Re: [Hackmeeting] mi fischiavano le orecchie

Delete this message

Reply to this message
Autore: Fabio Pietrosanti (naif)
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] mi fischiavano le orecchie
Il 8/23/13 11:38 PM, Joe ha scritto:
> ?
> Rispondendo civilmente, anche se forse la pochezza del ragionamento non
> lo meriterebbe.
>
> Innanzitutto, il ragionamento "i flussi sono intercettati" vale
> abbastanza chiaramente su una scala che nessuno di noi si immaginava. Il
> che significa che si', i flussi sono intercettati. E' pur vero che le
> mail viaggiano crittate verso chiunque lo permetta. Il che sara' un
> contentino, ma e' meglio di quanto fanno il 90% dei provider commerciali.
>
> Ma tralasciando quelli e passando al restante 10%, il mio ragionamento
> e' - voglio davvero mettere la mia posta nelle mani di qualcuno che:
> a) ha la mia identita'
> b) conserva i log degli ip da cui mi connetto, e di chissa' cos'altro
> c) collaborera' con le forze dell'ordine e con i servizi quando gli
> venga richiesto
>
> A/I (o riseup, o ecn...) non fa queste cose, da qui la ragione dei
> sequestri, tra l'altro.


Comprendo la buona volontà e apprezzo il lavoro svolto, tuttavia in un
contesto reale può essere più dannoso che utile.

Provo ad articolare, bevendo il caffè mattutino, il ragionamento.

Se partiamo dall'assunzione che:
- Un provider di posta "normale" con utenti "normali" non è
ragionevolmente preventivamente intercettato
- Un provider di posta "attivista" con utenti "attivisti" è
ragionevolmente preventivamente intercettato

In questo possiamo condividere che la comunicazione fra due utenti di un
provider di posta "attivista" è certamente più sicura di quella di un
provider "normale".

Tuttavia penso che per chi ha esigenze di comunicare con "il resto del
mondo", ovvero lavorare su una rete interconnessa globalmente (flussi in
ingresso ed in uscita) inviando e ricevendo email con il resto del
sistema, sia più sicuro il provider "normale" .

Questo perchè?

Perchè su un provider normale, dove "non sono intercettato di default",
ho la proprietà della PFS (Perfect Forward Secrecy), ovvero tutti i miei
flussi di comunicazione pregressi non sono disponibili (a terzi) fino al
momento in cui questo qualcuno decide di richiederli.

Al contrario se uso un provider "attivista", che abbiamo dato in questo
scenario per assunto che è intercettato per default, non posso avere
questa proprietà.

Questa considerazione va' fatta in particolare tenendo conto
dell'evoluzione e disponibilità oramai a basso costo dei cosidetti
strumenti di "Intercettazione parametrica", in cui dato un "tubo di
comunicazione" vado a cercare solo quello che mi interessa sulla base di
parametri.

A questo ci aggiungiamo che l'utente medio, per quanto attivista,
finisce per non usare Tor per tutto.

Quindi chi intercetta è solo che felice di avere centralmente la mappa
di tutti i collegamenti (tabulati telematici) con gli orari di
collegamento dei vari IP italiani che si controllano la posta, potendo
fare agevolmente richieste di anagrafiche agli operatori telefonici e
potendo quindi mappare l'intera rete di utilizzatori.

Se a questo aggiungiamo due bit di analisi statistica del traffico,
l'utente finale è fregato quando:
a) si collega da casa, dall'ufficio, dal centro sociale o dal cellulare
b) fa' traffico cifrato fino ad autistici per accedere al sefvizio e
invia una email di 50k
c) il server di autistici (intercettato di default) invia al mondo
esterno una email da 50k

L'utente è a quel punto interamente de-anonimizzato perchè ho il suo IP
(intercettato e localizzato), ho correlato la dimensione della email
inviata fra traffico cifrato (con identità apparentemente protetta) con
l'email in uscita (non protetta).

Non solo, ma quando io AG mi troverò di fronte a una investigazione, ad
esempio con davanti a me una email ricevuta in data Y da Mr. X in data
che usa autistici, mi sarà sufficiente andare a ritroso nei dump di
traffico per fare questi tipi di correlazioni, raccogliendo preziosa
intelligence al fine di de-anonimizzare l'utente.

Questi sono alcuni dei ragionamenti che mi portano a dire che è
pericoloso per la privacy di un utente utilizzare un servizio di questo
genere, perchè per quanto vi voglia bene e possa apprezzare l'impegno,
attraverso la centralizzazione si porta a favorire la capacità di
intelligence del soggetto da cui vi vorreste proteggere.

Ho articolato meglio l'opinione?

Se vuoi possiamo farci anche una chiacchiera vis-a-vis o un google hangout.

In un threat model reale in cui vuoi ridurre la capacità investigativa
di "governmental agency", penso che A/I o Riseup siano soluzioni che
possono portare ad esporsi a maggiori rischi rispetto a quelli da cui
vorrebbero fornire protezione.

Fabio