------------------------------
Message: 3
Date: Fri, 4 Jul 2008 10:14:04 +0200
From: "Lisa Mona" <[EMAIL PROTECTED]>
Subject: [lex] Penetration Test e attuali normative
To: [email protected]
Message-ID:
<[EMAIL PROTECTED]>
Content-Type: text/plain; charset=ISO-8859-1
Salve a tutta la lista.
Le aziende coinvolte in attività di penetration test solitamente si
occupano
di tutta una parte legale compilando e facendo compilare degli
specifici
accordi scritti (liberatorie).
Tali liberatorie sono molto specifiche e contengono anche le modalità
mediante
le quali si condurranno gli attacchi, soprattutto nel caso in cui
questi attacchi
possano avere l'effetto di danneggiare, in qualunque modo, il sistema
informatico oggetto d'analisi o i dati in esso contenuti.
Il mio dilemma riguarda però gli effetti della attuale legge 196 sulle
attività di impersonificazione di terze persone attraverso l'uso
"illecito"
di account reperiti durante l'attività.
Se ti riferisci al pentest mediante social engineering anche questo deve
essere previsto all'interno della liberatoria.
Se un sistemista zelante dovesse riscontrare un accesso effettuato
da terzi su una macchina con il proprio account e, non essendo a
conoscenza dell'origine e delle motivazioni di tale accesso, dovesse
sporgere denuncia a cosa andrebbe incontro il tester che effettua
materialmente quell'accesso?
Nel caso in cui la liberatoria sia stata formata in maniera decente e
firmata
dal titolare del sistema informatico sul quale si opera, non
rischierebbe nulla
perchè si verserebbe nel caso del consenso dell'avente diritto.
In caso contrario, i problemi potrebbero esserci eccome. Ad esempio ti
consiglio
di prendere visione del caso Fineco/SUN, che riguarda proprio
un'attività di penetration
testing non correttamente concordata tra le parti.
Ciao,
Pierluigi________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
