Autor: Marco A. Calamari Data: A: hackmeeting Assumpte: [Hackmeeting] OT: e-privacy 2010: pubblicati programma ed abstract
Il 28 e 29 maggio a Firenze in Palazzo Vecchio (Sala della Miniatura) si
svolgera' l'edizione 2010 di e-privacy , il convegno dedicato ai
problemi della privacy nell'era digitale.
Sono disponibili il programma del convegno e gli abstract degli
interventi.
La sede del convegno, Palazzo Vecchio e' il Municipio di Firenze in
Piazza della Signoria 1.
E' facilmente raggiungibile, 5 minuti a piedi, dalla stazione
ferroviaria di Santa Maria Novella, dove e' anche possibile arrivare in
automobile, utilizzandone il parcheggio sotterraneo.
Dall'aereoporto Amerigo Vespucci sono disponibili taxi (10 minuti ca.)
od autobus dedicato (costo 4 euro, partenze ogni 30 minuti).
La partecipazione e' libera ma la capienza della sala e' limitata; si
consiglia quindi di effettuare la preregistrazione inviando una mail
all'indirizzo iscrizioni-eprivacy@???.
=== Premio Big Brother Award Italia 2010
Durante il Convegno, nella mattinata di sabato, avverrà la cerimonia di
consegna dei Big Brother Award Italia 2010.
Questo premio internazionale, che si tiene da 13 anni nei principali
paesi europei ed extraeuropei, è un premio in negativo (come il noto
"Tapiro d'oro") che viene assegnato a quelle persone, associazioni e
tecnologie, che peggio hanno fatto alla privacy degli italiani
nell'ultimo anno. Il BBA nel 2009 e' stato assegnato in 8 diverse
nazioni inclusa l'Italia.
=== Tema dell'edizione 2010 - Deanonimizzazione e Censura
Hanno sbagliato tutto? Abbiamo sbagliato tutto??
L'anonimizzazione dei dati personali tramite la rimozione di dati
identificativi e' una delle pietre fondanti del quadro tecnico e
legislativo, sia italiano che comunitario ed internazionale. Dati
personali e sensibili anonimizzati vengono abitualmente elaborati,
scambiati e commercializzati in maniera legale anche in Italia.
Purtroppo, recenti progressi nelle tecniche di incrocio di dati
personali, ben riassunte nella recente paper di Paul Ohm "Broken
promises of privacy: responding to the surprising failure of
anonymization" hanno non scosso ma abbattuto completamente l'edificio
tecnico-normativo della 196/2003 che considera l'anonimizzazione la piu'
sofisticata barriera eretta a difesa dei dati personali e sensibili.
Se ne saranno accorti, o meglio se ne vorranno accorgere, gli addetti ai
lavori?
E pur confidando che il Garante per la Protezione dei Dati Personali si
sia attivato sul piano tecnico-legislativo, nel mondo reale tecniche
sempre piu' sofisticate di analisi dei dati della Rete rendono non solo
possibile, ma anche economico, costruire banche dati globali di dati
personali e sensibili, reti di relazioni e profili personali.
Si tratta di una raccolta di dati personali e sensibili ottenuta non
violando banche dati superprotette, ma semplicemente assemblando e
fondendo archivi del tutto leciti, facilmente disponibili ed
apparentemente abbastanza innocui.
Aziende molto lontane dall'attenzione anche degli esperti del settore
producono e vendono sofisticati prodotti e servizi di ricostruzione del
traffico di rete, che permettono di estrarre intelligence e dati
personali direttamente dai flussi dati a livello dei provider.
Se a tutto questo aggiungiamo l'enorme mole di dati personali e
sensibili che dalle comunita' sociali come Facebook e Twitter si sta
riversando in basi di dati private, e' facile ipotizzare che se il
"Database di Tutti" ancora non esiste, certo ne esistono molte versioni
parziali sparse in giro per aziende, agenzie e enti pubblici.
Ma nonostante la tendenza a disinteressarsi della propria privacy in
cambio di comodi servizi gratuiti imperversi, una minoranza di utenti
continua a studiare, programmare e diffondere servizi e software per la
protezione dei dati personali.
Una protezione che si dimostra essere essenziale in regimi a bassa
democrazia, come hanno mostrato anche sui media le vicende Cinese,
Iraniana, Tibetana e Birmana, e che gradualmente diventa necessaria
anche per gli utenti occidentali, che si trovano o limitati nell'uso
della Rete o spinti ad esercitare i loro diritti in rete in recinti che
possono essere e sono completamente monitorati e tracciati .
Ma non c'e' bisogno di spostarsi da nostro paese per scoprire una
nazione in cui la struttura della stessa Rete e' stata sovvertita al
fine di permettere censure estese alla generalita' della popolazione ed
a qualsiasi forma di espressione che utilizzi il web.
Il disinteresse e la totale disinformazione della gran parte di coloro
che pure operano quotidianamente nella Rete verso queste situazioni
legislative e tecnologiche rende il quadro italiano identico a quello
dei predetti "paesi a democrazia limitata'.
===== orario venerdi' 28 maggio
09:00 - 09:20 ----- Registrazione partecipanti
09:20 - 09:30 ----- Saluto degli organizzatori - Consiglio Comunale
09:30 - 10:00 - Deanonimizzazione: cos'e' e perche' nessuno ci aveva
pensato prima - Marco A. Calamari - Progetto Winston Smith
10:00 - 10:45 - Airport Guantanamo - Alberto Cammozzo
10:45 - 11:00 ----- break
11:00 - 11:45 Il Futuro della Privacy - Monica Gobbato - Studio Gobbato
11:45 - 12:30 - Rosencrantz, Guildenstern, Bayes e ????? sono morti,
ovvero il falso positivo della lotta al terrorismo - Emmanuele Somma -
Agora' Digitale
12:30 - 13:00 - Trattamento dei dati personali per ulteriore finalita':
sfide alla privacy - Mario Viola de Azevedo Cunha, Danilo Doneda,
Norberto Andrade - Istituto Universitario Europeo di Firenze
13:00 - 14:30 ----- pausa pranzo
14:30 - 15:15 - Surviving Your Phone: Protecting Mobile Communications
With Tor - Marco Bonetti - Slackware.it
15:15 - 15:45 - Diritto all'oblio o oblio del diritto? - Guido Scorza -
Istituto per le politiche dell'innovazione
15:45 - 16:00 --- break
16:00 - 16:45 - Anti-Forensic: sono davvero un fuorilegge? - Alessio
L.R. Pennasilico aka mayhem, Daniele Martini - Alba S.T. s.r.l
16:45 - 17:30 - Credible and Ubiquitous Anonymity (in inglese) Carolyn
Anhalt - TorProject.org
==== orario sabato 29 maggio
09:30 - 10:00 - Behavioral privacy, ovvero quando i comportamenti
rivelano molto di piu' di quanto si creda - Pierluigi Perri
10:00 - 10:30 - Net or Not Neutrality - Giuseppe Augiero - Gulp (Gruppo
Utenti Linux Pisa)
10:30 - 11:15 - Anopticon l'inversione del Panopticon - Epto -
Tramaci.org, progetto Anopticon
11:15 - 11:30 ----- break
11:30 - 12:30 - consegna Big Brother Awards Italia 2010
12:30 - 13:00 - Mixminon.it: il ritorno - Giovanni Federighi -
Mixminion.it project
13:00 - 14:30 ----- pausa pranzo
14:30 - 15:00 - L'habeas data: da frontiera pionieristica del diritto a
stazione di tappa - Monica A. Senor - Studio Legale Catalano Penalisti
Associati
15:00 - 15:30 - L'AGCOM e i poteri di sorveglianza e monitoraggio degli
ISP - Carlo Blengino - Studio Legale Catalano Penalisti Associati
15:30 - 16:15 - Anonimato di Stato - Andrea Rossetti
16:15 - 16:30 ----- break
16:30 - 17:15 - Uso e abuso della PGP web of trust: potenzialita' e
rischi di un modello di fiducia semidecentralizzato - Tommaso
Gagliardoni
========== dettaglio interventi
Marco A. Calamari - Progetto Winston Smith
Deanonimizzazione: cos'e' e perche' nessuno ci aveva pensato prima.
Deanonimizzazione. Un esempio pratico. Cosa crolla nella 196/2003. Cosa
cambia qualitativamente nella profilazione. Deanonimizzazione e
paranoia: prospettive di qui a 5 anni.
Alberto Cammozzo
Airport Guantanamo
L'applicazione dei body scanner negli aeroporti puo' essere vista come
un fatto isolato, come un'altra tecnologia piu' o meno efficace
applicata alla sicurezza. Tuttavia e' possibile dare una diversa lettura
alla crescente invasione della privacy da parte
sicurezza aeroportuale, alla quale poche voci si oppongono, e
flebilmente. L'aeroporto e' un luogo di frontiera ove si sperimenta un
potere cui i soggetti si sottopongono se non volentieri, almeno di buon
grado, accettando, in nome della sicurezza e in cambio della liberta' di
volare, compromessi consistenti. Una volta introdotti ed accettati
negli
aeroporti, e' lecito aspettarsi che questi processi di controllo
verranno applicati anche fuori.
Ma come e' possibile che nell'aeroporto avanzino senza inciampo pratiche
cosi' lesive della privacy senza che nulla vi si opponga? Queste pagine
cercano di rispondere a questa domanda legando tra loro piccoli e grandi
stati di eccezione, quali i fatti ben piu' gravi della prigione di
Guantanamo. Per quanto abissalmente distanti, Guantanamo e la sicurezza
aeroportuale condividono non solo l'origine, per essere entrambe la
risposta agli attentati terroristici del 2001, ma anche alcune tecniche
di "governo meccanico degli uomini", o behaviour management, per cui un
insieme di comportamenti di sottomissione (quali quelli impliciti nei
body scanner) vengono fatti passare ed accolti come naturali,
appropriati al contesto, parte dell'ambiente.
Monica Gobbato - Studio Gobbato
Il Futuro della Privacy
Il Documento dei Garanti europei sul futuro della Privacy.
L'introduzione di nuovi strumenti di risoluzione delle controversia..
L'obbligo giuridico di "dimostrare" di aver adottato le misure di
sicurezza.
La notifica della violazione ai sensi della direttiva 136/2009.
Emmanuele Somma - Agora' Digitale
Rosencrantz, Guildenstern, Bayes e ??????? sono morti, ovvero il falso
positivo della lotta al terrorismo
La statistica bayesiana gioca un ruolo molto importante nella
selezione della conoscenza nel mare dei dati che vengono prodotti.
Sempre piu' spesso questi dati sono utilizzati per l'analisi off-line o
on-line di comportamenti potenzialmente delittuosi.
Queste tecniche hanno dei limiti teorici e pratici notevoli e una loro
applicazione non attenta rischia di 'costruire a tavolino' una grande
quantita' di 'falsi positivi', e probabilmente nessun 'vero positivo'.
I cittadini devono essere consapevoli che, nella stragrande
maggioranza, quelle che sono presentate come evidenze scientifiche
sono errori, puri e semplici errori, generati, consapevolmente o meno,
dall'applicazione di metodi probabilistici.
Il talk presenta con esempi molto semplici le idee che sono alla base
della teoria bayesiana e alcuni casi emblematici di (cattiva)
applicazione.
Mario Viola de Azevedo Cunha, Danilo Doneda, Norberto Andrade -
Dipartimento di Giurisprudenza dell'Istituto Universitario Europeo di
Firenze
Trattamento dei dati personali per ulteriore finalita': sfide alla
privacy
Alcuni recenti sviluppi hanno richiamato l'attenzione su alcuni concetti
fondamentali della protezioni dei dati e precisamente sulla sua
tassonomia. La tendenza a considerare i dati anonimi o statistici come
l'esatto contrario del dato personale e, di conseguenza, sottratti a
codesta normativa, e' presente nella stragrande maggioranza delle leggi
riguardanti la protezione di dati.
La possibilita' di deanonimizzazione dei dati insieme alla grande
offerta dei dati personali risultante dal Data Mining hanno non soltanto
creato una nuova categoria - "Big Data", ma hanno anche cambiato
l'approccio al concetto di dato anonimo o statistico, richiedendo il
cambiamento della natura di alcuni degli strumenti e istituti ormai
classici nella protezione dei dati.
Ne consegue che, nuovi criteri devono guidare la utilizzazione dei dati,
siano questi anonimi o meno, per finalita' altre da quelle originare. La
divisioni binaria entro dati personali e dati anonimi viene meno nella
riconsiderazione del concetto dei dati anonimi e dei suoi diversi
profili normativi.
In questo senso, il contributo si propone di identificare i piu'
frequenti usi ulteriori dei dati personali, focalizzandosi sul settore
privato, ed anche i criteri adottati delle autorita' europee per la
protezione dei dati per valutare se un ulteriore uso sia legittimo.
L'articolo sviluppera' anche una distinzione fra i dati personali e dati
anonimi (compresi quelli per scopo statistico) con l'obiettivo di
chiarire quando i dati possono veramente essere considerati anonimi e,
di conseguenza, possono evitare l'incidenza della normativa sulla
protezione dei dati personali.
Marco Bonetti - CutAway s.r.l.
Surviving Your Phone: Protecting Mobile Communications With Tor
L'utilizzo di Tor sui device piu' portabili e strani, quali difficolta'
si incontrano, quali pericoli ci possono essere, che vantaggi porta.
Guido Scorza - Istituto per le politiche dell'innovazione
Diritto all'oblio o oblio del diritto?
Si puo' ordinare per legge a Internet di dimenticare o, ancor meglio, di
non aiutare a ricordare troppo a lungo? Ma soprattutto e' giusto ed
auspicabile perseguire tale risultato?
Sono queste le domande che, negli ultimi mesi, sociologi, storici,
uomini di cultura e legislatori si pongono e pongono in maniera
insistente, pretendendo, a volte, di disporre gia' della risposta.
Diritto all'oblio dunque o oblio del diritto (alla privacy).
L'importante forse non e' dare una risposta (ammesso che esista)
universalmente valida per tutti gli uomini ed i cittadini ma porre e
porsi il problema in modo maturo e consapevole.
Parlando della Rete, scrive Hoog, nel suo libro: "Si tratta, prima di
tutto, di creare un habeas corpus digitale. Fare su Internet nel XXI
secolo lo stesso sforzo che i padri della democrazia moderna hanno fatto
nel XVIII. Reindividuare un diritto all'intimita', una distinzione piu'
chiara tra spazi pubblici e privati che Internet pone a rischio.
L'oblio e' necessario, lontana da me - scrive Hoog - l'idea di
organizzare un'amnesia collettiva ma e' indispensabile restituire ai
cittadini un diritto alla propria storia su Internet. Se bisogna
dedicare tutto il proprio tempo a nascondere il proprio passato e a
scollegare cio' che i computer continuano a collegare in modo
permanente, tutto cio' diventera' infernale.
Diritto all'oblio dunque o oblio del diritto (alla privacy).
L'importante forse non e' dare una risposta - ammesso che esista -
universalmente valida per tutti gli uomini ed i cittadini ma porre e
porsi il problema in modo maturo e consapevole.
Alessio L.R. Pennasilico aka mayhem, Daniele Martini - Alba S.T. s.r.l
Anti-Forensic: sono davvero un fuorilegge?
Anti-Forensic sono le tecniche e gli strumenti che dovrebbero utilizzare
i criminali per nascondere i dati agli investigatori. Purtroppo tutto
quel che viene catalogato come anti-forensic da alcuni viene considerato
strumento di tutela della propria riservatezza... Insane elucubrazioni
di un paranoico, da condividere con chi in sala vorra'... annuire!
Carolyn Anhalt - TorProject.org
Credible and Ubiquitous Anonymity
Using Tor daily: obstacles and perceptions of anonymity in social spaces
on the internet.
Pierluigi Perri
Behavioral privacy, ovvero quando i comportamenti rivelano molto di piu'
di quanto si creda
Negli ultimi anni si sta assistendo a un progressivo interessamento,
piu' che verso il dato personale in se', verso tutte quelle informazioni
dalle quali e' possibile derivare informazioni personali su singoli
individui o gruppi.
Applicando tecniche di data mining, infatti, anche i comportamenti
possono rivelare molti particolari che, qualora fossero richiesti
direttamente all'interessato, questi probabilmente si rifiuterebbe di
comunicare.
Nel corso della relazione verranno quindi illustrati i vari problemi,
soprattutto giuridici, che il ricorso a tali tecniche potrebbero
comportare.
Giuseppe Augiero - Gulp - Gruppo Utenti Linux Pisa
Net or Not - Neutrality
Tutti hanno lo stesso diritto all'accesso della rete Internet. Sono
passati vent'anni dalla nascita del Web, il cui creatore Tim Berners-Lee
non dovette chiedere il permesso a nessuno ne tantomeno ai padri di
Internet (Cerf-Kahn) per far girare la "sua nuova applicazione",
applicazione ormai diventata piattaforma universale in cui non si
discrimina per particolare tipo di hardware o di software, di lingua o
cultura.
Eppure oggi esistono discriminazioni nell'accesso e nell'uso di Internet
non solo dal punto di vista della qualita' del servizio ma anche dal
punto di vista dei contenuti.
La non neutralita' della rete puo' avere motivazioni politiche o
economiche ma in tutti i casi porta a un rallentamento dello sviluppo
(non solo tecnologico) di un paese.
Epto - Tramaci.org, progetto Anopticon
Anopticon l'inversione del Panopticon
Anopticon stato dell'arte. Cos'e' Anopticon.
Analizzeremo assieme il Grande Fratello Veneziano schedato e denunciato
dal progetto Anopticon. Ripercorreremo la costruzione dell'hardware
urbano del Grande Fratello veneziano.
Monica A. Senor - Studio Legale Catalano Penalisti Associati
L'habeas data: da frontiera pionieristica del diritto a stazione di
tappa.
Deanonimizzazione, identificazione biometrica e videosorveglianza
mettono in pericolo i principi fondamentali del diritto alla protezione
dei dati personali tanto che l'habeas data e' ormai da considerare
strumento giuridico necessario ma non sufficiente ad offrire una tutela
piena ai cittadini i quali, oggi, rischiano la compromissione delle loro
liberta' fondamentali.
Giovanni Federighi - Mixminion.it project
Mixminon.it: il ritorno
Verrà descritta sommariamente la situazione degli anonimizzatori del
traffico email. E' giusto decidere di rivitalizzare un progetto di
remailer - Mixminion - attualmente dormiente? Motivi, ideali e stato
iniziale di una neonata scelta: la sua condivisione vi permetterà di
affrontare l'ora di pranzo (e non solo) con più... consapevolezza!
Carlo Blengino - Studio Legale Catalano Penalisti Associati
L'AGCOM e i poteri di sorveglianza e monitoraggio degli ISP
I poteri dell'AGCOM sugli obblighi di monitoraggio e sorveglianza degli
ISP tra protezione dei dati degli utenti e censura. Un difficile
equilibrio che dalla legge istitutiva dell'Autorita' (L.249/97) sino al
D.lvo 44/10 (c.d. Decreto Romani) ha coinvolto progressivamente le reti
di comunicazione elettronica ed internet. Quali garanzie di
compatibilita' con il quadro normativo comunitario?
Andrea Rossetti
Anonimato di Stato
Dopo aver brevemente illustrato il contenuto di alcuni documenti
normativi europei in cui, almeno lessicalmente, la differenza sembra
essere stata recepita, sostengo che il problema oggi non e' piu' tanto
la difesa dei dati personali (che almeno giuridicamente e' compiuta,
anche se spesso non efficace), ma la difesa della privacy dei singoli.
Privacy che deve essere difesa da due distinti categorie di possibili
violatori: i vicini e l'apparato dello Stato. Se da una parte la privacy
nei confronti del vicino deve essere un'impegno di ciascuno, sosterro'
la tesi che, invece, la privacy nei confronti dello Stato si puo'
ottenere solo a condizione che si possa essere, quando lo si desidera,
assolutamente anonimi durante le attivita' in rete; sosterro' che questo
anonimato debba essere garantito dallo Stato stesso (come e' stato
fatto, grazie alla legge Tremonti, per coloro che hanno riportato in
Italia capitali dall'estero) e delineero' una possibile funzione attiva
dell'Autorita' Garante di protezione dei dati personali in questa
attivita' di garanzia.
Tommaso Gagliardoni
Uso e abuso della PGP web of trust: potenzialita' e rischi di un modello
di fiducia semidecentralizzato
Descrizione del modello di fiducia "Web Of Trust" (WOT), sua
implementazione in PGP/GPG, confronto con altri modelli di
autenticazione, discussione su punti di forza, debolezze, potenzialita'
e vaneggi deliranti su attacchi non-standard al modello e possibili
evoluzioni.
Tra i gia' purtroppo pochi che usano quotidianamente sistemi di
protezione della confidenzialita' quali GPG/PGP, sono ancora meno coloro
che fanno uso di una delle features piu' trascurate di questi strumenti:
la web-of-trust (WOT).
La tendenza generale e' infatti sempre piu' spesso quella di affidarsi a
servizi di certificazione centralizzati di terze parti, piu' semplici da
gestire forse, ma anche piu' vulnerabili. Il problema e' persino piu'
generale di cosi': si sta dimenticando sempre di
piu' la struttura profondamente "peer-to-peer" della Rete, e cosi'
facendo ci si espone, e ci si esporra', a conseguenze sempre meno
prevedibili e sempre meno piacevoli.
Nemmeno la WOT di PGP/GPG e' pero' esente da rischi e vulnerabilita'.
Scopo dell'intervento e' quello di analizzare dal punto di vista tecnico
il problema dell'autenticazione personale online ed esaminare pro e
contro dei vari sistemi moderni di autenticazione general purpose, con
una particolare enfasi sul modello WOT, strumento decisamente troppo
sottovalutato e che puo' offrire ancora enormi potenzialita'.