Il sito del CLUSIT

Gruppo CLUSIT

  • Tutti i soci, ed i dipendenti di aziende socie coinvolti nella vita del Clusit, possono chiedere di aderire al gruppo su LinkedIn facendo clic su questo link.
    Ogni richiesta deve essere approvata manualmente, in genere nel giro di un paio di giorni.

Blogroll

Accessi

Creative Commons

« iPhone, primo worm ostile | Principale | Nuovi modi di parlare di security »

03/12/2009

Commenti

Stefano Quintarelli

@Mattia: re la pedopornografia, guarda i video del Salotto del Mix 2008, in particolare quello di Vulpiani.

----------
cut&paste da commenti sul mio blog.quintarelli.it
----------

https://is.gd/5hgej
...The Wi-Fi supplier will probably be regarded as a communications provider and hence not a subscriber. [fa un esempio con la mamma]
... My mum would not be a subscriber, but she would be deemed an "ISP", which would mean she would be bound to comply with sending out of warnings to those users of her service whose IP addresses were passed to her by rightsholders, or else, er, face up to a £250,000 fine for non cooperation.

-------
racconto un episodio. si identifica l'IP address di qualcuno che ha commesso un reato grave. si cerca di risalire e si trova che in quel momento una dozzina++ di persone condividevano quell'IP address.

la polizia all'alba entra in tutte le abitazioni dei possibili rei e ferma tutti quelli che ci stavano e perquisisce tutte le case.

beccano il colpevole che viene processato e condannato.

ora, pensa per un attimo se uno degli innocenti sottoposti a mandato di perquisizione fossi stato tu o tua zia, che alle 5 di mattina circondano casa, svegliano tutto il condominio, ti mettono sottosopra la casa e passano al microscopio i tuoi computer; pensa ai tuoi condomini ed alla prossima riunione di condominio; pensa se hai un bambino che va a scuola e quello che dicono e come si comportano gli altri bambini. Pensa a come ti guarda il fruttivendolo o il panettiere.

beh, io penso che se, [solo] su ordine del magistrato, fosse stato possibile accertare che quella (dozzina++)-1 non c'entravano nulla, beh, sarebbe meglio.


-----

perche' questo accanimento nei confronti di una autenticazione per internet quando ogni volt ache facciamo una telefonata siamo altrettanto autenticati ?

perche' non ti agiti anche per l'eliminazione delle SIM ?

-----
non ho detto che la identificazione debba avvenire ad ogni volta o che si debba presentare carta bollata.

posso immaginarme vari modi tecnici per assicurarmi che, senza overhead alcuno al momento della connessione e senza costi variabili, comunque si assicuri ad un magistrato che sia possibile risalire, nella grande maggioranza dei casi, all'identita' della persona.

e questo, non necessariamente deve essere fatto per incriminare qualcuno, magari, invece, per scagionarlo!.

e poi, si, c'e' una differenza tra le sim italiane e quelle di alcuni altri paesi. in alcuni altri paesi ci sono sim rilasciate anonimamente e no, la cosa non va bene e non sara' cosi' per sempre; c'e' un documento del Consiglio d'Europa che invita gli stati membri a identificare gli utenti dei servizi di telecomunicazioni. (a partire dalle sim)

-------

proprio perche' possiamo innovare, considera quanto segue (che avevo messo in un altro commento ad altro post, cut&paste)...

chi si sofferma sul dire "no autenticazione" quando le indicazioni del Consiglio d'Europa sono di andare verso l'identificazione, non si lamenti poi se l'autenticazione fatta da terze parti non fosse possibile (e anzi, venga richiesto il filtraggio del canale). mi spiego:

immagina l'accesso wireless ad un ISP con autenticazione fatta da una terza parte (chiamiamo AUT) per accedere a contenuti erogati dal Content Provider CP

ISP non sa chi e' l'utente, ma sa dove va e da dove viene
AUT non sa dove va l'utente ne' da dove viene, ma sa chi e'
CP non sa chi e' l'utente, ne' da dove viene, ma sa dove va.

nessuna persona tecnica di uno dei soggetti puo' ricostruire
ma combinando i tre un magistrato puo' ricostruire tutto.

penso che questo schema sia persino meglio (dal punto di vista della garanzia della tutela dei diritti) della situazione attuale in cui ISP sa chi sei, da dove vieni e dove vai.

a questo punto, il nocciolo e' prevedere un sistema di anonimato protetto che consenta che l'autenticazione sia svolta da uno o piu' soggetti terzi al fornitore di accesso e di contenuti.

atrent

quoto Mattia in toto, riassumo cosi': dato che anonimato e crittografia sono (e devono rimanere!) legali e tecnicamente "facili", l'obbligo di identificazione *all'accesso* e' totalmente inutile, a meno che non si voglia rendere illegale il traffico crittato/anonimo... qualche legislatore (che so... la Carlucci?) vuole cimentarsi? ;)

p.s. la metafora Internet -> Arma non regge, Internet non e' un'arma, se lo e' allora anche la Strada lo e', sapete quanti morti provoca la Strada? molti piu' di Internet... ;) ;)

Claudio Telmon

Raccolgo anch'io l'invito di Gigi, dato che ho partecipato nel Direttivo di CLUSIT alla discussione sul problema dell'anonimato nel wi-fi.
Devo dire prima di tutto che non amo molto fare discussioni sui princîpi, sia perché i princîpi finisce poi che sono condivisi e la discussione è in realtà sugli equilibri, sia perché su questi temi discutono già persone molto più preparate di me ;)
Nello specifico, i princîpi in discussione sono due: da una parte il diritto/dovere delle Forze dell'Ordine di identificare i colpevoli di illeciti (nota: non di identificare chiunque: questo è solo una conseguenza dell'effettiva esigenza di identificare i colpevoli); dall'altra, il diritto di chiunque di non subire danni indebiti dalle proprie azioni. Un esempio è l'essere discriminato per le proprie abitudini o opinioni, ma anche il provare imbarazzo perché qualcosa che si riteneva privato è stato reso pubblico; sarebbe bello vivere in un mondo in cui questo non accade, ma purtroppo dobbiamo convivere con le miserie umane. Uno strumento che può servire al riguardo è l'anonimato, anche se non è detto che ad un maggiore anonimato corrisponda una tutela significativamente maggiore, nè che ad una maggiore facilità di identificazione corrisponda una facilità significativamente maggiore di indagine per le Forze dell'Ordine, ma su questo tornerò dopo. Per ora supponiamo che il rapporto identificazione/indagine e anonimato/tutela sia reale. Sto parlando anche di anonimato nei confronti delle Forze dell'Ordine: non considerarlo corrisponderebbe ad una di quelle idealizzazioni dello Stato che nella storia hanno fatto tanti danni, e tanti ne fanno tuttora in giro per il mondo. In un'ottica di valutazione del rischio, se è vero che la probabilità di un illecito è molto più grande di quella di un comportamento gravemente antidemocratico da parte delle Forze dell'Ordine, è anche vero che come impatto non c'è paragone.
La ricerca di questo equilibrio deve tenere conto della gravità dei singoli problemi: ci sono ad esempio illeciti più o meno gravi, per i quali vale la pena di rinunciare più o meno alla tutela dei singoli. E naturalmente, l'equilibrio deve tenere conto dell'evolvere delle situazioni: in situazioni di emergenza è concepibile limitare maggiormente le tutele dei singoli, come le recenti normative antiterrorismo testimoniano, che siano condivisibili o meno.
Nel mondo "reale" un certo equilibrio è stato trovato. Per quanto riguarda l'identificazione dei cittadini, per la quasi totalità di ciò che facciamo non ci viene richiesto di identificarci: cammino per la strada, faccio acquisti, telefono da una cabina pubblica, spedisco una lettera, vado al ristorante o in biblioteca: tutto questo può essere fatto senza essere identificati, nonostante nel corso di ognuna di queste attività possa commettere reati anche gravi, comme accoltellare una persona per la strada o avvelenare il piatto del mio vicino. Bisogna precisare che avere un documento di identità non ci rende di per sè "identificati": è necessario che qualcuno ci chieda quel documento, cosa che soprattutto da parte delle Forze dell'Ordine è un evento eccezionale. In effetti, le situazioni in cui ci viene richiesto di identificarci sono molto poche: se escludiamo le situazioni in cui siamo identificati "automaticamente" da chi ci conosce, essere identificati è una situazione talmente eccezionale (e transitoria, come quando diamo un bancomat al supermercato) che ognuno di noi può elencare le volte che è stato identificato negli ultimi giorni, e rendersi conto di quanto la cosa sia effimera. Se poi esaminiamo le situazioni in cui veniamo identificati, vediamo che nella maggior parte dei casi non è un obbligo di legge ma solo un'esigenza "contrattuale" fra due parti: posso pagare con la carta di credito ed essere identificato, ma anche in contanti e non esserlo. La stessa patente di guida non serve ad un obbligo di identificazione di chiunque guidi una macchina (per questo basterebbe la carta di identità), ma a dimostrare che chi guida ha superato dei criteri di selezione, come ogni "patentino": l'identificazione è solo funzionale a questo scopo.
I casi in cui l'identificazione è effettivamente un obbligo di legge sono riconducibili principalmente a due casistiche particolari: la necessità di controlli sui flussi di capitali (es. l'abolizione dei libretti di risparmio al portatore) e le normative antiterrorismo. L'obbligo di registrazione agli alberghi, il divieto di mascherarsi e se non sbaglio anche l'obbligo di avere con sè un documento sono nati negli anni di piombo, la maggior parte degli altri con le norme per il contrasto al terrorismo islamico.
Mi pare quindi che nel mondo reale la linea di demarcazione fra i due diritti sia abbastanza netta: gli obblighi di identificazione sono molto limitati, legati principalmente alle normative antiterrorismo. Si noti che la Polizia mi può fermare e mi può chiedere la carta d'identità, ma non è in grado di sul luogo di una rapina e "risalire" a posteriori a tutte le persone che si trovavano lì al momento del reato.
Io ritengo che nel "virtuale" gli equilibri dei diritti debbano essere gli stessi che nel mondo reale, anche se tecnicamente le modalità per ottenerli possono essere diverse. Quindi, l'identificazione dovrebbe essere un obbligo solo quando è funzionale ad attività antiterrorismo o per determinati illeciti legati ai flussi di capitali. Può anche esistere il caso in cui si riconosca che un reato altrettanto grave (come può essere la pedopornografia, ma non certo la violazione del diritto d'autore) ha una incidenza talmente maggiore su Internet da meritare un'eccezione. Seguire un altro principio vorrebbe dire riconoscere il virtuale come un luogo di diritti "diversi" che non trovo giustificabile.
Quello che vedo invece, è che su Internet gli equilibri al momento sono effettivamente diversi. Nei rapporti fra privati l'identificazione è la norma: ve lo immaginate un supermercato che chiedesse obbligatoriamente la carta d'identità all'ingresso per esercitare il suo "legittimo diritto" a mandarci poi pubblicità a a casa?
Ma la possibilità di essere identificati a priori dalle Forze dell'Ordine per il solo fatto di utilizzare Internet sembra spesso data per scontata, e si discute di quando qualcuno abbia preso misure apposite per non esserlo, che è in fondo il tema di questo thread. L'idea di utilizzare l'identificazione obbligatoria come supporto alla repressione "generale" dei reati e degli illeciti mi trova contrario, almeno finché non si sia discusso realmente il principio anziché lo strumento, proprio perché invece di riconoscere a Internet il suo ruolo nel ridurre importanti asimmetrie informative e quindi come supporto alla democrazia (e allo sviluppo, e a tante altre cose), verrebbe ridotto a luogo di diritti "minori", più facilmente sacrificabili.
E qui arriviamo all'efficacia dell'identificazione come misura di indagine (ricordo, l'identificabilità non è il principio ma lo strumento). Non entro nel merito di quanto sia difficile ottenere e utilizzare una carta d'identità falsa, anche se vale la pena di notare che (da quanto ho letto) la sparatoria sul treno che ha portato all'arresto di Nadia Desdemona Lioce è nata proprio da incongruenze rilevate in documenti falsi durante un controllo. Quello che è certo è che procurarsi l'accesso a un pc compromesso è banale, e l'efficacia diretta dell'identificazione a tappeto come misura antiterrorismo non mi sembra elevata, almeno rispetto ad altre metodologie di indagine. Varrebbe casomai la pena di discutere questa efficacia, ma mi pare che invece questo non accada: forse perché la diffusione di Internet sta avvenendo in un periodo di attenzione al terrorismo, sembra invece che l'utilità ed efficacia dell'indentificazione venga data per scontata. Il problema allora non è decidere come debba essere effettuata l'identificazione a tappeto, perché questo vorrebbe dire avallarne la necessità o inevitabilità, e sarebbe una posizione molto debole e rischiosa, perché a questo punto le tutele dell'attività anonima del cittadino sarebbero quelle "concesse in deroga" all'identificazione. Il problema è invece ricondurre Internet allo stesso rapporto fra esigenze e diritti che viene utilizzato nel mondo reale, che è esattamente il contrario: l'identificazione obbligatoria è in deroga all'anonimato.

Mattia Monga

Raccolgo l'invito di Gigi e consegno agli archivi della rete le mie
considerazioni.

Stefano Quintarelli nei suoi post su reti wireless e anonimato
argomenta in favore di un "anonimato protetto", richiamando -- per
analogia -- l'utilita` del porto d'armi, che, se e` pur vero che non
impedisce che le armi vengano utilizzate per compiere reati, ne
confina l'uso a situazioni eccezionali, di "bordo", nelle parole di
Stefano. Iniziero` quindi cercando di spiegare perche` l'analogia mi
sembri quantomeno fuorviante e gli effetti di bordo
enormemente sottovalutati. Innazitutto mi sembra ci siano alcune
differenze fondamentali nel caso delle armi da fuoco:

1. le procedure di registrazione nel caso delle armi sono piuttosto
articolate e coinvolgono commissariati, questure, che, oltre a
verificare l'identita` delle persone tramite un documento,
dovrebbero anche fare indagini per escludere individui
potenzialmente pericolosi (non conosco nel dettaglio la procedura,
ma so che l'esame e` piuttosto accurato perfino se semplicemente si
chiede di andare a sparare al poligono, noleggiando l'arma sul
posto). E tutto questo non impedisce l'uso criminale delle armi.
Immagino che cio` che si potrebbe richiedere per le reti wireless
sarebbe necessariamente piu` lasco, e l'identificazione
conseguentemente assai piu` incerta.

2. il porto d'armi e` pratica comune nei paesi industrializzati: anche
negli Stati Uniti in molti casi occorre registrare il possesso di
un'arma (attenzione: negli US spesso e` il venditore che si occupa
della registrazione, con effetti simili al punto 1.); al contrario
nessuna identificazione e` necessaria per accedere alle reti
wireless di moltissimi paesi del mondo (USA e Svizzera per
esempio). I reati telematici, pero`, raramente rispettano i confini
nazionali; al contrario delle indagini, per le quali il
coinvolgimento di due giurisdizioni e` gia` talvolta un ostacolo
insormontabile: e` quasi inutile che citi onion routing e similari
per far intravvedere quanto questa possibilita` sia reale e
facilmente accessibile con competenze tecniche di livello piuttosto
basso. Ricordiamo comunque che abbiamo avuto terroristi che hanno
imparato a pilotare aerei di linea per perseguire i propri scopi
criminali.

Queste due ragioni credo congiurino verso effetti di bordo assai piu`
ampi di quelli che sembra immaginare Stefano. L'identificazione puo`
funzionare da parziale deterrente nel caso dei reati che io continuo a
considerare minori (principalmente copyright, diffamazione, forse la
pedopornografia digitale: intendiamoci la pedofilia non e` un reato
minore, ma stento davvero a credere che con l'identificazione online
si fermi la tratta dei bambini schiavi, tutt'al piu` becchiamo qualche
onanista compulsivo), ma davvero non vedo come si possa incidere
sull'operato di chi, come sembra prefigurare Stefano nei suoi post,
mira alle infrastrutture critiche: il costo dell'operazione
aumenterebbe giusto di qualche centinaio di euro, il prezzo -- mi
dicono -- di un documento falsificato. Il provvedimento mi sembra
anche sostanzialmente inutile nel caso dei reati al momento
maggiormente fruttuosi in rete: le truffe (gia` ora costruite
triangolando su molti paesi e elementi piu` o meno inconsapevoli) e lo
spionaggio industriale (i documenti del "caso Telecom", p.es. parlano
di schede telefoniche anonime straniere usate per gli attacchi a
maggiore esposizione).

Quali caratteristiche avrebbe (ha) lo scenario in cui
l'identificazione (lasca) e` necessaria per accedere a internet?
Moltissimi procedimenti "minori", dal costo sociale elevato e
dall'esito comunque incerto. Mi sembra che nessuno degli attori
coinvolti ne avrebbe un beneficio proporzionato al costo. Cerco di
fare una piccola rassegna, che meriterebbe certo maggior
approfondimento per avere una qualche pretesa di completezza.

- Internet provider: costi organizzativi, forse benefici di tipo CRM,
se permessi dalla legge.

- Navigatore innocente: diminuzione del controllo dei propri dati
personali, aumento complessita` di connessione, possibilita` di
essere coinvolto in un procedimento in cui non riesce a dimostrare
che le proprie credenziali sono state usate impropriamente o che la
sua macchina e` stata usata tramite malware. Aggiungo un aneddoto
personale: recentemente in un albergo (dove sono stato identificato:
a proposito abbiamo statistiche sull'efficacia di questa misura
introdotta negli anni di piombo e mai piu` revocata? di sicuro,
ricevo le lettere di invito degli alberghi in cui sono stato) mi
sono state fornite le credenziali per la rete wireless dell'hotel:
l'albergatore era provvisto di un sistema "tipo bancomat" (quasi
certamento acquisito da qualche fornitore di tecnologia "chiavi in
mano") che emetteva un ricevuta cartacea con una password random di
una dozzina di cifre esadecimali, peccato che poi l'autenticazione
avvenisse con una connessione https IN CHIARO (la password appariva
fra i parametri della GET). Ora, se qualcuno da un edificio vicino
avesse compiuto un reato con le mie credenziali siamo proprio sicuri
che sarei riuscito a convincere il giudice della mia totale
estraneita`? In ogni caso, a che prezzo?

- Navigatore reo (qui i costi/benefici sono capovolti): maggiori costi
nelle operazioni di copertura, ma anche possibilita` di addossare ad
altri il proprio operato o di far leva sull'incertezza
dell'identificazione per farla franca.

- Non navigatore: molti procedimenti "minori" potrebbero intasare le
aule giudiziarie e le forze dell'ordine, senza un effettivo
miglioramento della propria sicurezza complessiva. Possibile
diminuzione di liberta` di espressione nell'ambiente in cui vive.

- Law enforcement people (comprende le forze dell'ordine e tutto
l'apparato giuridico): questa e` l'unica categoria per cui vedo la
possibilita` di un saldo attivo. In fondo, dal loro punto di vista
potrebbe non essere troppo importante che il loro lavoro non porti
un vero beneficio alla societa` e le loro energie vengano impiegate
in attivita` tutto sommato irrilevanti per il benessere comune (ma
quantificabili in numerose indagini e procedimenti). D'altronde, a
dar retta ad alcuni di questi, presto potremmo essere costretti a
mettere le telecamere nelle cabine telefoniche (en passant: visti i
progressi delle tecnologie voip, cose come Google Voice potrebbero
presto essere usate come ulteriori accessi anonimi).

Di fatto per il nostro Paese si tratterebbe dell'ennesima situazione
in cui chi ha deciso che il rispetto delle regole deve essere la
bussola irrinunciabile delle proprie azioni paga prezzi maggiori e
perde opportunita` a tutto vantaggio di chi agisce senza scrupoli
colletivi.

Sperando di non avervi ancora stancato, aggiungo con una piccola
provocazione intellettuale. Nella nostra societa` c'e` in realta`
qualcosa il cui intrinseco anonimato e` sfruttato spesso da chi
delinque. questo qualcosa e` il *denaro* (si noti che /sfruttato
spesso/ non e` affatto logicamente equivalente a /usato
prevalentemente/). Dall'abolizione del cambio in oro (perfettamente
anonimo!) in poi, il denaro e` diventato purissima convenzione
incardinata nelle istituzioni nazionali. L'istituzione dell'euro ha
dimostrato che e` possibile in buona misura disporre piuttosto
liberamente di queste convenzioni. Saremmo allora
favorevoli -- naturalmente a maggior gloria dell'onesta` delle persone
-- ad obbligare qualsiasi transazione commerciale all'uso di una moneta elettronica tracciabile
(categoria peraltro in cui gia` cade il 90% dell'ammontare delle mie
spese e ricavi), magari organizzando anche strumenti per "l'anonimato
controllato", magnifico ossimoro che ho imparato dai post di Stefano e
che sono sicuro avra` particolare successo tra i luddisti forcaioli di
ogni colore, anche se immagino Stefano l'avesse coniato con
obiettivi ben piu` liberali.

In definitiva credo che si tratti di trovare un equilibrio che
componga le istanze di liberta`, profitto, sicurezza di tutti. E il
punto che vorrei fare e` che l'opportunita` dell'identificazione va
commisurata alla situazione concreta in cui viene introdotta e le
variabili da tenere in considerazione sono molte:

- le occasioni di falsificazione (il passaporto e` piu` difficile da
falsificare della fidaty card, che permette facilmente l'uso di
pseudonimi)
- la possibilita` di harvesting (mostrare la c.i. ad un controllo
sull'autostrada e` diverso rispetto a conservare questi dati in un db
che dice che passavo sull'a4 alle 3:15)
- la pericolosita` dell'azione regolata (sparare al poligono e` piu`
pericoloso che salire sull'autobus)
- la possibilita` di contemperare l'obbligo tramite il buon senso del
controllore (il divieto di mascherarsi in luoghi pubblici e`
senz'altro fatto rispettare in maniera piu` rigorosa in una banca
piuttosto che in piazza del Duomo a carnevale, invece "code is law"
come ci insegna Lessig)
- ...

La societa` in realta` ci offre un continuum di soluzioni gia`
adottate (e naturalmente io non penso che ogni scelta fatta e
attualmente in vigore sia necessariamente giusta; p.es. la
registrazione negli alberghi la ritengo una misura inutilmente
vessatoria) e in questo momento si discute dove piazzare il cursore
rispetto all'accesso a internet. Io penso che -- soprattutto a causa
della natura globale (molti paesi in cui l'obbligo di identificazione
non esiste) e delle scappatoie tecnologiche possibili -- il punto
d'equilibrio dovrebbe secondo me essere spostato piuttosto verso forme
di identificazione volontarie o accessorie (la tecnologia e` molto
flessibile e forse si potrebbe pensare a servizi particolarmente
critici accessibili solo tramite ip regolati in modo particolare,
ecc.) evitando di contribuire a rafforzare l'immagine di una rete che
e` causa dei peggiori crimini per l'anarchia in cui e` stata lasciata
sguazzare. Ignorando, secondo me, quanto l'end-to-end principle
(https://en.wikipedia.org/wiki/End-to-end_principle) sul quale si e`
costruita l'Internet abbia, tutto sommato, contribuito a cambiare in
meglio la nostra societa`.

Mattia Monga

I commenti per questa nota sono chiusi.

Feed RSS

marzo 2014

dom lun mar mer gio ven sab
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31