Re: [Hackmeeting] documentario su spyware italiani

Delete this message

Reply to this message
Autore: Fabio Pietrosanti (naif) - lists
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] documentario su spyware italiani


On 4/21/17 18:23, ginox wrote:
>>> Il 21/04/2017 11:11, Fabio Pietrosanti (naif) - lists ha scritto:
>>>> 2. Nel codice di procedura penale nessun "giurista" farebbe mai entrare
>>>> un limite operativo al "come si fanno le cose"
>>>
> pero' quello sul non modficare la sicurezza del dispositivo e' un limite
> operativo, no ?


Eh no, perchè quello riguarda la tutela di un principio, ovvero di
salvaguardare la sicurezza del "domicilio informatico" e non il "come si
fa in modo specifico una certa cosa" .

[snip]

> ma le metafore pero' non aiutano in questo caso, perche' il veicolo di
> infezione
> nel caso sia software fa parte del software, cioe' se il codice che viene
> depositato e' solo l'agente, ma l'infezione avviene tramite un exploit
> di qualche
> tipo, io che garanzia ho che prima dell'installazione del captatore non sia
> stato fatto altro ? da tutti questi log citati di qua e di la' ok. e
> allora pero'
> ci staranno pure i log di come e' avvenuta l'installazione e quindi se io
> fossi un perito di parte della difesa vorrei vedere anche il codice
> relativo al veicolo di infezione,
> perche' voglio verificare che faccia quello e solo quello, cosi'
> come si parla della conservazione dei dati perche' hanno a che fare con
> il giochino,
> allora si dovrebbe parlare anche delle altre componeti software che lo
> riguardano.
> cioe' io che ne so che il payload dell'eventuale exploit fa solo
> l'installazione di qualche pezzo dell'agent e solo quello se non posso
> vedere il codice relativo.
> Cioe' non e' una metafora valida per esempio exploit = grimaldello per
> aprire
> la pora e mettere i microfoni dietri al frigo, perche' il grimaldello
> non puo'
> inquinare la prova, ma invece il software che agisce su un oggetto
> software si'.
> Poi capisco che uno dica che e' difficile far passare limiti operativi e
> se uno
> ne parla poi quegli altri si prendono male e non ti considerano.
> Era quello che dicevo sul fatto che ti siedi ad un tavolo di trattiva
> con l'uomo
> con il fucile, ma lui conta di piu'.
> cmq prenderemo atto dei risultati a breve, credo, no ?


C'è un errore di fondo nel ragionamento rispetto all'inquadramento
giuridico e il "cosa si può fare con il codice di procedura penale".

Cioè stante quanto proposto nella proposta di legge, la raccolta
informativa è selettiva ma sopratutto avviene solo dopo che il captatore
è stato autorizzato, instanziato e quindi in ultimo inoculato.

Nel disciplinare tecnico proposto dalla instanziazione alla inoculazione
ci sono registri/log tamper-proof e con integrità temporale disponibili
alla difesa di tutto ciò che ha fatto il captatore, ovvero le
operatività che possono avere effettuato la raccolta informativa.

Essendo la "raccolta informativa" l'unica cosa che può venire de-facto
autorizzata secondo i vari articoli del codice di procedura penale (cioè
che va a restringere le libertà individuali), l'iter e processo di
raccolta è garantito (ma ottimi commenti e critiche su come migliorare
la proposta di disciplinare tecnico o la norma o le procedure operative
allegate).

Ne consegue che andare a verificare o regolamentare in modo stringente
il come tecnicamente è stato inoculato un captatore non fornisce nessuna
garanzia o diritto aggiuntivo al soggetto vittima delle indagini, poichè
la metodica inoculativa usata (sia un cavo sul telefono, un boot da
cdrom o un exploit) non effettua alcuna raccolta informativa, ma è
strumentale ad essa.

Ad ogni modo la proposta di legge, rispetto allo status quo, richiede
due cose fondamentali che impattano gli aspetti "inoculativi":

a. Obbligatorietà di avere provato ogni altro mezzo ragionevole di
raccolta della prova prima di richiedere al giudice l'autorizzazione

b. Richiesta specifica e argomentata sul cosa si vuole fare e come si
vuole fare, nel richiede il decreto autorizzativo al giudice (non
ricordo le "esatte" parole giuridiche ma sono molto vincolanti nel
dovere argomentare il cosa si richiede autorizzazione di volere fare,
incluso il come riuscire a inoculare il captatore).

Sarebbe stato bello ma è sostanzialmente *impossibile* nella
regolamentazione dell'uso del captatore informatica andare a
regolamentare in dettaglio i mezzi con cui si possono inoculare i captatori.

Per fare quello servirebbe un altra legge, e dovrebbe riguardare la
responsabilità dei soggetti della società, dai privati produttori al
governo ai ricercatori, rispetto al trattamento delle vulnerabilità del
software che possano ledere ai diritti di cittadini e imprese.

Fabio