Lisa Mona wrote:
Le aziende coinvolte in attività di penetration test solitamente si occupano
di tutta una parte legale compilando e facendo compilare degli specifici
accordi scritti (liberatorie).
Ovviamente :)
Il mio dilemma riguarda però gli effetti della attuale legge 196 sulle
attività di impersonificazione di terze persone attraverso l'uso "illecito"
di account reperiti durante l'attività.
L'uso non e' "illecito", in quanto (appunto) richiesto e demandato dal
titolare del trattamento, con una specifica manleva per le figure di
reato che si potrebbero normalmente configurare per tale comportamento.
Se un sistemista zelante dovesse riscontrare un accesso effettuato
da terzi su una macchina con il proprio account e, non essendo a
conoscenza dell'origine e delle motivazioni di tale accesso, dovesse
sporgere denuncia
Il sistemista non puo' sporgere denuncia, in quanto la denuncia la deve
fare il proprietario dell'azienda, ovvero lo stesso che ha firmato la
manleva.
a cosa andrebbe incontro il tester che effettua
materialmente quell'accesso?
Nessuno, se i documenti sono preparati in modo corretto.
Mi piacerebbe sapere, in qualità di informatico, quali sono le normali
precauzioni che bisognerebbe prendere per rimanere nella piena
legalità in fase di auditing / testing. Come fare per tutelarsi al 100%?
Prendi un buon legale e gli fai redigere il tuo documento di manleva.
Come si sa, (e come si è già letto nelle cronache dei giornali,
esempio l'ex tiger team di Telecom) quando ci sono dei problemi a
farne le spese per primi sono spesso e volentieri i tecnici che
svolgono il proprio lavoro.
Non facciamo paragoni che non reggono. In quei casi, cio' che si e'
ventilato (e che per ora non e' stato accertato in tribunale) erano
accessi abusivi, non dei penetration test andati male.
--
Cordiali saluti,
Stefano Zanero
Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: [EMAIL PROTECTED]
Web: http://home.dei.polimi.it/zanero/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
