Re: [Hackmeeting] [_TO* hacklab] di trojan di stato

このメッセージを削除

このメッセージに返信
著者: Fabio Pietrosanti (naif) - lists
日付:  
To: hackmeeting
題目: Re: [Hackmeeting] [_TO* hacklab] di trojan di stato
Grazie mille dell'analisi e dei commenti, provo a rispondere in modo
ampio che oggi è domenica mattina.

On 4/23/17 02:53, underscore@??? wrote:

> ### per iniziare
>
> siccome ci piace toccare con mano gli oggetti dei nostri ragionamenti,
> ci siamo procurati uno
> di questi "captatori informatici" e ne abbiamo documentato il setup per
> chi volesse
> sporcarsi le mani con noi.
>
> successivamente abbiamo volontariamente infettato un dispositivo con il
> malware per vederne il
> funzionamento da vicino, quali funzionalità presenta e quali difetti.
>
> in ultimo, dal momento che nel tentativo di normare questi pericolosi
> strumenti leggiamo della
> "necessità di forti garanzie per essere inattacabile sul piano della
> veridicità dei dati acquisiti"
> (http://www.civicieinnovatori.it/wp-content/uploads/2017/02/Motivazionie-Contenuti-del-Disciplinare-Tecnico.pdf),
>
> abbiamo provato a generare delle prove non valide per capire quanto sono
> affidabili questi captatori.


C'è un errore di interpretazione di fondo, purtroppo lo capisco perchè
lo facevo anche io come errore pensando alla legge come all'informatica
ovvero 0 o 1, ma purtroppo non è così che funziona la legge che tutela i
nostri diritti civili.

Esisterà sempre la possibilità per un soggetto X, si chiami esso
poliziotto, magistrato, amante, concorrente, criminale o come lo si
voglia chiamare, che potrà depositare arbitrariamente informazioni su di
un sistema e da lì cercare di incolpare il detentore del sistema su cui
sono state depositate.

Questo non puoi escluderlo in nessuno caso e in nessun caso sarà
possibile risolvere questo problema.

Diverso è invece creare uno strumento che permetta agli operatori di
giustizia di usare il captatore, partendo dallo status quo in cui viene
usato e in cui sarà usato (e non c'è NO o opposizione politica dura che
sia realisticamente ottenibile, mi dispiace ma è così), e fornire un
quadro regolatorio molto stretto che ne prevenga gli abusi.

L'uso *abusivo* di un captatore sarà sempre possibile, noi ci stiamo
concentrato sull'uso *legale*, ovvero come obbligare gli operatori di
giustizia a usarlo in modo tale che siano forniti tutti gli strumenti di
tutela giuridica, tecnica, operativa alla difesa e che sia *FORTEMENTE
LIMITATO* il perimetro di utilizzo dello stesso.

>
> la conclusione a cui siamo giunti è che non esiste modo di garantire
> tecnicamente che le prove raccolte siano veritiere.
>
> abbiamo documentato tutto in questo dettagliato scritto (leggetelo fino
> in fondo, vi piacerà):
> https://www.autistici.org/underscore/di-trojan-di-stato-details.html
>
> qui invece ci proponiamo di fare un'analisi alle proposte di normare
> questi captatori informatici.


Sarebbe molto utile, come contributo non basato sull'uso dello strumento
di hackingteam che nulla ha a che vedere con la proposta di legge e con
il disciplinare tecnico allegato, effettuare questi scenari di
threat-modelling sulla base delle specifiche del disciplinare tecnico.

Il disciplinare tecnico così scritto e rivisto con variegati hackeri,
forensi e anche ex-dipendenti di produttori di trojan, corredato dalla
proposta di legge parrebbe fornire una tutela GIURIDICA E TECNICA
end-to-end, che arrivi sin alla verifica del codice sorgente e
reproducible build, andando per gradi (dal controllo dei log, al
controllo al registro nazionale captatori, fino a ispezione codice
sorgente e reproducible build).

In questo quadro se trovate dei bug, siamo molto felici di applicare
delle patch alla procedura e requisiti tecnici e operativi proposti.

Sempre però con la premessa che stiamo parlando di quella infrastruttura
lì e dell'uso LEGALE del captatore (cioè assumendo che un operatore di
giustizia non violerà la legge per usare un captatore non autorizzato,
dato che quando vi sarà una legge non gli sarà possibile usarlo).

L'uso ILLEGALE al di fuori della legge (e quindi delle autorizzazioni di
un giudice) è già regolamentato dalla legge, appunto 615 ter c.p. e
quindi non ha bisogno di ulteriori leggi nè racconti.

[snip]

>
> ### regolamentare carri armati: ddl captatori
>
> come si giustifica l'uso di un carro armato? basta parlare di
> terrorismo, di pedofilia?
> è sufficiente parlare male di un parlamentare? o magari opporsi alla
> costruzione di una
> grande opera? non ci sentiamo per niente tutelati dal decreto di legge
> presentato dai
> civici e innovatori (ddl quintarelli) dalla quale emergono moltissime
> criticità;
> ci siamo soffermati sulla "disciplinare tecnico operativa":
> http://www.civicieinnovatori.it/wp-content/uploads/2017/02/DisciplinareTecnicoPropostadiLeggeCaptatore.pdf
>
>
> la tesi di fondo del documento è quella di fare un paragone tra le
> funzionalità del captatore e le
> corrispondenti azioni di polizia giudiziaria già attualmente normate,
> per esempio paragonando
> pedinamento reale e intercettazione dati di posizionamento, o sequestro
> reale con acquisizione
> file da dispositivo.
>
> l'equiparazione tra le modalità classiche e quelle implementate dal
> captatore ci sembra assurdo da
> ogni punto di vista e per qualunque tipologia di azione giudiziaria
> considerata:
>
> - paragonare un sequestro all'acquisizione remota di file sul
> dispositivo è ridicolo. durante un
> sequestro c'è la presenza dell'indagato che può verificare quello che
> accade, può richiedere la
> presenza di un legale e gli viene rilasciata una lista del materiale
> sequestrato. non riusciamo ad
> immaginarci come questo sia possibile tramite un sequestro da remoto
> tramite captatore.


Esatto, ma giuridicamente come avrai potuto leggere, non c'è l'uso dello
strumento del sequestro ma l'introduzione di un nuovo strumento
giuridico proprio perchè l'acquisizione di file (dati non comunicativi)
a distanza è molto più invasiva del sequestro.

La prima versione di proposta di legge 2 anni fa' aveva provato a
modificare sia l'articolo della perquisizione che del sequestro, ma dopo
numerosi incontri con giuristi, si è arrivati alla condivisione comune
che fosse necessario un nuovo strumento.

Il nuovo strumento "ricerca a distanza" permette di acquisire dati
non-comunicativi (quindi solo conservati) e richiede obbligatorietà di
notifica al termine della perquisizione, deve essere rinnovato di 45gg
in 45gg fino al massimo di 1 anno di tempo.

Oggi l'uso del captatore come strumento di tipo ATIPICO non richiede
notifica al soggetto vittima di investigazione e può stare installato
per un tempo illimitato.

Sarebbe un *enorme* passo avanti rispetto alla status quo.


>
> - il sequestro reale è teso a togliere la disponibilità di un oggetto,
> una pistola ad esempio.
> il captatore non toglie la disponibilità dell'oggetto del sequestro,
> perchè non è quello il suo
> scopo.


Infatti non si chiama sequestro ed è una nuova fattispecie giuridica.

Fra l'altro consiglio di leggere un post sul forum in cui chiarisco la
differenza fra operatività su dati comunicativi rispetto a dati non
comunicativi e di come questi impattino le funzionalità di alto livello
del captatore esposto all'operatore di giustizia, a prescindere dal
dettaglio funzionale di basso livello:
http://forum.civicieinnovatori.it/phpbb3/viewtopic.php?f=3&t=6


>
> - paragonare il tracciamento gps ad un pedinamento è ridicolo.
> avere i dati digitalizzati e facilmente analizzabili da algoritmi
> invasivi non è paragonabile
> ad un pedinamento, la qualità del dato è proprio di un altro livello.


C'è un motivo di difesa dei diritti civili rispetto all'introdurre il
pedinamento con GPS con captatore, ovvero il fatto che per fare un
pedinamento "analogico" NON E' NECESSARIA AUTORIZZAZIONE DI UN GIUDICE.

Quindi se non avessimo normato anche l'uso del pedinamento con
captatore, che sottosta ai requisiti autorizzativi e limiti dei reati
stabiliti nel quadro generale, un magistrato potrebbe AUTO-AUTORIZZARSI
l'inoculazione del captatore per una finalità di pedinamento digitale.

Immaginate solo cosa farebbe il momento successivo, chiederebbe al
giudice la disponibilità di attivare anche una intercettazione
ambientale, una telematica o una acquisizione di dati da remoto...

Quindi disciplinare tutto serve ad evitare "loop-hole" procedurali che
altrimenti verrebbero exploitare nella "procedura penale" .



>
> - ma soprattutto c'è una questione quantitativa e di costi: fare un
> pedinamento dalle scrivanie
> della questura verso 1000 persone non ha lo stesso costo che farlo per
> davvero, è evidente che se
> fino a ieri pedinare gli indagati richiedeva un certo dispiegamento di
> forze e denaro, con
> l'utilizzo di un captatore il tutto si riduce a premere qualche tasto su
> un'interfaccia punta e
> clicca. la conseguenza di questo è abbastanza ovvia. immaginare
> l'equivalenza delle due situazioni
> è ridicolo.


Il costo di acquisto, uso e inoculazione di un captatore è di alcuni
ordini di grandezza superiore rispetto a un pedinamento eseguito da una
poliziotto stipendiato 1350 euro al mese.


>
> - si parte poi dal presupposto che un dispositivo sia di un indagato,
> mentre non è sempre vero.
> prendiamo come esempio tutti i dispositivi "pubblici", gli internet
> point, le biblioteche, le
> università.
> leggendo le mail da un internet point usato da un indagato prima di noi
> (e quindi su un computer
> infetto) le stesse finirebbero in questura. comprando un dispositivo
> usato, le nostre mail
> finirebbero in questura.


Questo riguarda il principio di proporzionalità, già parte
dell'ordinamento italiano, e in casi particolari come questi non è
possibile entrare nel merito algoritmo 1 o 2 o 3 o 4 ma vanno valutati
rispetto ai principi già esistenti nell'ordinamento.

Ne parlavo con quelli di privacy international a riguardo e ti incollo
la risposta che gli abbiamo passato:

QUESTION:
"This ties to a conversation I had with Fabio, and which I would love
your take on.
To what extent does the bill authorise the issuance of “thematic
warrants” (that is warrants that
target an association of individuals with shared characteristics, and
not an individual). It would seem that the bill allows to issue thematic
hacking warrants - for example, targeting the users of a particular
network, or anyone who accesses a specific server or uses a shared
computer. The only limitation would be that of proportionality in the
analysis of the judge who grants the warrant. Is this accurate?"

ANSWER:
"The proportionality in the analysis of the judge represent the limits
and it would not be possible to limit “thematic warrants” (ex: Everyone
who speak arabic that uses computers in that internet cafè).
However on that topic the Supreme Court recently imposed specific
additional limits, for instance the Cassazione 3 september 2016 (n.
40903) on a drug smuggling case mandated that the warrant allowing
planting of trojan on an internet cafè shared computers used by the
suspects was not allowed to “intercept communications” neither to
“search and seize data” but only as an exception measure to collect
“passwords” as a way to limit the pervasivity of information collection
on unknown citizens (the users of the internet cafè) while allowing the
prosecutors to be able to get indirectly access (using the passwords) to
the telecommunications of the suspects.
Obviously those sentences are coming given the non-existing regulation
on the uses of trojan.
"

Questo riguarda l'argomento "thematic warrant", spero consenta di
comprenderne il funzionamento.

Quando uscirà policy paper di privacy international sulla pdl saranno
poi ben spiegate le risposte a tutti i legittimi dubbi che vengono non
essendo giuristi (neanche io lo sono, imparo strada facendo con gli
avvocati con cui abbiamo fatto questa cosa).


>
> - c'è inoltre un problema temporale. all'avvio di un'intercettazione
> telefonica classica, gli sms
> intercettati partono appunto da un giorno e l'intercettazione ha poi un
> limite di tempo per ovvi
> motivi. il trojan invece può leggere i dati senza limiti temporali,
> inviando tutte le conversazioni
> avvenute sul tuo dispositivo dall'inizio dei tempi (perchè sono tutte
> salvate lì).


No, i limiti temporali sono esattamenti quelli per cui sono stati
forniti i decreti autorizzativi.

Questa è una cosa importantissima, fatto salvo l'introduzione della
nuova fattispecie di "ricerca a distanza" (che sostituisce l'ipotetica
perquisizione e sequestro) tutti i tempi e modi sono ricondotti agli
articoli già esistenti, senza modificarne.

Quindi se una intercettazione telefonica è massimo 3 mesi prorogabili di
altri 3 mesi, con l'autorizzazione a fare una intercettazione telefonica
con captatore la durata sarà la stessa.

Lo stesso captatore potrebbe essere autorizzato con altro decreto a fare
un pedinamento GPS per soli 15 giorni e una registrazione ambientale per
30 giorni.

Oggi invece con il captatore non regolamentato come strumento ATIPICO
può stare TUTTO IL TEMPO CHE VUOLE e FARE QUELLO CHE VUOLE.

Solo riconducendo alle fattispecie già regolamentate nel codice di
procedura penale di acquisizione di informazioni (e quindi di
registringimento delle libertà individuali) si può avere un
miglioramento sostanziale della condizione corrente.



>
> - durante un pedinamento c'è la garanzia (a meno di assumere un sosia?)
> che la posizione sia quella
> effettiva dell'indagato. il dispositivo invece potrebbe non viaggiare
> con l'indagato, potrebbe essere
> stato rubato o potrebbe essere stato lasciato sul sedile di un taxi.
> insomma il dispositivo dell'indagato non è l'indagato.


Questo è un dettaglio dell'indagine, al pari di "chissà se la persona
che volevo seguire è proprio in quella macchina" o "chissà se quella
sessione di navigazione dal computer di casa l'ha fatta proprio il
soggetto investigatato" .

E' uno scenario che *prescinde* da una norma, riguarda indagini,
modalità investigative, etc, etc


>
> - credere, come si legge nel documento, che l'installazione di un
> captatore non abbassi il livello
> di sicurezza dei dispositivi su cui è installato è ridicolo, l'idea del
> captatore si basa proprio
> sul fatto di lasciare aperte delle falle di sicurezza e quindi di
> mantenere appositamente insicuri i
> dispositivi di tutti, per avere la possibilità di poterli infettare.


Posto che la maggioranza dei captatori non vengono installati sfruttando
vulnerabilità, e questa realtà è importante farla propria per
confrontarsi poi con le istituzioni e cercare di cambiare il loro
comportamento, la proposta di legge dice che l'uso del captatore non
deve diminuire il livello di sicurezza, FATTA ECCEZIONE PER LA FASE DI
INOCUOLAZIONE.

Di conseguenza se il captatore quando si installa ha bisogno di
abbassare firewall, attivare activex e uccidere antivirus, una volta che
è installato deve ri-tirare su il firewall, ri-disabilitare le activex,
e ri-avviare l'antivirus.

Questo è un sostanziale miglioramento a tutela della sicurezza del
domicilio informativo del soggetto vittima di investigazione.


>
> - certificare la non modificabilità delle prove acquisite ci sembra
> impossibile da ottenere e
> l'abbiamo provato in due modi diversi. inoltre come è possibile
> certificare che il produttore non
> sia stato compromesso? come è possibile certificare che nella imponente
> architettura non ci sia una
> backdoor? no, non è possibile farlo.


E' indicato tutto nel disciplinare tecnico, se volessi gentilmente
entrare nel merito di uno scenario di violazione non rilevabile te ne
sarei grato e potremmo migliotrare il disciplinare tecnico.

Da threat-modelling fatti con tante persone, risulta particolarmente
solido il modello, arrivando per gradi fino al deposito dei codici
sorgenti, sua analisii indipendente e ripetibilità del processo di build
di ogni captatore prodotto, instanziato o installato per validare che
l'intera chain certificata Common Criteria EAL2 e che integra firma
digitale e timestampting crittografico non sia stata violata.

Ricorda sempre che parliamo di un uso LEGALE di captatori, se un
operatore di giustizia ne volesse fare un uso ILLEGALE (cioè non
autorizzato dal giudice e rendendolo passibile di galera), di certo non
userebbe un captatore a norma di legge, ma userebbe un trojan comprato
nel blackmarket al pari di un criminale.

Questo sempre per focalizzare di cosa stiamo parlando, perchè
l'argomento è molto vasto e spesso ci si perde



>
> - e ancora, ci sembra paradossale che lo stato utilizzi armi digitali
> acquistate su un mercato opaco e poco trasparente come quello degli zero day.


Non pervenuta, lasciamo stare gli americani e l'intelligence, parliamo
di forze dell'ordine e magistratura.

[snip]

>
> ### cosa vogliamo
>
> per noi questi oggetti non sono normabili. per noi c'è un pericolo
> insito nell'azione segreta
> di una parte dell'apparato dello stato sul cittadino e questo pericolo
> sovrasta ogni altro
> pericolo.
> punto.


Se non fossero normabili...beh, sarebbero tutti molto felici di potere
continuare ad usare uno strumento SENZA REGOLE.

E' necessario prendere coscienza che nell'attivismo sui diritti civili
legati alla rete non si può sempre dire NO facendo opposizione, perchè
in questo caso SOLO LE REGOLE possono restituire dei diritti civili oggi
persi.

Quindi IMHO l'attivismo sano in questo caso dovrebbe puntare a QUALI
SONO LE REGOLE necessarie a uscire da questa situazione che i giuristi
chiamano "vacazio legis" (ovvero non c'è una legge, quindi ognuno fa'
come cazzo gli pare) ?

>
> vogliamo sapere non solo le statistiche di esportazione di questi
> strumenti (come richiesto di
> recente dal centro hermes al ministero dello sviluppo economico)


Proprio domani esce una nostra richiesta di FOIA al MISE su questo tema,
anche se è più probabile che si riesca facendo una piccola modifica alla
normativa nazionale o alla regolamentazione europea.

Guarda in particolare:

a) proposta che abbiamo fatto con CILD e Privacy International (che ora
qualche MP sta considerando per farci una proposta di legge)
https://privacyinternational.org/sites/default/files/MISEletter_march2017_ENG.pdf

b) Proposta di emendamenti al regolamento europeo su export control (i
regolamenti sono legge in tutta europa, non devono essere "recepiti"
come per le direttive)

http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fNONSGML%2bCOMPARL%2bPE-602.925%2b01%2bDOC%2bPDF%2bV0%2f%2fEN

Rispetto al punto "b" ritengo che Marietje (e glielo ho scritta) si sia
spinta un po' troppo oltre, perchè richiedere la pubblicazione degli
end-users sarebbe certamente impedito per problematiche di sicurezza
nazionale e competitività economica.


, ma
> soprattutto come e quanto vengono utilizzate in italia oggi queste tecnologie di sorveglianza, che
> si chiamino imsi catcher o
> trojan di stato. se qualcuno vuole comunicarcelo, ci scriva una mail.


Non c'è una norma, e finchè non c'è una norma sarà uno strumento
"ATIPICO" rispetto al codice di procedura penale.

Finchè sarà uno strumento ATIPICO ci sarà una certa "mano libera"
nell'usarlo (inclusa l'assenza di un elenco stringente di reati gravi
per i quali si può usare, da noi proposti solo mafia e terrorismo) e
comunque in sintensi non avrai mai le statistiche legittime che chiedi.

Per fare questo ci vuole che sia prima uno strumento regolamentato e da
lì che vi sia una accountability economica e operativa, ma se tu oggi
facessi una richiesta FOIA al ministero di giustizia chiedendogli dati
quantitativi circa l'uso del captatore informatico, ti risponderebbero
che non risulta uno strumento di indagine di questo tipo, dovresti
riferirgli un articolo del codice di procedura penale, che però non c'è.

Insomma è un cane che si morde pure questo in cui, solo se ci sono delle
regole, allora puoi usarle, se non ci sono, invece ci attacchiamo tutti
al tram :(

Fabio