Recentemente mi è capitato di lavorare su un’attività nella quale non veniva richiesto un lavoro di fino, ma semplicemente il recupero di file di determinate tipologie, presentando solo quelli che potevano essere di interesse.

Quando ci si trova a lavorare sui grandi numeri si capisce quale sia, al momento, la differenza tra l’open source ed i tools commerciali! Mentre i commerciali ti presentano i file già divisi per tipologie, potendo magari visionarli con un solo tool, esportandoli, dopo averli bookmarkati, in un report estremamente fruibile, dove questi sono corredati di tutte le informazioni ad essi relati, con l’open source ti trovi ancora a lavorare esportando un file alla volta, dovendo lavorare di copia incolla per esportarti i dati di interesse!

Sono buoni motivi per lasciare l’open source? No!…o almeno lo spero!

Così mi sono messo alla tastiera cercando di realizzare un script che facesse al caso mio. Il risultato è “Bash Script Forensic Environment” (nome ancora temporaneo) che si occupa di:

Se volete saperne di più potete visionarvi questi 30 minuti di presentazione di Bash Script Forensic Environment. Buona visione.

Attualmente il codice non è ancora stato rilasciato, ma conto di farlo per inizio 2010.

Una domanda che ritengo pochi si saranno posti...

Se si è iscritti ad un social network, soprattutto se a sfondo professionale (intendendo con questa parola sia i soggetti che siano professionisti giuridicamente parlando, sia i soggetti che siano imprenditori), si possono utilizzare i contatti per inviare ai medesimi quelle che, per il D.Lgs. n.196/2003, sono comunicazioni commerciali?

Tratto d Wikipedia: http://it.wikipedia.org/wiki/Sfdumper

Selective File Dumper è un tool Open Source sviluppato da Nanni Bassetti e Denis Frati, che facilita la ricerca dei files per tipologia o meglio per estensione (es. .doc o .jpg), realizzato principalmente per l'informatica forense.

Il progetto nasce dall'esigenza di facilitare la ricerca ed l'estrazione di tutti i file di un certo tipo, in ambiente Linux.

Sfruttando la potenza dello Sleuthkit ed Autopsy si possono cercare i file con una certa estensione, nel File System, scrivendo moltissimi comandi, in linux pipe, dello Sleuthkit e di Linux, stesso dicasi per i file cancellati. In seguito, tramite Foremost, si può effettuare un data carving, con conseguente duplicazione tra i file analizzati, di quelli già estratti in precedenza (attivi e cancellati), infine si può effettuare una ricerca per stringhe/keywords (grep) sul set di file che si sono salvati usando Sleuthkit e Foremost.

Tutte queste operazioni portano via moltissimo tempo e vanno fatte singolarmente. Tramite il bash script, SFDUMPER.SH, si fanno tutte le operazioni su descritte automaticamente ed inoltre si eliminano i file analizzati doppioni dei file cancellati e attivi estratti con lo Sleuthkit.

Lo script è interattivo, lavora sulla partizione, che chiede di scegliere all'operatore, partendo da un file immagine o direttamente dal dispositivo (es. /dev/sdb). Il tool possiede un'ulteriore caratteristica, ossia la possibilità di estendere il file di configurazione di Foremost, interno allo script, inoltre, grazie all'operazione di carving, si possono estrarre anche quei file che sono stati rinominati, perché il Foremost cerca tra i "magic numbers" presenti nella parte iniziale dei file.

Il progetto è basato su un Linux Bash Script interattivo, utilizzando tutti software Open Source, testati ed accettati dalla comunità di informatica forense, per automatizzare molte operazioni manuali.

Web Site: http://sfdumper.sourceforge.net

Secondo quanto è possibile apprendere in rete, la società americana sarebbe indagata a seguito del provvedimento del Garante per i dati personali del nove settembre scorso.

Da chiarire per i non addetti ai lavori (intendo dire i non giuristi) alcuni concetti:

• in Italia vige il c.d. principio della obbligatorietà dell'azione penale, il che vuole dire che quando la magistratura ha notizia, apprende in qualche modo della commissione di un eventuale reato, deve procedere, salvo poi essere costretta - magari - ad archiviare il tutto perché, per esempio, il reato non è procedibile d'ufficio.
• vige anche il principio della c.d. "territorialità", il che vuol dire che il giudice italiano ha giurisdizione sui fatti accaduti quando il reato viene commesso nel territorio italiano (per la precisione, il giudice italiano ha anche giurisdizione quando è possibile applicare l'art.  6 del Codice Penale - Reati commessi nel territorio dello Stato

Chiunque commette un reato nel territorio dello Stato è punito secondo la legge italiana.

Chiunque, mediante l'uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell'articolo 614, è punito con la reclusione da sei mesi a quattro anni.

Alla stessa pena soggiace, salvo che il fatto costituisca più grave reato, chi rivela o diffonde, mediante qualsiasi mezzo di informazione al pubblico, le notizie o le immagini ottenute nei modi indicati nella prima parte di questo articolo.

Come spesso accade, da un estremo all’altro...

Si parla di abolire totalmente l'art.7 del c.d. "decreto Pisanu" (più esattamente, il decreto legge del 27 luglio 2005, n. 144, denominato "Misure urgenti per il contrasto del terrorismo internazionale":

Articolo 7 - Integrazione della disciplina amministrativa degli esercizi pubblici di telefonia e internet.

1. A decorrere dal quindicesimo giorno successivo alla data di entrata in vigore della legge di conversione del presente decreto e fino al 31 dicembre 2010, chiunque intende aprire un pubblico esercizio o un circolo privato di qualsiasi specie, nel quale sono posti a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni anche telematiche, deve chiederne la licenza al questore. La licenza non e' richiesta nel caso di sola installazione di telefoni pubblici a pagamento, abilitati esclusivamente alla telefonia vocale. 
2. Per coloro che già esercitano le attività di cui al comma 1, la licenza deve essere richiesta entro sessanta giorni dalla data di entrata in vigore del presente decreto.
3. La licenza si intende rilasciata trascorsi sessanta giorni dall'inoltro della domanda. Si applicano in quanto compatibili le disposizioni dei capi III e IV del titolo I e del capo II del titolo III del testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773, nonchè le disposizioni vigenti in materia di sorvegliabilità dei locali adibiti a pubblici esercizi. Restano ferme le disposizioni di cui al decreto legislativo 1° agosto 2003, n. 259, nonche' le attribuzioni degli enti locali in materia.
4. Con decreto del Ministro dell'interno, di concerto con il Ministro delle comunicazioni e con il Ministro per l'innovazione e le tecnologie, sentito il Garante per la protezione dei dati personali, da adottarsi entro quindici giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono stabilite le misure che il titolare o il gestore di un esercizio in cui si svolgono le attività di cui al comma 1 è tenuto ad osservare per il monitoraggio delle operazioni dell'utente e per l'archiviazione dei relativi dati, anche in deroga a quanto previsto dal comma 1 dell'articolo 122 e dal comma 3 dell'articolo 123 del decreto legislativo 30 giugno 2003, n. 196, nonchè le misure di preventiva acquisizione di dati anagrafici riportati su un documento di identità dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili.
5. Fatte salve le modalità di accesso ai dati previste dal codice di procedura penale e dal decreto legislativo 30 giugno 2003, n. 196 il controllo sull'osservanza del decreto di cui al comma 4 e l'accesso ai relativi dati sono effettuati dall'organo del Ministero dell'interno preposto ai servizi di polizia postale e delle comunicazioni.

In questo breve articolo esaminerò brevemente uno degli aspetti spesso più sottovalutati del commercio attraverso le rete Internet, quello dei confini territoriali.

Tutti sappiamo che una delle caratteristiche fondamentali di Internet è, appunto, la "delocalizzazione", la possibilità teorica di poter svolgere una qualsiasi attività a prescindere dalla più o meno favorevole collocazione fisica e/o geografica.

Quello che però non viene spesso preso in considerazione è il fatto che molti rapporti contrattuali esistenti hanno come loro concetto operativo fondamentale il territorio.

Mi riferisco, solo per fare un esempio, ai contratti di distribuzione esclusiva, ai concessionari di qualsiasi marchio, ai venditori di autovetture, agli agenti, nonché a tutti quei contratti che in qualche modo facciano riferimento al territorio, come i patti di non concorrenza dei dipendenti.

In effetti tutte le fattispecie sopra elencate sono letteralmente mandate in crisi da Internet, e ci si trova nella necessità di regolare - quanto meno a livello contrattuale - tali nuove fattispecie.

In prima analisi si può affermare che i rapporti in qualche modo assimilabili al contratto di agenzia trovano nelle regole esistenti così come delineate dalla giurisprudenza una buona base di partenza; infatti l'eventuale acquisizione di un cliente a parte di un agente al di fuori del territorio di propria competenza fa scattare il diritto a percepire una parte delle provvigioni per il soggetto al quale sia stato "sottratto" in qualche modo il cliente.

Ovviamente lo stesso parametro si applica nel caso in cui sia il "preponente", ovvero il soggetto giuridico che abbia creato la rete di agenti,ad ingerirsi nella zona di esclusiva dell'agente stesso.

Altra conseguenza è data dal fatto che il reiterarsi di tali comportamenti abilita il soggetto leso alla rescissione del contratto con il preponente, anche nel caso in cui il comportamento lesivo sia posto in essere NON direttamente da parte del preponente, ma da un altro agente.

Con sentenza del dicembre dello scorso anno (n. 49385) la Cassazione ha stabilito che l'utilizzo di software illecitamente duplicato in uno studio professionale non integra i reati di cui all'art. 171 bis l. 633/41.

La vicenda giudiziaria riguarda il caso di un geometra che utilizzava 4 computer in cui risultavano installati programmi Microsoft Office e Word in mancanza delle relative licenze.

Esporrò qui di seguito alcune considerazioni sul ruolo e sulle interconnessioni che l'informatica, la telematica ed il diritto possono avere, passando quindi ad esaminare la posizione del tradizionale giurista italiano di fronte alla novità del fenomeno Internet, con riferimento alla posizione che lo stesso dovrebbe avere nel cercare di capire tale fenomeno.

Le similitudini tra i modi di ragionare

Preliminarmente occorre chiarire un aspetto che in genere sfugge sia ai giuristi che agli informatici: esiste una stretta connessione e similitudine tra il modo di ragionare di un giurista e quello di un programmatore.

In effetti, se si pensa che la base di Internet è il concetto di ipertesto, non esiste giurista che non sia avvezzo, sin dai primi studi, ai continui rinvii operai dalle norme esistenti; forse uno dei primi ipertesti è stato il primo codice di diritto!

Con le dovute proporzioni, una citazione e/o una sentenza non sono altro che il prodotto di una elaborazione che assomiglia molto ad un programma per elaboratore:

1. input = fattispecie giuridica reale
2. programma = ragionamento giuridico (motivazione)
3. output = conclusioni e/o dispositivo.

Anche se i giuristi effettuano questi passaggi più o meno consciamente, ogni fattispecie giuridica può essere rappresentata come una serie di IF, THEN, ELSE, (SE, QUINDI, ALLORA), collegati con gli operatori booleani OR, AND E NOT, (OPPURE, INSIEME, NON) e con il risultato di tali operazioni TRUE, FALSE (VERO,FALSO), tutti costrutti fondamentali della logica informatica.

Un esempio per chiarire meglio tale aspetto: IF Tizio ha contratto una obbligazione con Caio AND IF l'obbligazione è scaduta THEN l'obbligazione è esigibile. IF Caio ha messo in mora Tizio AND quanto detto prima è TRUE THEN scattano gli interessi sulla somma dovuta.

Naturalmente si potrebbe proseguire quasi all'infinito, ma quando un avvocato controlla la situazione sopra indicata effettua automaticamente tali passaggi logici; il problema è che pochi sono a conoscenza di tale possibile schematizzazione del modo di pensare.

Da qui il passo verso l'uso di programmi sia "controllare" quanto si è scritto, sia per reperire dei testi, è abbastanza breve.

Ebbene si, ci siamo arrivati prima o poi. A dire il vero ce lo aspettavamo. Nel paese delle tasse e tassettine non poteva certo mancare l’“Equo compenso per copia privata”! Equo compenso o tassa  favore della SIAE? Ecco apparire il decreto ministeriale 30 dicembre 2009, adottato ai sensi dell'articolo 71-septies della legge 22 aprile 1941, n. 633.

Iniziamo ad approfondire.

Che significa copia privata? Nella comune accezione significa che duplico ad esclusivo uso non commerciale o di diffusione un qualcosa che poi terrò per me e ne usufruirò esclusivamente io. Nel’accezione del Ministero dei Beni Culturali e della SIAE significa: “il beneficio che il consumatore trae dalla facoltà data dalla legge di riprodurre legalmente, per uso esclusivamente personale, fonogrammi e videogrammi, senza dover chiedere il preventivo consenso (licenza) di autori, artisti e produttori, titolari di autonomi diritti esclusivi di riproduzione.”

[FAQ SIAE  http://www.siae.it/Faq_siae.asp?click_level=4000.2100&link_page=MusicaMFV_CopiaPrivataFAQ.htm ]

Per i non addetti un Fonogramma e’ un file audio meglio noto come Musica, ed un Videogramma e’ un file video meglio noto come Film. Con Musica e Film ci riferiremo d’ora in avanti. Dalle FAQ della SIAE non si accennano a Dati Contabili, Fotografie, Software o qualsivoglia insieme di bit memorizzato su supporto ottico o magnetico.

A cosa si applica

Il compenso si applica a tutti i supporti di registrazione vergini, analogici e digitali, dedicati (audio e video) e non dedicati idonei alla registrazione di fonogrammi e videogrammi - musicassette, VHS, CD-R, CD-RW, DVD-R, DVD-RW, ecc. - (ndr: Per eccetera si intendono anche a titolo esemplificativo Penne USB, Harddisk Esterni, Nastri Magnetici)  ed a tutti gli apparecchi di registrazione, analogici e digitali, dedicati (registratori audio, video e audio/video) ovvero non dedicati (masterizzatori CD e DVD per personal computer) idonei alla registrazione di fonogrammi e videogrammi su supporti vergini.

In pratica a qualsiasi apparato o supporto elettronico in grado memorizzare una sequenza di bit.

Un possibile scenario

Già sappiamo che molti ragazzi e studenti si riuniscono in "Cooperative" per acquistare Cd e DVD on-line all'estero!! Sappiamo che all'estero questi supporti costano molto meno (qualche volta addirittura la metà) perché all'estero non è previsto il “contributo” per la SIAE.

A seguito di questa legge che estende ed amplifica questi costi le cose non potranno che peggiorare. Oltre ad aver aumentato le somme già dovute presenti nelle precedenti modifiche alla normativa sul diritto d’autore, le hanno estese a tutti i tipi di supporti di memorizzazione di massa ottici e magnetici e perfino ai masterizzatori. Eliminando di fatto la possibilità di richiedere il rimborso, che fino ad oggi se pur reso quasi impossibile, esisteva nella misura e nel mio diritto di potermi salvare i miei dati, le mie foto della famiglia ed i miei filmini delle vacanze. Adesso viene chiamato "Equo compenso per uso Privato", che possiamo tradurre come un compenso – a loro parere equo – per qualsiasi uso io ne faccia dei supporti informatici che utilizzo durante le mie, forse immeritate, ferie. Dovrebbero loro pagarmi i diritti sui filmini o le foto dei miei figli...

Un lato positivo?

Magari tutto questo si ripercuoterà negativamente su chi vendeva questa tipologia di prodotti vedendo lievitare i prezzi alla fonte e diminuire gli acquisti. Ma magari aiuterà invece a diminuire il digital divide. Ebbene si,  le persone impareranno a fare acquisti on-line, di necessità virtù, e supereranno anche la diffidenza nel uso delle carte di credito on-line. Il mercato globale extra-Italiano vedrà aumentare le vendite e le esportazioni. I corrieri aumenteranno le consegne intracomunitarie. Qualcuno imparerà l’uso del pc nella minima misura necessaria a sopravvivere alla nuova tassa.

Concludendo

Personalmente non posso riportare le parole di commento dei giovani a cui ho comunicato la notizia, altrimenti l'articolo sarebbe censurato per le troppe parolacce. Se lo scopo era quello di evidenziare e scoraggiare la copia illegale di materiale coperto da diritto d'autore, e ci ricordiamo che per la SIAE significa principalmente solo Film e Musica, di fatto hanno tassato anche supporti per i quali l'utilizzo principale è di memorizzazione di dati autoprodotti e software. Grazie ai tecnocrati ed i politici noi restiamo sempre i Tartassati. Ma poi in extremis mi domando ma i beni culturali che centrano con i supporti tecnologici? Non avevamo qualche anno fa costituito il ministero delle tecnologie e dell’innovazione?

Partendo da queste domande vorrei affrontare il problema dal mio punto di vista e tracciare delle linee guida a titolo esempificativo, In rete ho potuto raccogliere diversi dati e potuto testare diverse soluzioni gratuite e non.

Ricordo a spanne che le sanzioni previste per la non ottemperanza a tale norma vanno fino ad un massimo di €36.000 e una pena di 2 anni. (Magari qualche avvocato sarà più preciso).

Passiamo ai fatti, in questo breve articolo distinguo due macroaree di sistemi¹:

Windows

Per quanto riguarda sistemi Windows possiamo trovarci diversi casi come per esempio pc stand alone, gruppi di lavoro o in dominio con Active Directory, ma a nostro vantaggio troviamo  al loro interno il sistema dei log, ossia l' "Event log" che memorizza gli eventi in file ".evt", naturalmente proprietari, in genere presenti nella cartella:

c:\windows\system32\config

Questi file possono essere copiati ma non possono essere consultati con il semplice doppio clik, ma possiamo scegliere diverse strade, aprendoli con editor di testo o mediate i tool messi a disposizione di Microsoft in grado di effettuare diverse operazioni quali backup, consultazione, inserimento in DB (LOG Parser, Script VBS). Naturalmente per poter monitore i log bisogna attivarli tramite le Group Policy da Pannello di Controllo -> Strumenti di Amministrazione -> Criteri di Protezione -> Impostazioni Locali, ed attivare quello che interessa.

Altro software semplice, ma con la pecca di non poter essere amministrato via pagnia web, è ntsyslog. L'installazione è molto semplice, scaricare il file dal link precedente e doppio clik. La configurazione si fa tramite il programma NTSyslogCtrl.exe (shortcut sul desktop dopo l'installazione). Selezionare il computer, scegliendo il pc sul quale è installato il servizio. Impostare il server di log tramite il bottone “Syslog Daemon” . Dal menu a scomparsa scegliere Security quale eventlog quindi cliccate sul bottone eventlog per selezionare quali eventi inviare al server remoto. Si può quindi avviare il servizio.

Unix like

Per i sistemi basati su Unix sembra essere più semplice poichè i log vengono creati automaticamente dal sistema syslog e sono presenti nella cartella /var/log/ in formato testo. Tiene traccia degli eventi di sistema, accessi e tentativi di accessi. Naturalmente come nel caso precendente esistono dei tool in grado di ricevere log da server remoti anche via SSL e registrarli in un database per esempio Mysql.

Troviamo Syslog-nq e rsyslog presente in Debian 5 (lenny), per quanto riguarda quest'ultimo per abilitare la ricezione dei log va modificato il file di configurazione prensente in /etc/default/rsyslog e /etc/rsyslog.conf.

Va modificato il file rsyslog.conf per impostare la ricezione sulla porta 514 UDP. Attenzione, se il traffico fosse molto elevato, si rischia di perdere delle righe di log. In questo caso va usato il protocollo TCP RELP. Nel file /etc/rsyslog.conf vanno decommentate le righe sotto riportate per mettere il demone in ascolto.

# provides UDP syslog reception
$ ModLoad imudp
$ UDPServerRun 514

A questo punto riavviamo il servizio e testiamo il suo funzionamento con il comando netstat -lpu | grep rsyslogd.

Per attivare l’invio del log al rsyslog remoto su ogni macchina linux che deve essere loggata va modificato il file /etc/rsyslog.conf modificando la riga

auth, authpriv.* /var/log/auth.log

in

auth, authpriv.* @192.168.1.1 (mettere l’ip del server
rsyslog centralizzato)

La @ avanti l'IP indica a quale host deve essere iniviato il log.

Naturalmente una bella domanda nasce spontanea, se possiedo un'infrastruttura mista Windows/Unix?

Bene anche in questo caso esistono dei tool in grado di interoperare:

Ricordo che il provvedimento non prevede specifiche tecniche, lasciando ad ogni titolare di trattamento la scelta su come implementare quanto richiesto.

Altre questioni da valutare sono relative alla gestione dei log una volta registrati sul nostro log server. Ad esempio per adeguarsi al requisito della immodificabilità si può copiare periodicamente il log su di un supporto non riscrivibile, validando i file con un hash o con firma digitale e marca temporale. Ricordatevi di tenere file ed hash in luoghi separati. Un’altra possibile soluzione è avere un log server al quale l’amministratore di sistema non ha accesso ne logico ne fisico. Già sento le risate...

Altri punti da non tralasciare sono i riferimenti temporali, per esempio l'ora e la data del sistema sono identiche per tutti i PC presenti? In questo caso si potrebbe creare qualche problema per dimostrare l'esattezza dell'ora, quindi risulta necessaria una sincronizzazione via NTP.

La solita questione di chi controlla il controllore grava sull'amministratore di sistema, chi garantisce che quest'ultimo non modifichi i log a suo piacimento? A tal proposito vorrei sottolineare una riflessione degna di nota sentita recentemente ad un convegno, dove veniva ipotizzato un controllore dell'amministratore, in che senso?

Praticamente un terzo utente (capace), incaricato di verificare il corretto funzionamento delle applicazioni implementate, avendo soltanto i permessi "read".

A questo punto restiamo in attesa della data, ma ci saranno altre proroghe?

Fonti:

• http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/
• http://blog.solution.it/wp-content/uploads/2009/05/amministratori_sistema.pdf

{jcomments on}

¹: Naturalmente ci sono altri sistemi che non ho considerato poichè non ho mai avuto la fortuna di provarli.