HACK~LAB

2° puntata: PRIVACY






La seconda iniziativa dell'hack~lab firenze è su uno dei temi classici della Rete: la privacy  e la sua difesa dal punto di vista tecnico e giuridco

Dal punto di vista tecnico mi soffermo brevissimamente perlopiù al fine di indicare alcuni urls che possono essere utili per approfondire l'argomento tratti da una raccolta di info ed indirizzi dal nome post_aXion MUTANTE

Scopo principale di queste pagine è quello invece di raccogliere e indicate quelli che sono i testi italiani legislativi vigenti ma anche giurisprudenziali e di dottrina pertinenti al problema della privacy in particolare per quanto riguarda l'uso di strumenti di crittografia e le procedure e necessità di anonimizzazione

Durante la giornata di lunedì' 4 ottobre si terranno presso la sede dell'hacklab (c/o biblioteca popolare dell'isolotto) alcuni seminari in cui si cercherà di indicare come difendere la propria privacy nell'uso della rete

Prima di riflettere sull'argomento "giuridico" alcuni cenni tecnici sull'argomento PRIVACY & RETE e soprattutto alcuni inviti ad approfondire l'argomento seguendo alcune coordinate classiche della Rete in materia di AUTODIFESA  DIGITALE

Non a tutt* è noto che usando la Rete (Internet & Co.) si lascia quasi inevitabilemente traccia delle proprie attività anche e soprattutto attraverso il proprio numero IP usato (ovvero l'identificativo del nodo di rete con il quale siamo temporaneamente identificat*). A parte alcune rare eccezioni difficilmente praticabili da un  punto di vista tecnico o poco conosciute, il nostro IP, in forma alfabetica o alfanumerica è sempre presente nelle nostre attività di rete il che vuol dire che rimane estremamente facile verificare, per esempio, da dove proviene l'e-mail e da dove transita.
Alcune utilities di rete (programmi) comunemente usati per monitorare lo stato degli ip coinvolti nelle attività di Rete sono ping e traceroute (tracert per chi usa windows) ed esistono anche numerosi servizi in rete come
cello.cs.uiuc.edu/cgi-bin/slamm/ip2name
www.rahul.net/falk/whois.html
che aiutano anche i meno esperti a estrarre alcuni altri tipi di identificativi di rete e personali rispetto ad alcuni servizi di Rete

Se quindi si arriva alla conclusione che è difficile non lasciare tracce della propria attività in Rete qualora si abbia l'esigenza di tutelare la privacy delle nostre informazioni (andatevi a spulciare questi due urls per vedere quanta gente curiosa esiste dentro e fuori la Rete...  www.europarl.eu.int/dg4/stoa/en/publi/166499/execsum.htm - counterspyshop.com ) si arriva presto alla conclusione che le nostre informazioni e comunicazione devono essere crittate (rese illeggibili) oppure steganografate (ovvero che mostrano un aspetto intelleggibile ma con un contenuto apparente diverso da quello contenuto al proprio interno e a sua volta, magari crittato...).

Sono argomenti apparentemente abbastanza difficili e soprattutto in continua evoluzione per cui invito a consultare periodicamente quelli che sono alcune coordinate di Rete classiche in materia quali:
kyuzz.org/anon/sommario.html
bfi.voyanet.org
www.ecn.org/crypto
www.soci.niu.edu/~cudigest

I Sistemi di crittazione a chiave pubblica sono sicuramente i più affidabili ed i più usati in Rete sotto svariate forme.
Un sistema a chiave pubblica consiste in un sistema che prevede due tipi di chiavi: una privata (secring.pgp) che serve a decodificare i msg in arrivo ed una pubblica (pubring.pgp) che consente a chiunque di scrivere msg criptati che potranno essere letti solo dalla persona che ha la chiave privata abilitata a leggere i msg prodotti dalla corrispondente chiave pubblica. Un sistema a chiave pubblica permette perciò di potersi scambiare msg anche attraverso sistemi di comunicazioni di tipo pubblico senza aver paura che siano letti in chiaro
Alcuni urls indispensabili per approfondire l'argomento e soprattutto reperire software di questo tipo sono:
munitions.vipul.net
www.ecn.org/crypto/soft

Di seguito alcune altre indicazioni di massima sugli usi più frequenti della Rete come, per esempio, il discorso dei Cookies quando si usa un browser per "navigare" in Internet.
I cookies sono files presenti sui browsers che possono fornire al server visitato una serie di informazioni quali le pagine visitate recentemente, indirizzo ip dell'elaboratore, nome e tipo del browser e del sistema operativo utilizzato presentando un'interfaccia personalizzata ad x identità che ha svolto y funzioni o che ha z caratteristiche (x chi vuole approfondire l'argomento due links utili sono: home.netscape.com/newsref/std/cookie_spec.html - cookiecentral.com )
Per evitare l'azione dei cookies:
1. rimuoverli periodicamente
2. settare le opzioni del browser in maniera da monitorare o inibire i cookies
3. aprire il file cookies e cancellare il suo contenuto, salvare e modificare gli attributi del file permettendone solo la lettura
4. dotarsi di specifico software di prevenzione e controllo

Applets e controlli ActiveX possono attivare procedure di danneggiamento e acquisizione informazioni. Java utilizza alcuni modelli di sicurezza per impedire alle sue applicazioni di eseguire operazioni illecite a bordo dei computer su cui vengono scaricate. ActiveX lascia ai controlli la massima libertà operativa ma prevede un meccanismo di autenticazione basato sui certificati che ne attestano la provenienza. In casi particolari, script, plug-in ed url possono rappresentare delle minacce alla sicurezza lato client tanto che sarebbe appropriato analizzarle prima di attivarle

Una delle maniere più efficaci (anche se si delega ad un proxy in rete la registrazione delle nostre navigazioni verso il quale bisogna quindi avere un certo grado di fiducia...) per tutelare la privacy delle nostre "navigazioni" è quella di utilizzare un cosidetto Anonymizer. Gli anonymizer (o proxy) sono server che permettono agli utenti di transitare da essi per visitare altri siti mascherando l'ip di provenienza. Un anonymizer (o un proxy) ridirige le richieste di pagina per cui il server di destinazione conserva su di sé le informazioni dell'anonymizer (o quelle previste dalla configurazione del
proxy). I browser conservano traccia in locale delle navigazioni in svariati files di log (cache, cronologia, internet temp files, GlobalHistory, .hst)
Di seguito alcune soluzioni sperimentabili in rete per tentare di anonimizzare le nostre "navigazioni"
junkbuster.com
www.anonymizer.com
lpwa.com
magusnet.com/proxy.html
www.research.att.com/projects/crowds/index.html

Uno dei sistemi più efficaci per tutelare la propria privacy è quello di usare la posta elettronica in maniera anonima. Gli anonymous remailer inseriscono l'indirizzo del servizio di anonymous remailing al posto dell'indirizzo di rete originale. Perché usare un anonymous remailer? Per partecipare ad una discussione in rete portando un'esperienza personale oppure un contributo di pensiero o informativo senza che tutto ciò sia associato a una identità o traccia telematica
I servizi di a.r. anche per la loro natura particolare sono in continua evoluzione e per cui merita seguire i siti e newsgroups che meglio ed in maniera più aggiornata possbile trattano l'argomento come ad esempio alt.privacy.anon-server - anon.efga.org:8080/Remailers/Settings
È importante disabilitare la firma dal programma di posta; considerare l'affidabilità dell'a.r. prescelto; adottare la tecnica "chaining" per usare più a.r. magari ed utilizzare appositi client per utilizzare al massimo le funzionalità del tipo
mixmaster. Per non ricevere messaggi anonimi scrivere all'operatore che aggiornerà l'apposita lista

Se per difesa della propria privacy si vuole intendere anche cercare di evitare di ricevere e-mail indesiderate (=spam) allora alcuni accorgimenti per difendersi dallo spamming possono essere considerati i seguenti:
1. cancellare i msg indesiderati dalla lista di prelevazione con ogni mezzo a disposizione (interfaccia imap, web, ssl, filtri, telnet ecc.)
2. usare come proprio indirizzo e-mail uno del tipo: mionome@nospam.dominio inserendo poi alla fine del messaggio una riga che dice di rispondere al messaggio togliendo la parola nospam (utile in tutti quei casi in cui gli spammers prendono gli indirizzi e-mail dal campo "from" in automatico, senza controllarli uno a uno, e quindi poi li usano con nospam, col risultato che il msg di spamming si "perde")
3. contattare il postmaster dello spammer

Finisco questa brevissima panoramica sugli aspetti tecnici della difesa della privacy in Rete che non vuole avere altra pretesa se non quella di invogliare chi legge queste pagine ad approfondire l'argomento in maniera autodidatta o cooperando con le altre entità della Rete anche e soprattutto seguendo newsgroups che trattano l'argomento sviscerando anche argomenti qui appena accennati o sui si è del tutto sorvolato sopra (come virus, backdoors, bugs, firewalls, ecc.) come:
it.comp.sicurezza.cert-it
it.comp.sicurezza.varie
it.comp.sicurezza.virus
oppure alcune mailing lists come la cyber-rights  (per iscriversi a cyber-rights - www.ecn.org/lists/cyber-rights/  è sufficiente spedire una e-mail a Majordomo@ecn.org e nel corpo del testo scrivere subscribe cyber-rights Per spedire i propri interventi inviare msg a cyber-rights@ecn.org ) dove il problema della difesa della privacy in Rete è spesso dibatutto non solo dal punto di vista tecnico ma anche giuridico e "sociale"

Ed eccoci finalmente agli ASPETTI GIURIDICI.
il materiale qui di seguito riportato fà parte di una raccolta di materiale presente in Rete all'indirizzo www.ecn.org/crypto/law e dal nome di xs2law

Alcuni altri indirizzi mooooolti interessanti in materia sono:

  • http://www.interlex.com

  • "sicuramente il portale più autorevole italiano in tema di 'legge'"
  • http://www.repubblica.it/cittadino.lex/index.htm

  • "novità giuridiche di interesse per il cittadino e non solo quello telematico"
  • http://www.privacy.it

  • "in assenza del sito ufficiale del garante sulla privacy l'indirizzo must in materia"
  • http://www.mclink.it/telelavoro

  • "poco aggiornato ma sicuramente il più esasustivo in Italia in tema di telelavoro"
  • http://www.comune.jesi.an.it/MV/menu_bandi.htm

  • "leggi nazionali e bandi regionali, un esempio reale di servizio alla collettività tramite la rete attuato da un'amministrazione locale"
  • http://www.camera.it/index.asp?content=%2Fdeputati%2Ffunzionamento%2F03%2Ecostituzione%2Easp

  • "Costituzione della Repubblica Italiana"
  • news:it.diritto.internet

  • newsgroup nato da poco e forse per questo o anche per la natura stessa dei newsgroup spesso affollato di quesiti e affermazioni che agli addetti ai lavori possono suonare come ingenuità
  • http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm

  • "osservatorio internazionale sulla legislazione concernente la crittografia, chiave di svolta per un uso personalizzato e sicuro della Rete"
  • http://www.idg.fi.cnr.it/ita/idg/disabilita/siti.htm

  • "raccolta esaustiva e aggiornatissima delle risorse in rete (anche giuridiche) per la Vita Indipendente"
  • http://www.idg.fi.cnr.it/ita/idg/ambiente/ELIO.htm

  • "portale sulla legislazione ambientale"
  • http://www.camera.it/chiosco.asp?content=http://www.parlamento.it/parlam/leggi/home.htm

  • "motore di ricerca della Camera dei Deputati sulle leggi di questa legislatura"
  • http://www.yahoo.it/Istituzioni/Diritto/

  • "rotte giuridiche per la navicella italiana di yahoo"

    Ed eccoci al dunque: quali sono le "leggi" italiane pertinenti e in vigore in Italia in tema di crittografia e anonimato?

    Poche e molte allo stesso tempo. Nel senso che, oramai dalla nascita del Garante esistono numerose leggi e circolari in materia di difesa della privacy ma mal si adattano alla vita dei "naviganti" e poco sembrano contrastare gli appetiti famelici di banche, assicurazioni, istituti di credito e affini che ora si trovano perlopiù a dover estorcere con malcelata gentilezza raffinate liberatorie all'utente di turno.
    In materia di privacy e anonimato sono (aggiornate al settembre 1999 riportate in ordine cronologico inverso e divise per tipologia di documento):

    Più interessante il discorso legato alla CRITTOGRAFIA in quanto investe il recente tema della firma digitale previsto di recente anche all'interno della Pubblica Amministrazione anche se prevista con modalità tecniche che escludono alcuni vecchi mostri sacri della crittografia a chiave pubblica come il PGP
     

      Sentenze


    Al di là di una seppur esaustiva (almeno nelle intenzioni) elencazione di legislazione in materia accompagnata da alcuni esempi di sentenze e documentazione pertinenti in materia è forse opportuno sofferamrsi su alcuni aspetti che riguardano più da vicino il "mondo di Internet".
    E' un argomento enorme e quindi difficilmente trattabile ed il tentativo qui portato è comunque quello di strappare al mondo istutuzionale e ai centri di potere la capacità di orientarsi nel dominio del giuridico ovvero, in altri termini, cercare di METTERCI LE MANI SOPRA, in perfetto stile HACKER ;-)
    La RISERVATEZZA è un qualcosa che viene spesso sbandierata a livello propagandistico da politcanti di varia natura salvo poi andare a spulciare nei meandri delle norme che la tutela della riservatezza dei cittadini può venir meno in casi di "ragion di stato" quali finalità investigative e giudiziarie.
    Al contrario molti documenti di Stato e della Pubblica Amministrazione sono sottratti al diritto di accesso da parte dei cittadini con il risultato che da una parte ci troviamo spesso "scoperti" per ragion di stato mentre per simili ragioni stato non è possibile accedere ad una serie di documenti che potrebbero svelare la verità su molti aspetti oscuri della vita della Repubblica Italiana non ultimo il capitolo ancora dolorosamente aperto delle Stragi di Stato.
    Da un punto di vista etico, la privacy è un capitolo controverso da affrontare da un punto di vista etico e quindi difficile da analizzare anche da un punto di vista "giuridico". Forse l'apparente verità che ci è sotto gli occhi ma che forse ci rifutiamo di vedere ovvero che la privacy non esiste più (almeno per la vita dei singoli privati cittadini) dovrebbe essere un pretesto da adottare per abbattere tutte le barriere esistenti rispetto alle zone "private" dell'informazione e della comunicazione.
    Potrebbe essere un'interessante finalità strategica del movimento hacker che potrebbe riflettersi anche nel dominio giuridico al fine di rivendicare una legislazione che abbatta i numerosi muri di gomma che si interpongono con molte verità storiche fino ad oggi negate. Ciò non toglie l'opportunità tattica offerta dagli strumenti telematici della crittografia e della steganografia di tutelare sessioni di comunicazione personali (la password della posta personale si evita di diffonderla pubblicamente) che magari meritano di tutela tecnica anche per motivi di libertà di espressione o tutela dell'integrità umana (pensiamo per esempio alle esigenze di riservatezza di un dissidente curdo che usa la Rete per comunicare dalla Turchia) ed anche queste potrebbero essere esigenze degne di tutela anche giuridica.
    L'approccio seguito dal legislatore è ovviamente inverso e forse non potrebbe essere altrimenti e questo malgrado si affaccino sulla scena istituzionale italiana personaggi competenti (Bassanini per la legislazione che ha dato lo spunto all'applicazione della firma digitale all'interno della P.A.) e/o sul cui "valore" etico non c'è niente da eccepire (Rodotà per la privacy).
    Da un punto di vista giuridico a tendenza è quella di tutelare la riservatezza del cittadino a meno che non intervenga causa di forza maggiore come la ragion di stato dimenticando che spesso (o prima o poi) la ragion di stato cozza con le ragioni di una libera espressione e comunicazione fra individui (se si vuole sempre più spesso nodi di una Rete che si estende oltre i parametri di una canonica rete tcp-ip).
    Chi controlla il controllore ? Quando la ragion di Stato devia dalla difesa del bene comune ed approda a dinamiche di grande fratello per la difesa di interessi privati?
    Sono tutti interrrogativi che potrebbero essere utopistacamente "bypassati" da una legislazione che avesse come priorità la difesa della libertà di comunicazione e d'espressione ma evidentemente non è il caso dell'impostazione della legislazione italiana.
    Allora si continua ad avere un apparato giuridico difficile da inquadrare e consultare anche perchè fra i più grandi ed articolati fra quelli esistenti al mondo ed è un apparato giuridico che sempre più spesso funziona da spada di Damocle che pende sempre più spesso minacciosamente sulla testa del più debole (l'ultimo e meno tutelato anello di questa società) mentre rappresenta poco più di una complicazione burocratica per chi, per i propri interessi economici privati, continua a catalogare, promuovere e scambiarsi databases contenenti coordinate di merci e di potenziali utenti finali diventati anch'essi merce nel momento in cui vengono indicizzati in elenchi di marketing e strategie commerciali.
    Questa iniziativa e queste pagine vogliono essere un tentativo di riappropriazione dal basso anche del sapere giuridico ed un invito a comunicare e ad aggregrsi fra simili come prima forma di autodifesa, non solo digitale... ;-)

    info traghettate in quester pagine by fERRY di SN