Re: [Hackmeeting] Spyware di Stato - DL et similia - Discuti…

Delete this message

Reply to this message
Autore: Anathema
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] Spyware di Stato - DL et similia - Discutiamone
On 20/04/2015 21:53, Fabio Pietrosanti (naif) - lists wrote:
>
> Ottima idea, ti invito a guardare un po' di analisi legali che han fatto
> Gallus e Micozzi del Centro Hermes:
> http://e-privacy.winstonsmith.org/2013/atti/18_ep2013_micozzi_trojan_captatori.pdf
>

Conosco gia` l'articolo, e` ben conosciuto nell'ambiente, ben fatto ed
interessante.

> - Sviluppare una matrice delle capabilities funzionali di raccolta
> informativa dei captatori informatici
> - Analizzare come ogni capability, riportata nelle normative correnti,
> ha limitazioni e basi di garanzia
> - Fare quindi una analisi normativa comparata, quantomeno dei principali
> paesi occidentali, di come le varie normative che regolano le diverse
> raccolte informative operano (in termini di data retention, di lunghezza
> della raccolta, di autorizzazioni necessarie, di tipologia di reati per
> cui possono essre applicate)
>

Il problema secondo cui questo approccio non va bene, IMO, e` molto
spesso vendor piccoli (che sono molti di piu` di quelli grossi), hanno
sviluppano moduli/plugin/capabilities man mano che vengono richieste, e
si adattano molto al profilo del cliente/target. Quindi un approccio del
genere rischierebbe di rendere l'analisi superata gia` nel momento di
trarre la matrice, in quanto il vendor potrebbe gia` aver implementato
in nuovo modulo/tecnica.

Poi tu parli di 'data retention', lunghezza raccolta...tutto questo
rischia di essere un delirio in assenza di una normativa, proprio
perche` ogni uno fa il cazzo che fli pare (come tu dici, laissez-faire).

> Questo tipo di analisi farebbe emergere in modo "oggettivizzato" che
> quando oggi viene utilizzato un captatore informatico, come strumento
> "atipico", si sta normalmente operando in parallelo:
> - una intercettazione telefonica (vedi: intercetto skype)
> - una intercettazione telematica (vedi: intercetto gmail/https)
> - un ascolto ambientale (vedi: Microfono del notebook in ascolto in una
> stanza)
> - un pedinamento (vedi: localizzazione GPS su cellulare)
> - un sequestro (vedi: scarico un file dal desktop)
>
> Ogni strumnto di questo tipo ha forme di garanzia dal punto di vista
> normativo differenti.
>

si`, questo e` un risultato interessante che potrebbe portare un po' di
chiarezza normativa.

>
> Apprezzo molto il tuo punto di vista su questo tema, regolamentare
> dialogando anzichè combattere criticando, dato che con i trojan la
> società ci dovrà convivere per sempre ed è utopia negarne l'utilità ai
> fini d'indagine.
>

Spetta, non la penso affatto come te. Certo, a fini d'indagine si sono
rivelati molto utili per cattuare anche mafiosi/cammoristi latitanti da
anni, ma io non penso che l'intero sistema Giustizia sia giusto.

In questo caso, ed e` un caso RARO, regolamentare == combattere
criticando. Non accettero` mai l'uso di trojan di Stato per nessuna
ragione, perche` per me sono sbagliate le fondamenta, ma e` indubbio che
ora e` necessaria questa regolamentazione proprio per combattere in
maniera critica l'uso di questi strumenti, che ormai gia` sono uno
standard de-facto in certi contesti.


--
Anathema

+--------------------------------------------------------------------+
|GPG/PGP KeyID: CFF94F0A available on http://pgpkeys.mit.edu:11371/  |
|Fingerprint: 80CE EC23 2D16 143F 6B25  6776 1960 F6B4 CFF9 4F0A     |
|                                     |
|https://keybase.io/davbarbato                         |
|https://www.msack.org                             |
+--------------------------------------------------------------------+