
La seconda iniziativa dell'hack~lab firenze è su uno dei temi classici della Rete: la privacy e la sua difesa dal punto di vista tecnico e giuridco
Dal punto di vista tecnico mi soffermo brevissimamente perlopiù al fine di indicare alcuni urls che possono essere utili per approfondire l'argomento tratti da una raccolta di info ed indirizzi dal nome post_aXion MUTANTE
Scopo principale di queste pagine è quello invece di raccogliere e indicate quelli che sono i testi italiani legislativi vigenti ma anche giurisprudenziali e di dottrina pertinenti al problema della privacy in particolare per quanto riguarda l'uso di strumenti di crittografia e le procedure e necessità di anonimizzazione
Durante la giornata di lunedì' 4 ottobre si terranno presso la sede dell'hacklab (c/o biblioteca popolare dell'isolotto) alcuni seminari in cui si cercherà di indicare come difendere la propria privacy nell'uso della rete
Prima di riflettere sull'argomento "giuridico" alcuni cenni tecnici sull'argomento PRIVACY & RETE e soprattutto alcuni inviti ad approfondire l'argomento seguendo alcune coordinate classiche della Rete in materia di AUTODIFESA DIGITALE
Non a tutt* è noto che
usando la Rete (Internet & Co.) si lascia quasi inevitabilemente traccia
delle proprie attività anche e soprattutto attraverso il proprio
numero IP usato (ovvero l'identificativo del nodo di rete con il quale
siamo temporaneamente identificat*). A parte alcune rare eccezioni difficilmente
praticabili da un punto di vista tecnico o poco conosciute, il nostro
IP, in forma alfabetica o alfanumerica è sempre presente nelle nostre
attività di rete il che vuol dire che rimane estremamente facile
verificare, per esempio, da dove proviene l'e-mail e da dove transita.
Alcune utilities di rete (programmi)
comunemente usati per monitorare lo stato degli ip coinvolti nelle attività
di Rete sono ping e traceroute (tracert
per chi usa windows) ed esistono anche numerosi servizi in rete come
cello.cs.uiuc.edu/cgi-bin/slamm/ip2name
www.rahul.net/falk/whois.html
che aiutano anche i meno esperti
a estrarre alcuni altri tipi di identificativi di rete e personali rispetto
ad alcuni servizi di Rete
Se quindi si arriva alla conclusione che è difficile non lasciare tracce della propria attività in Rete qualora si abbia l'esigenza di tutelare la privacy delle nostre informazioni (andatevi a spulciare questi due urls per vedere quanta gente curiosa esiste dentro e fuori la Rete... www.europarl.eu.int/dg4/stoa/en/publi/166499/execsum.htm - counterspyshop.com ) si arriva presto alla conclusione che le nostre informazioni e comunicazione devono essere crittate (rese illeggibili) oppure steganografate (ovvero che mostrano un aspetto intelleggibile ma con un contenuto apparente diverso da quello contenuto al proprio interno e a sua volta, magari crittato...).
Sono argomenti apparentemente
abbastanza difficili e soprattutto in continua evoluzione per cui invito
a consultare periodicamente quelli che sono alcune coordinate di Rete classiche
in materia quali:
kyuzz.org/anon/sommario.html
bfi.voyanet.org
www.ecn.org/crypto
www.soci.niu.edu/~cudigest
I Sistemi di crittazione
a chiave pubblica sono sicuramente i più affidabili ed i
più usati in Rete sotto svariate forme.
Un sistema a chiave pubblica
consiste in un sistema che prevede due tipi di chiavi: una privata (secring.pgp)
che serve a decodificare i msg in arrivo ed una pubblica (pubring.pgp)
che consente a chiunque di scrivere msg criptati che potranno essere letti
solo dalla persona che ha la chiave privata abilitata a leggere i msg prodotti
dalla corrispondente chiave pubblica. Un sistema a chiave pubblica permette
perciò di potersi scambiare msg anche attraverso sistemi di comunicazioni
di tipo pubblico senza aver paura che siano letti in chiaro
Alcuni urls indispensabili
per approfondire l'argomento e soprattutto reperire software di questo
tipo sono:
munitions.vipul.net
www.ecn.org/crypto/soft
Di seguito alcune altre indicazioni
di massima sugli usi più frequenti della Rete come, per esempio,
il discorso dei Cookies quando si usa un browser per
"navigare" in Internet.
I cookies sono files
presenti sui browsers che possono fornire al server visitato
una serie di informazioni quali le pagine visitate recentemente, indirizzo
ip dell'elaboratore, nome e tipo del browser e del sistema operativo utilizzato
presentando un'interfaccia personalizzata ad x identità che ha svolto
y funzioni o che ha z caratteristiche (x chi vuole approfondire l'argomento
due links utili sono: home.netscape.com/newsref/std/cookie_spec.html
- cookiecentral.com )
Per evitare l'azione dei cookies:
1. rimuoverli periodicamente
2. settare le opzioni del
browser in maniera da monitorare o inibire i cookies
3. aprire il file cookies
e cancellare il suo contenuto, salvare e modificare gli attributi del file
permettendone solo la lettura
4. dotarsi di specifico software
di prevenzione e controllo
Applets e controlli ActiveX possono attivare procedure di danneggiamento e acquisizione informazioni. Java utilizza alcuni modelli di sicurezza per impedire alle sue applicazioni di eseguire operazioni illecite a bordo dei computer su cui vengono scaricate. ActiveX lascia ai controlli la massima libertà operativa ma prevede un meccanismo di autenticazione basato sui certificati che ne attestano la provenienza. In casi particolari, script, plug-in ed url possono rappresentare delle minacce alla sicurezza lato client tanto che sarebbe appropriato analizzarle prima di attivarle
Una delle maniere più
efficaci (anche se si delega ad un proxy in rete la registrazione
delle nostre navigazioni verso il quale bisogna quindi avere un certo grado
di fiducia...) per tutelare la privacy delle nostre "navigazioni" è
quella di utilizzare un cosidetto Anonymizer. Gli anonymizer
(o proxy) sono server che permettono agli utenti di transitare
da essi per visitare altri siti mascherando l'ip di provenienza. Un anonymizer
(o un proxy) ridirige le richieste di pagina per cui il server di
destinazione conserva su di sé le informazioni dell'anonymizer
(o quelle previste dalla configurazione del
proxy). I browser conservano
traccia in locale delle navigazioni in svariati files di log
(cache, cronologia, internet temp files, GlobalHistory, .hst)
Di seguito alcune soluzioni
sperimentabili in rete per tentare di anonimizzare le nostre "navigazioni"
junkbuster.com
www.anonymizer.com
lpwa.com
magusnet.com/proxy.html
www.research.att.com/projects/crowds/index.html
Uno dei sistemi più
efficaci per tutelare la propria privacy è quello di usare
la posta elettronica in maniera anonima. Gli anonymous remailer inseriscono
l'indirizzo del servizio di anonymous remailing al posto dell'indirizzo
di rete originale. Perché usare un anonymous remailer? Per
partecipare ad una discussione in rete portando un'esperienza personale
oppure un contributo di pensiero o informativo senza che tutto ciò
sia associato a una identità o traccia telematica
I servizi di a.r. anche per
la loro natura particolare sono in continua evoluzione e per cui merita
seguire i siti e newsgroups che meglio ed in maniera più
aggiornata possbile trattano l'argomento come ad esempio alt.privacy.anon-server
- anon.efga.org:8080/Remailers/Settings
È importante disabilitare
la firma dal programma di posta; considerare l'affidabilità dell'a.r.
prescelto; adottare la tecnica "chaining" per usare più a.r. magari
ed utilizzare appositi client per utilizzare al massimo le funzionalità
del tipo
mixmaster. Per non ricevere
messaggi anonimi scrivere all'operatore che aggiornerà l'apposita
lista
Se per difesa della propria
privacy si vuole intendere anche cercare di evitare di ricevere e-mail
indesiderate (=spam) allora alcuni accorgimenti per difendersi
dallo spamming possono essere considerati i seguenti:
1. cancellare i msg indesiderati
dalla lista di prelevazione con ogni mezzo a disposizione (interfaccia
imap, web, ssl, filtri, telnet ecc.)
2. usare come proprio indirizzo
e-mail uno del tipo: mionome@nospam.dominio inserendo poi alla fine del
messaggio una riga che dice di rispondere al messaggio togliendo la parola
nospam (utile in tutti quei casi in cui gli spammers prendono gli indirizzi
e-mail dal campo "from" in automatico, senza controllarli uno a uno, e
quindi poi li usano con nospam, col risultato che il msg di spamming si
"perde")
3. contattare il postmaster
dello spammer
Finisco questa brevissima panoramica
sugli aspetti tecnici della difesa della privacy in Rete che non vuole
avere altra pretesa se non quella di invogliare chi legge queste pagine
ad approfondire l'argomento in maniera autodidatta o cooperando con le
altre entità della Rete anche e soprattutto seguendo newsgroups
che trattano l'argomento sviscerando anche argomenti qui appena accennati
o sui si è del tutto sorvolato sopra (come virus, backdoors, bugs,
firewalls, ecc.) come:
it.comp.sicurezza.cert-it
it.comp.sicurezza.varie
it.comp.sicurezza.virus
oppure alcune mailing lists
come la cyber-rights (per iscriversi a cyber-rights
- www.ecn.org/lists/cyber-rights/
è sufficiente spedire una e-mail a Majordomo@ecn.org e nel corpo
del testo scrivere subscribe cyber-rights Per spedire i propri interventi
inviare msg a cyber-rights@ecn.org ) dove il problema della difesa della
privacy in Rete è spesso dibatutto non solo dal punto di vista tecnico
ma anche giuridico e "sociale"
Ed eccoci finalmente agli ASPETTI
GIURIDICI.
il materiale qui di seguito
riportato fà parte di una raccolta di materiale presente in Rete
all'indirizzo www.ecn.org/crypto/law
e dal nome di xs2law
Alcuni altri indirizzi mooooolti interessanti in materia sono:
Ed eccoci al dunque: quali sono le "leggi" italiane pertinenti e in vigore in Italia in tema di crittografia e anonimato?
Poche e molte allo stesso tempo.
Nel senso che, oramai dalla nascita del Garante esistono numerose leggi
e circolari in materia di difesa della privacy ma mal si adattano alla
vita dei "naviganti" e poco sembrano contrastare gli appetiti famelici
di banche, assicurazioni, istituti di credito e affini che ora si trovano
perlopiù a dover estorcere con malcelata gentilezza raffinate liberatorie
all'utente di turno.
In materia di privacy
e anonimato sono (aggiornate al settembre 1999 riportate in ordine
cronologico inverso e divise per tipologia di documento):
Al di là di una
seppur esaustiva (almeno nelle intenzioni) elencazione di legislazione
in materia accompagnata da alcuni esempi di sentenze e documentazione pertinenti
in materia è forse opportuno sofferamrsi su alcuni aspetti che riguardano
più da vicino il "mondo di Internet".
E' un argomento enorme e quindi
difficilmente trattabile ed il tentativo qui portato è comunque
quello di strappare al mondo istutuzionale e ai centri di potere la capacità
di orientarsi nel dominio del giuridico ovvero, in altri termini, cercare
di METTERCI LE MANI SOPRA, in perfetto stile HACKER ;-)
La RISERVATEZZA è un
qualcosa che viene spesso sbandierata a livello propagandistico da politcanti
di varia natura salvo poi andare a spulciare nei meandri delle norme che
la tutela della riservatezza dei cittadini può venir meno in casi
di "ragion di stato" quali finalità investigative e giudiziarie.
Al contrario molti documenti
di Stato e della Pubblica Amministrazione sono sottratti al diritto di
accesso da parte dei cittadini con il risultato che da una parte ci troviamo
spesso "scoperti" per ragion di stato mentre per simili ragioni stato non
è possibile accedere ad una serie di documenti che potrebbero svelare
la verità su molti aspetti oscuri della vita della Repubblica Italiana
non ultimo il capitolo ancora dolorosamente aperto delle Stragi di Stato.
Da un punto di vista etico,
la privacy è un capitolo controverso da affrontare da un punto di
vista etico e quindi difficile da analizzare anche da un punto di vista
"giuridico". Forse l'apparente verità che ci è sotto gli
occhi ma che forse ci rifutiamo di vedere ovvero che la privacy non esiste
più (almeno per la vita dei singoli privati cittadini) dovrebbe
essere un pretesto da adottare per abbattere tutte le barriere esistenti
rispetto alle zone "private" dell'informazione e della comunicazione.
Potrebbe essere un'interessante
finalità strategica del movimento hacker che potrebbe
riflettersi anche nel dominio giuridico al fine di rivendicare una legislazione
che abbatta i numerosi muri di gomma che si interpongono con molte verità
storiche fino ad oggi negate. Ciò non toglie l'opportunità
tattica offerta dagli strumenti telematici della crittografia e della steganografia
di tutelare sessioni di comunicazione personali (la password della posta
personale si evita di diffonderla pubblicamente) che magari meritano di
tutela tecnica anche per motivi di libertà di espressione o tutela
dell'integrità umana (pensiamo per esempio alle esigenze di riservatezza
di un dissidente curdo che usa la Rete per comunicare dalla Turchia) ed
anche queste potrebbero essere esigenze degne di tutela anche giuridica.
L'approccio seguito dal legislatore
è ovviamente inverso e forse non potrebbe essere altrimenti e questo
malgrado si affaccino sulla scena istituzionale italiana personaggi competenti
(Bassanini per la legislazione che ha dato lo spunto all'applicazione della
firma digitale all'interno della P.A.) e/o sul cui "valore" etico non c'è
niente da eccepire (Rodotà per la privacy).
Da un punto di vista giuridico
a tendenza è quella di tutelare la riservatezza del cittadino a
meno che non intervenga causa di forza maggiore come la ragion di stato
dimenticando che spesso (o prima o poi) la ragion di stato cozza con le
ragioni di una libera espressione e comunicazione fra individui (se si
vuole sempre più spesso nodi di una Rete che si estende oltre i
parametri di una canonica rete tcp-ip).
Chi controlla il controllore
? Quando la ragion di Stato devia dalla difesa del bene comune ed approda
a dinamiche di grande fratello per la difesa di interessi privati?
Sono tutti interrrogativi
che potrebbero essere utopistacamente "bypassati" da una legislazione che
avesse come priorità la difesa della libertà di comunicazione
e d'espressione ma evidentemente non è il caso dell'impostazione
della legislazione italiana.
Allora si continua ad avere
un apparato giuridico difficile da inquadrare e consultare anche perchè
fra i più grandi ed articolati fra quelli esistenti al mondo ed
è un apparato giuridico che sempre più spesso funziona da
spada di Damocle che pende sempre più spesso minacciosamente sulla
testa del più debole (l'ultimo e meno tutelato anello di questa
società) mentre rappresenta poco più di una complicazione
burocratica per chi, per i propri interessi economici privati, continua
a catalogare, promuovere e scambiarsi databases contenenti coordinate di
merci e di potenziali utenti finali diventati anch'essi merce nel momento
in cui vengono indicizzati in elenchi di marketing e strategie commerciali.
Questa iniziativa e queste
pagine vogliono essere un tentativo di riappropriazione dal basso anche
del sapere giuridico ed un invito a comunicare e ad aggregrsi fra simili
come prima forma di autodifesa, non solo digitale... ;-)
info traghettate in quester pagine by fERRY di SN