In data 02.05.01 mi e’ arrivata da parte del Tribunale di Milano un’ordinanza di arresti domiciliari dove l’unica cosa che mi si vieta e’ l’uso del computer oltre che uscire di casa, per utilizzo indebito di carte di credito art. 12 L.197/91. La loro accusa è sostenuta dalla polizia postale di milano che dice di aver acquisito i log dei provider tin e galactica (a seguito della denuncia del mio IP da parte dei servizi interbancari) di aver intercettato l’abbonamento a mio nome e di conseguenza il numero della linea telefonica del mio ufficio. Da premettere che io non ho mai avuto nessun numero di carta di credito e che a seguito della perquisizione con relativo sequestro di tutti i pc presenti nella nostra sede non hanno trovato nulla e che ho vari collaboratori. Quando accediamo in rete usiamo un modem isdn e quindi l’ip cambia ad ogni connessione, naturalmente io ed i miei collaboratori usiamo tutti il mio abbonamento (flat di galactica e tin a me registrati) e che per necessita’ di lavoro condividiamo i dati del nostro computer usando un programma di accesso remoto tipo pcanywhere delle norton, evidentemente “qualcuno” avra’ concatenato il suo ip con il mio x effettuare l’illecito e questo spiega il perche’ la servizi interbancari ha registrato il mio ip e di conseguenza la polizia postale ha tracciato me. Che posso fare? (lettera firmata)
Il caso capitato al lettore riguarda evidentemente il delicatissimo problema dell'”identità” di chi utilizza internet e, correlativamente, delle misure di sicurezza che ogni titolare di computer collegato ad internet è bene che adotti. Molte organizzazioni, anche piccole, sono sempre più solite condividere l’accesso alla rete tramite un gateway, o proxy, installato su di un computer che, da questo punto di vista, funge da server e consente di condividere la connessione su di un unico modem e con un unico contratto di fornitura di accesso. Ogni volta che un computer della rete locale tenta di accedere ad una risorsa di rete, passa attraverso il server che “alza” appositamente una connessione verso l’esterno. Il problema può nascere quando i software che si utilizzano per gestire la condivisione dell’accesso (tra i più diffusi wingate, winproxy e adesso anche le utilità di condivisione della connessione di windows) non vengono adeguatamente “chiusi” all’esterno in modo che possano essere utilizzati solo dagli appartenenti alla rete interna. Bisogna capire che il fatto di godere di un IP non fisso ma variabile non è una garanzia assoluta antihacker, perché una volta che l’indirizzo è stato assegnato dal provider funziona esattamente come un indirizzo fisso. Dunque chi ne viene a conoscenza può arrivare al computer relativo come se fosse permanentemente connesso alla rete. Anzi, gli hacker dispongono di apposite utility che setacciano la rete e gli consentono di scovare i computer “aperti” e, pertanto, craccabili. Si può anche fare la prova: basta mettere su di una macchina un proxy per i protocolli http o socks5 come wingate (wingate.deerfield.com), lasciarlo aperto, per vedere dopo un paio di giorni tanti utenti che da varie parti del mondo allegramente lo utilizzano. Il punto è che questi utenti, di fronte ai computer ai quali ulteriormente si ricollegano, appaiono come se fossero il computer in cui si trova il proxy lasciato aperto. In sostanza, è facile non solo anonimizzarsi, usando un software come multiproxy (www.multiproxy.org), ma anche girare per la rete usando l’identità di un altro: le due cose, poi, non sono così differenti dal momento che anche in caso di anonimizzazione si finisce per avere una ulteriore identità, con la sola differenza che è diversa volta per volta.
Dal punto di vista preventivo ci sono due cose che bisogna fare essenzialmente, specialmente all’interno di organizzazioni: in primo luogo, chiudere il proprio proxy server in modo che non accetti connessioni da computer diversi da quelli della rete locale. Con wingate, ad esempio, è possibile specificare su quale interfaccia, cioè da quale scheda di rete, possono essere accettate le connessioni per il proxy, così che è possibile configurare il software in modo da respingere qualsiasi richiesta proveniente dal modem e non dalla scheda che collega il computer alla restante rete locale. In secondo luogo, sempre e comunque fare formare al proxy e mantenere dei file log, con la registrazione delle attività e degli accessi compiuti allo stesso, in modo che in caso di problemi sia poi successivamente più facile ricostruire l’origine degli stessi. Anche escludendo attacchi esterni, nelle organizzazioni ci possono sempre essere usi impropri avvenuti da parte di collaboratori, che tuttavia di fronte alla giustizia penale non risultano. I files log, ovviamente, non hanno efficacia vincolante dal punto di vista legale, perché sono dei meri files di testo che potrebbero essere compilati anche ad arte, manualmente, con un qualsiasi editor. Però possono avere una certa importanza, ad esempio nel caso in cui il computer dove si trova il proxy e tramite il quale sono stati commessi dei reati su internet venga sequestrato senza preavviso da parte della Polizia Giudiziaria nell’ambito di un procedimento penale: in tal caso, è ovvio che con ogni probabilità i log che vi si trovano sono genuini ed originali, dal momento che non possono certo essere stati predisposti ad arte dal titolare del computer che non sapeva dell’imminenza del sequestro. La difesa del “malcapitato” potrà allora fare una copia del disco fisso ed esaminare le risultanze dei files log.
Dal punto di vista difensivo, appunto, nel caso del lettore, in presenza di files log locali sul computer sequestrato, occorrerà esaminarli con cura cercando di capire quel che è successo, mentre in mancanza non resterà che dimostrare al Giudice, magari con una adeguata relazione tecnica, come non sia affatto difficile navigare su Internet utilizzando l’indirizzo IP di un altro computer e che gli elementi messi insieme dalla Procura (log del provider, indirizzo ip fornito da Servizi interbancari) pur se combacianti tra loro non possano, in questo quadro, fornire una prova certa di responsabilità.
Una risposta su “quando l’indirizzo ip viene crackato”
[…] ed in ogni caso ha una forte valenza presuntiva, anche se a volte può tecnicamente essere forgiato. Per risolvere il tuo problema ti consiglio di scrivere ad ebay tramite un legale, facendo presente […]