Re: [Hackmeeting] obiettivo delle tecnologie d'anonimato

Delete this message

Reply to this message
Autor: vecna
Data:  
Dla: hackmeeting
Stare tematy: Re: [Hackmeeting] uso delle tecnologie d'anonimato
Temat: Re: [Hackmeeting] obiettivo delle tecnologie d'anonimato
jilt, sono molto interessanti gli aspetti spiegati da gibson e le tue
considerazioni relative.

faccio considerazioni senza quotare:

. il codice aperto e' l'argomentazione piu' efficace da usare per
spiegare la sicurezza e per diffondere la fiducia nel software aperto/la
sfiducia nel software chiuso. va sempre usata come riferimento :P

. diventa piu' difficile tenere un segreto: ma si sta parlando di
informazioni che prima sarebbero rimaste legate alla nostra rete piccolo
mondo circostante, mentre ora sono diffuse world wide. c'e' da
considerare che si parla di un contesto (gli amici ? i colleghi ?) nato
in ambiente fisico che, entrando nel mondo virtuale, ha goduto di
visibilita' inaspettata.

diventa pero' possibile immaginare che, nelle relazioni che -nascono- in
ambiente virtuale possono non esserci il vincolo legato alla persona
dell'autore.

per questo, se da una parte vediamo flickr/blog/google che condisce il
nostro nome e cognome di dati, vediamo anche la possibilita' (non facile
%27 ?) con la quale si puo' fare qualcosa di anonimo.


jilt:
> Per quanto mi riguarda ho sempre pensato che eccedere con le misure di
> sicurezza/paranoie sia sbagliato di base
> ma che sia giusto utilizzare le tecnologie di anonimizzazione quando c'e'
> necessita'
>
> la necessita' se non sei consapevole dei poteri forti che operano sulla
> rete e dei rischi che questo comporta per al tua privacy (porcoddio 91
> persone che usano gmail in lista? ma leggere il lato oscuro di gugol
> invece delle sclerate di noialtri in lista non farebbe bene alla salute?)
> non c'e', semplicemente.


e poi:

> dubito che un ragionamento sull'interfaccia semplice o complessa di una
> applicazione risolva il problema, quando una persona ha bisogno di dire
> qualcosa anonimamente s'ingegna, anche se la soluzione e' difficoltosa, la
> cosa importante secondo me rimane la condivisione dei metodi e delle
> consapevolezze di rischio per la propria privacy


tengo sempre a mente che la sicurezza e' un benefit che ha un rapporto
di "costo/beneficio". ad esempio:

torrent supporta la crittografia in RC4 per il file sharing. in fase di
handshake puo' richiedere la crittografia dello stream, i client lo
supportano, ma solo il client rtorrent mi da la possibilita', nel suo
file di configurazione, di dirgli "richiedi la crittografia".

rtorrent e' un client con interfaccia su terminale, mentre transmission
e' un client bittorrent che non supporta la crittografia. per me e'
molto piu' comodo usare transmission. e quindi se devo scaricare
qualcosa di comunie usero' quello. se invece e' qualcosa di piu'
riservato usero' rtorrent dovendomi rivedere i comandi ogni volta.

quindi, costi fratto beneficio = per costi si intende la lentezza, i
click di troppo e il peso computazionale, per beneficio la tranquillita'
che percepisci in relazione alla tua percezione del rischio.

. possiamo far alzare la percezione della tranquillita' (ma faremmo
disinformazione, lasciamo che ci pensi la security industry)

. possiamo far alzare la percezione del rischio (e lo facciamo)

. possiamo far diminuire i costi! (piu' diffusione degli strumenti,
migliori interfacce).




>
> qui cito una cosa detta in chat da altri, l'anonimato serve a due cose:
>
> _diffamare
> _proteggere la liberta' di parola in un ambiente repressivo
>
> ...cosa ne pensate?


diffamazione = effetto della liberta' di parola, vista da parte chi
sperava che una notizia non uscisse.

esempio: marco travaglio dice in una trasmissione "sapete, dei mafiosi
hanno confessato di aver ricevuto da berlusconi/dell'utri la conferma a
far saltare falcone". silvio/dell'utri lo hanno citato per diffamazione.
se l'avesse detto su hackmeeting invece non l'avrebbero citato. la
diffamazione e' un punto di vista.

Il problema quindi non e' la dicotomia "se sono anonimo (e non sono in
un regime repressivo) allora sto diffamando", perche' e' una falsa
dicotomia. tipo: "per una maggior sicurezza tutti dobbiamo cedere un
pochino di privacy".

quello che rende "wiky" differente da "www.corriere.it" e' l'autorevolezza.

l'autorevolezza la si crea o tramite fiducia condivisa (tutti guardano
studio aperto = guardo anch'io studio aperto) e tramite rete di fiducia
(un amico mi spiega che studio aperto e' una barzelletta = io inizio a
guardarlo in modo piu' critico).

quindi nasce la sfida:

si puo' avere autorevolezza e anonimato ? l'autorevolezza e' legata a
doppio filo con la profilazione ? l'autorevolezza puo' dipendere da
sistemi non gerarchici, ma dal web of trust e da meccanismi di social
networking ben oliati ?


secondo me si, appena finisco di lavorare, vorrei fare uno strumento che
permetterebbe di testare questa cosa (e il campo di prova sarebbe la
lista hackmeeting)

> perche' creare un surplus di soluzioni?
>
> casomai addattarne una alle esigenze concrete di chi ne ha bisogno...
>
> persino un'identita' multipla puo' servire a questo scopo
> sapete quanti "pitagora" sono stati catturati dall'esercito romano ai
> tempi del loro grande impero?


ma certo jilt, il surplus di soluzioni, dal punto di vista tecnologico,
non e' un bene (pensa alla frammentazione delle reti p2p!). Ma lo e' dal
punto di vista della comunita', e la forma distribuita/(dis)organizzata
a rete di una comunita' internet e' caratterizzata dalla velocita' e dal
dinamismo, per cui anche il numero di soluzioni possibile aumenta.

ad esempio: ci sono vari modi per chattare online in modo anonimo,
invisible irc (IIRC) e hidden service su tor. ma in quanti usano tor per
irc ? in quanti IIRC ? quello che manca non e' la soluzione, ma la
soluzione facile da usare, o una massa critica di una dimensione
raguardevole non la si puo' raggiungere solo con l'informazione, per
questo bisogna rendere comodo l'uso e, forse, e' quello che ci sta
mancando.

a questo pro, mi e' stato detto che l'ultima versione di vidalia fa dei
test automatici per capire se renderti nodo tor middle (cosa che gli
autori di vidalia, fino a un anno fa, non volevano automatizzare) e con
un click diventi exit node. qualcuno l'ha provato ?

pensa se, insieme ad adunanza, il client emule modificato per fastweb,
venisse distribuito vidalia. non perche' la gente faccia peer to peer
anonimo (schianterebbe la rete tor :) ma per il semplice fatto che da un
giorno all'altro il numero di client tor si diffonda esponenzialmente
rispetto al percorso che seguirebbe facendo informazione e
pubblicizzazione di software.

ci tengo a ricordare che l'anonimato, per essere tale -deve essere
diffuso-. l'anonimato si basa, secondo il paradigma delle mix-net, sul
fatto che, alla domanda "chi e' stato ?" la risposta sia "uno di quelli
che usa questa tecnologia". se in un'azienda che ricicla il formaggio
scaduto solo un dipendente usa TOR e si scopre che tramite TOR uno ha
fatto una rivendicazione anonima su un forum, questo non e' anonimo.

inoltre siamo tutti d'accordo che un utente che non conosce una
tecnologia di sicurezza e' meglio che non la usi male... ma secondo me
questo si risolve con un buono studio dei default e usando una
"comunicazione + informazione" sul pannello di configurazione: l'unico
elemento che -ceramente- sara' letto dagli utenti e influira' sul loro
comportamento.

sintetizziamo l'attenzione degli utenti sulle cose pratiche, poi se
vorranno saperne di piu' ci sara' l'informazione: ma l'informatica
cresce per semplicita'.


> uno dei primi nomi multipli della storia era usato soprattutto per
> difendersi da ingerenze esterne da parte dei membri di una comunita'.
>
> fa pensare questa cosa no?


si, ma dove vuoi arrivare ?

noi non stiamo inventando nulla di nuovo...

stiamo solo valutando modi di diffusione e implementazioni non ancora
provati, perche' magari questo faccia raggiugere una massa critica
d'utilizzatori perche' prenda un senso.

o almeno, cosi' lo vedo io, ma del resto, sono uno barbuto :P


quoto qui killer:
>
> e quelli che si rendono conto e se ne fottono, dove li metti?
>


affari loro, ne terrai conto nel valutare il contesto di rischio.

ciao ciao,
v