visitati può rivelare dati delicatissimi della persona:
convinzioni religiose, opinioni politiche, appartenenza a
partiti, sindacati o associazioni, stato di salute,
indicazioni sulla vita sessuale". Nel caso sottoposto al
giudizio del Garante, dopo una prima istanza, senza
risposta, rivolta alla società, il lavoratore aveva
presentato ricorso al Garante contestando la legittimità
dell'operato del datore di lavoro. La società aveva
allegato alla contestazione disciplinare notificata al
lavoratore, in seguito licenziato, numerose pagine dei
file temporanei e dei cookies originati sul suo computer
dalla navigazione in rete, avvenuta durante sessioni di
lavoro avviate con la password del dipendente. Da
queste pagine, copiate direttamente dalla directory
intestata al lavoratore, emergevano anche diverse
informazioni particolarmente delicate che la società
non poteva raccogliere senza aver prima informato il
lavoratore. Sebbene infatti i dati personali siano stati
raccolti nel corso di controlli informatici volti a verificare
l'esistenza di un comportamento illecito, le informazioni
di natura sensibile, in grado di rivelare ad esempio
convinzioni religiose e opinioni sindacali o politiche,
potevano essere trattate dal datore di lavoro senza
consenso solo se indispensabili per far valere o
difendere un diritto in sede giudiziaria. Indispensabilità
che non è emersa dagli elementi acquisti nel
procedimento. Illecito anche il trattamento dei dati
relativi allo stato di salute e alla vita sessuale. Secondo
il Codice della privacy infatti tale tipo di trattamento può
essere effettuato senza consenso solo se necessario
per difendere in giudizio un diritto della personalità o un
altro diritto fondamentale. La società in questo caso
intendeva invece far valere diritti legati allo svolgimento
del rapporto di lavoro.
Roma, 14 febbraio 2006
56
Un'altra indicazione viene dai sondaggi sull'uso di Internet negli ambienti
di lavoro, indicato da più parti come la maggiore fonte di spreco di ore di
lavoro. Qualche anno fa un’indagine appurò che il 30-40% delle ore di
navigazione Internet nelle aziende americane non era per motivi di
lavoro e che il 70% della banda aziendale era utilizzata a scopo non
aziendale. Nel 2005 ha avuto vasta eco sui media un'indagine di
America Online e Salary.com su 10.000 lavoratori americani, che ha
rilevato che il lavoratore medio spreca ogni giorno due ore di lavoro, di
cui la quota principale (44,7%) è data dalla navigazione Internet per
scopi personali. Una ricerca di Benchmark Research commissionata nel
2005 da AMD, sull'utilizzo di Internet in Europa, ha appurato che gli
utenti italiani sono al primo posto nell'uso del PC per scambiare file
musicali in rete. Questo piccolo campione di informazioni, facilmente
ampliabile attingendo a Internet, indica che ci sono problematiche legate
all'utilizzo dei computer e alle politiche di sicurezza aziendali. Infatti,
l'uso delle risorse informatiche e di Internet non coinvolge solo aspetti
organizzativi ed eventualmente disciplinari; sono soprattutto i
comportamenti impropri o illeciti (uso del computer e della rete per scopi
extra-lavoro) che causano le maggiori violazioni delle norme di
sicurezza a cui l'azienda (a partire dai dirigenti) è vincolata (vedi codice
della privacy). Quando un dipendente installa e utilizza un software
peer-to- peer non si limita a sprecare il proprio tempo e le risorse
aziendali, ma può creare gravi falle di sicurezza nel sistema e nella rete,
ad esempio per effetto di cavalli di Troia (mimetizzati da programmi utili
o antispyware) di nuova generazione molto difficili da individuare ed
eliminare. Inoltre le leggi sulla tutela del diritto d'autore, recentemente
irrigidite, costituiscono un ulteriore rischio per l'azienda (in pratica i
dirigenti) che non adotta misure per impedire il download e la diffusione
di materiale (musica, film, software, eccetera) protetto da copyright. Le
problematiche derivanti dalle azioni del personale non sono
puntualmente disciplinate né dal legislatore europeo né da quello
italiano. Nell'ordinamento italiano, la principale norma di riferimento è
l'art. 4 dello Statuto dei Lavoratori (Legge 300, 20 maggio 1970), sotto
riportato.
Dalla Legge 20/5/1970, n. 300 (Statuto dei lavoratori)
57
 ART. 4 - Impianti audiovisivi. È vietato l'uso di impianti
audiovisivi e di altre apparecchiature per finalità di
controllo a distanza dell'attività dei lavoratori. Gli
impianti e le apparecchiature di controllo che siano
richiesti da esigenze organizzative e produttive ovvero
dalla sicurezza del lavoro, ma dai quali derivi anche la
possibilità di controllo a distanza dell'attività dei
lavoratori, possono essere installati soltanto previo
accordo con le rappresentanze sindacali aziendali,
oppure, in mancanza di queste, con la commissione
interna. In difetto di accordo, su istanza del datore di
lavoro, provvede l'Ispettorato del lavoro, dettando, ove
occorra, le modalità per l'uso di tali impianti. Per gli
impianti e le apparecchiature esistenti, che rispondano
alle caratteristiche di cui al secondo comma del
presente articolo, in mancanza di accordo con le
rappresentanze sindacali aziendali o con la
commissione interna, l'Ispettorato del lavoro provvede
entro un anno dall'entrata in vigore della presente
legge, dettando all'occorrenza le prescrizioni per
l'adeguamento e le modalità di uso degli impianti
suddetti. Contro i provvedimenti dell'Ispettorato del
lavoro, di cui ai precedenti secondo e terzo comma, il
datore di lavoro, le rappresentanze sindacali aziendali
o, in mancanza di queste, la commissione interna,
oppure i sindacati dei lavoratori di cui al successivo art.
19 possono ricorrere, entro 30 giorni dalla
comunicazione del provvedimento, al Ministro per il
lavoro e la previdenza sociale.
Al divieto per l'azienda di esercitare un controllo occulto dei lavoratori, si
contrappongono tuttavia il dovere di diligenza e di fedeltà del lavoratore
e il potere disciplinare del datore di lavoro. Ai sensi dell'art. 2104 del
Codice Civile, "il prestatore di lavoro deve usare la diligenza richiesta
dalla natura della prestazione dovuta e dall'interesse dell'impresa". Deve
inoltre osservare le disposizioni per l'esecuzione e la disciplina del
58
lavoro impartite dall'imprenditore e dai collaboratori di questo dai quali
dipende gerarchicamente. Ai sensi dell'art. 2106 del CC, l'inosservanza
delle disposizioni di cui all'art. 2104 può dare luogo all'applicazione di
sanzioni disciplinari proporzionate alla gravità dell'infrazione. L'articolo 7
dello Statuto dei Lavoratori (Sanzioni disciplinari) prevede che le
sanzioni siano portate a conoscenza dei lavoratori e che debbano
essere applicate in base a quanto stabilito dai contratti collettivi
nazionali di lavoro. A livello europeo, il Gruppo di lavoro in tema di
protezione degli individui per quanto riguarda il trattamento dei dati
personali presso la Commissione Europea il 29/5/2002 ha adottato un
documento di lavoro (www.privacy.it/grupridoc20020529. html)
riguardante la vigilanza sulle comunicazioni elettroniche sul posto di
lavoro, in particolare riguardo l'uso della posta elettronica e di Internet. Il
suddetto gruppo di lavoro, costituito in applicazione della direttiva
95/46/CE del 24 ottobre 1995 del Parlamento Europeo e del Consiglio
dell'Unione Europea, ha fissato una serie di principi assai rilevanti che
devono essere applicati anche in Italia laddove si esercitino controlli
sull'uso degli strumenti informatici e telematici che possano determinare
il controllo sulle attività dei dipendenti.

Principio di necessità
Prima di attivare azioni di monitoraggio, si dovrebbe valutare se non si
possano adottare altre forme di controllo meno invasive per il rispetto
della dignità dei lavoratori. In ogni caso le attività di controllo devono
essere eccezionali; possono essere intraprese solo se si sospetta che
siano in atto attività criminose da parte del lavoratore, per esigenze
legate alla sicurezza del sistema informatico aziendale o per garantire la
continuità dell'attività dell'impresa.

Principio di finalità
La raccolta di dati riguardanti le azioni del lavoratore dovrebbe avvenire
per uno scopo determinato, esplicito e legittimo, evitando di utilizzare tali
dati in un secondo momento in modo incompatibile con le finalità
dichiarate. Secondo il gruppo di lavoro, ciò significa, ad esempio, che se
la raccolta e trattamento dei dati sono giustificati per ragioni riguardanti
59
la sicurezza del sistema, quei dati non potranno in seguito essere
elaborati per un altro scopo, come il controllo del comportamento del
dipendente.

Principio di trasparenza
Il datore di lavoro deve dichiarare apertamente le sue attività e
informare preventivamente i lavoratori riguardo i controlli messi in atto.
In particolare, deve informare i lavoratori circa l'adozione di una policy
aziendale per l'uso della posta elettronica e di Internet, nella quale siano
descritte le modalità in cui i dipendenti possono utilizzare le
infrastrutture di proprietà dell'impresa per comunicazioni personali o
private. Inoltre dovranno essere descritti: i motivi e le finalità delle attività
di vigilanza, i provvedimenti presi; la procedure adottate dal datore di
lavoro per garantire il rispetto delle regole, indicando le modalità di
contestazione delle infrazioni e della possibilità di difesa da parte dei
lavoratori. Secondo il gruppo di lavoro, il datore di lavoro dovrebbe
informare immediatamente il lavoratore dell'infrazione, anche attraverso
l'uso di avvisi sullo schermo del computer. Inoltre, il gruppo di lavoro
consiglia lo scambio di informazioni ed eventuali accordi con la
rappresentanza sindacale prima dell'adozione definitiva delle policy
all'interno dell'azienda.

Principio di legittimità
La raccolta e il trattamento dei dati riguardanti il lavoratore possono
essere consentiti purché abbiano il fine di perseguire interessi legittimi
da parte del datore di lavoro e non violino i diritti fondamentali dei
lavoratori. Secondo il gruppo di lavoro, la necessità di tutelare l'azienda
da seri pericoli, per esempio impedendo la trasmissione di informazioni
confidenziali a un concorrente, può costituire tale interesse legittimo.

Principio di proporzionalità
I dati personali raccolti nell'ambito delle attività di controllo e vigilanza
devono essere pertinenti e commisurati al raggiungimento dello scopo
dichiarato. Ciò implica che la policy aziendale sia definita tenendo conto
dell'analisi del rischio e delle contromisure pianificate. Secondo il gruppo
60
di lavoro, il principio di proporzionalità esclude il controllo a tappeto
dell'uso della posta elettronica e di Internet da parte del personale, a
meno che ciò si renda necessario per garantire la sicurezza del sistema.
Il datore di lavoro dovrà inoltre valutare se non sia possibile ricorrere a
modalità meno intrusive. Il controllo della posta elettronica dovrebbe
limitarsi ai dati riguardanti i flussi dei messaggi in ingresso e in uscita e
al controllo degli allegati e non dovrebbe riguardare il contenuto dei
messaggi. Qualora fosse indispensabile accedere ai contenuti, si dovrà
tenere conto della sfera privata dei lavoratori e dei loro interlocutori. A
tale proposito il gruppo di lavoro consiglia di inserire nei messaggi diretti
all'esterno dell'azienda un avviso sull'esistenza dei sistemi di controllo. Il
controllo dell'uso di Internet dovrebbe consistere nell'adozione di filtri
che blocchino l'accesso a determinati siti o categorie di siti web. Il
servizio di web filtering può essere fornito dal firewall o può essere un
servizio esterno, basato su categorie o su profili personalizzati. Anche in
questo caso il gruppo di lavoro ritiene che un eventuale accordo con le
rappresentanze sindacali possa portare all'adozione di una policy che
tenga conto in modo equilibrato degli interessi contrapposti.

Principio di accuratezza e conservazione dati

I dati personali archiviati dal datore di lavoro in relazione all'uso della
posta elettronica aziendale e di Internet devono essere accurati e
aggiornati e non essere conservati più a lungo del periodo necessario.

Principio della sicurezza

Il datore di lavoro deve adottare le misure di sicurezza logiche e
organizzative per garantire che i dati personali siano conservati in modo
sicuro e protetto contro intrusioni dall'esterno. Inoltre il datore di lavoro
ha il diritto di proteggere il suo sistema informatico dai malware
informaticiattraverso la scansione automatica dei messaggi di posta
elettronica e del traffico Internet. Si può osservare che il Codice della
privacy (DL 196/2003) ha reso obbligatorie misure di sicurezza che
potevano apparire facoltative, come la protezione fisica, procedurale/
organizzativa e tecnica e, tra le misure tecniche, quelle idonee a

61
impedire intrusioni (anche dall'interno), infezioni, perdite di dati e via
dicendo.

Uso della Posta elettronica

Il gruppo di lavoro ritiene che per la posta elettronica e per quella
tradizionale non ci debbano essere differenze di trattamento; di
conseguenza, la posta elettronica deve fruire della stessa tutela dei
diritti fondamentali di cui gode la posta cartacea. In particolare, il datore
di lavoro deve evitare, per quanto possibile, intrusioni nella sfera privata
del lavoratore. Perciò il datore di lavoro deve informare in modo chiaro il
lavoratore in relazione all'uso dell'indirizzo e-mail aziendale per scopi
personali e sull'uso di web mail (e-mail attraverso il browser Internet
anziché attraverso un programma di posta) e di indirizzi di posta privati
per le loro comunicazioni personali. Il gruppo di lavoro è a favore della
soluzione web mail, che permette di separare i messaggi di lavoro da
quelli privati. In tal caso, il datore di lavoro può limitarsi a controllare i
flussi di corrispondenza e i tempi di utilizzo evitando ulteriori
intromissioni nella sfera privata del lavoratore. Il datore di lavoro
dovrebbe informare il lavoratore della possibile necessità di accedere
alla sua casella e-mail aziendale in caso di necessità (come l'assenza
imprevista del dipendente), definendo le modalità di tale accesso. Il
datore di lavoro dovrà informare il lavoratore circa l'esistenza di
procedure di backup dei messaggi di posta elettronica, la durata della
conservazione e la loro cancellazione (da notare che l'azienda potrebbe
essere tenuta a conservare i messaggi e-mail - anche interni - come
parte della documentazione ufficiale dei propri affari, ad esempio per
dimostrare le posizioni degli interessati, la sequenza degli eventi e la
legalità del proprio operato). Il datore di lavoro dovrà informare il
lavoratore sui rischi connessi all'utilizzo della posta elettronica in
relazione alla sicurezza del sistema informativo aziendale (i danni
causati dal malware trasportato via e-mail possono riguardare il
computer locale, la rete, i server, i sistemi operativi, le applicazioni,
eccetera). Il datore di lavoro dovrà infine evidenziare il ruolo delle
rappresentanze sindacali nell'applicazione della policy aziendale.

Uso di internet
62
Spetta al datore di lavoro decidere se e in che misura ai lavoratori è
consentito l'uso di Internet per motivi personali. D'altra parte, il gruppo di
lavoro ritiene che vietare totalmente l'uso di Internet a scopo personale
sia sconsigliabile, perché "poco pratico e non molto realistico poiché non
tiene conto della misura in cui Internet può essere d'aiuto ai dipendenti
nella loro vita quotidiana". Il gruppo di lavoro consiglia comunque
l'adozione di misure atte a prevenire gli abusi dell'utilizzo di Internet,
piuttosto che volte a individuare i casi di abuso. In questa ottica è
consigliata l'adozione di strumenti (come i servizi di web filtering, esterni
o integrati con il firewall) in grado di bloccare l'accesso a determinati siti
o categorie di siti, introducendo avvisi a fronte dei tentativi di accesso
bloccati. Anche per l'uso di Internet è necessario informare
preventivamente il lavoratore dell'esistenza di controlli sul suo computer.
Il gruppo di lavoro, a questo proposito, ritiene che in molti casi non sia
necessario visualizzare il contenuto dei siti visitati, ma sia sufficiente
verificare la durata della navigazione o l'URL dei siti visitati più di
frequente da un'area dell'azienda. Qualora da tali verifiche generali
dovessero emergere abusi o illeciti da parte dei lavoratori, il datore di
lavoro potrà procedere a controlli più approfonditi. In generale, è
consigliabile che il datore di lavoro agisca con prudenza prima di
contestare un'infrazione a un lavoratore, tenendo conto che errori di
battitura, risposte dei motori di ricerca, collegamenti ipertestuali ed
eventuale malware possano condurre a siti e pagine web indesiderati. In
ogni caso, il datore di lavoro dovrà permettere al lavoratore di difendersi
dalle contestazioni mosse nei suoi confronti, nel rispetto dello Satuto dei
Lavoratori (è anche opportuno verificare che eventuali accessi impropri
a Internet siano stati effettivamente eseguiti tramite l'account del
lavoratore e che sul computer non siano presenti malware - come
adware/spyware e simili - che lascino false tracce di navigazione; anche
sotto questo aspetto la prevenzione è di gran lunga preferibile alle
indagini dopo il fatto). Il datore di lavoro dovrà informare
preventivamente il lavoratore sui limiti e le condizioni entro i quali sia
eventualmente consentito l'uso di Internet per scopi privati, precisando
orari e tempi per l'suo privato, le categorie di siti precluse e quale
materiale non può essere visionato, scaricato o copiato, spiegando in

63
dettaglio le motivazioni di tali limitazioni. Stante che è preferibile
introdurre filtri web piuttosto che divieti di navigazione, i lavoratori
dovranno essere informati sui sistemi adottati per impedire l'accesso a
determinati siti/gruppi di siti e per individuare i casi i abuso. Dovranno
anche essere comunicate le modalità di esecuzione dei controlli, le aree
oggetto dei controlli e la possibilità di eseguire controlli individuali nel
caso siano rilevate infrazioni. Anche in tal caso i lavoratori dovranno
essere informati sul ruolo delle rappresentanze sindacali nell'adozione
della policy aziendale.

Privacy nella biometria

Negli anni recenti lo sviluppo delle tecnologie biometriche e la richiesta
di strumenti di autenticazione più efficaci validi anche su vasta scala
hanno accelerato la diffusione di applicazioni biometriche. Queste sono
basate per lo più sul riconoscimento di caratteristiche fisiche, come le
impronte digitali, la geometria della mano, la forma dell'iride o della
retina, la voce o il volto. La biometria pone una minaccia per la privacy,
perché il suo utilizzo porta a una perdita di autonomia dell'individuo,
fornisce allo stato gli strumenti di monitoraggio dei cittadini e solleva
obiezioni di natura filosofica, culturale e religiosa. D'altra parte, la
biometria può essere usata per proteggere l'integrità delle informazioni e
per impedire il furto d'identità. I governi e le organizzazioni internazionali
hanno quindi un ruolo importante nel regolamentare l'uso delle
tecnologie biometriche, in particolare la raccolta e la diffusione dei dati
biometrici. La privacy consiste di tre componenti: segretezza, anonimato
e solitudine. In una scena ideale di privacy perfetta, nessuno ha
informazioni su X, nessuno presta attenzione a X e nessuno ha accesso
fisico a X (R. Gavison, "Privacy and the limits of the law", Yale Law
Journal, 1980). Un quarto di secolo fa tale visione era facilmente
condivisibile. La recrudescenza delle azioni terroristiche ha spostato il
punto di vista delle popolazioni colpite, inclini (o persuasi dai media) a
rinunciare a una quota significativa dei propri diritti civili in cambio di
maggiore sicurezza. D'altra parte, tale atteggiamento rischia d'innescare
un feedback positivo tra eventi allarmanti e restrizioni dei diritti umani e
64
civili, declinato in modi diversi a seconda delle condizioni politiche e
sociali degli stati. Per esempio, negli Stati Uniti l'evento dell'11
settembre ha motivato, tra le molte iniziative, l'adozione del controllo
delle impronte digitali all'immigrazione, il progetto del passaporto
biometrico, lo sviluppo del riconoscimento facciale e via dicendo. Misure
che oggi sarebbero considerate impopolari e degne del grande fratello
orwelliano, sono da anni nel cassetto, pronte all'uso in caso di
necessità. R. Clarke ha osservato che qualunque mezzo ad alta
integrità per il riconoscimento umano, come gli strumenti biometrici,
rappresenta una minaccia per le libertà civili perché costituisce la base
per uno schema generalizzato d'identificazione che fornirebbe un
enorme potere sulla popolazione. L'intero comportamento umano
diverrebbe trasparente per lo stato e ogni non - conformismo e dissenso
potrebbe essere imbavagliato. La storia ha dimostrato che informazioni
personali raccolte inizialmente per uno scopo limitato, in seguito, a
fronte di eventi che hanno giustificato lo stato di necessità, sono state
utilizzate a scopo restrittivo e repressivo. Un esempio è il censimento
degli stranieri, l'insorgere di ostilità o conflitti bellici e la conseguente
detenzione. Alla luce dell'esperienza, è diffuso il timore che informazioni
biometriche raccolte per salvaguardare gli interessi dei cittadini e
inizialmente utilizzate per scopi limitati (contrasto alle frodi, sicurezza
aeroportuale, protezione dei bambini), gradualmente verrebbero diffuse
e utilizzate per scopi diversi da quelli dichiarati in origine. Le leggi stesse
verrebbero modificate di conseguenza. Il giudice americano L. Brandeis
dichiarò nel 1927: "L'esperienza ci dovrebbe insegnare a stare in
guardia per proteggere la libertà soprattutto quando i propositi del
governo sono benevoli. Gli uomini nati per la libertà sono vigili per
natura e pronti a respingere le invasioni della loro libertà da parte di
governanti male intenzionati. I maggiori pericoli per la libertà sono in
agguato sotto forma di insidiosa impercettibile invasione da parte di
uomini zelanti, apparentemente di buone intenzioni, ma privi di
comprensione". La predizione di Brendeis si è avverata periodicamente,
per esempio quando il Social Security Number americano, istituito con
l'esplicita clausola "Not for identification" (da non usare per
l'identificazione dei cittadini), nel 1961 fu trasformato dall'IRS (l'ufficio

65
delle imposte USA) in uno strumento di identificazione simile al nostro
codice fiscale. Oggi l'SSN è pressoché indispensabile per la maggior
parte delle transazioni che coinvolgono credito, assicurazioni, impiego,
patente di guida, cure mediche eccetera; il passo successivo è la carta
d'identità biometria. Tale avanzamento lento e strisciante delle funzioni
di controllo, così graduale da passare inosservato, è chiamato "function
creep" e inizia sempre con un'iniziativa apparentemente desiderabile e
innocua. Anche in Europa l'uso generalizzato e incontrollato della
biometria solleva preoccupazioni per la minaccia ai diritti e alle libertà
fondamentali dei cittadini. La legge italiana sulla privacy (196/2003)
all'articolo 37 prevede che i titolari del trattamento dei dati personali
(anche biometrici) debbano notificare tale trattamento al garante per la
tutela dei dati personali. A livello europeo, il Gruppo di lavoro per la
protezione degli individui per quanto riguarda il trattamento dei dati
personali, il 1° agosto 2003, ha adottato il "Documento di lavoro sulla
biometria" nel quale fissa i principi da osservare per un corretto
trattamento dei dati biometrici in relazione alla direttiva CE 95/46. Il
gruppo di lavoro definisce come sistemi biometrici le applicazioni di
tecnologie biometriche che permettono l'identificazione e/o
l'autenticazione/verifica automatica di un individuo. L'elemento
biometrico è considerato universale (presente in tutte le persone), unico
(distintivo di ciascuna persona) e permanente (valido nel tempo). Il
gruppo di lavoro distingue le tecniche biometriche in due categorie: di
tipo fisico e fisiologico (come le impronte digitali) e di tipo
comportamentale (come la firma autografa). Nella fase di "iscrizione" i
dati biometrici vengono raccolti ed elaborati in un modello ridotto
archiviato in formato digitale. Dato che alcuni dati biometrici grezzi
possono rivelare informazioni sensibili (razza, etnia, salute), in tali casi si
devono applicare le norme che li tutelano. I dati biometrici possono
essere registrati su vari tipi di supporto, come hard disk di un database
centralizzato o dispositivi da portare con sé (token USB, Smart Card,
schede ottiche). A scopo di autenticazione (dimostrare che si è chi si
dichiara di essere), non occorre memorizzare i dati di riferimento in un
database centralizzato; ciò è invece necessario per l'identificazione
(scoprire l'identità dell'individuo).

66
Normative Europee
Nell'ordinamento giuridico italiano la firma digitale a crittografia
asimmetrica (detta anche a chiave pubblica) è riconosciuta ed
equiparata a tutti gli effetti alla firma autografa su carta. Il primo atto
normativo in tal senso fu il DPR 513/1997 (Decreto del Presidente della
Repubblica) in attuazione dell'art. 15 della legge 59/1997.
Successivamente tale normativa fu trasposta nel DPR 445/2000
("Disposizioni legislative in materia di documentazione amministrativa", il
testo unico sulla documentazione amministrativa) più volte modificato
negli anni successivi per conformare la normativa italiana a quella
comunitaria contenuta nella Direttiva 1999/93/CE del Parlamento
europeo e del Consiglio dell'Unione Europea del 13 dicembre 1999
relativa ad un quadro comunitario per le firme elettroniche. Oggi la legge
che disciplina la firma digitale è il Decreto Legislativo 7 marzo 2005, n.
82 "Codice dell'amministrazione digitale". L'articolo 1 del decreto include
le seguenti definizioni:

 q) firma elettronica: l'insieme dei dati in forma elettronica, allegati

oppure connessi tramite associazione logica ad altri dati elettronici,
utilizzati come metodo di autenticazione informatica;
 r) firma elettronica qualificata: la firma elettronica ottenuta
attraverso una procedura informatica che garantisce la
connessione univoca al firmatario e la sua univoca autenticazione
informatica, creata con mezzi sui quali il firmatario può conservare
un controllo esclusivo e collegata ai dati ai quali si riferisce in modo
da consentire di rilevare se i dati stessi siano stati
successivamente modificati, che sia basata su un certificato
qualificato e realizzata mediante un dispositivo sicuro per la
creazione della firma, quale l'apparato strumentale usato per la
creazione della firma elettronica;
 s) firma digitale: un particolare tipo di firma elettronica qualificata
basata su un sistema di chiavi crittografiche, una pubblica e una
privata, correlate tra loro, che consente al titolare tramite la chiave
privata e al destinatario tramite la chiave pubblica, rispettivamente,
di rendere manifesta e di verificare la provenienza e l'integrità di un
documento informatico o di un insieme di documenti informatici;

67
Il decreto 82/2005 prevede la possibilità di avere più tipi di firma
elettronica qualificata, vale a dire più sistemi che consentano
l'identificazione univoca del titolare, uno dei quali è la firma digitale a
chiavi asimmetriche. Di fatto, la firma digitale è l'unico tipo di firma
elettronica qualificata oggi utilizzato, perciò i due concetti tendono a
coincidere. In base all'art. 5, a decorrere dal 30/6/2007, le pubbliche
amministrazioni centrali con sede nel territorio italiano consentono
l'effettuazione dei pagamenti ad esse spettanti, a qualsiasi titolo dovuti,
con l'uso delle tecnologie dell'informazione e della comunicazione. Da
notare che, per le regole tecniche di formazione, la trasmissione, la
conservazione, la duplicazione, la riproduzione e la validazione, anche
temporale, dei documenti informatici, si applica il DPCM del 13/1/2004
(Decreto del Presidente del Consiglio dei Ministri), che tra l'altro regola
l'uso delle marche temporali che certificano le date dei documenti
informatici. L'articolo 21 del DL 82/2005 stabilisce, con un rimando al
Codice Civile, che la firma digitale (o altra firma elettronica qualificata) è
probatoria salvo querela per falso, equiparando il documento informatico
sottoscritto con firma digitale alla scrittura privata con firma autografa.
La titolarità della firma digitale è garantita dagli enti certificatori
accreditati presso il CNIPA (Centro Nazionale per l'Informatica nelle
Pubbliche Amministrazioni, ex AIPA), che tengono registri delle chiavi
pubbliche presso i quali si può verificare la titolarità del firmatario di un
documento elettronico (verificando la validità del certificato digitale del
titolare e dei certificati delle Certification Authority interessate). L'attività
dei certificatori è disciplinata da decine di clausole di cui agli artt. 26-32.
L'acquisizione di una chiave privata è a pagamento e ha una scadenza,
nonostante sia un mezzo legale per l'esercizio dei diritti naturali della
persona. La direttiva 99/93 CE è reperibile presso www.giustizia.
it/cassazione/leggi/direttiva93_99.html. Gli effetti giuridici della firma
sono sintetizzati nell'art. 5 della direttiva:
Direttiva 99/93 CE, Articolo 5 - Effetti giuridici delle firme elettroniche
1. Gli Stati membri provvedono a che le firme elettroniche avanzate
basate su un certificato qualificato e create mediante un dispositivo
per la creazione di una firma sicura: a. posseggano i requisiti legali
di una firma in relazione ai dati in forma elettronica così come una
68
 firma autografa li possiede per dati cartacei; e b. siano ammesse
come prova in giudizio.
2. Gli Stati membri provvedono affinché una firma elettronica non sia
considerata legalmente inefficace e inammissibile come prova in
giudizio unicamente a causa del fatto che è - in forma elettronica, o
- non basata su un certificato qualificato, o - non basata su un
certificato qualificato rilasciato da un prestatore di servizi di
certificazione accreditato, ovvero - non creata da un dispositivo per
la creazione di una firma sicura.

Confrontiamo la norma europea con il DPR 445/2000 (Testo unico delle

disposizioni legislative e regolamentari in materia di documentazione
amministrativa e con il DL 82/2005 (Codice dell'amministrazione
digitale):
DPR 445/2000, Art. 10 (R) Forma ed efficacia del documento
informatico
1. Il documento informatico ha l'efficacia probatoria prevista
dall'articolo 2712 del codice civile, riguardo ai fatti ed alle cose
rappresentate.
2. Il documento informatico, sottoscritto con firma elettronica,
soddisfa il requisito legale della forma scritta. Sul piano probatorio
il documento stesso è liberamente valutabile, tenuto conto delle
sue caratteristiche oggettive di qualità e sicurezza. Esso inoltre
soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice
civile e da ogni altra analoga disposizione legislativa o
regolamentare.
3. Il documento informatico, quando è sottoscritto con firma digitale o
con un altro tipo di firma elettronica avanzata, e la firma è basata
su di un certificato qualificato ed è generata mediante un
dispositivo per la creazione di una firma sicura, fa inoltre piena
prova, fino a querela di falso, della provenienza delle dichiarazioni
da chi l'ha sottoscritto.
4. Al documento informatico, sottoscritto con firma elettronica, in ogni
caso non può essere negata rilevanza giuridica né ammissibilità
come mezzo di prova unicamente a causa del fatto che è
sottoscritto in forma elettronica ovvero in quanto la firma non è
basata su di un certificato qualificato oppure non è basata su di un
certificato qualificato rilasciato da un certificatore accreditato o,
69
 infine, perché la firma non è stata apposta avvalendosi di un
dispositivo per la creazione di una firma sicura.
5. Le disposizioni del presente articolo si applicano anche se la firma
elettronica è basata su di un certificato qualificato rilasciato da un
certificatore stabilito in uno Stato non facente parte dell'Unione
europea, quando ricorre una delle seguenti condizioni: a) il
certificatore possiede i requisiti di cui alla direttiva 1999/93/CE del
Parlamento europeo e del Consiglio, del 13 dicembre 1999, ed è
accreditato in uno Stato membro; b) il certificato qualificato è
garantito da un certificatore stabilito nella Comunità europea, in
possesso dei requisiti di cui alla medesima direttiva; c) il certificato
qualificato, o il certificatore, è riconosciuto in forza di un accordo
bilaterale o multilaterale tra la Comunità e Paesi terzi o
organizzazioni internazionali.
6. Gli obblighi fiscali relativi ai documenti informatici ed alla loro
riproduzione su diversi tipi di supporto sono assolti secondo le
modalità definite con decreto del Ministro dell'economia e delle
finanze.

DL 82/2005 Art.24, Firma digitale

1. La firma digitale deve riferirsi in maniera univoca ad un solo
soggetto ed al documento o all'insieme di documenti cui è apposta
o associata.
2. L'apposizione di firma digitale integra e sostituisce l'apposizione di
sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad
ogni fine previsto dalla normativa vigente.
3. Per la generazione della firma digitale deve adoperarsi un
certificato qualificato che, al momento della sottoscrizione, non
risulti scaduto di validità ovvero non risulti revocato o sospeso.
4. Attraverso il certificato qualificato si devono rilevare, secondo le
regole tecniche stabilite ai sensi dell'articolo 71, la validità del
certificato stesso, nonché gli elementi identificativi del titolare e del
certificatore e gli eventuali limiti d'uso.

Art. 25. Firma autenticata

1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile,
la firma digitale o altro tipo di firma elettronica qualificata
autenticata dal notaio o da altro pubblico ufficiale a ciò autorizzato.
70
 2. L'autenticazione della firma digitale o di altro tipo di firma
elettronica qualificata consiste nell'attestazione, da parte del
pubblico ufficiale, che la firma è stata apposta in sua presenza dal
titolare, previo accertamento della sua identità personale, della
validità del certificato elettronico utilizzato e del fatto che il
documento sottoscritto non è in contrasto con l'ordinamento
giuridico.
3. L'apposizione della firma digitale o di altro tipo di firma elettronica
qualificata da parte del pubblico ufficiale ha l'efficacia di cui
all'articolo 24, comma 2.
4. Se al documento informatico autenticato deve essere allegato altro
documento formato in originale su altro tipo di supporto, il pubblico
ufficiale può allegare copia informatica autenticata dell'originale,
secondo le disposizioni dell'articolo 23, comma 5.

Il principio europeo di non negare rilevanza giuridica a un documento

informatico sottoscritto con firma elettronica semplice o basata su un
certificato non rilasciato da certificatore accreditato, recepito dal Testo
unico, in Italia ha lasciato aperte varie interpretazioni sulla rilevanza
giuridica e sul valore probatorio di tali firme: la prima prefigura l'assenza
di prova legale del documento (con efficacia rimessa alla valutazione del
giudice); una seconda equipara tale firma alla firma cartacea non
riconosciuta (quindi il documento è disconoscibile); una terza nega
rilevanza giuridica alla firma elettronica semplice, ritenendo
giuridicamente rilevanti solo le firme avanzata, qualificata e digitale (in
contrasto con la norma europea e il testo unico). In sostanza, solo la
firma digitale basata su un certificato qualificato ha i requisiti tecnici per
essere è riconosciuta e non ripudiabile. La firma elettronica basata su
un certificato qualificato rilasciato da un certificatore residente in uno
stato non facente parte dell'Unione europea è valida se ricorre una delle
seguenti condizioni: 1. il certificatore possiede i requisiti di cui alla
direttiva 99/93 CE ed è accreditato in uno stato membro; 2. il certificato
qualificato è garantito da un certificatore residente nella Comunità
europea e in possesso dei requisiti di cui alla 99/93; 3. il certificato
qualificato o il certificatore è riconosciuto in virtù di un accordo bilaterale
o multilaterale tra la Comunità e paesi terzi od organizzazioni
internazionali. Tra le applicazioni della firma digitale c'è anche
71
l'archiviazione ottica dei documenti cartacei e informatici, in base all'art.
6 del DPR 445/2000 e alla delibera n.11 del 19/2/2004 (Regole tecniche
per la riproduzione e conservazione di documenti su supporto ottico
idoneo a garantire la conformità dei documenti agli originali.

Trattamento dei dati personali

La direttiva 95/46 CE relativa alla tutela, al trattamento e alla libera
circolazione dei dati personali ha determinato l'introduzione, nella
legislazione dei paesi membri, di una serie di principi a tutela della
riservatezza dei dati personali. Di conseguenza, la tutela della privacy è
diventata un diritto fondamentale della persona, che ha facoltà di
controllare come terzi (persone fisiche o giuridiche) conservano e
trattano i dati personali che la riguardano. La direttiva 95/46 CE è stata
recepita dal decreto legislativo 196/2003 (Codice in materia di
protezione dei dati personali, altrimenti detto Codice della privacy),
aggiornato da una serie di provvedimenti (sono elencati quelli noti al 29
marzo 2006): - legge 23 febbraio 2006, n.51 di conversione con
modificazioni, del decreto-legge 30 dicembre 2005, n. 273 - legge 31
luglio 2005, n. 155, di conversione con modificazioni, del decreto-legge
27 luglio, n. 144 - legge 1° marzo 2005, n. 26, di conversione, con
modificazioni, del decreto-legge 30 dicembre 2004, n. 314; - legge 27
dicembre 2004, n. 306, di conversione del decreto- legge 9 novembre
2004, n. 266; - legge 27 luglio 2004, n. 188, di conversione del decreto-
legge 24 giugno 2004, n. 158; - legge 26 maggio 2004, n. 138, di
conversione, con modificazioni, del decreto-legge 29 marzo 2004, n. 81;
- legge 26 febbraio 2004, n. 45, di conversione, con modificazioni, del
decreto-legge 24 dicembre 2003, n. 354; - decreto legislativo 22
gennaio 2004, n. 42. L'art. 4 del Codice della privacy definisce i dati
personali. Un dato personale è qualunque informazione relativa a
persona fisica, persona giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale. I dati
personali che richiedono particolare protezione sono detti dati sensibili e
sono definiti come i dati personali idonei a rivelare l'origine razziale ed
72
etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita sessuale. Un altro concetto
fondamentale è quello di trattamento, definito come qualunque
operazione o complesso di operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione, l'elaborazione, la
modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una
banca di dati. I soggetti principali previsti dalla normativa sulla privacy
sono il titolare, il responsabile, l'incaricato del trattamento e l'interessato.
Il titolare è la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo cui
competono, anche unitamente ad altro titolare, le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza. Il responsabile è la
persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal titolare al
trattamento di dati personali. Il titolare o il responsabile del trattamento
devono nominare come incaricati le persone autorizzate a eseguire le
operazioni di trattamento. Gli incaricati sono definiti come le persone
fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal
responsabile. E' infine definito come interessato la persona fisica, la
persona giuridica, l'ente o l'associazione cui si riferiscono i dati
personali.

Tutela della privacy: i principi fondamentali

Principio del buon trattamento

In base a questo principio (vedi art. 11), i dati personali oggetto del
trattamento devono essere: trattati in modo lecito e secondo correttezza;
73
raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in
altre operazioni del trattamento in termini compatibili con tali scopi; esatti
e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto
alle finalità per le quali sono raccolti o successivamente trattati;
conservati in una forma che consenta l'identificazione dell'interessato
per un periodo di tempo non superiore a quello necessario agli scopi per
i quali essi sono stati raccolti o successivamente trattati.

Controllo amministrativo sul corretto trattamento di dati

Previsto dalla legge comunitaria e ripreso dalla normativa italiana,
questo principio ha determinato la nascita di un'authority amministrativa
(in Italia il Garante per la protezione dei dati personali) con compiti di
vigilanza sul corretto trattamento dei dati personali da parte di privati e
aziende. Oltre ad avere il potere di prendere provvedimenti anche di tipo
sanzionatorio in caso di violazioni, l'authority ha il compito di stendere
regolamenti, codici disciplinari e policy di validità generale, di
autorizzare particolari trattamenti di dati sensibili e di fissare i criteri e i
limiti, anche attraverso campagne di educazione e sensibilizzazione,
entro i quali i trattamenti dei dati possono considerarsi leciti.

Obbligo informativo
In base a tale principio (vedi art. 13), chiunque esegua trattamenti di dati
personali deve informare oralmente o per iscritto gli interessati circa: le
finalità e le modalità del trattamento cui sono destinati i dati; la natura
obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un
eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai
quali i dati personali possono essere comunicati o che possono venirne
a conoscenza in qualità di responsabili o incaricati, e l'ambito di
diffusione dei dati medesimi; i diritti di cui all'articolo 7; gli estremi
identificativi del titolare e, se designati, del rappresentante nel territorio
dello Stato ai sensi dell'articolo 5 e del responsabile. Le eccezioni
all'obbligo dell'informativa sono assai limitate e previste dall'art. 13 (un
esempio è quando i dati sono trattati in base a un obbligo previsto dalla
legge, da un regolamento o dalla normativa comunitaria).

74
Principio del consenso
Salvo alcuni casi previsti, come un obbligo di legge o contrattuale, il
titolare della raccolta e trattamento dei dati personali deve ottenere il
consenso esplicito dell'interessato. Il consenso deve essere scritto
qualora il trattamento riguardi dati sensibili.

Diritto alla riservatezza

Ai sensi dell'art. 7, l'interessato ha diritto di ottenere la conferma
dell'esistenza o meno di dati personali che lo riguardano, anche se non
ancora registrati, e la loro comunicazione in forma intelligibile. In
particolare, l'interessato ha il diritto di ottenere l'indicazione: dell'origine
dei dati personali; delle finalità e modalità del trattamento; della logica
applicata in caso di trattamento effettuato con l'ausilio di strumenti
elettronici; degli estremi identificativi del titolare, dei responsabili e del
rappresentante designato ai sensi dell'articolo 5, comma 2; dei soggetti
o delle categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di
rappresentante designato nel territorio dello Stato, di responsabili o
incaricati. L'interessato ha inoltre diritto di ottenere: l'aggiornamento, la
rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; la
cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti
o successivamente trattati; l'attestazione che le operazioni di cui alle
lettere a) e b) sono state portate a conoscenza, anche per quanto
riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o
diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o
comporta un impiego di mezzi manifestamente sproporzionato rispetto
al diritto tutelato. Infine, l'interessato ha diritto di opporsi, in tutto o in
parte: per motivi legittimi al trattamento dei dati personali che lo
riguardano, ancorché pertinenti allo scopo della raccolta; al trattamento
di dati personali che lo riguardano a fini di invio di materiale pubblicitario

75
o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale.

Circolazione limitata dei dati

Introdotto nella legislazione comunitaria e ripreso dalla normativa
italiana, questo principio ispira gli articoli sulla circolazione delle
informazioni. I dati personali, salvo alcune precise eccezioni, non
possono essere comunicati a terzi né tantomeno diffusi ad ampio raggio
senza il consenso dell'interessato. I dati sensibili e giudiziari in nessun
caso possono essere diffusi. Mentre la circolazione dei dati all'interno
dell'Unione europea non deve essere ostacolata dalle normative in
materia di dati personali (vedi art. 42), la circolazione dei dati al di fuori
dell'Unione è consentita solo nei casi previsti dagli artt. 43 e 44 del
codice della privacy. Negli artt. 25 e 26 della direttiva 95/46 CE, la
Commissione europea ha vietato il trasferimento dei dati personali verso
paesi che non assicurano un livello adeguato di tutela dei dati personali.

Sicurezza
I dati personali devono essere protetti da misure di sicurezza allo scopo
di garantirne la riservatezza, l'integrità e la disponibilità. Si veda la
sezione 5.8.2.2 circa le misure minime di sicurezza imposte dal codice
della privacy. A tutela dei cittadini e delle aziende interessati al
trattamento dei dati che li riguardano, il codice della privacy prevede
sanzioni sia in sede amministrativa (in particolare in caso di omessa o
inidonea informativa all'interessato, omessa o incompleta notificazione,
omessa informazione o esibizione al Garante), sia in sede penale (in
particolare in caso di trattamento illecito di dati, falsità nelle dichiarazioni
e notificazioni al Garante, mancata applicazione delle misure di
sicurezza, inosservanza di provvedimenti del garante). In caso di
violazione, è ipotizzabile un risarcimento del danno in base all'art. 2050
del Codice civile, che prevede la responsabilità per le attività pericolose
e al quale si applica il ribaltamento dell'onere della prova: è la società

76
responsabile del trattamento dei dati che deve provare di aver posto in
essere tutte le misure e precauzioni idonee atte a evitare il danno.

ALLEGATO B
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI
SICUREZZA
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del
responsabile ove designato e dell'incaricato, in caso di
trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici
è consentito agli incaricati dotati di credenziali di
autenticazione che consentano il superamento di una
procedura di autenticazione relativa a uno specifico
trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice
per l'identificazione dell'incaricato associato a una parola
chiave riservata conosciuta solamente dal medesimo
oppure in un dispositivo di autenticazione in possesso e
uso esclusivo dell'incaricato, eventualmente associato a
un codice identificativo o a una parola chiave, oppure in
una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una
parola chiave.
3. Ad ogni incaricato sono assegnate o associate
individualmente una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di
adottare le necessarie cautele per assicurare la segretezza
della componente riservata della credenziale e la diligente
custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di
autenticazione, è composta da almeno otto caratteri
oppure, nel caso in cui lo strumento elettronico non lo
permetta, da un numero di caratteri pari al massimo
consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed è modificata da quest'ultimo
al primo utilizzo e, successivamente, almeno ogni sei
mesi. In caso di trattamento di dati sensibili e di dati
77
giudiziari la parola chiave è modificata almeno ogni tre
mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può
essere assegnato ad altri incaricati, neppure in tempi
diversi.
7. Le credenziali di autenticazione non utilizzate da almeno
sei mesi sono disattivate, salvo quelle preventivamente
autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita
della qualità che consente all'incaricato l'accesso ai dati
personali.
9. Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante
una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è
consentito esclusivamente mediante uso della
componente riservata della credenziale per
l'autenticazione, sono impartite idonee e preventive
disposizioni scritte volte a individuare chiaramente le
modalità con le quali il titolare può assicurare la
disponibilità di dati o strumenti elettronici in caso di
prolungata assenza o impedimento dell'incaricato che
renda indispensabile e indifferibile intervenire per
esclusive necessità di operatività e di sicurezza del
sistema. In tal caso la custodia delle copie delle
credenziali è organizzata garantendo la relativa segretezza
e individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare
tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai
precedenti punti e quelle sul sistema di autorizzazione non
si applicano ai trattamenti dei dati personali destinati alla
diffusione.

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di

autorizzazione di ambito diverso è utilizzato un sistema di
autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per
classi omogenee di incaricati, sono individuati e configurati
78
anteriormente all'inizio del trattamento, in modo da
limitare l'accesso ai soli dati necessari per effettuare le
operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è
verificata la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza
almeno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici, la
lista degli incaricati può essere redatta anche per classi
omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di
intrusione e dell'azione di programmi di cui all'art. 615-
quinquies del codice penale, mediante l'attivazione di
idonei strumenti elettronici da aggiornare con cadenza
almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilità di strumenti
elettronici e a correggerne difetti sono effettuati almeno
annualmente. In caso di trattamento di dati sensibili o
giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che
prevedono il salvataggio dei dati con frequenza almeno
settimanale.

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un

trattamento di dati sensibili o di dati giudiziari redige anche
attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee
informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonché la protezione delle aree e dei
locali, rilevanti ai fini della loro custodia e accessibilità;
79
19.5. la descrizione dei criteri e delle modalità per il
ripristino della disponibilità dei dati in seguito a distruzione
o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del
trattamento, per renderli edotti dei rischi che incombono
sui dati, delle misure disponibili per prevenire eventi
dannosi, dei profili della disciplina sulla protezione dei dati
personali più rilevanti in rapporto alle relative attività, delle
responsabilità che ne derivano e delle modalità per
aggiornarsi sulle misure minime adottate dal titolare. La
formazione è programmata già al momento dell'ingresso in
servizio, nonché in occasione di cambiamenti di mansioni,
o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire
l'adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al
codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute
e la vita sessuale di cui al punto 24, l'individuazione dei
criteri da adottare per la cifratura o per la separazione di
tali dati dagli altri dati personali dell'interessato.
Ulteriori misure in caso di trattamento di dati sensibili o
giudiziari
20. I dati sensibili o giudiziari sono protetti contro
l'accesso abusivo, di cui all' art. 615-ter del codice penale,
mediante l'utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per
la custodia e l'uso dei supporti rimovibili su cui sono
memorizzati i dati al fine di evitare accessi non autorizzati
e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari
se non utilizzati sono distrutti o resi inutilizzabili, ovvero
possono essere riutilizzati da altri incaricati, non autorizzati
al trattamento degli stessi dati, se le informazioni
precedentemente in essi contenute non sono intelligibili e
tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi
o degli strumenti elettronici, in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni.
80
24. Gli organismi sanitari e gli esercenti le professioni
sanitarie effettuano il trattamento dei dati idonei a rivelare
lo stato di salute e la vita sessuale contenuti in elenchi,
registri o banche di dati con le modalità di cui all'articolo
22, comma 6, del codice, anche al fine di consentire il
trattamento disgiunto dei medesimi dati dagli altri dati
personali che permettono di identificare direttamente gli
interessati. I dati relativi all'identità genetica sono trattati
esclusivamente all'interno di locali protetti accessibili ai
soli incaricati dei trattamenti ed ai soggetti
specificatamente autorizzati ad accedervi; il trasporto dei
dati all'esterno dei locali riservati al loro trattamento deve
avvenire in contenitori muniti di serratura o dispositivi
equipollenti; il trasferimento dei dati in formato elettronico
è cifrato.

Misure di tutela e garanzia

25. Il titolare che adotta misure minime di sicurezza

avvalendosi di soggetti esterni alla propria struttura, per
provvedere alla esecuzione riceve dall'installatore una
descrizione scritta dell'intervento effettuato che ne attesta
la conformità alle disposizioni del presente disciplinare
tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del
bilancio d'esercizio, se dovuta, dell'avvenuta redazione o
aggiornamento del documento programmatico sulla
sicurezza.

Trattamenti senza l'ausilio di strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del

responsabile, ove designato, e dell'incaricato, in caso di
trattamento con strumenti diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte
finalizzate al controllo ed alla custodia, per l'intero ciclo
necessario allo svolgimento delle operazioni di
trattamento, degli atti e dei documenti contenenti dati
personali. Nell'ambito dell'aggiornamento periodico con
cadenza almeno annuale dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati, la lista degli
81
incaricati può essere redatta anche per classi omogenee di
incarico e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali
sensibili o giudiziari sono affidati agli incaricati del
trattamento per lo svolgimento dei relativi compiti, i
medesimi atti e documenti sono controllati e custoditi dagli
incaricati fino alla restituzione in maniera che ad essi non
accedano persone prive di autorizzazione, e sono restituiti
al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o
giudiziari è controllato. Le persone ammesse, a qualunque
titolo, dopo l'orario di chiusura, sono identificate e
registrate.
Quando gli archivi non sono dotati di strumenti elettronici
per il controllo degli accessi o di incaricati della vigilanza,
le persone che vi accedono sono preventivamente
autorizzate.

Crimine informatico
Le tecnologie informatiche e il loro utilizzo distorto, a scopo dannoso, si
sono evoluti più rapidamente degli ordinamenti giuridici, che spesso si
sono trovati impreparati ad affrontare nuove tipologie di reati. Non
potendosi applicare, a livello penale, analogie con altri tipi di reato, i
crimini informatici inizialmente non sono stati perseguibili attraverso le
leggi vigenti. Per tale motivo, la Raccomandazione R 89/9 del 13/9/1989
del Comitato dei ministri del Consiglio d'Europa, avente per soggetto la
criminalità informatica, invitava gli stati membri, in occasione della
promulgazione di nuove leggi o di revisione di quelle esistenti, a seguire
i principi enunciati dal rapporto sulla criminalità informatica del comitato
europeo sui problemi criminali. Il legislatore italiano, venendo incontro a
tali indicazioni, con la legge 547 del 23/12/1993 ha aggiornato il Codice
Penale inserendo nuove fattispecie di crimine, relative al campo
informatico, che hanno introdotto nuovi concetti giuridici e nuove
categorie di beni tutelati dalla legge. La maggior parte delle nuove
fattispecie criminose introdotte dalla legge 547/93 prevede
un'aggravante specifica quando il reato è commesso da un "operatore"
82
del sistema, visto che tale figura, avendo ampio o totale accesso alle
risorse del sistema, ha un livello di responsabilità pari alla posizione di
vantaggio che potrebbe usare per compiere azioni criminose.

Accesso abusivo a un sistema informatico o telematico, art. 615

ter C.P.
La legge sui crimini informatici ha introdotto il nuovo bene giuridico,
protetto dalla legge penale, di "domicilio informatico", in virtù del quale, i
sistemi informatici e telematici non sono più semplici strumenti, ma spazi
in cui il soggetto ha il diritto di esercitare le proprie attività, con la facoltà
di escludere i soggetti terzi non graditi. Viene quindi punito chiunque si
introduce abusivamente in un sistema informatico o telematico o vi si
mantiene contro la volontà tacita o espressa di chi ha il diritto di
escluderlo. La sanzione prevede aggravanti nel caso di abuso della
qualità di operatore del sistema e qualora dal fatto derivi la distruzione o
il danneggiamento del sistema o l'interruzione totale o parziale del suo
funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle
informazioni o dei programmi in esso contenuti.

Detenzione abusiva di codici d'accesso a sistemi informatici o

telematici, art. 615 quater C.P.
Viene punito chiunque, al fine di procurare a sé o ad altri un profitto o di
arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde,
comunica o consegna codici, parole chiave o altri mezzi idonei
all'accesso a un sistema informatico o telematico, protetto da misure di
sicurezza, o comunque fornisce indicazioni o istruzioni idonee a tale
scopo. E' prevista un'aggravante se il fatto è commesso con abuso della
qualità di operatore del sistema.

Diffusione di programmi diretti a danneggiare o interrompere un

sistema informatico, art. 615 quinquies C.P.
Viene punito chiunque diffonde, comunica o consegna un programma
informatico da lui stesso o da altri redatto, avente per scopo o per effetto
il danneggiamento di un sistema informatico o telematico, dei dati o dei

83
programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione,
totale o parziale, o l'alterazione del suo funzionamento.

Violazione, sottrazione e soppressione di corrispondenza, art.

616 C.P.
Viene punito chiunque prende cognizione del contenuto di una
corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine
di prenderne o di farne ad altri prendere cognizione, una corrispondenza
chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge
o la sopprime. Se il colpevole, senza giusta causa, rivela, in tutto o in
parte, il contenuto della corrispondenza, è punito se dal fatto deriva un
danno e il fatto stesso non costituisce più grave reato. Per
corrispondenza si intende quella epistolare, telegrafica, telefonica,
informatica o telematica ovvero effettuata con ogni altra forma di
comunicazione a distanza.

Intercettazione, impedimento o interruzione illecita di

comunicazioni informatiche o telematiche, art. 617 quater C.P.
Viene punito chiunque in modo fraudolento intercetta comunicazioni
relative a un sistema informatico o telematico o intercorrenti tra più
sistemi, ovvero le impedisce o le interrompe. Salvo che il fatto
costituisca più grave reato, la stessa pena si applica a chiunque rivela,
mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte,
il contenuto di tali comunicazioni. E' prevista un'aggravante se il fatto è
commesso con abuso della qualità di operatore del sistema.

Installazione di apparecchiature atte a intercettare, impedire o

interrompere comunicazioni informatiche o telematiche, art. 617
quinquies C.P.
Viene punito chiunque, fuori dai casi consentiti dalla legge, installa
apparecchiature atte a intercettare, impedire o interrompere
comunicazioni relative a un sistema informatico o telematico ovvero
intercorrenti tra più sistemi. E' prevista un'aggravante se il fatto è
commesso con abuso della qualità di operatore del sistema.

84
Falsificazione, alterazione o soppressione del c ontenuto di
comunicazioni informatiche o telematiche, art. 617 sexies C.P.
Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare
ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o
in parte, il contenuto, anche occasionalmente intercettato, di taluna delle
comunicazioni relative a un sistema informatico o telematico o
intercorrenti fra più sistemi, è punito qualora ne faccia uso o lasci che
altri ne facciano uso. E' prevista un'aggravante se il fatto è commesso
con abuso della qualità di operatore del sistema.

Danneggiamento di sistemi informatici e telematici, art. 635 bis

C.P.
Viene punito chiunque distrugge, deteriora o rende, in tutto o in parte,
inservibili sistemi informatici o telematici altrui, ovvero programmi,
informazioni o dati altrui. E' prevista un'aggravante se il fatto è
commesso con abuso della qualità di operatore del sistema.

Frode informatica, art. 640 ter C.P.

L'ordinamento punisce chiunque, alterando in qualsiasi modo il
funzionamento di un sistema informatico o telematico o intervenendo
senza diritto con qualsiasi modalità su dati, informazioni o programmi
contenuti in un sistema informatico o telematico o ad esso pertinenti,
procura a sé o ad altri un ingiusto profitto con altrui danno. E' prevista
un'aggravante se il fatto è commesso con abuso della qualità di
operatore del sistema.

Computer Forensic
Man mano che le informazioni hanno acquisito crescente importanza
per le aziende, fino a superare in alcuni settori il valore dei beni
materiali, gli attacchi alla loro sicurezza (integrità, riservatezza,
disponibilità) si sono moltiplicati. Ne è derivata una duplice esigenza:
proteggere le informazioni da danni e abusi causati sia dall'interno sia
dall'esterno dell'organizzazione e dotarsi degli strumenti e procedure
che consentano di identificare i responsabili di tali atti e di
85
documentarne le azioni con efficacia probatoria. La legge 397/2000
(Disposizioni in materia di indagini difensive) ha introdotto nel Codice di
procedura penale le nuove disposizioni in materia di indagini difensive,
con l'obiettivo di parificare l'attività difensiva all'attività investigativa
dell'autorità giudiziaria (in particolare del Pubblico Ministero), dando ad
esse uguale valore probatorio in sede processuale. Sono state inoltre
definite le modalità con cui i difensori possono procedere alla raccolta
delle prove. L'art. 391-nonies (Attività investigativa preventiva), inserito
nel Codice di procedura penale dalla legge 397/2000, stabilisce che
l'attività investigativa prevista dall'articolo 327-bis, con esclusione degli
atti che richiedono l'autorizzazione o l'intervento dell'autorità giudiziaria,
può essere svolta anche dal difensore che ha ricevuto apposito
mandato per l'eventualità che s'instauri un procedimento penale. L'art.
327-bis. (Attività investigativa del difensore), anch'esso introdotto dalla
397/2000, stabilisce che:
 Fin dal momento dell'incarico professionale, risultante da atto
scritto, il difensore ha facoltà di svolgere investigazioni per
ricercare ed individuare elementi di prova a favore del proprio
assistito, nelle forme e per le finalità stabilite nel titolo VI-bis del
Codice di procedura penale.
 La facoltà indicata al punto 1 può essere attribuita per l'esercizio
del diritto di difesa, in ogni stato e grado del pro cedimento,
nell'esecuzione penale e per promuovere il giudizio di revisione.
 Le attività previste dal punto 1 possono essere svolte, su incarico
del difensore, dal sostituto, da investigatori privati autorizzati e,
quando sono necessarie specifiche competenze, da consulenti
tecnici.

Quanto detto significa che anche un soggetto che si ritiene offeso da un

reato può affidare un mandato a un difensore per compiere indagini al
fine di accertare la sussistenza delle prove necessarie e per decidere se
presentare una successiva denuncia o querela all'autorità giudiziaria.
D'altra parte, l'autorità giudiziaria e i difensori sono spesso impreparati
ad affrontare le problematiche connesse con tecnologie in continua e
rapida evoluzione, quali sono i mezzi di ricerca della prova informatica.
Sebbene siano in corso iniziative, come il progetto europeo AEEC
(Admissibility of Electronic Evidence in Court) del 2005 sull'ammissibilità
della prova elettronica, manca ancora un protocollo che definisca regole
86
certe in base al quale i pubblici ministeri e i difensori possano procedere
all'individuazione, analisi e presentazione dei dati in forma digitale,
secondo modalità idonee a garantire che le informazioni raccolte siano
accettate come prove in sede processuale. Dato che nei moderni
sistemi è difficile cancellare dati elettronici senza lasciare qualche
traccia, dall'analisi di tali tracce (per esempio il file system, i file di log
dei sistemi operativi e delle applicazioni e il registro di sistema di
Windows), oltre che dei file, è spesso possibile ottenere informazioni
importanti per provare la colpevolezza del responsabile di un reato
informatico. Ciò è possibile a condizione che i dati siano raccolti e
conservati in modalità adeguate per il loro utilizzo processuale e che sia
rispettata una serie di requisiti riguardanti l'ambiente, il consulente
tecnico (competenza, certificazioni, testimoni, presenza, capacità di
sostenere il contraddittorio), le procedure, gli strumenti, la metodologia,
la sicurezza, la ripetibilità, la presentazione e altro. L'informatica forense
(computer forensics) è la disciplina che si occupa della preservazione,
dell'identificazione, dell'analisi e della documentazione dei computer o
dei sistemi informativi al fine di evidenziare l'esistenza di prove
nell'attività investigativa. Dal punto di vista procedurale, l'obiettivo
principale dell'informatica forense è la creazione di un protocollo di
regole da seguire per le ricerca della prova informatica e relativa
acquisizione e conservazione al fine di garantire che i risultati delle
indagini abbiano valore anche in sede processuale. Di fronte
all'incompetenza tecnica dei giudici e alle obiezioni e all'aggressività
oratoria degli accusatori e dei difensori, intenzionati a sminuire,
invalidare o screditare le prove altrui, i relativi metodi e le condizioni di
raccolta e conservazione, nonché le qualifiche del consulente tecnico di
parte opposta, è facile comprendere che non bastano dei dati trovati su
un hard disk per ottenere dal giudice la loro ammissione come prova a
carico o a discarico. Le attività di informatica forense possono
riguardare diverse aree, tra cui le seguenti:

 monitoraggio e analisi dei supporti di memorizzazione e delle

periferiche;
 visualizzazione di banche dati;
 esame di immagini e sequenze audio e video;
87
  monitoraggio e controllo delle attività svolte su reti interne ed
esterne, inclusa Internet.

Tra i requisiti fondamentali di una prova informatica, affinché possa

essere accettata in sede processuale, ci sono autenticità, pertinenza,
accuratezza, completezza, integrità e non ripudiabilità. Inoltre, deve
essere raccolta, documentata e presentata in modo convincente per
essere ritenuta ammissibile e giuridicamente valida da un giudice che,
non tecnicamente esperto, ha formato criteri più o meno soggettivi di
accettabilità, a volte basati sull'uso di protocolli e strumenti usati di
frequente in un certo ambito. Alla base della procedura di analisi forense
c'è una corretta procedura di raccolta e conservazione dei dati e l'utilizzo
di strumenti di analisi che generino risultati riproducibili senza che vi sia
alcuna alterazione dei supporti originali. Nei casi di acquisizione delle
prove su sistemi accesi (live response), quando le prove includono dati
volatili che sarebbero perduti spegnendo il sistema, per prima cosa si
provvede al loro salvataggio. Fanno parte di tale categoria i dati in
memoria riguardanti gli utenti correnti, i processi e le applicazioni aperte
e i relativi dati e le sessioni di comunicazione, inclusi i socket aperti. Si
tenga anche conto che possono essere attive applicazioni o servizi che
ripuliscono il sistema alla fine di una sessione del sistema operativo. Se
necessario, può essere eseguito un esame in profondità sul sistema
acceso, altrimenti si può eseguire un esame iniziale dei dati volatili e
quindi la duplicazione dei media in un diverso ambiente di sistema, che
non alteri i media stessi. Come regola generale, le analisi non vengono
effettuate sui supporti originali sequestrati, ma su immagini degli hard
disk perfettamente identiche catturate byte per byte (dette anche
bitstream image) senza alterazione dell'originale. Per ogni immagine
così registrata, possibilmente in presenza di testimoni, viene subito
calcolata un'impronta informatica (hash) in modo che successivamente
sia garantita l'integrità delle informazioni raccolte, che in tal modo non
sono ripudiabili dalle parti interessate. Se occorre, può anche essere
applicata una firma digitale per garantire che nessuno alteri l'hash. Il
concetto di raccogliere prove non ripudiabili e di custodirle integre e al
sicuro fino al processo si chiama Chain of Custody (catena della
88
custodia). La custodia in maniera corretta (a prova di manomissione)
delle prove e dei dati acquisiti è vitale al fine di evitare che il lavoro di
indagine sia invalidato per un cavillo legale. Lavorando con prove
pressoché immateriali, è facile distruggere una prova determinante con
un semplice passo falso. Il lavoro inoltre può essere ostacolato dalle
operazioni eseguite da utenti o amministratori di sistema prima del
sopraluogo, che possono pregiudicare l'indagine. Nella prassi
giudiziaria, finché non verranno standardizzate e uniformate le regole
per l'acquisizione delle prove informatiche, la pubblica accusa ritiene
spesso attendibili anche prove mancanti dei requisiti citati, come le
stampe di documenti (pagine Internet, messaggi e-mail, sessioni di chat
e così via) e supporti di memorizzazione privi di sigillo o garanzia
elettronica di integrità. In base al principio del libero convincimento del
giudice, anche gli organi giudicanti ritengono spesso attendibili tali
prove. D'altra parte, una recente sentenza della Cassazione ha negato il
valore di prova alla stampa di una pagina web perché priva di una
garanzia di rispondenza all'originale e di un riferimento temporale. Per
tutte queste ragioni, è necessario che anche le imprese si dotino degli
strumenti tecnologici e organizzativi necessari per monitorare (nel
rispetto della privacy e dello Statuto dei lavoratori) le operazioni
informatiche e riconoscere gli indicatori di un possibile reato mentre
viene commesso. In tal modo, si possono raccogliere prove valide da
utilizzare in sede processuale ad uso sia del Pubblico Ministero sia dei
difensori. Tali attività richiedono l'intervento di personale interno, o di
consulenti esterni, con adeguate competenze tecnologiche,
organizzative e giuridiche (inclusa la familiarità con le pratiche accettate
dal tribunale locale), in costante aggiornamento professionale e in
contatto, anche attraverso i forum, con i colleghi della comunità
informatica forense. I motori di ricerca e le librerie online sono una ricca
fonte di riferimenti sulle procedure, gli strumenti e le normative per
l'informatica forense (computer forensics). Esistono numerosi strumenti
per la duplicazione e il ripristino dei dati, a partire dalle utility dd e dcfldd
dei sistemi operativi di derivazione Unix. Oltre ai comandi di sistema,
esistono utility Open Source come ODD (Open Data Duplicator), che fa
parte dell'architettura Open Digital Evidence Search and Seizure

89
Architecture (ODESSA). Esiste poi una serie di applicazioni
commerciali, talvolta molto costose, come EnCase Forensics di
Guidance Software, uno degli strumenti più utilizzati da organizzazioni
governative e forze dell'ordine a livello internazionale
(www.guidancesoftware. com). Se da un lato non esistono ostacoli
tecnici a utilizzare strumenti Open Source o a identificare procedure e
strumenti al di fuori degli schemi abituali per la raccolta delle prove, in
realtà c'è il rischio di non vedere ammesse le prove raccolte perché la
procedura è incomprensibile al giudice o è demolita dalla controparte
durante il processo.

Appendice A: risposte alle

domande di comprensione

Di seguito sono elencate le risposte alle domande dei diversi capitoli.

Capitolo 1

1. B
2. C
3. C
4. A
5. C

Capitolo 2

1. D
2. C
3. C
4. A
5. A
90
Capitolo 3

1. B
2. C
3. C
4. B
5. C

Capitolo 4

1. C
2. B
3. C
4. B
5. C

Capitolo 5

1. C
2. C
3. C
4. A-C
5. A

Capitolo 6
1. B
2. D
3. C
4. A-C
5. C

Capitolo 7

1. C
2. C
3. B
91
 4. A
5. C

Capitolo 8
1. B
2. C
3. B
4. A
5. A

Capitolo 9

1. B
2. A
3. C
4. C
5. C

Capitolo 10

1. B
2. B
3. A
4. C
5. A-B

Capitolo 11

1. C
2. B
3. B
4. D
5. C

92
Appendice B: laboratori
pratici

Laboratorio TcpDump
Tcpdump è uno strumento di sniffing particolarmente flessibile e diffuso
nel mondo Linux. E' simile a “Snoop”, più diffuso su Solaris, e permette
di analizzare il tipo di pacchetti che passano per l'interfaccia di rete
specificata.
Va sottolineato che Tcpdump NON visualizza il contenuto dei pacchetti
ma solo le loro intestazioni (protocollo, IP sorgente, destinazione, porte
ecc.) per cui si presta bene alla diagnostica di problemi di networking
ma non ad una attività di cracking.

INSTALLAZIONE
Per funzionare Tcpdump richiede le librerie "libpcap" che possono
essere scaricate dal sito ufficiale di Tcpdump.
La procedura di installazione, sia per "libpcap" che Tcpdump è quella
standard (./configure ; make ; make install ). Per il corretto
funzionamento su diversi Unix flavour sono necessari alcuni specifici
adattamenti. Su Linux, per esempio, il kernel deve essere compilato con
la funzione packet socket (CONFIG_PACKET=y) e Tcpdump deve
essere lanciato da root.

USO
Tcpdump prevede numerose e flessibili opzioni per definire quali
pacchetti sniffare e come farlo.Il suo output dipende dal protocollo e
viene visualizzata una riga per ogni datalink frame intercettato.

93
La guida ufficiale è dettagliata e ben documentata, riportiamo qui alcune
opzioni interessanti.
Tcpdump - Senza opzioni Tcpdump visualizza a schermo tutti i
pacchetti che passano sull'interfaccia predefinita (di solito eth0)
tcpdump -i ppp0 -c 50 - Visualizza 50 pacchetti (-c 50) sull'interfaccia
ppp0 (-i ppp0) e poi esce.
tcpdump -l | tee sniff.log - Mentre visualizza i pacchetti li mette in un
buffer (-l) che viene scritto sul file sniff.log.
tcpdump -e -n - Visualizza gli indirizzi del data link (-e) e non prova a
fare un DNS reverse lookup (-n) velocizzando l'output.
Le regole per identificare il tipo di pacchetto da visualizzare sono molto
flessibili e adattabili a diverse necessità. Vediamo alcuni esempi
tcpdump port 80 - Visualizza solo i pacchetti che hanno come sorgente
o destinazione la porta 80 (port 80).
tcpdump host 192.168.0.150 - Visualizza solo i pacchetti che hanno
come IP sorgente o destinazione 192.168.0.150.
tcpdump host 10.0.0.150 and not port 22 - Visualizza solo i pacchetti
relativi all'host 10.0.0.150 che non usino la porta ssh (and not port 22).
tcpdump net 10.0.0.0/24 and port 22 - Visualizza tutti i pacchetti per la
rete 10.0.0.0/24 relativi al protocollo ssh (and port 22).

94
Laboratorio: Squid
Come esempio di controllo degli accessi tramite proxy, esaminiamo
alcuni casi di configurazione di Squid (i manuali di configurazione sono
disponibili presso il sito web ufficiale: http://www.squid-cache.org/.
Squid è un proxy open-source per Unix nato principalmente con
funzionalità di caching Web, quindi non è lo strumento più indicato per la
realizzazione di un firewall. E' comune, però, che venga utilizzato come
seconda linea per l'accesso dei browser a Internet: un packet filter
permette il traffico con Internet solo a Squid, e quest'ultimo si occupa
delle altre restrizioni alla navigazione degli utenti. In questa
configurazione come firewall proxy destinato a filtrare la connessione
dei client a Internet è bene che disponga di due interfacce di rete, e che
sia interposto tra Internet e la rete aziendale in modo da impedire
possibili bypass. Una prima misura è di assicurare che il proxy accetti
connessioni solo sull'interfaccia interna. Se il proxy è installato su un
sistema con propri meccanismi di filtraggio, questi devono essere
abilitati per proteggere le porte basse (inferiori a 1024) e la porta su cui
sarebbe in ascolto il proxy; gli stessi filtri devono essere attivati
sull'eventuale packet filter davanti al proxy. La direttiva da utilizzare è
http_port:ip:port, dove ip è l'indirizzo della scheda interna. E' bene, poi,
disattivare gli al- tri protocolli relativi alla gestione di gerarchie di cache,
di cui è meglio che un firewall non faccia parte; le direttive sono icp_port
0 e htcp_port 0. Dopo aver attivato Squid, una verifica con Netstat deve
confermare che Squid è in ascolto su un'unica porta e un solo indirizzo.
Quindi si limitano gli accessi dalla rete interna, una precauzione che può
evitare problemi in varie aree: 1. comportamenti scorretti degli utenti; 2.
attività di host interni compromessi, ad esempio da worm o trojan; 3.
applicazioni che generano traffico inaspettato, come spyware. In
particolare, non deve essere permesso ai server interni di comunicare
con Internet, mantenendoli il più possibile isolati anche quando fossero
compromessi. Il meccanismo generale di controllo di Squid è quello
delle ACL (access control list) nella forma generale acl aclname acltype
string1 string2…che definisce una ACL di nome aclname, di tipo acltype
e con argomenti string1, string2… Le ACL possono essere basate su
95
diversi parametri, corrispondenti agli acltype: 1. su indirizzi mittente e
destinatario; 2. su porta mittente e destinatario; 3. su espressioni
regolari nelle URL richieste; 4. sui protocolli richiesti; 5. sui metodi
richiesti; 6. sugli orari della connessione; 7. sui tipi MIME dei documenti
scaricati; 8. sugli indirizzi MAC (Medium Access Control) da cui
provengono le richieste. Ad esempio, acl server src 192.168.1.0/26
definisce una ACL di nome server relativa a richieste con indirizzo
mittente nella sottorete 192.168.1.0-192.168.1.63. E' possibile usare
anche i nomi, ma la risoluzione DNS, oltre a essere inaffidabile, può
introdurre notevoli rallentamenti; inoltre, evitare i nomi permette al server
di puntare a un server DNS esterno, senza far passare il traffico DNS tra
rete interna e rete esterna. Tipiche ACL per un firewall possono
permettere: 1. le connessioni verso le porte superiori a 1024, con
l'aggiunta delle porte 21, 80 e 443, al fine di evitare connessioni
improprie verso servizi che si trovano in tale intervallo; 2. i protocolli
HTTP e FTP, limitando l'uso di CONNECT (necessario per il traffico
HTTPS) alla porta 443; 3. le connessioni negli orari d'ufficio, tranne per i
singoli indirizzi o sottoreti esplicitamente autorizzati; 4. i tipi MIME
innocui, bloccando almeno quelli pericolosi come gli eseguibili. Una
volta definite le ACL, vengono applicate al traffico con tag del tipo:
http_access deny/allow acl. Ad esempio: http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports http_access deny server
http_access allow localnets http_access deny all Anche in questo caso,
le regole sono valutate seguendo il loro ordine. Regole come quella che
impedisce il traffico HTTPS tranne che sulla porta 443 possono bloccare
occasionalmente l'accesso a server legittimi, ad esempio server HTTPS
attivati su porte diverse da 443. Si deve valutare la possibilità e l'effetto
di tali disservizi per decidere se modificare le regole o affrontare le
eccezioni caso per caso. Un ulteriore punto importante riguarda
l'autenticazione, tipicamente basata su servizi separati, RADIUS o
LDAP. Per fare questo, Squid si appoggia a software esterno, il cui
elenco è disponibile su www.squid-cache.org. Qui si trova anche
SquidGuard, con meccanismi di filtraggio più evoluti; sul relativo sito si
possono vedere citati numeri tali da tranquillizzare molti amministratori
di rete sulle prestazioni dei controlli basati su proxy. Tra il software

96
aggiuntivo è disponibile anche un'interfaccia per l'integrazione dei
controlli basati su alcuni antivirus.

97
Laboratorio: Snort
Premesso che un'adeguata descrizione di Snort occupa le 700 pagine
del citato Snort 2.1 Second Edition, in questa sezione vediamo alcuni
aspetti di un'installazione di Snort come NIDS. Consideriamo un sistema
con singola interfaccia, anche se Snort può essere configurato in
modalità inline controllando il traffico tra due interfacce e utilizzando
Iptables per ricevere i pacchetti, anziché la libreria pcap. Il primo
requisito hardware è che la scheda di rete utilizzata da Snort e una delle
porte dello switch siano configurate in modo promiscuo, in modo da
acquisire il traffico di tutta la sottorete. Un altro requisito è che lo switch
non sia talmente impegnato da non ruscire a replicare tutti i pacchetti
sulla porta SPAN (la porta SPAN deve avere la banda necessaria). Ove
ci siano più switch, l'IDS va collegato allo switch root del segmento di
rete, altrimenti riceverebbe solo una porzione del traffico. Snort è
affiancato da numerosi pacchetti di terze parti, che ne migliorano la
gestione e le prestazioni e ne estendono le funzionalità. Tra di essi
citiamo: ACID (Analisys Console for Intrusion Databases), uno
strumento di browsing e analisi dei dati con supporto MySQL e
PostgreSQL; SGUIL (Snort GUI for Lamers), un front-end client/server
per analizzare i dati prodotti da Snort; Barnyard, un processore degli
eventi analizzati da Snort che libera Snort dalle incombenze di
formattare l'output e inviarlo a destinazione; Swatch, monitor di log in
tempo reale che invia avvisi via e-mail; Snortsam, Fwsnort e Snort-
inline, che aggiungono a Snort capacità di risposta attiva; IDSCenter, un
front-end di gestione di Snort per Windows; IDS Policy Manager, una
consolle di amministrazione di Snort per Windows; Oinkmaster, uno
script Perl per tenere aggiornato il ruleset di Snort; Snortalog, uno script
Perl che riassume i log di Snort; SnortSnarf, altro script Perl che
produce un report HTML degli eventi recenti; Snortplot.php, che mostra
graficamente gli attacchi alla rete; Razorback, un programma di analisi
real time dei log per Linux; Incident.pl, uno script Perl che crea un report
degli eventi basato sul log di Snort; PigSentry, che usa l'analisi statistica
per segnalare picchi nei tipi di segnalazioni fornite da Snort. Sia Snort
(www.snort.org), sia i programmi complementari sono disponibili sui siti
98
dei relativi produttori; rispetto alle versioni preconfezionate è preferibile
scaricare le ultime versioni, nonché gli aggiornamenti delle regole. Le
applicazioni sono disponibili sia in forma binaria eseguibile, sia come
sorgenti da compilare. La compilazione di Snort richiede la libreria
libpcap e le librerie di sviluppo. Una volta installato Snort, è necessario
configurarlo. Il file di configurazione è tipicamente /etc/snort/snort.conf;
in Windows, può essere C:\snort\etc\snort.conf. È un file voluminoso, ma
contiene esempi e indicazioni per la personalizzazione. Una delle
variabili da modificare è probabilmente HOME_NET, a cui si assegna
l'indirizzo della propria LAN (per esempio 192.168.0.0/24). La variabile
EXTERNAL_NET dovrebbe mantenere il valore di default any. Quindi, è
necessario scaricare le regole aggiornate e installarle in una directory,
come /etc/snort/rules o C:\snort\rules. Tale directory dovrà essere
assegnata come valore della variabile RULE_PATH nel file di
configurazione. A questo punto, si può provare Snort con un comando
del tipo: /usr/local/bin/snort -i eth0 -A full -g snort -u snort -c snort.conf -l
/var/log/snort che indica in /var/log/snort la directory di logging, che deve
essere scrivibile per l'utente snort (indicato con l'opzione -u). Si può
usare l'opzione -s per dirigere il logging su syslog. In seguito, è
opportuno sia esaminare il contenuto di snort.conf per affinare la
configurazione, sia utilizzare un file init. In molte distribuzioni i parametri
della riga di comando possono essere configurati in /etc/sysconfig/snort.
È possibile scrivere plug-in personalizzati basandosi sia su quelli
esistenti, sia sul manuale utente o sui libri su Snort in commercio. Una
volta verificato il funzionamento di Snort, inizia la fase più impegnativa di
tuning del programma e delle applicazioni complementari per rendere
efficiente il riconoscimento delle intrusioni e la gestione degli allarmi.
Occorre tenere presente che l'usabilità ed efficienza della rete hanno la
precedenza sul rilevamento delle intrusioni, quindi si dovrà fare
attenzione a non creare colli di bottiglia e a non sovraccaricare switch e
sistemi.

99
Laboratorio: VPN
Descriviamo la configurazione di base per la configurazione di un client
VPN su Windows XP per permettere il collegamento ad un gateway
IPSec. La configurazione IPSec di Windows (se non si usa un client
IPSec fornito da un produttore) richiede l'uso del protocollo L2TP, che
permette d'incapsulare i frame di strato 2 (destinati a un server PPP, per
essere estratti sulla rete locale) in pacchetti IP.
Attuare i seguenti passi:
1. Start > Pannello di controllo > Centro connessioni di rete e
condivisione
2. Configura nuova connessione o rete
3. Connessione a una rete aziendale > Avanti
4. Usa connessione ad internet esistente (VPN) > Avanti
5. Inserire un nome (ad esempio prova.com) > inserire un nome per
la connessione (ad esempio MiaVPN) > spuntare “Non stabilire la
connessione ora….” > Avanti
6. Inserire nome utente e password > Crea
7. Chiudi
8. Ora nella finestra Connessioni di rete è presente la nuova
connessione MiaVPN; fare doppio clic su MiaVPN
9. Clic su proprietà
10.Clic su sicurezza
11.Selezionare L2TP IPSEC VPN come Tipo di VPN
12.Clic su Impostazioni avanzate
13.Usa chiave già condivisa per l’autenticazione
14.Inserire una chiave condivisa (sebbene sia la configurazione più
semplice e meno sicura, è semplice e adatta per il test della
connessione; si usi comunque una chiave complessa)
15.Se si utilizza un server Linux, il nome utente e la password devono
essere inseriti nella configurazione CHAP, generalmente in
/etc/ppp/chap-secrets.

100
16. Una volta collaudata la connessione tramite chiave condivisa, si
potrà riconfigurare la protezione della connessione in modo da
utilizzare un certificato digitale per l'autenticazione del client.

101
Appendice C: classi di IP

La tabella seguente espone le classi di indirizzi IP

Classe Primo ottetto Maschera di rete

A 1 – 126 255.0.0.0
B 128 – 191 255.255.0.0
C 192 – 223 255.255.255.0
D 224 – 239 Definita per
operazioni multi cast
e non utilizzata per
normali operazioni
E 240 - 255 Definita per usi
sperimentali

102
103
Appendice D: porte TCP e
UDP

Le tabelle di seguito elencano le porte (TCP e UDP) ed i servizi del

sistema.

Porte note
Le porte note sono quelle comprese nell’intervallo da 0 a 1023 e
vengono utilizzate per i servizi amministrativi; per questo motivo,
richiedono i privilegi di amministratore per stabilire una connessione.

Port TCP UDP Description

0 UDP Reserved

1 TCP UDP TCP Port Service Multiplexer (TCPMUX)

2 TCP UDP CompressNET[2] Management Utility[3]

3 TCP UDP CompressNET[2] Compression Process[4]

4 TCP UDP Unassigned

5 TCP UDP Remote Job Entry

7 TCP UDP Echo Protocol

8 TCP UDP Unassigned

104
9 TCP UDP Discard Protocol

10 TCP UDP Unassigned

11 TCP UDP Active Users (systat service)[5][6]

12 TCP UDP Unassigned

13 TCP UDP Daytime Protocol (RFC 867)

14 TCP UDP Unassigned

15 TCP UDP Previously netstat service[5]

16 TCP UDP Unassigned

17 TCP UDP Quote of the Day

18 TCP UDP Message Send Protocol

19 TCP UDP Character Generator Protocol (CHARGEN)

20 TCP FTP—data transfer

21 TCP FTP—control (command)

22 TCP UDP Secure Shell (SSH)—used for secure logins, file transfers (scp, sftp)
and port forwarding

23 TCP Telnet protocol—unencrypted text communications

24 TCP UDP Priv-mail : any private mail system.[citation needed]

25 TCP Simple Mail Transfer Protocol (SMTP)—used for e-mail routing

between mail servers

105
26 TCP UDP Unassigned

27 TCP UDP NSW User System FE[citation needed]

29 TCP UDP MSG ICP[citation needed]

33 TCP UDP Display Support Protocol[citation needed]

34 TCP UDP Remote File (RF)—used to transfer files between machines[citation

needed]

35 TCP UDP Any private printer server protocol[citation needed]

37 TCP UDP TIME protocol

39 TCP UDP Resource Location Protocol[7] (RLP)—used for determining the

location of higher level services from hosts on a network

40 TCP UDP Unassigned

42 TCP UDP ARPA Host Name Server Protocol

42 TCP UDP Windows Internet Name Service

43 TCP WHOIS protocol

47 TCP UDP NI FTP[7]

49 TCP UDP TACACS Login Host protocol[citation needed]

50 TCP UDP Remote Mail Checking Protocol[8]

51 TCP UDP IMP Logical Address Maintenance[citation needed]

52 TCP UDP XNS (Xerox Network Systems) Time Protocol

106
53 TCP UDP Domain Name System (DNS)

54 TCP UDP XNS (Xerox Network Systems) Clearinghouse

55 TCP UDP ISI Graphics Language (ISI-GL)[citation needed]

56 TCP UDP XNS (Xerox Network Systems) Authentication

56 TCP UDP Route Access Protocol (RAP)[9]

57 TCP Mail Transfer Protocol (RFC 780)

58 TCP UDP XNS (Xerox Network Systems) Mail

67 UDP Bootstrap Protocol (BOOTP) Server; also used by Dynamic Host

Configuration Protocol (DHCP)

68 UDP Bootstrap Protocol (BOOTP) Client; also used by Dynamic Host

Configuration Protocol (DHCP)

69 UDP Trivial File Transfer Protocol (TFTP)

70 TCP Gopher protocol

71 TCP NETRJS protocol

72 TCP NETRJS protocol

73 TCP NETRJS protocol

74 TCP NETRJS protocol

79 TCP Finger protocol

80 TCP UDP Hypertext Transfer Protocol (HTTP)

107
81 TCP Torpark—Onion routing

82 UDP Torpark—Control

88 TCP UDP Kerberos—authentication system[citation needed]

90 TCP UDP dnsix (DoD Network Security for Information Exchange) Securit
Attribute Token Map[citation needed]

90 TCP UDP Pointcast

99 TCP WIP Message protocol

101 TCP NIChost name

102 TCP ISO-TSAP (Transport Service Access Point) Class 0 protocol[10]

104 TCP UDP ACR/NEMADigital Imaging and Communications in Medicine

105 TCP UDP CCSO Nameserver Protocol (Qi/Ph)

107 TCP Remote TELNET Service[11] protocol

108 TCP UDP SNA Gateway Access Server [12]

109 TCP Post Office Protocol v2 (POP2)

110 TCP Post Office Protocol v3 (POP3)

111 TCP UDP ONC RPC (SunRPC)

113 TCP ident—Authentication Service/Identification Protocol,[13] used by IRC

servers to identify users

113 UDP Authentication Service[13] (auth)

108
115 TCP Simple File Transfer Protocol (SFTP)

117 TCP UUCPPath Service

118 TCP UDP SQL (Structured Query Language) Services

119 TCP Network News Transfer Protocol (NNTP)—retrieval of newsgroup

messages

123 UDP Network Time Protocol (NTP)—used for time synchronization

135 TCP UDP DCEendpoint resolution

135 TCP UDP Microsoft EPMAP (End Point Mapper), also known as DCE/RPC
Locator service,[14] used to remotely manage services including DHCP
server, DNS server and WINS. Also used by DCOM

137 TCP UDP NetBIOS NetBIOS Name Service

138 TCP UDP NetBIOS NetBIOS Datagram Service

139 TCP UDP NetBIOS NetBIOS Session Service

143 TCP Internet Message Access Protocol (IMAP)—management of e-mail

messages

152 TCP UDP Background File Transfer Program (BFTP)[15]

153 TCP UDP SGMP, Simple Gateway Monitoring Protocol

156 TCP UDP SQL Service

158 TCP UDP DMSP, Distributed Mail Service Protocol[16]

161 UDP Simple Network Management Protocol (SNMP)

162 TCP UDP Simple Network Management Protocol Trap (SNMPTRAP)[17]

109
170 TCP Print-srv, Network PostScript[citation needed]

175 TCP VMNET (IBM z/VM, z/OS & z/VSE - Network Job Entry(NJE))[citation
needed]

177 TCP UDP X Display Manager Control Protocol (XDMCP)

179 TCP BGP (Border Gateway Protocol)

194 TCP UDP Internet Relay Chat (IRC)

199 TCP UDP SMUX, SNMP Unix Multiplexer

201 TCP UDP AppleTalk Routing Maintenance

209 TCP UDP The Quick Mail Transfer Protocol

210 TCP UDP ANSIZ39.50

213 TCP UDP Internetwork Packet Exchange (IPX)

218 TCP UDP Message posting protocol (MPP)

220 TCP UDP Internet Message Access Protocol (IMAP), version 3

256 TCP UDP 2DEV "2SP" Port[citation needed]

259 TCP UDP ESRO, Efficient Short Remote Operations[citation needed]

264 TCP UDP BGMP, Border Gateway Multicast Protocol

280 TCP UDP http-mgmt

308 TCP Novastor Online Backup

311 TCP Mac OS X Server Admin (officially AppleShare IP Web

110
 administration)[citation needed]

318 TCP UDP PKIX TSP, Time Stamp Protocol

319 UDP Precision time protocol event messages

320 UDP Precision time protocol general messages

323 TCP UDP IMMP, Internet Message Mapping Protocol[citation needed]

350 TCP UDP MATIP-Type A, Mapping of Airline Traffic over Internet Protocol[citation
needed]

351 TCP UDP MATIP-Type B, Mapping of Airline Traffic over Internet Protocol[citation
needed]

366 TCP UDP ODMR, On-Demand Mail Relay[citation needed]

369 TCP UDP Rpc2portmap[citation needed]

370 TCP codaauth2—Coda authentication server[citation needed]

370 UDP codaauth2—Coda authentication server[citation needed]

370 UDP securecast1—Outgoing packets to NAI's servers [18]

371 TCP UDP ClearCase albd[citation needed]

383 TCP UDP HP data alarm manager[citation needed]

384 TCP UDP A Remote Network Server System[citation needed]

387 TCP UDP AURP, AppleTalk Update-based Routing Protocol[19]

389 TCP UDP Lightweight Directory Access Protocol (LDAP)

401 TCP UDP UPS Uninterruptible Power Supply[citation needed]

111
402 TCP Altiris, Altiris Deployment Client[citation needed]

411 TCP Direct Connect Hub

412 TCP Direct Connect Client-to-Client

427 TCP UDP Service Location Protocol (SLP)

443 TCP HTTPS (Hypertext Transfer Protocol over SSL/TLS)

444 TCP UDP SNPP, Simple Network Paging Protocol (RFC 1568)

445 TCP Microsoft-DS Active Directory, Windows shares

445 TCP Microsoft-DS SMB file sharing

464 TCP UDP Kerberos Change/Set password

465 TCP Cisco protocol[citation needed]

465 TCP SMTP over SSL

475 TCP UDP tcpnethaspsrv (Aladdin Knowledge Systems Hasp services, TCP/IP
version)[citation needed]

497 TCP Dantz Retrospect

500 TCP Qmatic Qwin communication port[citation needed]

500 UDP Internet Security Association and Key Management Protocol

(ISAKMP)

501 TCP STMF, Simple Transportation Management Framework—DOT NTCIP

1101[citation needed]

502 TCP UDP asa-appl-proto, Protocol[citation needed]

112
502 TCP UDP Modbus, Protocol

504 TCP UDP Citadel—multiservice protocol for dedicated clients for the Citadel
groupware system

510 TCP First Class Protocol[citation needed]

512 TCP Rexec, Remote Process Execution

512 UDP comsat, together with biff

513 TCP rlogin

513 UDP Who[citation needed]

514 TCP Shell—used to execute non-interactive commands on a remote

system (Remote Shell, rsh, remsh)

514 UDP Syslog—used for system logging

515 TCP Line Printer Daemon—print service

517 UDP Talk[citation needed]

518 UDP NTalk[citation needed]

520 TCP efs, extended file name server[citation needed]

520 UDP Routing Information Protocol (RIP)

524 TCP UDP NetWare Core Protocol (NCP) is used for a variety things such as
access to primary NetWare server resources, Time Synchronization,
etc.

525 UDP Timed, Timeserver[citation needed]

530 TCP UDP RPC[citation needed]

113
531 TCP UDP AOL Instant Messenger

532 TCP netnews[citation needed]

533 UDP netwall, For Emergency Broadcasts[citation needed]

540 TCP UUCP (Unix-to-Unix Copy Protocol)

542 TCP UDP commerce (Commerce Applications)[citation needed]

543 TCP klogin, Kerberos login

544 TCP kshell, Kerberos Remote shell

545 TCP OSIsoft PI (VMS), OSISoft PI Server Client Access

546 TCP UDP DHCPv6 client

547 TCP UDP DHCPv6 server

548 TCP Apple Filing Protocol (AFP) over TCP

550 UDP new-rwho, new-who[citation needed]

554 TCP UDP Real Time Streaming Protocol (RTSP)

556 TCP Remotefs, RFS, rfs_server

560 UDP rmonitor, Remote Monitor[citation needed]

561 UDP monitor[citation needed]

563 TCP UDP NNTP protocol over TLS/SSL (NNTPS)

587 TCP e-mail message submission[20] (SMTP)

114
591 TCP FileMaker 6.0 (and later) Web Sharing (HTTP Alternate, also see port
80)

593 TCP UDP HTTP RPC Ep Map, Remote procedure call over Hypertext Transfer
Protocol, often used by Distributed Component Object Model services
and Microsoft Exchange Server

604 TCP TUNNEL profile,[21] a protocol for BEEPpeers to form an application

layertunnel

623 UDP ASF Remote Management and Control Protocol (ASF-RMCP)[citation

needed]

631 TCP UDP Internet Printing Protocol (IPP)

631 TCP UDP Common Unix Printing System (CUPS)

635 TCP UDP RLZ DBase[citation needed]

636 TCP UDP Lightweight Directory Access Protocol over TLS/SSL (LDAPS)

639 TCP UDP MSDP, Multicast Source Discovery Protocol

641 TCP UDP SupportSoft Nexus Remote Command (control/listening): A proxy

gateway connecting remote control traffic[citation needed]

646 TCP UDP LDP, Label Distribution Protocol, a routing protocol used in MPLS
networks

647 TCP DHCP Failover protocol[22]

648 TCP RRP (Registry Registrar Protocol)[23]

651 TCP UDP IEEE-MMS[citation needed]

652 TCP DTCP, Dynamic Tunnel Configuration Protocol[citation needed]

115
653 TCP UDP SupportSoft Nexus Remote Command (data): A proxy gateway
connecting remote control traffic[citation needed]

654 TCP Media Management System (MMS) Media Management Protocol

(MMP)[24]

657 TCP UDP IBM RMC (Remote monitoring and Control) protocol, used by System
p5AIX Integrated Virtualization Manager (IVM)[25] and Hardware
Management Console to connect managed logical partitions (LPAR)
to enable dynamic partition reconfiguration

660 TCP Mac OS X Server administration

665 TCP sun-dr, Remote Dynamic Reconfiguration[citation needed]

666 UDP Doom, first online first-person shooter

674 TCP ACAP (Application Configuration Access Protocol)

691 TCP MSExchange Routing

694 TCP UDP Linux-HA High availability Heartbeat

695 TCP IEEE-MMS-SSL (IEEE Media Management System over SSL)[26]

698 UDP OLSR (Optimized Link State Routing)

700 TCP EPP (Extensible Provisioning Protocol), a protocol for communication

between domain name registries and registrars (RFC 5734)

701 TCP LMP (Link Management Protocol (Internet)),[27] a protocol that runs
between a pair of nodes and is used to manage traffic engineering
(TE) links

702 TCP IRIS[28][29] (Internet Registry Information Service) over BEEP (Blocks
Extensible Exchange Protocol)[30] (RFC 3983)

706 TCP Secure Internet Live Conferencing (SILC)

116
711 TCP CiscoTag Distribution Protocol[31][32][33]—being replaced by the MPLS
Label Distribution Protocol[34]

712 TCP Topology Broadcast based on Reverse-Path Forwarding routing

protocol (TBRPF) (RFC 3684)

712 UDP Promise RAID Controller[citation needed]

720 TCP SMQP, Simple Message Queue Protocol[citation needed]

749 TCP UDP Kerberos (protocol) administration

750 UDP kerberos-iv, Kerberos version IV

751 TCP UDP kerberos_master, Kerberos authentication

752 UDP passwd_server, Kerberos Password (kpasswd) server

753 TCP Reverse Routing Header (rrh)[35]

753 UDP Reverse Routing Header (rrh)

753 UDP userreg_server, Kerberos userreg server

754 TCP tell send[citation needed]

754 TCP krb5_prop, Kerberos v5 slave propagation

754 UDP tell send[citation needed]

760 TCP UDP krbupdate [kreg], Kerberos registration

782 TCP Conserver serial-console management server

783 TCP SpamAssassin spamd daemon

117
808 TCP Microsoft Net.TCP Port Sharing Service[citation needed]

829 TCP CMP (Certificate Management Protocol)[citation needed]

843 TCP Adobe Flash[36]

847 TCP DHCP Failover protocol

848 TCP UDP Group Domain Of Interpretation (GDOI) protocol[citation needed]

860 TCP iSCSI (RFC 3720)

873 TCP rsync file synchronisation protocol

888 TCP cddbp, CD DataBase (CDDB) protocol (CDDBP)—unassigned but

widespread use

901 TCP Samba Web Administration Tool (SWAT)

901 TCP VMware Virtual Infrastructure Client (UDP from server being managed
to management console)

901 UDP VMware Virtual Infrastructure Client (UDP from server being managed
to management console)

902 TCP ideafarm-door[citation needed]

902 TCP VMware Server Console (TCP from management console to server
being Managed)

902 UDP ideafarm-door[citation needed]

902 UDP VMware Server Console (UDP from server being managed to
management console)

903 TCP VMware Remote Console [37]

118
904 TCP VMware Server Alternate (if 902 is in use, i.e. SUSE linux)

911 TCP Network Console on Acid (NCA)—local tty redirection over OpenSSH

944 UDP Network File System (protocol) Service

953 TCP UDP Domain Name System (DNS) RNDC Service

973 UDP Network File System (protocol) over IPv6 Service

981 TCP SofaWare Technologies Remote HTTPS management for firewall

devices running embedded Check PointFireWall-1 software

987 TCP Microsoft This Secure Hypertext Transfer Protocol (HTTPS) port
makes Windows SharePoint Services viewable through Remote Web
Workplace[citation needed]

989 TCP UDP FTPS Protocol (data): FTP over TLS/SSL

990 TCP UDP FTPS Protocol (control): FTP over TLS/SSL

991 TCP UDP NAS (Netnews Administration System)[38]

992 TCP UDP TELNET protocol over TLS/SSL

993 TCP Internet Message Access Protocol over SSL (IMAPS)

995 TCP Post Office Protocol 3 over TLS/SSL (POP3S)

999 TCP ScimoreDB Database System[citation needed]

1002 TCP Opsware agent (aka cogbot)[citation needed]

1023 TCP UDP Reserved[1]

119
Porte registrate
Le porte registrate sono quelle comprese nell’intervallo da 1024 a 49151
e sono assegnate dalla IANA per servizi specifici.

Port TCP UDP Description

1024 TCP UDP Reserved[1]

1025 TCP NFS or IIS or Teradata

1026 TCP Often used by Microsoft DCOM services

1029 TCP Often used by Microsoft DCOM services

1058 TCP UDP nim, IBMAIXNetwork Installation Manager (NIM)

1059 TCP UDP nimreg, IBMAIXNetwork Installation Manager (NIM)

1080 TCP SOCKS proxy

1085 TCP UDP WebObjects

1098 TCP UDP rmiactivation, RMI Activation

1099 TCP UDP rmiregistry, RMI Registry

1109 UDP Reserved[1]

1109 TCP Reserved[1]

1109 TCP Kerberos Post Office Protocol (KPOP)

1110 UDP EasyBits School network discovery protocol (for Intel's CMPC
platform)

120
1140 TCP UDP AutoNOC protocol

1167 UDP phone, conference calling

1169 TCP UDP Tripwire

1176 TCP Perceptive AutomationIndigoHome automation server

1182 TCP UDP AcceleNetIntelligent Transfer Protocol

1194 TCP UDP OpenVPN

1198 TCP UDP The cajo project Free dynamic transparent distributed computing in
Java

1200 TCP scol, protocol used by SCOL 3D virtual worlds server to answer
world name resolution client request[39]

1200 UDP scol, protocol used by SCOL 3D virtual worlds server to answer
world name resolution client request

1200 UDP Steam Friends Applet

1214 TCP Kazaa

1217 TCP Uvora Online

1220 TCP QuickTime Streaming Server administration

1223 TCP UDP TGP, TrulyGlobal Protocol, also known as "The Gur Protocol"
(named for Gur Kimchi of TrulyGlobal)

1234 UDP VLC media player Default port for UDP/RTP stream

1236 TCP Symantec BindView Control UNIX Default port for TCP
management server connections

121
1241 TCP UDP Nessus Security Scanner

1270 TCP UDP MicrosoftSystem Center Operations Manager (SCOM) (formerly

Microsoft Operations Manager (MOM)) agent

1293 TCP UDP IPSec (Internet Protocol Security)

1301 TCP Palmer Performance OBDNet

1309 TCP Altera Quartus jtagd

1311 TCP Dell OpenManage HTTPS

1313 TCP Xbiim (Canvii server)

1319 TCP AMX ICSP

1319 UDP AMX ICSP

1337 UDP Men and Mice DNS

1337 TCP Men and Mice DNS

1337 TCP PowerFolder P2P Encrypted File Synchronization Program

1337 TCP WASTE Encrypted File Sharing Program

1344 TCP Internet Content Adaptation Protocol

1352 TCP IBMLotus Notes/Domino[40](RPC) protocol

1387 TCP UDP cadsi-lm, LMS International (formerly Computer Aided Design
Software, Inc. (CADSI)) LM

1414 TCP IBMWebSphere MQ (formerly known as MQSeries)

122
1417 TCP UDP Timbuktu Service 1 Port

1418 TCP UDP Timbuktu Service 2 Port

1419 TCP UDP Timbuktu Service 3 Port

1420 TCP UDP Timbuktu Service 4 Port

1431 TCP Reverse Gossip Transport Protocol (RGTP), used to access a

General-purpose Reverse-Ordered Gossip Gathering System
(GROGGS) bulletin board, such as that implemented on the
Cambridge University's Phoenix system

1433 TCP MSSQL (MicrosoftSQL Serverdatabase management system)

Server

1434 TCP UDP MSSQL (MicrosoftSQL Serverdatabase management system)

Monitor

1470 TCP Solarwinds Kiwi Log Server

1494 TCP CitrixXenAppIndependent Computing Architecture (ICA) thin

clientprotocol

1500 TCP NetGuard GuardianPro firewall (NT4-based) Remote Management

1501 UDP NetGuard GuardianPro firewall (NT4-based) Authentication Client

1503 TCP UDP Windows Live Messenger (Whiteboard and Application Sharing)

1512 TCP UDP MicrosoftWindows Internet Name Service (WINS)

1513 TCP UDP GarenaGarena Gaming Client

1521 TCP nCube License Manager

1521 TCP Oracle database default listener, in future releases official port

123
 2483

1524 TCP UDP ingreslock, ingres

1526 TCP Oracle database common alternative for listener

1527 TCP Apache Derby Network Server default port

1533 TCP IBM Sametime IM—Virtual Places Chat Microsoft SQL Server

1534 UDP Eclipse Target Communication Framework (TCF) agent

discovery[41]

1547 TCP UDP Laplink

1550 TCP UDP 3m-image-lm Image Storage license manager 3M Company

1550 Gadu-Gadu (direct client-to-client)

1556 TCP Jeex-RB (direct client-to-db.service)

1581 UDP MIL STD 2045-47001 VMF

1589 UDP Cisco VQP (VLAN Query Protocol) / VMPS

1590 TCP GE Smallworld Datastore Server (SWMFS/Smallworld Master

Filesystem)

1627 iSketch

1645 TCP UDP radius auth, RADIUS authentication protocol (default for Cisco and
Juniper Networks RADIUS servers)

1646 TCP UDP radius acct, RADIUS authentication protocol (default for Cisco and
Juniper Networks RADIUS servers)

1666 TCP Perforce

124
1677 TCP UDP NovellGroupWise clients in client/server access mode

1688 TCP MicrosoftKey Management Service for KMS Windows Activation

1700 UDP Cisco RADIUS Change of Authorization for TrustSec

1701 UDP Layer 2 Forwarding Protocol (L2F) &Layer 2 Tunneling Protocol

(L2TP)

1707 TCP UDP Windward Studios

1707 TCP Romtoc Packet Protocol (L2F) &Layer 2 Tunneling Protocol (L2TP)

1716 TCP America's ArmyMassively multiplayer online game (MMO)

1719 UDP H.323 Registration and alternate communication

1720 TCP H.323 Call signalling

1723 TCP UDP Microsoft Point-to-Point Tunneling Protocol (PPTP)

1725 UDP Valve Steam Client

1755 TCP UDP Microsoft Media Services (MMS, ms-streaming)

1761 UDP cft-0

1761 TCP cft-0

1761 TCP NovellZenworks Remote Control utility

1762– TCP UDP cft-1 to cft-7

1768

1792 TCP UDP Moby

125
1801 TCP UDP Microsoft Message Queuing

1812 TCP UDP radius, RADIUS authentication protocol

1813 TCP UDP radacct, RADIUS accounting protocol

1863 TCP MSNP (Microsoft Notification Protocol), used by the .NET

Messenger Service and a number of Instant Messagingclients

1883 TCP UDP MQ Telemetry Transport (MQTT), formerly known as MQIsdp

(MQSeries SCADA protocol)

1886 TCP Leonardo over IP Pro2col Ltd

1900 UDP Microsoft SSDP Enables discovery of UPnP devices

1920 TCP IBM Tivoli Monitoring Console (https)

1935 TCP Adobe SystemsMacromediaFlashReal Time Messaging Protocol

(RTMP) "plain" protocol

1947 TCP UDP SentinelSRM (hasplm), Aladdin HASP License Manager

1967 UDP Cisco IOS IP Service Level Agreements (IP SLAs) Control
Protocol

1970 TCP UDP Netop Business Solutions Netop Remote Control

1971 TCP UDP Netop Business Solutions Netop School

1972 TCP UDP InterSystems Caché

1975– UDP Cisco TCO (Documentation)

1977

1984 TCP Big Brother and related Xymon (formerly Hobbit) System and
Network Monitor

126
1985 UDP Cisco HSRP

1994 TCP UDP Cisco STUN-SDLC (Serial Tunneling—Synchronous Data Link

Control) protocol

1997 TCP Chizmo Networks Transfer Tool

1998 TCP UDP Cisco X.25 over TCP (XOT) service

2000 TCP UDP Cisco SCCP (Skinny)

2001 UDP CAPTAN Test Stand System

2002 TCP Secure Access Control Server (ACS) for Windows

2030 Oracle Services for Microsoft Transaction Server

2031 TCP UDP mobrien-chat(http://chat.mobrien.com:2031/)

2041 TCP Mail.Ru Agent communication protocol

2049 UDP Network File System

2049 UDP shilp

2053 TCP knetd Kerberos de-multiplexor

2056 UDP Civilization 4 multiplayer

2073 TCP UDP DataReel Database

2074 TCP UDP Vertel VMF SA (i.e. App.. SpeakFreely)

2082 TCP Infowave Mobility Server

2082 TCP CPanel default

127
2083 TCP Secure Radius Service (radsec)

2083 TCP CPanel default SSL

2086 TCP GNUnet

2086 TCP WebHost Manager default

2087 TCP WebHost Manager default SSL

2095 TCP CPanel default Web mail

2096 TCP CPanel default SSL Web mail

2102 TCP UDP zephyr-srv Project Athena Zephyr Notification Service server

2103 TCP UDP zephyr-clt Project Athena Zephyr Notification Service serv-hm
connection

2104 TCP UDP zephyr-hm Project Athena Zephyr Notification Service

hostmanager

2105 TCP UDP IBM MiniPay

2105 TCP UDP eklogin Kerberos encrypted remote login (rlogin)

2105 TCP UDP zephyr-hm-srv Project Athena Zephyr Notification Service hm-serv
connection (should use port 2102)

2121 TCP FTP proxy

2144 TCP Iron Mountain LiveVault Agent

2145 TCP Iron Mountain LiveVault Agent

2156 UDP Talari Reliable Protocol

128
2160 TCP APC Agent

2161 TCP APC Agent

2181 TCP UDP EForward-document transport system

2190 UDP TiVoConnect Beacon

2200 UDP Tuxanci game server[42]

2210 UDP NOAAPORT Broadcast Network

2210 TCP NOAAPORT Broadcast Network

2210 TCP MikroTik Remote management for "The Dude"

2211 UDP EMWIN

2211 TCP EMWIN

2211 TCP MikroTik Secure management for "The Dude"

2212 UDP LeeCO POS Server Service

2212 TCP LeeCO POS Server Service

2212 TCP Port-A-Pour Remote WinBatch

2219 TCP UDP NetIQ NCAP Protocol

2220 TCP UDP NetIQ End2End

2221 TCP ESET Anti-virus updates

2222 TCP DirectAdmin default &ESET Remote Administration

129
2223 UDP Microsoft Office OS X antipiracy network monitor

2261 TCP UDP CoMotion Master

2262 TCP UDP CoMotion Backup

2301 TCP HP System Management Redirect to port 2381

2302 UDP ArmA multiplayer (default for game)

2302 UDP Halo: Combat Evolved multiplayer

2303 UDP ArmA multiplayer (default for server reporting) (default port for
game +1)

2305 UDP ArmA multiplayer (default for VoN) (default port for game +3)

2323 TCP Philips TVs based on jointSPACE[43]

2369 TCP Default for BMC SoftwareControl-M/Server—Configuration Agent,

though often changed during installation

2370 TCP Default for BMC SoftwareControl-M/Server—to allow the Control-

M/Enterprise Manager to connect to the Control-M/Server, though
often changed during installation

2379 TCP KGS Go Server

2381 TCP HP Insight Manager default for Web server

2401 TCP CVS version control system

2404 TCP IEC60870-5-104, used to send electric powertelecontrolmessages

between two systems via directly connected data circuits

2420 UDP Westell Remote Access

130
2427 UDP Cisco MGCP

2447 TCP UDP ovwdb—OpenViewNetwork Node Manager (NNM) daemon

2483 TCP UDP Oracle database listening for unsecure client connections to the
listener, replaces port 1521

2484 TCP UDP Oracle database listening for SSL client connections to the listener

2500 TCP THEÒSMESSENGER listening for TheòsMessenger client

connections

2501 TCP TheosNet-Admin listening for TheòsMessenger client connections

2518 TCP UDP Willy

2525 TCP SMTP alternate

2535 TCP MADCAP

2546 TCP UDP EVault—Data Protection Services

2593 TCP UDP RunUO—Ultima Online server

2598 TCP new ICA (Citrix) —when Session Reliability is enabled, TCP port
2598 replaces port 1494

2599 TCP SonicWALL Antispam traffic between Remote Analyzer (RA) and
Control Center (CC)

2610 TCP Dark Ages

2612 TCP UDP QPasa from MQSoftware

2638 TCP Sybase database listener

2636 TCP Solve Service

131
2641 TCP UDP HDL Server from CNRI

2642 TCP UDP Tragic

2698 TCP UDP Citel / MCK IVPIP

2700– TCP KnowShowGo P2P

2800

2710 TCP XBT Bittorrent Tracker

2710 UDP XBT Bittorrent Tracker experimental UDP tracker extension

2710 TCP Knuddels.de

2735 TCP UDP NetIQ Monitor Console

2809 TCP corbaloc:iiop URL, per the CORBA 3.0.3 specification

2809 TCP IBM WebSphere Application Server (WAS) Bootstrap/rmidefault

2809 UDP corbaloc:iiop URL, per the CORBA 3.0.3 specification.

2868 TCP UDP Norman Proprietary Event Protocol NPEP

2944 UDP Megaco Text H.248

2945 UDP Megaco Binary (ASN.1) H.248

2947 TCP gpsd GPS daemon

2948 TCP UDP WAP-push Multimedia Messaging Service (MMS)

2949 TCP UDP WAP-pushsecure Multimedia Messaging Service (MMS)

2967 TCP Symantec AntiVirus Corporate Edition

132
3000 TCP Miralix License server

3000 TCP Cloud9 Integrated Development Environment server

3000 UDP Distributed Interactive Simulation (DIS), modifiable default

3000 TCP Ruby on Rails development default[44]

3001 TCP Miralix Phone Monitor

3001 TCP Opsware server (Satellite)

3002 TCP Miralix CSTA

3003 TCP Miralix GreenBox API

3004 TCP Miralix InfoLink

3005 TCP Miralix TimeOut

3006 TCP Miralix SMS Client Connector

3007 TCP Miralix OM Server

3008 TCP Miralix Proxy

3017 TCP Miralix IVR and Voice-mail

3025 TCP netpd.org

3030 TCP UDP NetPanzer

3050 TCP UDP gds_db (Interbase/Firebird)

3051 TCP UDP Galaxy Server (Gateway Ticketing Systems)

133
3052 TCP UDP APCPowerChute Network[45]

3074 TCP UDP Xbox LIVE and/or Games for Windows - LIVE

3100 TCP HTTP used by Tatsoft as the default listen port

3101 TCP BlackBerry Enterprise Server communication to cloud

3128 TCP HTTP used by Web caches and the default for the Squid
(software)

3128 TCP HTTP used by Tatsoft as the default client connection

3225 TCP UDP FCIP (Fiber Channel over Internet Protocol)

3233 TCP UDP WhiskerControl research control protocol

3235 TCP UDP Galaxy Network Service (Gateway Ticketing Systems)

3260 TCP iSCSI target

3268 TCP UDP msft-gc, Microsoft Global Catalog (LDAP service which contains
data from Active Directory forests)

3269 TCP UDP msft-gc-ssl, Microsoft Global Catalog over SSL (similar to port
3268, LDAP over SSL)

3283 TCP Apple Remote Desktop reporting (officially Net Assistant, referring
to an earlier product)

3299 TCP SAP-Router (routing application proxy for SAP R/3)

3300 TCP UDP Debate Gopher backend database system

3305 TCP UDP odette-ftp, Odette File Transfer Protocol (OFTP)

3306 TCP UDP MySQL database system

134
3313 TCP Verisys - File Integrity Monitoring Software

3333 TCP Network Caller ID server

3333 TCP CruiseControl.rb[46]

3386 TCP UDP GTP'3GPPGSM/UMTSCDR logging protocol

3389 TCP UDP Microsoft Terminal Server (RDP) officially registered as Windows
Based Terminal (WBT) - Link

3396 TCP UDP Novell NDPS Printer Agent

3412 TCP UDP xmlBlaster

3455 TCP UDP [RSVP] Reservation Protocol

3423 TCP Xware xTrm Communication Protocol

3424 TCP Xware xTrm Communication Protocol over SSL

3478 TCP UDP STUN, a protocol for NAT traversal[47]

3478 TCP UDP TURN, a protocol for NAT traversal[48]

3483 UDP Slim Devices discovery protocol

3483 TCP Slim Devices SlimProto protocol

3516 TCP UDP Smartcard Port

3527 UDP Microsoft Message Queuing

3535 TCP SMTP alternate

3537 TCP UDP ni-visa-remote

135
3544 UDP Teredo tunneling

3605 UDP ComCam IO Port

3606 TCP UDP Splitlock Server

3632 TCP distributed compiler

3689 TCP Digital Audio Access Protocol (DAAP)—used by Apple’siTunes

and AirPort Express

3690 TCP UDP Subversion (SVN) version control system

3702 TCP UDP Web Services Dynamic Discovery (WS-Discovery), used by

various components of Windows Vista

3723 TCP UDP Used by many Battle.net Blizzard games (Diablo II, Warcraft II,
Warcraft III, StarCraft)

3724 TCP World of Warcraft Online gaming MMORPG

3724 TCP Club Penguin Disney online game for kids

3724 UDP World of Warcraft Online gaming MMORPG

3784 TCP UDP Ventrilo VoIP program used by Ventrilo

3785 UDP Ventrilo VoIP program used by Ventrilo

3799 UDP IETF RADIUS Change of Authorization

3800 TCP Used by HGG programs

3880 TCP UDP IGRS

3868 TCP SCT Diameter base protocol (RFC 3588)

P

136
3872 TCP Oracle Management Remote Agent

3899 TCP Remote Administrator

3900 TCP udt_os, IBM UniData UDT OS[49]

3945 TCP UDP EMCADS service, a Giritech product used by G/On

3978 TCP UDP OpenTTD game (masterserver and content service)

3979 TCP UDP OpenTTD game

3999 TCP UDP Norman distributed scanning service

4000 TCP UDP Diablo II game

4001 TCP Microsoft Ants game

4007 TCP PrintBuzzer printer monitoring socket server

4018 TCP UDP protocol information and warnings

4069 UDP Minger E-mail Address Verification Protocol[50]

4089 TCP UDP OpenCORE Remote Control Service

4093 TCP UDP PxPlus Client server interface ProvideX

4096 TCP UDP Ascom Timeplex BRE (Bridge Relay Element)

4100 WatchGuard Authentication Applet—default

4111 TCP Xgrid

4116 TCP UDP Smartcard-TLS

137
4125 TCP Microsoft Remote Web Workplace administration

4172 TCP UDP Teradici PCoIP

4201 TCP TinyMUD and various derivatives

4226 TCP UDP Aleph One (game)

4224 TCP Cisco Audio Session Tunneling

4321 TCP Referral Whois (RWhois) Protocol[51]

4323 UDP Lincoln Electric's ArcLink/XT

4433- TCP Axence nVision

4436

4500 UDP IPSec NAT Traversal (RFC 3947)

4534 UDP Armagetron Advanced default server port

4567 TCP Sinatra default server port in development mode (HTTP)

4569 UDP Inter-Asterisk eXchange (IAX2)

4610– TCP QualiSystems TestShell Suite Services

4640

4662 UDP OrbitNet Message Service

4662 TCP OrbitNet Message Service

4662 TCP Default for older versions of eMule[52]

4664 TCP Google Desktop Search

138
4672 UDP Default for older versions of eMule[52]

4711 TCP eMule optional web interface[52]

4711 TCP McAfee Web Gateway 7 - Default GUI Port HTTP

4712 TCP McAfee Web Gateway 7 - Default GUI Port HTTPS

4728 TCP Computer Associates Desktop and Server Management

(DMP)/Port Multiplexer [53]

4747 TCP Apprentice

4750 TCP BladeLogic Agent

4840 TCP UDP OPC UA TCP Protocol for OPC Unified Architecture from OPC
Foundation

4843 TCP UDP OPC UA TCP Protocol over TLS/SSL for OPC Unified Architecture
from OPC Foundation

4847 TCP UDP Web Fresh Communication, Quadrion Software&Odorless

Entertainment

4894 TCP UDP LysKOM Protocol A

4899 TCP UDP Radmin remote administration tool (program sometimes used by a
Trojan horse)

4949 TCP Munin Resource Monitoring Tool

4950 TCP UDP Cylon Controls UC32 Communications Port

4982 TCP UDP Solar Data Log (JK client app for PV solar inverters )

4993 TCP UDP Home FTP Server web Interface Default Port

139
5000 TCP commplex-main

5000 TCP UPnP—Windows network device interoperability

5000 TCP VTun—VPN Software

5000 UDP FlightGear multiplayer[54]

5000 UDP VTun—VPN Software

5001 TCP commplex-link

5001 TCP Slingbox and Slingplayer

5001 TCP Iperf (Tool for measuring TCP and UDP bandwidth performance)

5001 UDP Iperf (Tool for measuring TCP and UDP bandwidth performance)

5002 TCP SOLICARD ARX[55]

5003 TCP UDP FileMaker

5004 TCP UDP RTP (Real-time Transport Protocol) media data (RFC 3551, RFC
4571)

5004 DC RTP (Real-time Transport Protocol) media data (RFC 3551, RFC
CP 4571)

5005 TCP UDP RTP (Real-time Transport Protocol) control protocol (RFC 3551,
RFC 4571)

5005 DC RTP (Real-time Transport Protocol) control protocol (RFC 3551,

CP RFC 4571)

5029 TCP Sonic Robo Blast 2 : Multiplayer

5031 TCP UDP AVM CAPI-over-TCP (ISDN over Ethernet tunneling)

140
5050 TCP Yahoo! Messenger

5051 TCP ita-agent Symantec Intruder Alert[56]

5060 TCP UDP Session Initiation Protocol (SIP)

5061 TCP Session Initiation Protocol (SIP) over TLS

5070 TCP Binary Floor Control Protocol (BFCP),[57] published as RFC 4582,
is a protocol that allows for an additional video channel (known as
the content channel) alongside the main video channel in a video-
conferencing call that uses SIP. Also used for Session Initiation
Protocol (SIP) preferred port for PUBLISH on SIP Trunk to Cisco
Unified Presence Server (CUPS)

5082 TCP UDP Qpur Communication Protocol

5083 TCP UDP Qpur File Protocol

5084 TCP UDP EPCglobal Low Level Reader Protocol (LLRP)

5085 TCP UDP EPCglobal Low Level Reader Protocol (LLRP) over TLS

5093 UDP SafeNet, Inc Sentinel LM, Sentinel RMS, License Manager, Client-
to-Server

5099 TCP UDP SafeNet, Inc Sentinel LM, Sentinel RMS, License Manager,
Server-to-Server

5104 TCP IBMTivoli Framework NetCOOL/Impact[58]HTTP Service

5106 TCP A-Talk Common connection

5107 TCP A-Talk Remote server connection

5108 TCP VPOP3 Mail Server Webmail

141
5109 TCP UDP VPOP3 Mail Server Status

5110 TCP ProRat Server

5121 TCP Neverwinter Nights

5150 TCP UDP ATMP Ascend Tunnel Management Protocol[59]

5150 TCP UDP Malware Cerberus RAT

5151 TCP ESRI SDE Instance

5151 UDP ESRI SDE Remote Start

5154 TCP UDP BZFlag

5176 TCP ConsoleWorks default UI interface

5190 TCP ICQ and AOL Instant Messenger

5222 TCP Extensible Messaging and Presence Protocol (XMPP) client

connection[60][61]

5223 TCP Extensible Messaging and Presence Protocol (XMPP) client connection
over SSL

5228 TCP HP Virtual Room Service

5228 TCP Android Market

5246 UDP Control And Provisioning of Wireless Access Points (CAPWAP)

CAPWAP control[62]

5247 UDP Control And Provisioning of Wireless Access Points (CAPWAP)

CAPWAP data[62]

5269 TCP Extensible Messaging and Presence Protocol (XMPP) server

142
 connection[60][61]

5280 TCP Extensible Messaging and Presence Protocol (XMPP) XEP-0124:

Bidirectional-streams Over Synchronous HTTP (BOSH)

5281 TCP Undo License Manager

5281 TCP Extensible Messaging and Presence Protocol (XMPP) XEP-0124:

Bidirectional-streams Over Synchronous HTTP (BOSH) with SSL

5298 TCP UDP Extensible Messaging and Presence Protocol (XMPP) XEP-0174:
Serverless Messaging

5310 TCP UDP Ginever.net data communication port

5311 TCP UDP Ginever.net data communication port

5312 TCP UDP Ginever.net data communication port

5313 TCP UDP Ginever.net data communication port

5314 TCP UDP Ginever.net data communication port

5315 TCP UDP Ginever.net data communication port

5349 TCP STUN, a protocol for NAT traversal (UDP is reserved)[47]

5349 TCP TURN, a protocol for NAT traversal (UDP is reserved)[48]

5351 TCP UDP NAT Port Mapping Protocol—client-requested configuration for

inbound connections through network address translators

5353 UDP Multicast DNS (mDNS)

5355 TCP UDP LLMNR—Link-Local Multicast Name Resolution, allows hosts to

perform name resolution for hosts on the same local link (only
provided by Windows Vista and Server 2008)

143
5357 TCP UDP Web Services for Devices (WSDAPI) (only provided by Windows
Vista, Windows 7 and Server 2008)

5358 TCP UDP WSDAPI Applications to Use a Secure Channel (only provided by
Windows Vista, Windows 7 and Server 2008)

5402 TCP UDP mftp, Stratacache OmniCastcontent delivery system MFTPfile sharing
protocol

5405 TCP UDP NetSupport Manager

5412 TCP UDP IBM Rational Synergy (Telelogic_Synergy) (Continuus CM)

Message Router

5421 TCP UDP NetSupport Manager

5432 TCP UDP PostgreSQL database system

5433 TCP Bouwsoft file/webserver <http://www.bouwsoft.be/>

5445 UDP Cisco Unified Video Advantage

5450 TCP OSIsoft PI Server Client Access

5457 TCP OSIsoft PI Asset Framework Client Access

5458 TCP OSIsoft PI Notifications Client Access

5495 TCP Applix TM1 Admin server

5498 TCP Hotline tracker server connection

5499 UDP Hotline tracker server discovery

5500 TCP VNC remote desktop protocol—for incoming listening viewer,

Hotline control connection

144
5501 TCP Hotline file transfer connection

5517 TCP Setiqueue Proxy server client for SETI@Home project

5550 TCP Hewlett-Packard Data Protector

5555 TCP Freeciv versions up to 2.0, Hewlett-Packard Data Protector, McAfee

EndPoint Encryption Database Server, SAP, Default for Microsoft
Dynamics CRM 4.0

5556 TCP UDP Freeciv

5591 TCP Default for Tidal Enterprise Scheduler master-Socket used for
communication between Agent-to-Master, though can be changed

5631 TCP pcANYWHEREdata, SymantecpcAnywhere (version 7.52 and

later[63])[64] data

5632 UDP pcANYWHEREstat, SymantecpcAnywhere (version 7.52 and later)

status

5656 TCP IBM Sametime p2p file transfer

5666 TCP NRPE (Nagios)

5667 TCP NSCA (Nagios)

5678 UDP Mikrotik RouterOS Neighbor Discovery Protocol (MNDP)

5721 TCP UDP Kaseya

5723 TCP Operations Manager

5741 TCP UDP IDA Discover Port 1

5742 TCP UDP IDA Discover Port 2

145
5800 TCP VNC remote desktop protocol—for use over HTTP

5814 TCP UDP Hewlett-Packard Support Automation (HP OpenView Self-Healing

Services)

5850 TCP COMIT SE (PCR)

5852 TCP Adeona client: communications to OpenDHT

5900 TCP UDP Virtual Network Computing (VNC) remote desktop protocol (used by
Apple Remote Desktop and others)

5912 TCP Default for Tidal Enterprise Scheduler agent-Socket used for
communication between Master-to-Agent, though can be changed

5938 TCP UDP TeamViewer[65] remote desktop protocol

5984 TCP UDP CouchDB database server

5999 TCP CVSup[66] file update tool

6000 TCP X11—used between an X client and server over the network

6001 UDP X11—used between an X client and server over the network

6005 TCP Default for BMC SoftwareControl-M/Server—Socket used for

communication between Control-M processes—though often
changed during installation

6005 TCP Default for Camfrog Chat & Cam Client http://www.camfrog.com/

6050 TCP Brightstor Arcserve Backup

6050 TCP Nortel Software

6051 TCP Brightstor Arcserve Backup

146
6072 TCP iOperator Protocol Signal Port

6086 TCP PDTP—FTP like file server in a P2P network

6100 TCP Vizrt System

6100 TCP Ventrilo This is the authentication port that must be allowed
outbound for version 3 of Ventrilo

6101 TCP Backup Exec Agent Browser

6110 TCP UDP softcm, HPSoftbench CM

6111 TCP UDP spc, HPSoftbench Sub-Process Control

6112 UDP "dtspcd"—a network daemon that accepts requests from clients to
execute commands and launch applications remotely

6112 TCP "dtspcd"—a network daemon that accepts requests from clients to
execute commands and launch applications remotely

6112 TCP Blizzard's Battle.net gaming service, ArenaNet gaming service, Relic
gaming sercive

6112 TCP Club Penguin Disney online game for kids

6113 TCP Club Penguin Disney online game for kids

6129 TCP DameWare Remote Control

6257 UDP WinMX (see also 6699)

6260 TCP UDP planet M.U.L.E.

6262 TCP Sybase Advantage Database Server

6343 UDP SFlow, sFlow traffic monitoring

147
6346 TCP UDP gnutella-svc, gnutella (FrostWire, Limewire, Shareaza, etc.)

6347 TCP UDP gnutella-rtr, Gnutella alternate

6350 TCP UDP App Discovery and Access Protocol

6389 TCP EMCCLARiiON

6432 TCP PgBouncer - A connection pooler for PostgreSQL

6444 TCP UDP Sun Grid Engine—Qmaster Service

6445 TCP UDP Sun Grid Engine—Execution Service

6502 TCP UDP Netop Business Solutions - NetOp Remote Control

6503 UDP Netop Business Solutions - NetOp School

6522 TCP Gobby (and other libobby-based software)

6523 TCP Gobby 0.5 (and other libinfinity-based software)

6543 UDP Paradigm Research & Development Jetnet[67] default

6566 TCP SANE (Scanner Access Now Easy)—SANE network scanner

daemon

6571 Windows Live FolderShare client

6600 TCP Music Playing Daemon (MPD)

6619 TCP UDP odette-ftps, Odette File Transfer Protocol (OFTP) over TLS/SSL

6646 UDP McAfee Network Agent

6660– TCP Internet Relay Chat (IRC)

148
6664

6665– TCP Internet Relay Chat (IRC)

6669

6679 TCP UDP Osorno Automation Protocol (OSAUT)

6679 TCP IRCSSL (Secure Internet Relay Chat)—often used

6697 TCP IRCSSL (Secure Internet Relay Chat)—often used

6699 TCP WinMX (see also 6257)

6702 TCP Default for Tidal Enterprise Scheduler client-Socket used for
communication between Client-to-Master, though can be changed

6771 UDP Polycom server broadcast

6789 TCP Datalogger Support Software Campbell Scientific Loggernet Software

6881– TCP UDP BitTorrent part of full range of ports used most often
6887

6888 TCP UDP MUSE

6888 TCP UDP BitTorrent part of full range of ports used most often

6889– TCP UDP BitTorrent part of full range of ports used most often
6890

6891– TCP UDP BitTorrent part of full range of ports used most often
6900

6891– TCP UDP Windows Live Messenger (File transfer)

6900

6901 TCP UDP Windows Live Messenger (Voice)

149
6901 TCP UDP BitTorrent part of full range of ports used most often

6902– TCP UDP BitTorrent part of full range of ports used most often
6968

6969 TCP UDP acmsoda

6969 TCP BitTorrent tracker

6970– TCP UDP BitTorrent part of full range of ports used most often
6999

7000 TCP Default for Vuze's built in HTTPSBittorrent Tracker

7001 TCP Default for BEAWebLogic Server's HTTP server, though often
changed during installation

7002 TCP Default for BEAWebLogic Server's HTTPS server, though often
changed during installation

7005 TCP Default for BMC SoftwareControl-M/Server and Control-M/Agent for

Agent-to-Server, though often changed during installation

7006 TCP Default for BMC SoftwareControl-M/Server and Control-M/Agent for

Server-to-Agent, though often changed during installation

7010 TCP Default for Cisco AON AMC (AON Management Console) [68]

7022 TCP Database mirroring endpoints

7023 UDP Bryan Wilcutt T2-NMCS Protocol for SatCom Modems

7025 TCP Zimbra LMTP [mailbox]—local mail delivery

7047 TCP Zimbra conversion server

7133 TCP Enemy Territory: Quake Wars

150
7144 TCP Peercast

7145 TCP Peercast

7171 TCP Tibia

7306 TCP Zimbra mysql [mailbox]

7307 TCP Zimbra mysql [logger]

7312 UDP Sibelius License Server

7400 TCP UDP RTPS (Real Time Publish Subscribe) DDS Discovery

7401 TCP UDP RTPS (Real Time Publish Subscribe) DDS User-Traffic

7402 TCP UDP RTPS (Real Time Publish Subscribe) DDS Meta-Traffic

7473 TCP UDP Rise: The Vieneo Province

7547 TCP UDP CPE WAN Management Protocol Technical Report 069

7615 TCP ISL Online[69] communication protocol

7670 TCP BrettspielWelt BSW Boardgame Portal

7676 TCP Aqumin AlphaVision Remote Command Interface

7700 UDP P2P DC (RedHub)

7707 UDP Killing Floor

7708 UDP Killing Floor

7717 UDP Killing Floor

151
7777 TCP iChat server file transfer proxy

7777 TCP Oracle Cluster File System 2

7777 TCP Windows backdoor program tini.exe default

7777 TCP Xivio.com Chat Server Interface

7777 TCP Terraria default server

7778 TCP Bad Trip MUD

7777- UDP Unreal Tournament series default server

7788

7777- TCP Unreal Tournament series default server

7788

7787- TCP GFI EventsManager 7 & 8

7788

7831 TCP Default used by Smartlaunch Internet Cafe Administration[70]

software

7880 TCP UDP PowerSchool Gradebook Server

7915 TCP Default for YSFlight server [3]

7935 TCP Fixed port used for Adobe Flash Debug Player to communicate
with a debugger (Flash IDE, Flex Builder or fdb).[71]

7937- TCP UDP EMC2 (Legato) Networker or Sun Solcitice Backup

9936

8000 UDP iRDMI (Intel Remote Desktop Management Interface)[72]—

sometimes erroneously used instead of port 8080

152
8000 TCP iRDMI (Intel Remote Desktop Management Interface)[72]—
sometimes erroneously used instead of port 8080

8000 TCP Commonly used for internet radio streams such as those using
SHOUTcast

8001 TCP Commonly used for internet radio streams such as those using
SHOUTcast

8002 TCP Cisco Systems Unified Call Manager Intercluster

8008 TCP HTTP Alternate

8008 TCP IBM HTTP Server administration default

8009 TCP ajp13—Apache JServ Protocol AJP Connector

8010 TCP XMPP File transfers

8011- TCP HTTP/TCP Symon Communications Event and Query Engine

8013

8014 TCP HTTP/TCP Symon Communications Event and Query Engine

8014 UDP Perseus SDR Receiver default remote connection port

8020 TCP 360Works SuperContainer

8074 TCP Gadu-Gadu

8075 TCP Killing Floor

8078 TCP UDP Default port for most Endless Online-based servers

8080 TCP HTTP alternate (http_alt)—commonly used for Web proxy and
caching server, or for running a Web server as a non-root user

153
8080 TCP Apache Tomcat

8080 UDP FilePhile Master/Relay

8081 TCP HTTP alternate, VibeStreamer, e.g. McAfee ePolicy Orchestrator

(ePO)

8086 TCP HELM Web Host Automation Windows Control Panel

8086 TCP Kaspersky AV Control Center

8087 TCP Hosting Accelerator Control Panel

8087 TCP Parallels Plesk Control Panel

8087 UDP Kaspersky AV Control Center

8088 TCP Asterisk (PBX) Web Configuration utility (GUI Addon)

8089 TCP Splunk Daemon

8090 TCP HTTP Alternate (http_alt_alt)—used as an alternative to port 8080

8100 TCP Console Gateway License Verification

8116 UDP Check Point Cluster Control Protocol

8118 TCP Privoxy—advertisement-filtering Web proxy

8123 TCP Polipo Web proxy

8192 TCP Sophos Remote Management System

8193 TCP Sophos Remote Management System

8194 TCP Sophos Remote Management System

154
8200 TCP GoToMyPC

8222 TCP VMware Server Management User Interface[73] (insecure Web

interface).[74] See also port 8333

8243 TCP UDP HTTPS listener for Apache Synapse[75]

8280 TCP UDP HTTP listener for Apache Synapse[75]

8291 TCP Winbox—Default on a MikroTik RouterOS for a Windows

application used to administer MikroTik RouterOS

8303 UDP Teeworlds Server

8332 TCP BitcoinJSON-RPC server[76]

8333 TCP Bitcoin[77]

8333 TCP VMware Server Management User Interface[73] (secure Web

interface).[74] See also port 8222

8400 TCP UDP cvp, Commvault Unified Data Management

8442 TCP UDP CyBro A-bus, Cybrotech Ltd.

8443 TCP SW Soft Plesk Control Panel, Apache Tomcat SSL, Promise
WebPAM SSL, McAfee ePolicy Orchestrator (ePO)

8484 TCP UDP MapleStory

8500 TCP UDP ColdFusion Macromedia/Adobe ColdFusion default and Duke

Nukem 3D—default

8501 TCP [4] DukesterX —default

8601 TCP Wavestore CCTV protocol [5]

155
8602 TCP UDP Wavestore Notification protocol

8642 TCP Lotus Traveller

8691 TCP Ultra Fractal default server port for distributing calculations over
network computers

8701 UDP SoftPerfect Bandwidth Manager

8702 UDP SoftPerfect Bandwidth Manager

8767 UDP TeamSpeak—default

8768 UDP TeamSpeak—alternate

8840 TCP Opera Unite server

8880 UDP cddbp-alt, CD DataBase (CDDB) protocol (CDDBP) alternate

8880 TCP cddbp-alt, CD DataBase (CDDB) protocol (CDDBP) alternate

8880 TCP WebSphere Application ServerSOAP connector default

8880 TCP Win Media Streamer to ServerSOAP connector default

8881 TCP Atlasz Informatics Research Ltd[6] Secure Application Server

8882 TCP Atlasz Informatics Research Ltd[7] Secure Application Server

8883 TCP UDP Secure MQ Telemetry Transport (MQTT over SSL)

8887 TCP HyperVM HTTP

8888 TCP HyperVM HTTPS

8888 TCP Freenet HTTP

156
8888 UDP NewsEDGE server

8888 TCP NewsEDGE server

8888 TCP Sun Answerbookdwhttpd server (deprecated by docs.sun.com)

8888 TCP GNUmp3d HTTP music streaming and Web interface

8888 TCP LoLo Catcher HTTP Web interface (www.optiform.com)

8888 TCP D2GS Admin Console Telnet administration console for D2GS
servers (Diablo 2)

8888 TCP Earthland Relams 2 Server (AU1_2)

8888 TCP MAMP Server

8889 TCP MAMP Server

8889 TCP Earthland Relams 2 Server (AU1_1)

8983 TCP Default for Apache Solr 1.4

9000 TCP Buffalo LinkSystem Web access

9000 TCP DBGp

9000 TCP SqueezeCenter web server & streaming

9000 UDP UDPCast

9001 TCP UDP ETL Service Manager[78]

9001 Microsoft Sharepoint Authoring Environment

9001 cisco-xremote router configuration

157
9001 Tor network default

9001 TCP DBGp Proxy

9009 TCP UDP Pichat Server—Peer to peer chat software

9010 TCP TISERVICEMANAGEMENT Numara Track-It!

9020 TCP WiT WiT Services

9025 TCP WiT WiT Services

9030 TCP Tor often used

9043 TCP WebSphere Application Server Administration Console secure

9050 TCP Tor

9051 TCP Tor

9060 TCP WebSphere Application Server Administration Console

9080 UDP glrpc, GrooveCollaboration software GLRPC

9080 TCP glrpc, GrooveCollaboration software GLRPC

9080 TCP WebSphere Application ServerHTTP Transport (port 1) default

9090 TCP Webwasher, Secure Web, McAfee Web Gateway - Default Proxy
Port

9090 TCP Openfire Administration Console

9090 TCP SqueezeCenter control (CLI)

9091 TCP Openfire Administration Console (SSL Secured)

158
9091 TCP Transmission (BitTorrent client) Web Interface

9100 TCP PDL Data Stream

9101 TCP UDP Bacula Director

9102 TCP UDP Bacula File Daemon

9103 TCP UDP Bacula Storage Daemon

9105 TCP UDP Xadmin Control Daemon

9106 TCP UDP Astergate Control Daemon

9107 TCP Astergate-FAX Control Daemon

9110 UDP SSMP Message protocol

9119 TCP UDP MXit Instant Messenger

9191 TCP Catamount Software - PocketMoney Sync

9293 TCP Sony PlayStation RemotePlay

9300 TCP IBM Cognos 8SOAP Business Intelligence and Performance

Management

9303 UDP D-Link Shareport Share storage and MFP printers

9306 TCP Sphinx Native API

9312 TCP Sphinx SphinxQL

9418 TCP UDP git, Git pack transfer service

9420 TCP MooseFS distributed file system—master server to chunk servers

159
9421 TCP MooseFS distributed file system—master server to clients

9422 TCP MooseFS distributed file system—chunk servers to clients

9535 TCP UDP mngsuite, LANDesk Management Suite Remote Control

9536 TCP UDP laes-bf, IP Fabrics Surveillance buffering function

9561 TCP UDP Network Time System Server

9600 UDP Omron FINS, OMRON FINS PLC communication

9675 TCP UDP Spiceworks Desktop, IT Helpdesk Software

9676 TCP UDP Spiceworks Desktop, IT Helpdesk Software

9695 UDP CCNx

9800 TCP UDP WebDAV Source

9800 WebCT e-learning portal

9875 TCP Club Penguin Disney online game for kids

9898 UDP MonkeyCom

9898 TCP MonkeyCom

9898 TCP Tripwire—File Integrity Monitoring Software

9987 UDP TeamSpeak 3 server default (voice) port (for the conflicting service
see the IANA list)

9996 TCP UDP The Palace "The Palace" Virtual Reality Chat software.—5

9998 TCP UDP The Palace "The Palace" Virtual Reality Chat software.—5

160
9999 Hydranode—edonkey2000 TELNET control

9999 TCP Lantronix UDS-10/UDS100[79]RS-485 to Ethernet Converter

TELNET control

9999 Urchin Web Analytics

10000 Webmin—Web-based Linux admin tool

10000 BackupExec

10000 Ericsson Account Manager (avim)

10001 TCP Lantronix UDS-10/UDS100[80]RS-485 to Ethernet Converter

default

10008 TCP UDP Octopus Multiplexer, primary port for the CROMP protocol, which
provides a platform-independent means for communication of
objects across a network

10009 TCP UDP Cross Fire, a multiplayer online First Person Shooter

10010 TCP Open Object Rexx (ooRexx) rxapi daemon

10017 AIX,NeXT, HPUX—rexd daemon control

10024 TCP Zimbra smtp [mta]—to amavis from postfix

10025 TCP Zimbra smtp [mta]—back to postfix from amavis

10050 TCP UDP Zabbix-Agent

10051 TCP UDP Zabbix-Trapper

10110 TCP UDP NMEA 0183 Navigational Data. Transport of NMEA 0183
sentences over TCP or UDP

161
10113 TCP UDP NetIQ Endpoint

10114 TCP UDP NetIQ Qcheck

10115 TCP UDP NetIQ Endpoint

10116 TCP UDP NetIQ VoIP Assessor

10200 TCP FRISK Software International's fpscand virus scanning daemon for
Unix platforms [81]

10200 TCP FRISK Software International's f-protd virus scanning daemon for
Unix platforms [82]

10201 TCP FRISK Software International's f-protd virus scanning daemon for
– Unix platforms [82]
10204

10308 Lock-on: Modern Air Combat

10480 SWAT 4 Dedicated Server

10823 UDP Farming Simulator 2011 Default Server

10891 TCP Jungle Disk (this port is opened by the Jungle Disk Monitor service
on the localhost)

11001 TCP UDP metasys ( Johnson Controls Metasys java AC control environment
)

11211 memcached

11235 Savage:Battle for Newerth Server Hosting

11294 Blood Quest Online Server

11371 OpenPGP HTTP key server

162
11576 IPStor Server management communication

12010 TCP ElevateDB default database port [83]

12011 TCP Axence nVision

12012 TCP Axence nVision

12012 TCP Audition Online Dance Battle, Korea Server—Status/Version

Check

12012 UDP Audition Online Dance Battle, Korea Server—Status/Version

Check

12013 TCP UDP Audition Online Dance Battle, Korea Server

12035 UDP Linden Lab viewer to sim on SecondLife

12222 UDP Light Weight Access Point Protocol (LWAPP) LWAPP data (RFC
5412)

12223 UDP Light Weight Access Point Protocol (LWAPP) LWAPP control (RFC
5412)

12345 NetBus—remote administration tool (often Trojan horse). Also used

by NetBuster. Little Fighter 2 (TCP).

12489 TCP NSClient/NSClient++/NC_Net (Nagios)

12975 TCP LogMeIn Hamachi (VPN tunnel software; also port 32976)—used to
connect to Mediation Server (bibi.hamachi.cc); will attempt to use
SSL (TCP port 443) if both 12975 & 32976 fail to connect

12998 UDP Takenaka RDI Mirror World on SecondLife

–
12999

13000 UDP Linden Lab viewer to sim on SecondLife

–
163
13050

13008 TCP UDP Cross Fire, a multiplayer online First Person Shooter

13075 TCP Default[84] for BMC SoftwareControl-M/Enterprise Manager Corba

communication, though often changed du