La nuova tendenza dell'Internet degli ultimi anni ha portato alla nascita di numerose nuove applicazioni, spesso accompagnate dalla recente tendenza volta a una sorta di "dematerializzazione" degli oggetti informatici. Ci si riferisce in particolare al nuovo fenomeno del cloud computing, o più semplicemente cloud che vedrà sicuramente nei prossimi anni una vera e propria esplosione, imponendosi quale risposta agli ultimi anni di "dittatura" delle tecnologie della rete. Un primo punto da considerare attiene alla sua definizione: al momento, la più autorevole può essere ricondotta alla formulazione del NIST 1 la quale lo definisce come «model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction» 2. In sostanza quindi «il cloud computing è un paradigma distribuito che virtualizza dati, software, hardware e comunicazione dati in servizi» 3. 1 National Institue of Standards and Technology; è un'agenzia federale governativa che si occupa della gestione delle tecnologie, si veda più in dettaglio http://www.nist.gov/index.html
https://www.vincenzocalabro.it
Cloud computing indicazioni per l’utilizzo consapevole dei servizi (Garante P...AmmLibera AL
L’Autorità nell’ottica di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici, specie per quelli erogati tramite cloudpubbliche (public cloud), che comportano l’esternalizzazione di dati e documenti, ritiene opportuna e doverosa un’opera di informazione orientata a tutelare l’importante patrimonio informativo costituito dai dati personali.
Tali indicazioni si propongono, quindi, di offrire un primo insieme di indicazioni utili a tutti gli utenti di dimensioni contenute e di limitate risorse economiche (singoli,
piccole o medie imprese, amministrazioni locali quali i piccoli comuni, ecc.) destinatari della crescente offerta di servizi di cloud computing(pubbliche o ibride), con l’obiettivo di favorire l'adozione consapevole e responsabile di tale tipologia di servizi.
Le avvertenze di seguito enucleate costituiscono un primo quadro di cautele che favoriscono il corretto trattamento dei dati personali attraverso l’utilizzo dei
predetti servizi virtuali e, pertanto, si indirizzano anche ai fornitori, i quali possono fare riferimento a tali indicazioni nella predisposizione dei loro servizi, con l’accortezza
di informare opportunamente gli utenti in ordine alla loro adozione.
L’Autorità - nella consapevolezza che l’utilizzo dei servizi di cloud computing prefigura problematiche ben difficilmente risolvibili a livello nazionale che richiedono,
invece, una riflessione condivisa a livello sia europeo sia internazionale, e in considerazione di tutte le sue implicazioni in relazione al trattamento dei dati personali - intende in ogni caso continuare a seguire l’evoluzione del fenomeno, anche partecipando con altri decisori istituzionali a specifici tavoli di lavoro aperti in materia, in particolare con DigitPAper quanto attiene all’adozione di modelli orientati alle cloud in ambito pubblico. L’Autorità, inoltre, si riserva, laddove ne rilevasse la necessità, di adottare in futuro specifiche e dettagliate prescrizioni indirizzate a utenti e fornitori, specie
sotto il profilo delle misure di sicurezza.
Daniele Vecchi, Gianni Origoni Grippo Cappelli & Partners, al Meeting Nazionale ACEF 2015
VEDI TUTTI GLI INTERVENTI SU http://www.economiaefinanza.org/atti
Cloud Computing seminar.
Diritto dell'Informatica at Informatica, Dipartimento di Scienze matematiche e informatiche, scienze fisiche e scienze della terra, Università degli Studi di Messina.
By Lorenzo Carnevale.
148 La comunicazione via satellite per la business continuity ed il disaster ...Cristian Randieri PhD
E’ ormai un dato di fatto che le moderne applicazioni IT non possono più prescindere dalla rete mediante la quale sono garantiti i collegamenti a sedi remote, i software gestionali centralizzati, la posta elettronica, le operazioni bancarie, le applicazioni CLOUD, i sistemi IoT, e così via.
Il primo incontro dell'AWS Users Group Naples, le slide della definizione e dello studio storico ed economico del cloud computing.
Link all'evento:
http://blog.vmengine.net/2009/12/23/aws-user-group-naples-una-sfida-per-il-sud/
Cloud computing indicazioni per l’utilizzo consapevole dei servizi (Garante P...AmmLibera AL
L’Autorità nell’ottica di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici, specie per quelli erogati tramite cloudpubbliche (public cloud), che comportano l’esternalizzazione di dati e documenti, ritiene opportuna e doverosa un’opera di informazione orientata a tutelare l’importante patrimonio informativo costituito dai dati personali.
Tali indicazioni si propongono, quindi, di offrire un primo insieme di indicazioni utili a tutti gli utenti di dimensioni contenute e di limitate risorse economiche (singoli,
piccole o medie imprese, amministrazioni locali quali i piccoli comuni, ecc.) destinatari della crescente offerta di servizi di cloud computing(pubbliche o ibride), con l’obiettivo di favorire l'adozione consapevole e responsabile di tale tipologia di servizi.
Le avvertenze di seguito enucleate costituiscono un primo quadro di cautele che favoriscono il corretto trattamento dei dati personali attraverso l’utilizzo dei
predetti servizi virtuali e, pertanto, si indirizzano anche ai fornitori, i quali possono fare riferimento a tali indicazioni nella predisposizione dei loro servizi, con l’accortezza
di informare opportunamente gli utenti in ordine alla loro adozione.
L’Autorità - nella consapevolezza che l’utilizzo dei servizi di cloud computing prefigura problematiche ben difficilmente risolvibili a livello nazionale che richiedono,
invece, una riflessione condivisa a livello sia europeo sia internazionale, e in considerazione di tutte le sue implicazioni in relazione al trattamento dei dati personali - intende in ogni caso continuare a seguire l’evoluzione del fenomeno, anche partecipando con altri decisori istituzionali a specifici tavoli di lavoro aperti in materia, in particolare con DigitPAper quanto attiene all’adozione di modelli orientati alle cloud in ambito pubblico. L’Autorità, inoltre, si riserva, laddove ne rilevasse la necessità, di adottare in futuro specifiche e dettagliate prescrizioni indirizzate a utenti e fornitori, specie
sotto il profilo delle misure di sicurezza.
Daniele Vecchi, Gianni Origoni Grippo Cappelli & Partners, al Meeting Nazionale ACEF 2015
VEDI TUTTI GLI INTERVENTI SU http://www.economiaefinanza.org/atti
Cloud Computing seminar.
Diritto dell'Informatica at Informatica, Dipartimento di Scienze matematiche e informatiche, scienze fisiche e scienze della terra, Università degli Studi di Messina.
By Lorenzo Carnevale.
148 La comunicazione via satellite per la business continuity ed il disaster ...Cristian Randieri PhD
E’ ormai un dato di fatto che le moderne applicazioni IT non possono più prescindere dalla rete mediante la quale sono garantiti i collegamenti a sedi remote, i software gestionali centralizzati, la posta elettronica, le operazioni bancarie, le applicazioni CLOUD, i sistemi IoT, e così via.
Il primo incontro dell'AWS Users Group Naples, le slide della definizione e dello studio storico ed economico del cloud computing.
Link all'evento:
http://blog.vmengine.net/2009/12/23/aws-user-group-naples-una-sfida-per-il-sud/
Le 3 A È pratica consueta riferirsi all'insieme delle tecniche di autenticazione, autorizzazione e accounting come alle "3A". Il motivo di questo accostamento non risiede semplicemente nella condivisione della lettera iniziale, nonostante il forte gusto statunitense per questo tipo di giochi di parole, ma piuttosto nel ruolo coordinato e sinergico che questi tre aspetti della sicurezza IT rivestono all'interno del processo di protezione dei dati e dei servizi aziendali. Questi concetti riassumono le procedure e le funzioni necessarie per lo svolgimento di molti dei processi di sicurezza che avvengono sul Web. In un contesto di accesso geograficamente distribuito alle risorse informatiche è indispensabile, infatti, trovare dei metodi e delle regole in grado di garantire e proteggere il corretto svolgimento delle operazioni tra le parti che scambiano informazioni. Le 3A sovrintendono proprio a questo tipo di funzioni. Più in particolare l'autenticazione è il processo per garantire in modo univoco l'identità di chi si appresta ad accedere alle risorse, l'autorizzazione definisce i privilegi di cui dispone questo utente, mentre l'accounting si riferisce all'analisi e alla registrazione sistematica delle transazioni associate a un'attività di business sul Web. La sicurezza di questi processi viene assicurata da una serie di tecnologie e procedure che si appoggiano su protocolli e standard e che costituiscono l'argomento di questo capitolo. Implementare un sistema di autenticazione I trend che alimentano il mercato delle tecnologie di autenticazione sono molteplici. Innanzitutto va consideratala continua espansione dell'accessibilità alle informazioni, legata alle nuove categorie di lavoratori mobili e da remoto nonché alla progressiva apertura del network delle grandi aziende verso partner e clienti. Inoltre cresce il numero di informazioni critiche e, conseguentemente, delle misure necessarie per controllare il loro accesso. A questi va aggiunta quella che si potrebbe definire come la "crisi delle password" ormai definitivamente abbandonate da tutti i principali fornitori di tecnologie in cerca di soluzioni più affidabili e meglio gestibili.
https://www.vincenzocalabro.it
Cloud Computing Motore Dell Innovazione I C TVMEngine
Il secondo incontro dell' AWS Users Group Naples, le slide del cloud come motore dell'innovazione ict
Link all'evento:
http://blog.vmengine.net/2010/02/18/cloud-computing-nuove-strategie-oltre-la-crisi/
Anno Accademico 2015
2015-2016
corso di Economia e Organizzazione Aziendale
Ingegneria Informatica (Laurea Mag.) 2o Anno (Secondo S.)
LEZIONE INTRODUTTIVA – VERSO L’ECONOMIA
DIGITALE – I TEMI DELLA TRASFORMAZIONE
07 Marzo 2016 – dalle ore 8.30 alle 10.30
AULA C2A – DIETI
Presentazione: La prima lezione del corso di Economia e Organizzazione Aziendale per
Ingegneria Informatica (Laurea Mag.) 2o Anno (Secondo S.) introduce i temi della trasformazione
in atto per effetto dei cambiamenti delle tecnologie della comunicazione e dell’informazione (ICT) e
presenta possibili scenari dell’economia digitale. La lezione è in forma di evento aperto ed ospita
ma
gli interventi di soggetti che operano nel mercato sul fronte della trasformazione.
PROGRAMMA
08,30
08,40
09,00
09,20
09,40
10,00
10,20
Carlo Sansone Coordinatore del CdL in Ingegneria Informatica
L’Università e la trasformazione digitale
Luigi Bianco – responsabile FEDERMANAGER per l’AGENDA DIGITALE
Le sfide del Management per la trasformazione digitale
Marco Lombardo – INDUSTRIA ITALIANA DEL SOFTWARE LIBERO – “Didotech”
Gli Agenti del mercato dopo la TRASFORMAZIONE DIGITALE
Fabio Cecaro, Presidente EUROCLOUD Italy
Il CLOUD per le Piccole e Medie Imprese
Francesco Castagna – Amministratore Delegato di SMS Engineering
Domanda e offerta di servizi per la trasformazione digitale – agenda digitale aziendale
Bruno Esposito – FORUM della RESPONSABILITÀ SOCIALE IN CAMPANIA
La responsabilità digitale per un’economia sostenibile
Valerio Teta docente incaricato del corso
Digital 4 e guide - Hybrid Cloud come scegliere il meglio tra virtuale e fisi...Alberto Ferretti
N4B SRL & SOLARWINDS MSP - CAMBIA IL TUO APPROCCIO VS IL CYBER RISK Scopri le soluzioni Saas per il Remote Management ed il Backup & Disaster Recovery. L'importanza per le PMI di scegliere il Partner MSP (Managed Service Provider) e gli strumenti adeguati per garantire la sicurezza IT e la Business Continuity. MSP + CIO + CEO un nuovo approccio integrato al Cyber Risk e allo sviluppo sostenibile della Digital Trasformation
N4B SRL Distributore Solarwinds MSP - alberto.ferretti@n4b.it - 328-7221519 - www.n4b.it
Cloud computing: Proteggere i dati per non cadere dalle nuvoleAmmLibera AL
La guida del Garante della Privacy per imprese e pubblica amministrazione
Il mondo delle imprese e della P.a. sta attraversando un periodo di intensa innovazione guidata da un nuovo tipo di tecnologie e di modalità di fruizione dei servizi: il cloud computing. Questo termine è diventato talmente diffuso da essere utilizzato, a volte anche in modo inappropriato, per qualunque tipo di prodotto o servizio ICT. Le cosiddette "nuvole informatiche" offrono una serie di opportunità in termini di efficienza e risparmio, ma possono comportare criticità e costi aggiuntivi di cui è bene tener conto.
Il Garante per la protezione dei dati personali, per facilitare l'attività di aggiornamento e innovazione di imprenditori e amministratori pubblici, ha deciso di realizzare una "mini guida" intitolata "CLOUD COMPUTING - Proteggere i dati per non cadere dalle nuvole", pensata non solo per gli esperti del settore, ma anche per coloro che sono interessati alla comprensione e alla potenziale adozione di queste nuove tecnologie. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è infatti necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business.
Intervento di Marco Curci direttore div. Informatica e telematica di InnovaPuglia al workshop "Cloud: le opportunità e le sfide per il territorio", organizzato a Bari il 20 maggio 2016, dall'Osservatorio Cloud & ICT as a Service del Politecnico di Milano in collaborazione con InnovaPuglia e Assinter.
Introduction to Cloud Computing seminar.
Diritto dell'Informatica at Informatica, Dipartimento di Scienze matematiche e informatiche, scienze fisiche e scienze della terra, Università degli Studi di Messina.
By Lorenzo Carnevale.
Banda ultra larga, Data Center, Cloud Computing: il modello Smart Puglia 2020Redazione InnovaPuglia
Gli investimenti in Puglia su Banda ultra larga, Data Center, Cloud Computing. Il ruolo di InnovaPuglia - Marco Curci Direttore Divisione IT InovaPuglia
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
L'8 maggio 2012, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Generazione ed Analisi di una Timeline Forense. Questo seminario illustra gli aspetti tecnici ed alcune metodologie per la Creazione e l'Analisi di una Timeline in ambito forense e dell'incident response.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
More Related Content
Similar to Il Cloud Computing: la nuova sfida per legislatori e forenser
Le 3 A È pratica consueta riferirsi all'insieme delle tecniche di autenticazione, autorizzazione e accounting come alle "3A". Il motivo di questo accostamento non risiede semplicemente nella condivisione della lettera iniziale, nonostante il forte gusto statunitense per questo tipo di giochi di parole, ma piuttosto nel ruolo coordinato e sinergico che questi tre aspetti della sicurezza IT rivestono all'interno del processo di protezione dei dati e dei servizi aziendali. Questi concetti riassumono le procedure e le funzioni necessarie per lo svolgimento di molti dei processi di sicurezza che avvengono sul Web. In un contesto di accesso geograficamente distribuito alle risorse informatiche è indispensabile, infatti, trovare dei metodi e delle regole in grado di garantire e proteggere il corretto svolgimento delle operazioni tra le parti che scambiano informazioni. Le 3A sovrintendono proprio a questo tipo di funzioni. Più in particolare l'autenticazione è il processo per garantire in modo univoco l'identità di chi si appresta ad accedere alle risorse, l'autorizzazione definisce i privilegi di cui dispone questo utente, mentre l'accounting si riferisce all'analisi e alla registrazione sistematica delle transazioni associate a un'attività di business sul Web. La sicurezza di questi processi viene assicurata da una serie di tecnologie e procedure che si appoggiano su protocolli e standard e che costituiscono l'argomento di questo capitolo. Implementare un sistema di autenticazione I trend che alimentano il mercato delle tecnologie di autenticazione sono molteplici. Innanzitutto va consideratala continua espansione dell'accessibilità alle informazioni, legata alle nuove categorie di lavoratori mobili e da remoto nonché alla progressiva apertura del network delle grandi aziende verso partner e clienti. Inoltre cresce il numero di informazioni critiche e, conseguentemente, delle misure necessarie per controllare il loro accesso. A questi va aggiunta quella che si potrebbe definire come la "crisi delle password" ormai definitivamente abbandonate da tutti i principali fornitori di tecnologie in cerca di soluzioni più affidabili e meglio gestibili.
https://www.vincenzocalabro.it
Cloud Computing Motore Dell Innovazione I C TVMEngine
Il secondo incontro dell' AWS Users Group Naples, le slide del cloud come motore dell'innovazione ict
Link all'evento:
http://blog.vmengine.net/2010/02/18/cloud-computing-nuove-strategie-oltre-la-crisi/
Anno Accademico 2015
2015-2016
corso di Economia e Organizzazione Aziendale
Ingegneria Informatica (Laurea Mag.) 2o Anno (Secondo S.)
LEZIONE INTRODUTTIVA – VERSO L’ECONOMIA
DIGITALE – I TEMI DELLA TRASFORMAZIONE
07 Marzo 2016 – dalle ore 8.30 alle 10.30
AULA C2A – DIETI
Presentazione: La prima lezione del corso di Economia e Organizzazione Aziendale per
Ingegneria Informatica (Laurea Mag.) 2o Anno (Secondo S.) introduce i temi della trasformazione
in atto per effetto dei cambiamenti delle tecnologie della comunicazione e dell’informazione (ICT) e
presenta possibili scenari dell’economia digitale. La lezione è in forma di evento aperto ed ospita
ma
gli interventi di soggetti che operano nel mercato sul fronte della trasformazione.
PROGRAMMA
08,30
08,40
09,00
09,20
09,40
10,00
10,20
Carlo Sansone Coordinatore del CdL in Ingegneria Informatica
L’Università e la trasformazione digitale
Luigi Bianco – responsabile FEDERMANAGER per l’AGENDA DIGITALE
Le sfide del Management per la trasformazione digitale
Marco Lombardo – INDUSTRIA ITALIANA DEL SOFTWARE LIBERO – “Didotech”
Gli Agenti del mercato dopo la TRASFORMAZIONE DIGITALE
Fabio Cecaro, Presidente EUROCLOUD Italy
Il CLOUD per le Piccole e Medie Imprese
Francesco Castagna – Amministratore Delegato di SMS Engineering
Domanda e offerta di servizi per la trasformazione digitale – agenda digitale aziendale
Bruno Esposito – FORUM della RESPONSABILITÀ SOCIALE IN CAMPANIA
La responsabilità digitale per un’economia sostenibile
Valerio Teta docente incaricato del corso
Digital 4 e guide - Hybrid Cloud come scegliere il meglio tra virtuale e fisi...Alberto Ferretti
N4B SRL & SOLARWINDS MSP - CAMBIA IL TUO APPROCCIO VS IL CYBER RISK Scopri le soluzioni Saas per il Remote Management ed il Backup & Disaster Recovery. L'importanza per le PMI di scegliere il Partner MSP (Managed Service Provider) e gli strumenti adeguati per garantire la sicurezza IT e la Business Continuity. MSP + CIO + CEO un nuovo approccio integrato al Cyber Risk e allo sviluppo sostenibile della Digital Trasformation
N4B SRL Distributore Solarwinds MSP - alberto.ferretti@n4b.it - 328-7221519 - www.n4b.it
Cloud computing: Proteggere i dati per non cadere dalle nuvoleAmmLibera AL
La guida del Garante della Privacy per imprese e pubblica amministrazione
Il mondo delle imprese e della P.a. sta attraversando un periodo di intensa innovazione guidata da un nuovo tipo di tecnologie e di modalità di fruizione dei servizi: il cloud computing. Questo termine è diventato talmente diffuso da essere utilizzato, a volte anche in modo inappropriato, per qualunque tipo di prodotto o servizio ICT. Le cosiddette "nuvole informatiche" offrono una serie di opportunità in termini di efficienza e risparmio, ma possono comportare criticità e costi aggiuntivi di cui è bene tener conto.
Il Garante per la protezione dei dati personali, per facilitare l'attività di aggiornamento e innovazione di imprenditori e amministratori pubblici, ha deciso di realizzare una "mini guida" intitolata "CLOUD COMPUTING - Proteggere i dati per non cadere dalle nuvole", pensata non solo per gli esperti del settore, ma anche per coloro che sono interessati alla comprensione e alla potenziale adozione di queste nuove tecnologie. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è infatti necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business.
Intervento di Marco Curci direttore div. Informatica e telematica di InnovaPuglia al workshop "Cloud: le opportunità e le sfide per il territorio", organizzato a Bari il 20 maggio 2016, dall'Osservatorio Cloud & ICT as a Service del Politecnico di Milano in collaborazione con InnovaPuglia e Assinter.
Introduction to Cloud Computing seminar.
Diritto dell'Informatica at Informatica, Dipartimento di Scienze matematiche e informatiche, scienze fisiche e scienze della terra, Università degli Studi di Messina.
By Lorenzo Carnevale.
Banda ultra larga, Data Center, Cloud Computing: il modello Smart Puglia 2020Redazione InnovaPuglia
Gli investimenti in Puglia su Banda ultra larga, Data Center, Cloud Computing. Il ruolo di InnovaPuglia - Marco Curci Direttore Divisione IT InovaPuglia
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
L'8 maggio 2012, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Generazione ed Analisi di una Timeline Forense. Questo seminario illustra gli aspetti tecnici ed alcune metodologie per la Creazione e l'Analisi di una Timeline in ambito forense e dell'incident response.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
Il 21 aprile 2010, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Strumenti e Tecniche per la creazione di un Falso Alibi Informatico. Questo seminario ha come obiettivo la creazione di un Alibi Informatico al fine di fornire un metodo di analisi per verificare la genuinità degli stessi
https://www.vincenzocalabro.it
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò
Il 3 maggio 2009, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Evidenza Digitale e Informatica Forense. Questo seminario intende approfondire gli aspetti legati alla fragilità delle prove digitali e le contromisure per renderle idonee a sostenere un dibattimento.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
Il 19 maggio 2007, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Modalità di intervento del Consulente Tecnico. Questo seminario ha come obiettivo la trattazione delle problematiche e delle modalità operative che un consulente tecnico di parte può affrontare durante un'indagine d'informatica forense.
https://www.vincenzocalabro.it
Il 21 aprile 2008, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: La Riduzione del Rischio - D.Lgs. 231/2001. Questo seminario illustra brevemente gli obiettivi raggiungibili attraverso l'applicazione delle previsioni normative, contenute nel D.Lgs. 231/2001, finalizzate alla riduzione del rischio aziendale.
https://www.vincenzocalabro.it
Le Best Practices per proteggere Informazioni, Sistemi e RetiVincenzo Calabrò
Il 2 settembre 2007, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Le Best Practices per proteggere Informazioni, Sistemi e Reti. Questo seminario illustra alcune metodologie per una corretta gestione della Sicurezza Informatica in contesti aziendali.
https://www.vincenzocalabro.it
L'8 giugno 2006, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Open vs. Closed Source. Questo seminario analizza le differenze tra i software open source e closed source alla luce della sicurezza informatica.
https://www.vincenzocalabro.it
L'8 aprile 2004, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: La Privacy: Protezione dei Dati Personali. Questo seminario illustra brevemente alcune Linee Guida per l'applicazione del testo unico sul trattamento dei dati personali.
https://www.vincenzocalabro.it
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Il 18 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza dei Sistemi Informatici. Questo seminario introduce all'esame delle criticità dei sistemi informatici, la valutazione dei rischi e delle possibili contromisure.
https://www.vincenzocalabro.it
Il 18 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza dei Sistemi Informatici. Questo seminario introduce all'esame delle criticità dei sistemi informatici, la valutazione dei rischi e delle possibili contromisure.
https://www.vincenzocalabro.it
Il 3 marzo 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Introduzione alla Sicurezza Informatica. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza Informatica.
https://www.vincenzocalabro.it
Il 18 giugno 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Programmazione Sicura. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Programmazione Sicura.
https://www.vincenzocalabro.it
La timeline: aspetti tecnici e rilevanza processualeVincenzo Calabrò
SOMMARIO: 1. Premessa.-2. La Timeline.-3. Il problema dell' "ora esatta".-4. Metodologia.-4.1 Analisi dei timestamp presenti nei file system. 4.2 Analisi dei timestamp contenuti all'interno dei file. 4.3 Riscontro con altri riferimen-ti temporali rilevabili. 4.4 Contestualizzazione dei timestamp. 5. Case study: creazione ed analisi della timeline.-5.1 I problemi dell'analisi tradizionale. 5.2 Anti-forensics. 5.3 Estensione delle timeline. 5.4 Impostazione del case study. 5.5 I tool per la generazione di timeline. 5.6 I tool per la generazione di supertimeline. 5.7 Log2Timeline e le supertimeline. 5.8 Ambiente di lavoro. 5.9 "Montaggio" dell'immagine forense. 5.10 Estrazione della tabella. MFT 5.11 Generazione della supertimeline. 5.12 Analisi dei risultati. 5.13 Strumenti per raffinare l'analisi. 5.14 Note pratiche sulla sincronizzazione temporale. 6. Valore probatorio.-7. Conclusioni.-8. Bibliografia. 1. PREMESSA La riconducibilità di un determinato fatto, in un preciso spazio temporale, è, senza ombra di dubbio, uno degli elementi primari per la corretta interpretazione della scena criminis, in quanto consente di rivelare la dinamica degli eventi nell'ordine in cui gli stessi si sono verificati. In caso di omicidio, la prima domanda che gli inquirenti rivolgono al medico legale è quella di stabilire la data e l'ora del decesso, rappresentando un momento fondamentale per la ricostruzione degli avvenimenti che si sono verificati prima dello stesso e subito dopo. La ricostruzione della sequenza temporale degli eventi che hanno determinato un fatto è quindi d'interesse vitale per la risoluzione di qualsiasi caso, di natura legale o professionale, indipendentemente dal contesto di riferimento. Uno degli strumenti che consentono di effettuare l'analisi forense sul tempo è la cosiddetta timeline, ovvero la rappresentazione o esposizione cronologica e concatenata di avvenimenti chiave all'interno di un particolare arco temporale. Nell'informatica forense, con la locuzione timeline s'intende una "fotografia" di tutti gli eventi storici avvenuti in un determinato sistema informatico o telematico. Viene ricostruita mettendo in ordine cronologico tutti gli eventi successivi in un determinato tempo di vita del sistema posto sotto analisi.
https://www.vincenzocalabro.it
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
Dal punto di vista normativo, con particolare riferimento alla Ratifica della Convenzione di Budapest del 2001, il Legislatore Italiano ha preso atto dell'evoluzione tecnologica in corso ed ha quindi predisposto gli opportuni interventi legislativi necessari al fine di contrastare il sempre crescente fenomeno della criminalità informatica. Allo stesso tempo, il Legislatore ha previsto adeguati strumenti d'indagine e nuove garanzie processuali con particolare riferimento alle investigazioni informatiche. La costante presenza di apparecchiature informatiche e digitali sulla scena di un crimine, l'importanza delle informazioni in esse contenute, la fragilità e volatilità del dato informatico, l'importanza della corretta acquisizione e gestione delle prove informatiche, anche per il loro uso in dibattimento, sono condizioni che hanno creato il terreno fertile per la nascita di una nuova branca delle scienze forensi, nota come computer forensics 1. Secondo la migliore dottrina, la computer forensics è «la disciplina che si occupa della preservazione, dell'identificazione, dello studio, delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa» 2. Ogni dispositivo tecnologico rinvenuto sulla scena di un crimine ha due distinti aspetti: quello fisico, ove 1 ZICCARDI e LUPÀRIA sostengono che «contestualmente al mutuamento portato, nelle società, dalle nuove tecnologie e, in particolare, dall'avvento dell'elaboratore elettronico e delle reti, si è verificato un cambiamento nelle modalità di rilevazione, gestione, raccolta ed analisi di elementi che, in senso lato e assolutamente generico, si potrebbero definire fonti di prova, prova, indizio o testimonianza» in LUPARIA-ZICCARDI, Investigazione penale e tecnologia informatica, Milano, 2008, 3 e ss. 2 GHIRARDINI-FAGGIOLI, Computer Forensics, Milano, 2009, 1 e ss., LUPARIA, ZICCARDI, op. cit, 3 e ss. si possono rinvenire impronte digitali e altri elementi di prova tipici degli oggetti di uso comune, e quello logico, costituito dai dati contenuti nella memoria del dispositivo. L'esperto di computer forensics che si occupa di identificare, analizzare e produrre in giudizio delle prove informatiche, pertanto, deve possedere una specifica competenza ed esperienza in ambito informatico e telematico ed anche una buona conoscenza delle norme processuali attinenti principalmente le fasi di perquisizione, ispezione e sequestro.
https://www.vincenzocalabro.it
Proteggere i dati significa evitare che il patrimonio informativo di un'azienda venga perso. Occorre evitare che un attacco passivo o attivo possa compromettere l'integrità dei dati. Una metodologia di difesa consiste nell'effettuare una risk analysis per valutare le minacce e le vulnerabilità. Successivamente, occorre intraprendere le opportune contromisure per ridurre il rischio di incidente.
https://www.vincenzocalabro.it
Approccio all’Analisi Forense delle Celle TelefonicheVincenzo Calabrò
L'enorme diffusione dei telefoni cellulari e le numerose possibilità di utilizzo degli stessi, non solo per la comunicazione di tipo voce ma anche per lo scambio di dati (messaggi brevi, navigazione Internet ed altre forme), hanno portato le indagini giudiziarie a fare largo uso dell'analisi forense sia degli stessi terminali sia delle tracce che questi lasciano nelle reti degli operatori telefonici. Senza entrare nel merito del funzionamento di una rete di telefonia mobile, in tale contesto è sufficiente evidenziare che il terminale mobile, quando è acceso ed ha al suo interno una SIM attiva, colloquia con la rete dell'Operatore di appartenenza in modo regolare, aggiornandola costantemente ed in maniera puntuale relativamente alla localizzazione, anche quando non è utilizzato dall'utente per effettuare telefonate o altro. Su queste informazioni, per inciso, si basano alcuni servizi di geolocalizzazione forniti dagli operatori stessi (informazioni turistiche, mappe, etc.). Tali dettagli non sono conservati all'interno della rete dell'operatore se non all'interno della documentazione di traffico storico, che costringe l'investigatore ad un arduo lavoro di ricostruzione e di analisi della localizzazione sulla base di informazioni poco dettagliate. L'unico metodo che può essere utilizzato, quindi, per individuare la posizione di un cellulare in un dato momento, "a posteriori", è quello di basarsi sui dati disponibili nei tabulati telefonici, basati a loro volta sui cartellini di traffico (Call Detail Record-CDR) generati dalle centrali telefoniche. Premesso che ogni operatore telefonico fornisce questi dati in formati differenti, sono comunque sempre presenti informazioni quali: data, ora, durata della conversazione, numerazione chiamante, numerazione chiamata, iden-tificativo del telefono (IMEI) chiamante e ricevente, cella agganciata (Cell ID) del terminale chiamante e ricevente. Per l'analisi riveste grande importanza l'informazione sulla cella, identificata dal codice Cell ID, che consente di conoscere con certezza la stazione base cui il terminale era connesso mentre stava ricevendo/trasmettendo. Ciò significa che nei momenti in cui il terminale è acceso, ma non sviluppa traffico, non è possibile conoscere (a posteriori) la cella (BTS) su cui era attestato. Nota l'informazione sulla cella, bisogna disporre delle cosiddette "mappe di copertura" della rete. Queste mappe vengono costruite dall'operatore telefonico sulla base dei parametri di configurazione della cella e del territorio e sono, sostanzialmente, una rappresentazione simulata del grado di copertura territoriale di ogni singola BTS.
https://www.vincenzocalabro.it
Approccio all’Analisi Forense delle Celle Telefoniche
Il Cloud Computing: la nuova sfida per legislatori e forenser
1. IL CLOUD COMPUTING: LA NUOVA SFIDA PER LEGISLATORI E FORENSER
La nuova tendenza dell’Internet degli ultimi anni ha portato alla nascita di numerose
nuove applicazioni, spesso accompagnate dalla recente tendenza volta a una sorta di
“dematerializzazione” degli oggetti informatici. Ci si riferisce in particolare al nuovo
fenomeno del cloud computing, o più semplicemente cloud che vedrà sicuramente nei
prossimi anni una vera e propria esplosione, imponendosi quale risposta agli ultimi anni di
“dittatura” delle tecnologie della rete.
Un primo punto da considerare attiene alla sua definizione: al momento, la più
autorevole può essere ricondotta alla formulazione del NIST1
la quale lo definisce come
«model for enabling ubiquitous, convenient, on-demand network access to a shared pool of
configurable computing resources (e.g., networks, servers, storage, applications, and services)
that can be rapidly provisioned and released with minimal management effort or service
provider interaction»2
. In sostanza quindi «il cloud computing è un paradigma distribuito che
virtualizza dati, software, hardware e comunicazione dati in servizi»3
.
1
National Institue of Standards and Technology; è un’agenzia federale governativa che si occupa della
gestione delle tecnologie, si veda più in dettaglio http://www.nist.gov/index.html .
2
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, The NIST definition of cloud
computing, Special publication 800-145, 2011, pag. 2, disponibile all’indirizzo
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf .
3
M. MATTIUCCI, Cloud computing & digital forensics, 2012, disponibile presso
http://www.marcomattiucci.it/cloud.php .
2. Dalla definizione qui riportata è facile intuire come tale nuovo strumento appaia come
una grande opportunità, soprattutto per le aziende che ormai basano gran parte delle loro
attività su piattaforma ICT, spingendo le più grandi compagnie di servizi informatici
internazionali a dotarsi e offrire servizi sempre maggiori4
. Sempre secondo la definizione del
NIST, l’architettura si basa essenzialmente su due livelli: fisico, in cui rileva la componente
materiale ovvero i server, il network, lo storage e uno logico, dato dalla virtualizzazione delle
risorse presentate all’utente. Cinque le caratteristiche essenziali:
• è un servizio on-demand self-service, in quanto non vi è interazione fra il CSP
(Cloud Service Provider) e l’utente, il quale riceve automaticamente il contenuto
afferente al servizio richiesto. È quindi un servizio customizzabile tipicamente
legato alla forma del pay per use;
• si basa sul broad network access, sfruttando quindi non solo la rete client- server,
ma anche le nuove forme d’accesso legate all’utilizzo di smartphone e tablet. Da
ciò ne deriva un’ulteriore caratteristica legata alla scalabilità del servizio, nel senso
che le risorse necessarie alla resa del servizio (ad esempio server) non sono stabilite
ex ante, potendo essere ampliate o ristrette senza che ciò comporti compromissione
del servizio, nel senso di caduta;
• è resource pooling, all’utente che richiede il servizio viene assegnato un certo
numero di risorse del CSP, le quali tuttavia non restano fisse per ragioni
essenzialmente di “fault tolerant”: per questo motivo una volta che i dati vengono
immessi sulla nuvola l’utente ne perde il controllo, nel senso che gli è preclusa la
possibilità di conoscere precisamente dove fisicamente il dato richiesto si trova
nell’istante preciso dell’ipotetica richiesta;
• è flessibile, o meglio dotato di rapid elasticity, in quanto a seconda delle esigenze
del cliente o del runtime, gli strumenti che ne realizzano il servizio possono essere
cambiati e ridotti senza che ciò comporti ricadute negative in termini di resa;
• è measured service, in cui il CSP può monitorare in ogni istante la qualità del
servizio reso e in particolare il numero di risorse impiegate per far fronte alle
esigenze di un dato cliente.
A livello di applicazione concreta, il cloud può manifestarsi come:
• Software as a service (SaaS), rappresenta la fetta più grande del mercato cloud, in
quanto permette all’utente di utilizzare la piattaforma come fosse un servizio a cui
sono connesse funzionalità tipiche ad esempio di un software. Il vantaggio risiede
nel fatto che l’utente è dispensato da dover installare il programma, poiché tramite
browser o applicazioni gli è permesso sostanzialmente lo stesso utilizzo. Si pensi ad
esempio a Google Docs che permette la gestione ed elaborazione di documenti
attraverso funzionalità tipiche di suite di programmi come ad esempio Office;
• Platform as a service (Paas), un framework di piattaforme di elaborazione
virtualizzate che sono rese disponibili all’utente, spesso in combinazione al servizio
precedente portandolo, di fatto, alla fruizione di un vero e proprio computer su
4
Si vedano, solo per citarne alcuni, i servizi cloud di Google, Microsoft, Amazon, IBM, Verizon, HP,
Salesforce.com.
3. cloud;
• Infrastructure as a service (Iaas), si presenta come evoluzione delle due
precedenti essendo il risultato di server, software, data center space e network: un
utilizzo di questo tipo può essere sfruttato, ad esempio in grandi aziende con la
creazione di complesse reti aziendali.
Questa piccola introduzione tecnica5
consente, ai fini del nostro discorso, di delineare le
difficoltà che l’informatica forense incontra allo stato dell’arte qualora sia necessario, far
fronte all’acquisizione di dati contenuti all’interno di dette piattaforme. Non può sfuggire,
infatti, come a oggi il cloud appaia un ottimo rifugio per soggetti mossi da intenzioni poco
ortodosse: si pensi ad esempio ai “nobili reati” nel campo dei reati finanziari, del
cyberlaundering, dell’evasione fiscale, o su un diverso fronte quelli legati ad esempio alla
violazione del copyright o peggio ancora della pornografia infantile. Il fatto poi che allo stato
attuale manchino linee legislative condivise a livello internazionale che in qualche modo
consentano di porre alcuni limiti, sia in termini di controllo sia in termini di tutela della
privacy, di certo non aiuta a venire a capo delle questioni emergenti. Su un fronte prettamente
investigativo, le difficoltà che si registrano sono strettamente connesse alla caratteristica che
abbiamo definito di resource pooling: l’acquisizione del dato postula in primis l’accesso allo
stesso. Per quel che riguarda la normativa italiana, ad esempio, lo strumento processuale che
potrebbe applicarsi è rappresentato dall’art. 254-bis c.p.p. in materia di sequestro di dati
presso fornitori di servizi; bene ma a quale fornitore? E soprattutto dove? Tipicamente, poi, i
servizi cloud possono poggiare su infrastrutture pubbliche che rendono il servizio al grande
pubblico (ad esempio Amazon ASW), oppure su infrastrutture proprietarie, le quali rendono il
servizio a una particolare categoria di soggetti, come ad esempio istituzioni o enti. Se dal lato
proprietario i problemi d’accesso al dato possono essere “minori” nel senso che vi è una più
alta possibilità di rintracciarli, nel caso d’infrastruttura pubblica la cosa si complica.
5
Cfr più diffusamente M. TAYLOR, J. HAGGERTY, D. GRESTY, R. HEGARTY, Digital evidence in cloud
computer systems, in Computer law and security review, n°26, 2010, pagg. 304-308; S. MANSON, E.
GEORGE, Digital evidence and “cloud” computing, in Computer law and security review, n°27, 2011, pagg.
254-258; S. BIGGS, S. VIDALIS, Cloud computing: the impact on digital forensics investigations, in Internet
technology and secured transactions, ICTST, 2009, pagg. 1-6.
4. Quand’anche ad esempio, si presentasse ad Amazon l’atto giudiziale che dispone il sequestro
di dati, ulteriori difficoltà si aprirebbero agli occhi degli investigatori e in special modo dei
forenser. In primis, i dati inseriti, una volta immessi nel circuito, vengono cifrati con algoritmi
(per Amazon si veda l’algoritmo s3). In secondo luogo, qualora comunque si riuscisse ad
ottenere i dati in chiaro, sorge il problema legato ai metadata dei file. Se, infatti, una corretta
acquisizione di dati a seguito di beat stream image consente di ricostruire perfettamente
l’allocazione e lo storico di tutte le informazioni contenute, nel cloud ciò non accade: perché
sono gli stessi gestori del servizio a non conoscere quando e se l’utente carica contenuti (non
vi è traccia quindi di uno storico), perché potenzialmente cambiano spesso allocazione
spezzettandosi e quindi perdendone traccia. Da ultimo poi, gli ipotetici risultati ottenuti quali
procedure hanno seguito? Può dirsi rispettata la formula della non alterazione e
immodificabilità? Come può comprendersi sorge prima ancora che un problema di fattibilità,
il problema dell’opportunità di perseguire detta via investigativa, in termini sia di tempo che
di costi, umani e monetari, che rapportati al risultato, magari difforme rispetto ai criteri legali
previsti, potrebbe portare a scoraggiarne l’utilizzo. Si auspica a che nel futuro, come sembra
essere peraltro la tendenza attuale, possa arrivarsi a un’architettura normativa più stabile e
concreta sulla quale porre le basi per una futura regolamentazione a livello internazionale in
materia di “cloud derived evidence”. Il percorso non sarà certo facile, in quanto gli interessi in
gioco sono molteplici, interessando non solo gli utenti ma anche e soprattutto i fornitori di
servizi cloud ai quali potrebbe necessariamente essere richiesto un onere di collaborazione,
riaprendo l’acceso dibattito, o la “vecchia” ferita aperta, legata alla responsabilità e alla
collaborazione degli ISP.
5. Su un diverso versante, si apre il problema legato ai termini di servizio impiegati, alla
conseguente policy privacy, e alla sicurezza delle informazioni. Questo è uno dei punti più
critici della nuvola, che è stata bersaglio di pesante critiche dal noto hacker Richard Stallman,
definendolo come un ottimo esempio marketing 3.0 che esaltando le caratteristiche di hiding
induce gli utenti a consegnare ai fornitori del servizio enormi quantità di dati. “In un’intervista
al Guardian ha dichiarato che «il cloud computing è roba da stupidi e utilizzare applicazioni
web come Gmail di Google è anche peggio della stupidità stessa. (…) Un motivo per cui non
dovresti utilizzare applicazioni web per il tuo lavoro è che ne perdi il controllo»6
. Al di là
dell’intervento provocatorio inteso a far riflettere in maniera consapevole di quelli che sono i
rischi legati all’utilizzo delle tecnologie, non può comunque tacersi come il problema della
sicurezza e della tutela alla privacy7
vivrà sicuramente nel futuro un nuovo acceso dibattito,
alimentato dalle prospettive internazionali di regolamentazione del nuovo fenomeno.
6
Da C. SARZANA, Considerazioni sull’Internet degli oggetti e sul cloud computing, in Nuove tendenze
della giustizia penale di fronte alla criminalità informatica (a cura di F. RUGGERI, L. PICOTTI),
Giappichelli, Torino, 2011, pagg. 18-19.
7
Si veda il caso statunitense delle istanze portate avanti dalla Electon Privacy Information Center cha ha
chiesto alla FTC (Federal Tecnological Commission) di impedire a Google le procedure di appliance in
quanto al momento la società non forniva sufficienti garanzie in ordine alla sicurezza delle pratiche connesse
al cloud in termini di sicurezza e privacy.