著者: ginox 日付: To: hackmeeting 題目: Re: [Hackmeeting] documentario su spyware italiani
>
> Ora, in questi anni di fatto si è creata una cultura sul metodo a
> riguardo e ora in tutti i convegni di settore (in particolare
> giuridici,
> di procedura penale e di forensics) quando si parla degli aspetti
> legislativi la "proposta quintarelli" è un po' considerata un po' il
> "gold standard" perchè va a coprire veramente *tutti* gli aspetti,
> cercando sia di consentire l'operatività agli operatori di giustizia ma
> fornendo per gradi un controllo end-to-end in mano alla difesa rispetto
> a praticamente ogni possibile abuso.
>
che bello. allora cmq vada sara' un successo. siamo in una botte di
ferro.
timeo Danaos et dona ferentes
Ho riletto di nuovo questa disciplinare tecnica ma continuo a non
vedere una parte dedicata al vettore di infezione se non molto generica
in cui non c'e' posizionamento in merito agli zero days, cioe' usare
l'exploit che aveva hacking team per flash, comperato dalla collezione
di
francobolli del signore russo vitaly e la cui operativita', in uno
scenario
tipo mitm con o senza la complicita' di qualche op telefonico, tanto
sembrava piacere
nei carteggi di assistenza e scambi email con le fdo, e' ok ?
Cioe' alla fine e' questo lo scenario che si vuole normare ?
Va bene che le le fdo sappiano che esista una vulnerabilita' che
potenzialmente da accesso a un sacco di dispositivi e se la tengano
per se' per usarla alla bisogna sperando che nessuno se ne accorga
che poi tocca trovarne un'altra ed e' un casino ?
Anche nel documentario zero days, che pure non ha un piglio per nulla
rivoluzionario, e si conclude con un sacco di appelli ai trattati
internazionali,
si fa riferimento alla necessita' di un dibattitto pubblico a riguardo.
Pero' non c'e' traccia di una riflessione su queste tematiche,
si dice che il vettore di infezione non deve abbassare la
sicurezza del dispositivo, che vuol dire ? che non devo rootare il
cellulare se non lo e' gia' ?
Lo scenario vulnerabilta' e cose simili e' molto cambiato in 20 anni,
negli anni '90 hacker, aziende e stati se la giocavano.
Ci sono disegnetti interessanti sulla curva a salire della complessita'
di ricerca delle vulnerabilita' e dell'investimento finaziario relativo,
tra un po' di anni si puo' supporre che si realizzera' ancor di piu' lo
scenario in
cui solo grosse aziende e gli stati
avranno denaro bastante per questa cosa, quindi gli stati,
presumibilmente
fdo e militari vari o aziende private, svilupperanno
gli exploit e poi tocchera' sperare e aspettare che qualcuno
abbia dei rimorsi di coscienza e faccia trapelare cose per
sapere in che modo i nostri elettrodomestici e aggeggi
tecnologici si possono usare per controllarci.
O non si ritiene questo un argomento importante in virtu' del fatto che
appunto le vulnerabilita' sono difficili e costose da trovare e il
miserremo
stato italiano e' tagliato fuori perche' non teniamo denaro ? E quindi
il vettore di infezione sara' sempre una roba tipo messaggio di servizio
del tuo operatore telefonico "tarapia tapioco, clicca qua per
ripristinare"
e zac ?
Il problema di fare queste operazioni che tendono a mettere le parti
a un tavolo per poi mediare e che tu una trattiva la fai da un punto di
forza, ma la forza spesso non sta nel sedersi a un tavolo e trattare,
e dal tavolo ne esce vincitore quello piu' forte, non la mediazione tra
le parti.
O anche a cavalcare la tigre, pensando che la domi, poi la tigre ti
mangia.