[e-privacy] Il Garante apre una consultazione pubblica

vecna vecna at s0ftpj.org
Thu Sep 27 11:30:35 CEST 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Marco A. Calamari wrote:
> Il Garante pare essersi accorto dei problemi legati ai dati
>  generati dalle intercettazioni preventive della legge
>  gasparri e del decreto pisanu, ed ha preparato un interessante
>  documento che fa il punto sulla situazione legale italiana,
>  sugli orientamenti che l'Ufficio ha, ed apre una consultazione
>  pubblica. Il documento e' molto informativo e merita
>  senz'altro una lettura
> 
> http://www.garanteprivacy.it/garante/doc.jsp?ID=1442682
> 
> Merita anche senz'altro una approfondita discussione sui
>  suoi scopi, limiti, possiblita' e omissioni.
> 
> Quele sede migliore di questa lista ?

I dubbi che ho li esterno senza troppo giri:

pizzetti, il garante, e' lo stesso che in un'intervista tempo fa mette
la "protezione dalle minaccie" al primo posto.

e cosi' ricorda nella pagina: "si deve dare diritto alla riservatezza ai
cittadini, ma senza ostacolare le indagini". il suo suggerimento in
quell'intervista (http://www.sisde.it/gnosis/Rivista9.nsf/ServNavig/57)
era di mettere una politica di accesso molto dura (ma automatizzata e
semplice per le procure, AHAHAH) ai dati intercettati.

sappiamo che questo non e' possibile per la "scienza" della sicurezza:
non esiste la riservatezza parziale perche' ci si fida di un'entita'
astratta.

L'unica protezione che si puo' avere e': si cifra end to end. nessuno
puo' leggere eccetto il destinatario e il mittente. Si, senza dare
possibilita' di analisi investigative su quell'aspetto (cosa che puo'
anche starci, l'intelligence si basa su molte altre cose, mica sulle
intercettazioni. le intercettazioni sono la soluzione che usa hollywood
e di cui ne parla corona, ma siamo seri, non e' con quelle che si
fermano i criminali professionisti ne i terroristi. lo confermano gli
attentati evitati in germania e in UK e anni di intelligence)

se invece non si cifra, si lascia la possibilita' alle forze dell'ordine
di ordinarci le connessioni ed allo stesso modo a chi si buca i server
di posta e fa spionaggio misto.

una soluzione che in un governo tecnocratico totalitarista andrebbe
bene, sarebbe che c'e' cifratura obbligatoria fino ai router di border
statali e da li' in poi passa in chiaro per un tratto, dove la roba
viene intercettata, viene ricifrata in relazione allo stato destinatario
(non sto pensando a comunicazioni infrastatali, anche se la tecnocrazia
potrebbe pur portare a peggiorare il routing considerando l'analisi del
traffico piu' importante dell'efficenza)

questa soluzione tecnicamente non e' possibile al momemento, sia per
questioni di rete che per questioni di hardware. e poi non risolverebbe
un bel niente, nel senso che darebbe il senso di sicurezza snakeoil LTD
e lascerebbe tutti i dati accessibili centralmente, spostando solo il
livello della minaccia per l'utente ma non togliendola affatto. anzi,
centralizzando forse si potrebbero unificare le tecnologie di data
mining che ora se ne stanno sparpagliate tra varie entita', con
conseguenze peggiori.

quindi, l'unica cosa che si puo' proporre di sensato e' che:

1) ogni software ad uso delle PA, delle societa' che trattano dati
personali ed ogni societa' che sviluppa/supporta infrastrutture critiche
per il funzionamento statale abbia l'obbligo di:

1a) usare software open source (per evitare backdoor)
1b) usare sistemi di protezione proattivi (per evitare attacchi)
1c) usare sistemi di anomaly detection (questo l'hanno scritto pure
loro! sembra che abbiano capito che firewall e ids non servano piu' di
tanto contro i professionisti, al massimo contro il trojan del 1998)
1d) usare cifratura su dischi e supporti esterni (per evitare leak)
1e) strong authentication a 2 fattori.

cosa del tutto irrealizzabile considerando le dinamiche di mercato,
quelle IT e quelle politiche e pure quelle personali dei singoli utenti.

quindi, che gli si puo' dire ?

ciao,
v



-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFG+3g7FvCb6mAu76URAiBdAJ43AuL5XRvb1csuTMv2DNKNALAv1ACbBeLj
e2Xqh/YaMNdYnmaWEK6sDcM=
=m6ny
-----END PGP SIGNATURE-----

More information about the E-privacy mailing list