La rete della ASL8? L’abbiamo bucata!

29 02 2008

Dati sensibili? «Con l’aiuto di esperto d’informatica, i Riformatori sono penetrati, tramite un punto d’accesso wireless a Cagliari, nella rete dell’Asl, riuscendo ad accedere a dati su dimissioni e ricoveri delle case di cura con nomi e cognomi dei pazienti, schede personali con le patologie, esenzioni ticket per patologie degli abitanti di un comune del Sulcis, comunicazioni interne dei medici.» (da http://www.informatica-oggi.it/archives/0002104.html) La ASL 8 risponde con una segnalazione alla magistratura… «L’Asl ipotizza che l’accesso denunciato dai Riformatori abbia riguardato “un pc inserito in una rete locale, nel quale peraltro erano presenti file riguardanti dati sensibili di pazienti: l’azione del tutto volontaria e niente affatto casuale e’ molto grave”. Percio’ l’Azienda ha segnalato l’episodio all’autorita’ giudiziaria.» (da http://www.informatica-oggi.it/archives/0002105.html)





Quando rivelare la password costituisce autoincriminazione

17 01 2008

L’antico brocardo nemo tenetur se detegere riemerge con forza in un caso segnalato ieri dal washington post, secondo cui il Governo degli Stati Uniti avrebbe chiesto un pronunciamento alla Corte Distrettuale del Vermont relativo ad un ordine di “rivelazione di password” nei confronti di un soggetto sospettato di detenzione di materiale pedopornografico.

Secondo John Miller dell’FBI si dovrebbe trovare un sistema, nel rispetto della costituzione, che consenta ai tribunali di imporre un facere necessario per accedere al materiale probatorio.

La questione è nata nel momento in cui il sospettato si è appellato al principio secondo cui nessuno può essere costretto ad autoincriminarsi (il famoso quinto emendamento). E’ evidente, infatti, che qualora il sospettato avesse svelato la password (il programma utilizzato per la cifratura del file in cui, secondo le forze dell’ordine, sarebbe contenuto del materiale pedopornografico, è PGP) avrebbe fornito un fortissimo elemento all’accusa: qualcosa dal valore equiparabile ad una confessione.

Un esperto in computer forensics ha, al proposito, confermato che accedere a quel tipo di file senza la password è praticamente impossibile. Prosegue: “l’unico modo per accedere senza password a tale file è l’uso di un sistema automatizzato di brute forcing. E per questo procedimento potrebbero essere necessari anche alcuni anni…”.