Dopo vari mesi di lavoro, finalmente ho terminato un documento che tratta di privacy e sicurezza (sono circa 70k di testo) , del perchè questi due diritti non sono in contrasto e possono convivere. Spiega perchè il tecnocontrollo globale non risolverà nulla ed illustra un po’ le tecniche dalle quali siamo minacciati, sia tecnologicamente che informativamente.
Tutto ha inizio dopo Ottobre 2006, quando su Gnosis, rivista italiana del SISDE, venne pubblicata un’intervista dal titolo “privacy e sicurezza: la difficile convivenza“. La lessi subito con interesse. Del resto da quell’intervista poteva trasparire un po’ dell’avanzata tecnologia di sicurezza ai quali i servizi segreti si affidano, le loro strategie e l’innovazione portata dalla riforma dei servizi segreti. Invece già a metà lettura iniziai a pensare che forse gli intervistati erano un po’ troppo in là con l’età per comprendere questo periodo di cabiamento. Inoltre consapevole del funzionamento delle comunicazioni attuali appurai come gli scandali delle intercettazioni non sono serviti a nulla. L’obiettivo è sempre lo stesso: la moneta. La moneta del futuro ovvero le informazioni. Non solo riguardanti arbitri o veline, quelle sono semplicemente le più facili da usare e per questo motivo se ne sente parlare, sono le informazioni di tutti che importano. Che questa lotta legale a consentire le intercettazioni su larga scala non serva a nulla in termini di sicurezza è ovvio agli esperti del settore. Molto meno a chi esperto non è. Il documento intitolato “Il parere dei vecchi: perchè sicurezza e privacy non possono convivere ?” analizza queste problematiche:
L’articolo vuole essere critico e far riflettere il cittadino sui rischi che sta correndo, sul perchè il concetto di terrorismo può essere usato contro la nostra libertà e come questa può essere inutilmente sprecata. Vuole inoltre spiegare alcuni aspetti della tecnologia Internet che quotidianamente sfruttiamo, ma non ancora maturi da essere formulati. Nella speranza che si capisca che non è limitando tutti che tutti staranno bene, ma che è impedendo la realizzazione dei reati che aumenterà la sicurezza effettiva.
La conformazione dell’articolo è dovuta a com’è stato realizzato lo studio, tramite software di mappe mentali (MindJet). E’ stato un esperimento che non m’ha soddisfatto particolarmente, ma questo è dovuto al cambiamento dell’obiettivo a metà percorso. Fin tanto effettuavo uno studio multidisciplinare sono state particolarmente utili, quando l’obiettivo è divenuto la realizzazione di un articolo lo strumento è venuto meno.
July 29th, 2007 at 10:36 pm
Ciao Claudio, ho letto il tuo articolo e ho scritto anche io alcuni miei pensieri.. più come una flusso di coscienza rispetto a quello che leggevo che un vero e proprio commento o articolo.
Spero possa aiutare il dibattito.
CAPITOLO 1
Paragrafo 1
Riprendendo la frase:
“E, infatti, la sicurezza e la privacy sembrano coagulare confronti tipici della filosofia e della politica, come l’essere progressista o conservatore, democratico o “poliziesco”, libertario o liberticida, equilibrato o ingiusto, ecc. Il ponte che mette in relazione la sicurezza e la privacy è il concetto di controllo: se è necessario che gli Stati - istituzione dell’era delle tecnologie si adeguino ai rischi enormi che comporta l’asimmetrica lotta al terrorismo islamista, è inevitabile che si ricorra a maggiori controlli;”
Tu affermi che vengono dati per scontati due elementi: la determinzazione della fonte dalla quale proteggersi e i maggiori controlli di prevenzione.
Attualmente il pensare che l’unica fonte terroristica sia un gruppo religioso o cmq para-militare derivante da visioni magari distorte del credo religioso è tuttavia sensato. Questo tipo di persone-organizzazioni non sono ovviamente le sole a cui badare, ma attualmente sono le uniche che sono state in grado di spargere adepti in tutto il mondo e in grado di muoversi come cellule di un’unico organismo con finalità ben note. Ovviamente la mincaccia terroristica non ci arriva solo da loro… in Italia abbiamo le BR, in Spagna abbiamo l’ETA etc… ma tutti probabilememnte ospitiamo cellule terroristiche (alcuni paesi ne sono più consapevoli di altri).
Lo stato è vero che dovrebbe prodigarsi contro qualsiasi minaccia terroistica ma ovvimente quella globale e sicuramente più pericolosa è attualmente quella islamica.
Ovviamente chiunque può partecipare al terrorismo, nel senso di portatore di terrore, sia il ceceno sia l’islamico sia l’italiano.
Dato che cmq tutti gli attacchi di scala internazionale sono stati portati avanti ed eseguiti da islamici ci permette di dire con sicurezza che “filtrare” queste persone può essere un metodo efficace. Il paradigma è il solito del: non tutti gli islamici sono terroristi internazionali, ma tutti i terroristi internazionali erano istlamici.
Sarà destino il capitare nel bel mezzo di un attacco, il prendere il colera, o l’essere investiti dal tram …le probabilità saranno anche le stesse, ma forse il primo si poteva evitare più degli altri.
Il prendere il colera magari te lo cerchi andando in vacanza avventura n paesi a richio, l’incidente capita per tua distattenzione o distattenzione di altri, il capitare l’undici settembre nelle twin tower proprio mentre uno ha meditato di farle saltre proprio quel giorno è ovviamente diverso.. alcuni eventi sono fatalità altri sono premeditati ed è proprio sula premeditazione che oggi la sicurezza deve concentrarsi.
Ovvio che se poi il “terrorista” è Mario Rossi che d’un tratto impazzisce e se la prende contro il mondo crudele tanto da farsi esplodere… questo è un evento slegato dal resto proprio per la sua atipicità dato che chiunque di noi potrebbe fare la stesa cosa da un giorno all’altro. L’evento è veramente poco correlato.
La sicurezza preventiva in questo caso non è efficace… come si sente molte volte al telegiornale: era una brava persona non so perchè abbia sparato a moglie e figli… su eventi come questo e quello di Mario Rossi non siamo in grado nè di prevederli (stile minority report) nè di prevenirli.
Altri eventi partendo da presupposti di base diversi possono invece basarsi su una certa corelazione e pertanto se l’evento è premeditato-organizzato ci sono probabilità di venirne a capo maggiori.
Le telecamere della metro servono per un controllo su anomalie, furti, controlli sui movimenti di persone note, non certo come strumenti di prevenzione al terrorismo. Non confondiamoci. Se invece volevi dire che i “controlli” convenzionali contro il terrorismo non siano efficaci sono pienamente d’accordo. Non è semplice riadattare le attuali tecnologie, studiate per determinati impieghi, per questo tipo di situazioni.
Non vorrei arrivare a telecamente che percepiscono variazione dell’iride o della temperatura per valutare le emozioni come in Ocena’s thirteen, ma ovviamente si arriverebbe anche lì ad un punto in cui verranno studiati metodi per invalidare queste identificazioni.
Tuttavia possiamo seguire dei filoni di indagine che passino attraverso un filtraggio in base alle priorità / probabilità.
Tenere monitorato gli Imam è forse attualemente più utile che monitorare i confezionatori di sorprese dei Kinder o i Mario Rossi.
Paragrafo 1.1
Sono d’accordo con in fatto che una registrazione se non viene analizzata non è assolutamente utile nei casi di terrorismo ed al massimo lo può essere solo a posteriosi (come per i furti in metro) per verificare movimenti precedenti degli indiziati e/o prove di colpevolezza.
Il problema che poni di Tavaroli / Cipriani etc.. è sempre lo stesso: Sed quis custodiet ipsos custodes? (Ma chi controllerà i controllori?)
E’ lo stesso problema delle PKI … o chi mi dice che a VeriSign non ci sia qualcuno che sia in grado di farsi un duplicato della mia chiave? Chi mi dice che i dati dei miei utenti non vengano trafugati dal giovane sistemista informatico di Aruba?
Del resto quando telefoni sai che la chiamata potrebbe essere intercetta, sai che sicuramente il log del numero chiamato -> numero chiamante e durata conversazione verrà storato nei server di Tim / Wodafone / Wind / Tre per almeno 6 mesi.
Concordo sul fatto che “chi si sente minacciato potrà proteggersi senza difficoltà”. Se conosci i controlli e vuoi evitarli il modo lo trovi.. le uniche due varialbili sono il tempo ed il prezzo. E per gente determinata nessuna delle due è un problema. Bisonga però considerare però le informazioni a vari livelli ad esempio in una conversazione il provider telefonico mi garantisce solo la disponibilità. La confidenzialità e l’integrità potrebbero non essere così ovvie e infatti non lo sono. Gli utenti dovrebbero essere al corrente del limite di utilizzo delle tecnologie.
Altra questione è il perchè io intendo rendermi sicuro rispetto ai parametri di confidenzialità e integrità: posso farlo perchè sono paranoico, perchè odio i curiosi o perchè devo nascondere qualche cosa.
Trovo vera anche la frase “L’unica possibilità sensata è rendersi sicuri a priori”. Nel caso dei terroristi “a priori” penso si possa interpretare come: selezioniamo per bene chi sta entrando in Italia ad esempio… Oppure nell nostra vita quotidiana: a chi stiamo dando un lavoro da “custode di segreti”? a VeriSign? al Security Manager addetto al log della Tim? come facciamo a garantire Confidenzialità e Integrità ?
Mi piace il paragone sulla protezione del Pc. Quando il sistema impara ciò che non va lo riconosce. Il fatto è che attualmente ciò che funziona in questo modo non funziona. Il Keylogger fatto dal noto gruppo hacker123 viene riconosciuto dal mio antivirus ma se il keylogger lo scrivo io… abbiamo bisogno di sistemi euristici che studino il comportamento e notino cosa non va anche in caso di 0day.
Il non delegare la propria sicurezza ad altri è un concetto che implica una formazione del sogetto che gli permetta di valutare i pro e contro e di sapere come muoversi in questi ambiti. Nella metropolitana attualmente non deleghi la tua sicurezza come avviene ad esempio in aeroporto (confidando sul metal detector etc…) ed è questo il problema di questo esempio.
Il fatto è che attuamente per ricercare la privacy violiamo sistematicamente le misure di sicurezza preposte. Il problema sono coloro che le violano perchè devono nascondere dati o informazioni illegali e non per proteggere la propria privacy da eventuali spioni.
Cmq anche se dei dati fossero cripitati e non ci fosse il modo per conoscerne il contenuto già il fatto di sapere che quel canale mittente - destinatario esiste è un target su cui focalizzare l’attenzione. (dopo riprenderò questo concetto nel Paragrafo 3.5 - 4 e vedi anche fine Paragrafo 1.1)
Cercando di risalire al mittente e/o al destinatario possiamo seguire un filone sensato ed effettuare delle operazioni di filtraggio.
Vorrei mettere in chiaro che le telecamere in metropolitana non sono una violazione della privacy in quanto è un luogo pubblico e in quanto una persona sa benissimo che essendo in pubblico può essere vista da persone / macchine fotografiche / telecamere… il tutto è solo un meccanismo di sicurezza qua la privacy c’entra come i cavoli a merenda.
Paragrafo 1.2
Le metodologie di intervento per far rispettare delle leggi dello stato in questo campo sono discutibili. Attenzione sto parlando delle metodologie di “prevenzione” non della equità della legge in sè.
Ad esempio il gioco d’azzardo on line viene limitato filtrando dns / ip… è la soluzione più semplice, che poi possa essere facilmente aggirata fa parte della nostra voglia di non essere limitati dai controlli.
Questo vale banalemente per tutte le leggi: rubare è un reato, mettere una telecamera non ferma il ladro.
Non mi sembra ci sia da scandalizzarsi su questo punto.
Paragrafo 1.3
Riprendo la frase:
“Non è una legge ad impedire la frode, ma l’impossibilità del suo compimento.”
Qua siamo ai livelli di Minority Report… dovrebbe bastare la legge ad impedire la frode… certo delle misure di controllo affinchè ciò non avvenga sono giuste e le approvo… ma voler impedire per principio il suo compimento oltre a non essere teoricamente possibile può essere molto pericoloso in quanto si cerca di piegare con “la forza” la volontà delle persone (cosa che molti regimi hanno tentato di fare). Con questo non intendo dire che non bisogna fare in modo che qualcuno possa dirottare un aereo ma il rendersi conto che il renderlo impossibilile a farsi è di per sè impossibile.
Per quanto riguarda la metro di Milano ora ci sono tessere di abbonamento con RFID che probabilmente si clonano più velocemente.. certo non sono alla portata di tutti per ora ma l’impossibilità del compimento non esiste.
Del resto mi chiedo una volta che avremo messo in sicurezza la metropolitana, gli aeroporti etc (per quanti anni le scelte strategiche di sicurezza saranno valide?).. dovremo badare ad altri mezzi di trasposto / edifici etc… non potremo mai impiedire il compimento di atti contro la legge… aumenteremo soltato lo sviluppo di nuovi metodi di raggiro dei sistemi. E’ necessario trovare un compromesso tra sistemi di autenticazione / sorveglianza /prevenzione e possibili atti illegali.
CAPITOLO 2
Lo scopo del terrorismo è quello di far apparire la società come inerme di fronte al potere di pochi, di far sentire le persone insicure e di condizionare il loro pensiero / comportamento.
Questo è lo scopo del terrorismo. Non il creare terrore!
Quanto conterebbe una attacco terroristico il giorno prima delle elezioni in America? Come inlfuenzerebbe il comportamento degli elettori?
E se invece andiamo ad attaccare il nemico a casa sua e ci fossero molte difficoltà? come influeza l’opinione pubblica? come cambiano le scelte di politica estera nel mondo?
Paragrafo 2.1 e 2.2
Quello che elenchi non è quello che vogliono i terroristi, ma semplicemente un effetto collaterale su questo siamo d’accordo.
Volevo citare un esempio: Monaco 1972 e Settembre Nero
Copio da Wiki la parte tra “”
“Il terrorismo fa la sua comparsa ai Giochi. Il 5 settembre un commando di terroristi palestinesi irrompe nel villaggio olimpico, uccide due componenti della squadra olimpica israeliana e ne prende in ostaggio altri nove. Il tentativo di liberazione da parte delle forze dell’ordine finisce in un bagno di sangue: muoiono tutti gli atleti, cinque terroristi ed un poliziotto. L’episodio diventa noto come massacro di Monaco”
La reazione di Israle fu di ordinare al Mossad, il servizio segreto israeliano, di eliminare tutti i dirigenti della Olp e del Fplp che avevano partecipato all’azione di Monaco, ovunque sitrovassero, in Europa o nel Mondo.
Il Mossad uccise più di dieci leader della guerriglia palestinese in Europa e a Beirut, molti dei quali non furono “uccisi per strada” ma vennero uccisi mettendo delle bombe nelle loro case (e facendole esplodere al momento più opportuno), andando di notte nel loro appartamento in un giorno qualunque.. tutto ciò per creare un clima di terrore e di insicurezza nei dirigenti di Settembre Nero tali da far cessare le azioni contro gli israeliani all’estero come effetivamente è poi avvenuto.
In questo caso il sillogismo
* Il problema T è noto a tutti, la soluzione offerta C.
* T è spaventoso
* allora C è giusto.
non funziona. Il controllo può essere una misura cautelare in patria non è la risposta al terrorismo facciamo attenzione!
Paragrafo 2.3 e 2.3.1
Non ho nulla da aggiungere.
CAPITOLO 3
Paragrafo 3.1.1
Un giorno quando convergerà la telefonia fissa e mobile su ip avremo un sacco di indirizzi ip (probabilmente ipv6) e ci connetteremo tramite hotspot wifi o wimax (più o meno liberi) o utenti sharatori di banda, allora sì che sarà veramente difficile capire “chi-ha-fatto-cosa” su internet.
Cambio di Ip da un terminale ad un altro, mac addess modificati, identità rubate, hijacking di sessioni, reti non protette usate per Ddos etcc.. sono questi i pericoli a cui andremo incontro e il deterrente sarà veramente minimo se non cominciamo a “incrementare la sicurezza telematica”.
Paragrafo 3.2
Nulla da dire
Paragrafo 3.3
Concordo sul fatto che alla sicurezza del tuo pc devi badarci tu stesso se vuoi garantirti un livello di protezione decente… e che antivirus e firewall non basteranno. Del resto banalmente in una rete aziendale con un hub si può leggere il traffico altrui… ma in quanto lo sanno?
Ovviamente lo sanno gli interessati… il 99% degli utenti userà web censurato ed e-mail monitorate? ma per loro non è un problema. Se lo fosse cercherebbero di spostarsi nell’1%. Tornando al discorso del terrorismo è sufficiente monitorare l’1% per verificare la bontà dell’utilizzo di tali sistemi (non prendetela come una sorta di Evil bit stile RFC 3514).
Paragrafo 3.4
Concordo sul fatto che lasciamo in giro troppi dati in modo più o meno volontario e che questi potrebbero essere usati contro di noi.
Il problema principale però non è tanto il fatto in sè che google abbia salvato da qualche parte la mia cronologia delle visite internet, ma il fatto che se qualche persona entra nel server di google ha in mano i dati di tantissime persone.
Un utente medio si iscrive a vari tipi di servizi internet su vari siti internet più o meno affidabili; il problema sta in quando uno di questi siti viene buttato giù e vengono rubate le pwd degli utenti (che avranno lasciato anche le loro email e al 70% dei casi vi assicuro che la pwd hashata in md5 che decripterete dal db mysql del sito è la stessa che l’utente-utonto usa per leggere la mail). Questo è il vero problema. Io mi fido della bontà dell’amministratore / gestore del sito ma in caso di attacco i miei dati che fine fanno?
Paragrafo 3.4.1 3.4.2
Nulla da aggiungere
Paragrafo 3.5
Non ritengo possibile / attuabile un tentativo di divieto di uso della crittografia. Anzi penso che sarà da lì che verrà la soluzione attraverso firme digitali dei pacchetti spediti in rete… del resto all’autorità credo interessi non tanto il contenuto criptato di un messaggio quanto il sapere chi è il proprietatio di un pacchetto che ha come indirizzo di destinazione un indirizzo ip sospetto ed esempio.
Come tutte le cose dipende dall’utilizzo che se ne fa (ho detto utilizzo proprio per differenziarlo da uso eg. uso la penna per scrivere mentre utilizzo la penna per aprire una lattina).
CAPITOLO 4
Paragrafo 4
Il caso di Perugia recentissimo dimostra come invece le indagini durate due anni hanno portato all’aresto dell’imam. La prevenzione e l’intercattazione in questo caso hanno funzionato. Non so se ne abbiano profilato il comportamento o che cmq.. il fatto di essere una persona potenzialmente più incline ad intenzioni terroristiche rispetto al Sig. Mario Rossi è un ottimo parametro per capire a chi e a che cosa possiamo / dobbiamo prestare attenzione.
Una volta decisi i parametri di filtro delle identità da controllare è necessario procedere per acquisire delle prove e tracciare una rete dei contatti .. che pare proprio essere quello che è avvenuto a Perugia.
(ndr: http://www.rai.it/news/articolornews24/0,9219,4556965,00.html)
Attualmente credo che la sicurezza non possa essere intesa nella sua accezione latina di essere o arrivare in uno stato “senza preoccupazione” ma coincida con “prevenzione mediante controllo” rispetto a comportamenti e/o situazioni che possano generare pericolo.
August 2nd, 2007 at 10:58 am
Grazie Gabo per il commento :) e’ il primo un po’ completo che ricevo a questo riguardo.
riguardo il paragrafo 1… la frase che hai riportato (essendo nel testo evidenziate in grigrio) non era mia:
“E, infatti, la sicurezza e la privacy sembrano coagulare […];”
dalla quale rispondi:
Tu affermi che vengono dati per scontati due elementi: la determinzazione della fonte dalla quale proteggersi e i maggiori controlli di prevenzione.
Ho iniziato a commentare il tutto da quella frase perche’ i dubbi che m’ha sollevato erano pressoche’ simili ai tuoi.
Tutto il documento e’ nato leggendo un intervista su Gnosis e le parti evidenziate sono copiate a mo di citazione da quella fonte.
Comprendo il tuo discorso -pratico- sul fatto che:
“Dato che cmq tutti gli attacchi di scala internazionale sono stati portati avanti ed eseguiti da islamici ci permette di dire con sicurezza che “filtrare” queste persone può essere un metodo efficace. Il paradigma è il solito del: non tutti gli islamici sono terroristi internazionali, ma tutti i terroristi internazionali erano istlamici.”
Altri eventi partendo da presupposti di base diversi possono invece basarsi su una certa corelazione e pertanto se l’evento è premeditato-organizzato ci sono probabilità di venirne a capo maggiori.
D’accordo, naturalmente l’intelligence se funziona bene riesce a prevedere i problemi in relazione ai rischi esistenti, non puo’ fare fronte a tutti i problemi. Si sta pero’ collidendo su due aspetti: l’intelligence pratica, della quale conosco anche poco e non posso obiettare, e le leggi promulgate per aiutarla.
Dal punto di vista pratico esistera’ chi si appoggera’ a gruppi criminali per ottenere informazioni, chi fara’ indagini senza un decreto, e’ sempre stato cosi’ e se necessario puo’ anche andare cosi’.
Dal punto di vista etico pero’, la promulgazione di leggi che sembrano fatte per favorire l’intelligence quando realmente non lo fanno, va solo contro l’interesse dei cittadini. Una cosa e’ l’esistenza delle intercettazioni illegali, l’altra e’ legalizzarle tutte.
Quello sul quale mi focalizzavo non voleva essere una critica ai sistemi di intelligence, quanto alle leggi che promulgano il controllo su una rete a tecnologia aperta. L’esempio delle svariate possibilita’ d’attacco stava ad indicare quanto non si possa dare per scontata una problematica, e quindi ancor meno una soluzione. Utilizzare l’effetto del terrorismo islamico per motivare questa soluzione e’ quello che critico. Poi, che l’intelligence tradizionale si focalizzi su un problema reale piuttosto che su un problema teorico, tanto meglio :)
La rete GSM e’ una rete chiusa perche’ la tecnologia che la regola e’ segreta. L’intelligence fa parecchio affidamento su analisi derivate dei traffici telefonici (descrizione delle reti socili, poisizioni, e anche contenuti se non sono cifrati), ma se la rete GSM fosse aperta, questo tipo di analisi sarebbe molto meno rilevante.
August 2nd, 2007 at 12:15 pm
Gabo, riguardo il Paragrafo 1.1
Tocchi un aspetto interessante, il “chi controlla i controllori”. E il fatto che citi VeriSign e che, in quanto entita’ che si e’ dichiarata neutrale e fidata.
Inoltre ti chiedi del sistemista, del furto della chiave, ecc…
Attualmente la tecnologia consente di:
. fare in modo che un’entita’ possa essere riconosciuta fidata da altre entita’
. fare in modo che i dati siano accessibili esclusivamente al destinatario scelto
Ma attualmente mi sento come tra un gap tecnologico generazionale. La tecnologia corrente consente una comunicazione tra tutti gli elementi che prima non era possibile. Si e’ sempre fatto riferimento a strutture gerarchiche (come VeriSign) affinche’ i pochi riconosciuti possano fungere da entita’ fidate. E’ cosi’ anche con i media main stream, hanno il cattivo effetto collaterale di creare lobby. VeriSign = x509, sistema di certificazione gerarchico. GPG = sistema di certificazione a rete distribuita. se conosci qualcuno che si e’ fidato di X, e ti fidi di X, ti puoi fidare anche di quel qualcuno. magari c’ha lasciato pure un commento.
Mancano questi protocolli e implementazioni di cui parlo. probabilmente risolverebbero questo problema, magari ne introdurrebbero altri. per ora non ci sono :)
Mi sembra siamo concordi fino a:
Vorrei mettere in chiaro che le telecamere in metropolitana non sono una violazione della privacy in quanto è un luogo pubblico e in quanto una persona sa benissimo che essendo in pubblico può essere vista da persone / macchine fotografiche / telecamere… il tutto è solo un meccanismo di sicurezza qua la privacy c’entra come i cavoli a merenda.
Perche’ di fatto la mia presenza nei luoghi pubblici significa non presenza altrove, significa essersi spostati da dei luoghi di interesse facilmente contestualizzabili per la singola persona, ecc… C’e’ una tecnologia http://www.schneier.com/blog/archives/2007/06/surveillance_ca_4.html che consente di “cifrare i volti” affinche’ si possa fare correlazione degli spostamenti, si possano decifrare i contenuti da parte degli organi di competenza, ma i dati delle videoregistrazioni non siano rivendibili dalla societa’ terza alla quale viene dato in outsurcing (i quali tecnici ricevono strani regali da parte di una societa’ di indagine privata :)
August 4th, 2007 at 2:30 pm
L’argomento mi ha interessato e ho letto “L’approccio giuridico al fenomeno del terrorismo” che linko:
http://www.sisde.it/sito%5CRivista28.nsf/servnavig/5#(2)
La parte a metà pagina è forse la più interessante quando parla di “DICHIARAZIONE SULLA LOTTA AL TERRORISMO” e cita alcune delle misure legistative.
Si parla anche del sistema d’informazione Schengen (SIS) di cui ho letto il documento:
http://eur-lex.europa.eu/LexUriServ/site/it/com/2005/com2005_0230it01.pdf
Magari possiamo commentarli.
Cmq il problema che sollevavo è a priori, indipendentemente da usare Verisign piuttoto che GpG, perchè non è tanto il problema di identificazione chiave pubblica-proprietario che mi faceva riflettere. Magari (probabilmente) sono paranoico, ma la cosa che mi lascia perplesso è proprio il fatto della generazione e distribuzione dei polimomi generatori associati alle chiavi ad esempio in RSA… chi mi dice che la chiave privata sia data solo a me e che il server/entità che me l’ha assegnata non sia stato prima soggetto ad un attacco che ne ha minato l’integrità (a parte forse gli hash degli eseguibili il sistema mi pare scricchiolante)? o chi mi garantisce che l’autore del sistema di distribuzione delle chiavi non sia in grado di visualizzare e/o salvare le chiavi private prima dell’assegnazione? era questo il problema che mi ponevo sostanzialmente nei sistemi a chiave pubblica… magari è banale ma al riguardo non ho trovato mai nulla per poter approfondire :-(
Cmq il fatto delle telecamere che possano riconscere le persone è preoccupante.. ma pensandoci bene già mi loggano con RFID in metro e sanno dove salgo e (probabilemtne) scendo, arrivo al lavoro / scuola e passo il tesserino magentico per accedere… uso il tom tom in macchina che è associato al numero seriale del mio telefonino che è associato alla Usim… la tim tramite triangolazione potrebbe sapere in quale cella sono e restringere l’area a pochi km….la telecamera potrebbe essere superflua a questo punto :-)
ciao!
August 23rd, 2007 at 11:43 am
Doh, si sente che e’ estate, riesco a tardare su queste risposte di un mese :P
@Gabo, Paragrafo 1.3
“non e’ una legge ad impedire la frode, ma l’impossibilita’ del suo compimento”.
Pensa al denaro, da migliaia di anni e’ un’unita’ di baratto standard di facile trasporto. se la sottrai ad un possessore diventa tuo. questa e’ la base del furto.
Pensa se l’equivalente anonimo fosse in un circuito rfid sotto pelle (no, non pensare ai lati negativi, quelli possono essere mitigati, pensa ai lati positivi). per cui solo tu puoi impostare tramite una procedura (simile al caricamento di una postepay) una somma, e poi poco a poco scaricarlo inserendo una password e simili. Esisterebbe ancora il furto ? si, in linea di massima, ma si sta rendendo impossibile il furto monetario vecchio stile.
Il problema del denaro e’ la sua tangibilita’, lo rendi intangibile e almeno quel problema e’ risolto.
Il problema degli attacchi ai mezzi pubblici e’ che tutti ci possono salire e ci sono tante persone a bordo. se ci si muovesse in ovovia per Milano ? quel problema sarebbe risolto. Certo, ci sarebbe un punto critico, ma in linea di massima se si risale alla natura del problema, e lo si mette in discussione, si possono trovare delle soluzioni alternative.
@Gabo, Paragrafo 2
Terrorismo e’ una metafora, particolarmente abusata negli ultimi anni. cosa voglia dire con precisione credo che pochi lo sappiano, sicuramente tutti hanno una loro idea, e ancor piu’ sicuramente la lotta al t. sta diventando il lascia passare per ogni cosa. C’e’ un libro molto bello a riguardo:
http://www.nuovimondimedia.com/sitonew/modules.php?op=modload&name=News&file=article&sid=1887
http://www.jacopofo.com/?q=node/1613
Se ho azzardato una definizione, non voleva essere assoluta.
@Gabo, Paragrafo 3.1.1
Il fatto che la tech aumenti di complessita’ e di ampiezza d’uso e’ solo un bene, la tech arrivera’ a sostituire quelle che sono le comunicazioni personali tra elementi. Chi avra l’infrastruttura (anche se puo’ sembrare strana questa affermazione) non avra’ possibilita’ alcuna di controllare l’operato di chi conosce la tecnologia. avranno molte piu’ possibilita’ i produttori di software invece, proponendo i default e quindi gli usi standard di queste tecnologie. in ogni caso, a me non interessa che le reti siano sicure :) mi basta siano libere.
@Gabo, Paragrafo 3.3
Il discorso del 99% lo sento da anni, faccio parte di quell’1% e continuo a trovare gente che ai nostri convegni, conferenze, seminari minchiate articoli ecc… e’ interessata e quello che manca e’ l’informazione, i software, la consapevolezza. di quel 99% me ne posso anche fregare, c’e’ chi guarda il tg4 in questo mondo, e’ ovvio che il masochismo non ha limite :) ma e’ quell’1% al quel penso quando scrivo queste cose, non si puo’ ambire a far aumentare questa quantita’, ma si puo’ dare loro la formazione e gli strumenti.
@Gabo, Paragrafo 3.4
L’utente utonto finche’ rimane tale accetta il destino digitale che gli spetta :) Chi non lo accetta ha la soluzione in mano. Rendere queste soluzioni il default sarebbe un “favore non richiesto” agli utenti utonti. se la loro massa impatta anche su di noi, diventa anche nostro interesse che essi siano protetti.
@Gabo ultimo tuo post:
La differenza tra VeriSign e l’uso di certificati X509 e’ che sono di natura piramidale (chi e’ sopra di te puo’, parzialmente, ma considerando le implementazioni correnti completamente, compromettere la tua identita’). Le chiavi PGP sono a rete distibuita, il trust e’ mono o bidireazionale e da piu’ entita’, non esiste nessuno “sopra di te”. Crittograficametne RSA puo’ dare dei dubbi ? no problem, esistono implementazioni di ECC per entrambi i protocolli.