Salve a tutta la lista. Le aziende coinvolte in attività di penetration test solitamente si occupano di tutta una parte legale compilando e facendo compilare degli specifici accordi scritti (liberatorie). Il mio dilemma riguarda però gli effetti della attuale legge 196 sulle attività di impersonificazione di terze persone attraverso l'uso "illecito" di account reperiti durante l'attività.
Se un sistemista zelante dovesse riscontrare un accesso effettuato da terzi su una macchina con il proprio account e, non essendo a conoscenza dell'origine e delle motivazioni di tale accesso, dovesse sporgere denuncia a cosa andrebbe incontro il tester che effettua materialmente quell'accesso? Quali sono gli attuali rischi legali ai quali si sottopone chi fa un lavoro del genere? Mi piacerebbe sapere, in qualità di informatico, quali sono le normali precauzioni che bisognerebbe prendere per rimanere nella piena legalità in fase di auditing / testing. Come fare per tutelarsi al 100%? E' possibile "scavalcare" la 196 attraverso accordi interni all'azienda? A me questa cosa sembra assai strana... Come si sa, (e come si è già letto nelle cronache dei giornali, esempio l'ex tiger team di Telecom) quando ci sono dei problemi a farne le spese per primi sono spesso e volentieri i tecnici che svolgono il proprio lavoro. Vi ringrazio già da adesso per i chiarimenti che sono sicuro mi darete! Mona Lisa CP ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
