Re: [Hackmeeting] documentario su spyware italiani

On 4/20/17 15:13, ginox wrote:
> che bello. allora cmq vada sara' un successo. siamo in una botte di ferro.

Bhe no, siamo comunque in una situazione non positiva (perchè c'è
vacazio legis, ovvero ogni operatore di giustizia "oggi" fa come gli
pare), ma almeno siamo in una condizione migliore di quella inglese o
americana o francese o spagnola dove la legge con un colpo di penna ha
legittimizzato il "fate un po' come ve pare".

>
> timeo Danaos et dona ferentes
>
> Ho riletto di nuovo questa disciplinare tecnica ma continuo a non
> vedere una parte dedicata al vettore di infezione se non molto generica
> in cui non c'e' posizionamento in merito agli zero days, cioe' usare
> l'exploit che aveva hacking team per flash, comperato dalla collezione di
> francobolli del signore russo vitaly e la cui operativita', in uno scenario
> tipo mitm con o senza la complicita' di qualche op telefonico, tanto
> sembrava piacere
> nei carteggi di assistenza e scambi email con le fdo, e' ok ?
> Cioe' alla fine e' questo lo scenario che si vuole normare ?
>
> Va bene che le le fdo sappiano che esista una vulnerabilita' che
> potenzialmente da accesso a un sacco di dispositivi e se la tengano
> per se' per usarla alla bisogna sperando che nessuno se ne accorga
> che poi tocca trovarne un'altra ed e' un casino ?

Questo tema è stato ampiamente discusso e sarebbe meritevole di essere
regolamentato ma:

1. Riguarderebbe un altra legge relativo alla responsabilità dei
software vendor e responsabilità delle istituzioni rispetto
all'argomento vulnerabilità, quindi NON può entrare nel merito di una
norma che si limita a modificare il codice di procedura penale per
regolamentare uno strumento investigativo

2. Nel codice di procedura penale nessun "giurista" farebbe mai entrare
un limite operativo al "come si fanno le cose"

3. Gli operatori di giustizia non usano "zero days" nè normalmente
vulnerabilità, questi sono miti da intelligence america per 2 motivi:
3.1 Non hanno i soldi per comprarli, quindi non li usano
3.2 Nel 99% dei casi usano accesso fisici e ingegneria sociale
(secondo il fatto che i criminali non sono normalmente stra intelligenti)

Per i due motivi succitati i temi legati alla regolamentazione e
responsabilizzazione in merito alle "vulnerabilità" sono abbastanza
distanti dal tema di regolamentazione dei trojan.

>
> Anche nel documentario zero days, che pure non ha un piglio per nulla
> rivoluzionario, e si conclude con un sacco di appelli ai trattati
> internazionali,
> si fa riferimento alla necessita' di un dibattitto pubblico a riguardo.
> Pero' non c'e' traccia di una riflessione su queste tematiche,
> si dice che il vettore di infezione non deve abbassare la
> sicurezza del dispositivo, che vuol dire ? che non devo rootare il
> cellulare se non lo e' gia' ?

Dice che, fatto salvo per l'installazione/inoculazione, il trojan non
deve ridurre le misure di sicurezza del device. Quindi vedi che se ho il
firewall attivo e va' disattivato durante l'installazione, devo
riattivarlo, idem per l'antivirus o altre misure di sicurezza che
c'erano prima della installazione del trojan.

Questo è un "principio" che serve a preservare la sicurezza e privacy
del soggetto investigato rispetto a terzi, per quanto ponga dei limiti
operativi e possa essere oggetto di parziale agiramento, è un principio
sano e un principio che può essere peritalmente difeso in giudizio dalla
difesa.

[snip]

Spero di avere fornito una panoramica, ad ogni modo il testo sarà
sicuramente ulteriormente migliorato con i feedback accessnow e PI, ci
sono tante cose aperte, cmq oh, la sintesi è riuscire a diparane la
complessità e l'interesse di tutti gli stakeholders coinvolti in questo
ambaradam cercando di tenere fermi alcuni principi di tutela dei diritti
civili, poi antani...!

Fabio