Autore: Fabio Pietrosanti (naif) - lists Data: To: hackmeeting Oggetto: Re: [Hackmeeting] documentario su spyware italiani
On 4/21/17 11:26, boyska wrote: > Fabio Pietrosanti (naif) - lists:
>> 3. Gli operatori di giustizia non usano "zero days" nè normalmente
>> vulnerabilità, questi sono miti da intelligence america per 2 motivi:
>> 3.1 Non hanno i soldi per comprarli, quindi non li usano
>> 3.2 Nel 99% dei casi usano accesso fisici e ingegneria sociale
>> (secondo il fatto che i criminali non sono normalmente stra intelligenti)
>
> e nell'altro 1% dei casi? :)
>
> Sta cosa che non hanno i soldi a me non mi ha mai convinto, anche perché
> mi pare che non corrisponda con, ad esempio, le email di hacking team.
> E poi chi ha detto che la, poniamo, guardia di finanza debba _comprare_
> uno 0day? Può benissimo pagare un terzo che usando uno 0day gli faccia
> l'attacco e gli passi il controllo della macchina.
Nella proposta di legge, uno dei punti molto forti, è infatti che NON
sia possibile attingere agli "ausiliari di polizia giudiziaria" per le
attività inerenti al trojan, cioè che non sia possibile delegare un
consulente esterno o società esterna per le attività di inoculazione.
Questo sarebbe altresì rivoluzionario per un settore che oggi delega
troppo a consulenti esterni che operano come "ausiliari di PG" .
Con la proposta di legge in oggetto ciò non sarebbe più possibile
>
> Ora non ho sotto mano un'email da citare in cui si capisce
> esplicitamente l'uso da parte della polizia italiana degli 0day che HT
> aveva comprato; sicuramente però HT poteva vantare 0day efficaci, e la
> polizia italiana era tra i loro principali clienti.
>
>> Per i due motivi succitati i temi legati alla regolamentazione e
>> responsabilizzazione in merito alle "vulnerabilità" sono abbastanza
>> distanti dal tema di regolamentazione dei trojan.
>
> Secondo me sono distanti solo se questa cosa la si esplicita, dicendo
> che questa normativa si applica solo a captatori installati con accesso
> fisico. Altrimenti diventano vicinissimi in un attimo.
Ma sono due aspetti regolatori completamente diversi, che non puoi
regolamentare nel codice di procedura penale.
Stai parlando di un tema giustissimo, su cui c'è tanta ricerca giuridica
e anche proposte qua e là nel mondo, in merito alla responsabilità di
soggetti privati (vendor) e pubblici (governi/giustizia) in merito alla
gestione delle disclosure delle vulnerabilità.
E' fico, è dovuto, è da farsi, ma NON è possibile farlo come processo di
policy making relativo alla regolamentazione di un trojan, perchè tocca
outcome normativi completamente distanti dal "codice di procedura
penale" e quindi richiede un altro "progetto di proposta di legge" che
si rivolga proprio a interlocutori diversi (autorità di controllo,
responsabilità civili, responsabilità sanzionatorie amministrative, etc).
Non sono se riesco a intendere il perchè non sepoffa' tutto in uno.