Autore: boyska Data: To: hackmeeting Oggetto: Re: [Hackmeeting] documentario su spyware italiani
Fabio Pietrosanti (naif) - lists: >3. Gli operatori di giustizia non usano "zero days" nè normalmente
>vulnerabilità, questi sono miti da intelligence america per 2 motivi:
> 3.1 Non hanno i soldi per comprarli, quindi non li usano
> 3.2 Nel 99% dei casi usano accesso fisici e ingegneria sociale
>(secondo il fatto che i criminali non sono normalmente stra intelligenti)
e nell'altro 1% dei casi? :)
Sta cosa che non hanno i soldi a me non mi ha mai convinto, anche perché
mi pare che non corrisponda con, ad esempio, le email di hacking team.
E poi chi ha detto che la, poniamo, guardia di finanza debba _comprare_
uno 0day? Può benissimo pagare un terzo che usando uno 0day gli faccia
l'attacco e gli passi il controllo della macchina.
Ora non ho sotto mano un'email da citare in cui si capisce
esplicitamente l'uso da parte della polizia italiana degli 0day che HT
aveva comprato; sicuramente però HT poteva vantare 0day efficaci, e la
polizia italiana era tra i loro principali clienti.
>Per i due motivi succitati i temi legati alla regolamentazione e
>responsabilizzazione in merito alle "vulnerabilità" sono abbastanza
>distanti dal tema di regolamentazione dei trojan.
Secondo me sono distanti solo se questa cosa la si esplicita, dicendo
che questa normativa si applica solo a captatori installati con accesso
fisico. Altrimenti diventano vicinissimi in un attimo.