La Concessione del Wi-Fi

Posted by Alessandro Bottoni on 6 novembre 2010 · 32 commenti 

A meno che non abbiate vissuto in una grotta negli ultimi 10 giorni, dovreste già essere al corrente di questa notizia:

<< Dal 1 gennaio libere connessioni wi-fi. Dal primo gennaio ci si potrà collegare liberamente, senza restrizioni e senza controlli, alla rete wi-fi.

…

Dopo la sua recente visita in Israele, ha detto ancora Maroni, nel corso della quale ha incontrato il responsabile dell’antiterrorismo di Gerusalemme, “ho valutato che si possa procedere all’abolizione delle restrizioni del decreto Pisanu, che scade il 31 dicembre, e dal 1 gennaio introduciamo la liberalizzazione dei collegamenti wi-fi attraverso gli smartphone”. “Da qui a dicembre – ha concluso – valuteremo quali siano gli adeguati standard di sicurezza e dal 1 gennaio i cittadini saranno liberi di collegarsi ai sistemi wi-fi senza le restrizioni introdotte 5 anni fa e che oggi sono superate dall’evoluzione tecnologica”.

…

Che cosa dice il decreto Pisanu. Come scrive l’Espresso, l’Italia è l’unico paese libero dove se il proprietario di un bar o di un altro negozio decide di offrire ai suoi clienti una connessione senza fili (Wi-Fi) a Internet, prima deve richiedere una speciale licenza al questore, poi “procedere all’identificazione previa esibizione di documento” di ogni singolo cliente, infine conservare su un apposito registro (cartaceo, naturalmente) tutti i dati “relativi alle attività di navigazione”. >>

[Da “Cdm, sì al pacchetto sicurezza – Libero accesso alle reti wi-fi”, apparso su La repubblica Online del 5 Novembre 2010]

Questa notizia, però, non è stata accolta da tutti con lo stesso entusiasmo:

<< Grasso: da liberalizzazione danno a indagini. Per il procuratore nazionale Antimafia, Piero Grasso, l’accesso libero alle postazioni wi-fi e agli internet point porterebbe a “ridurre moltissimo la possibilità di individuare tutti coloro che commettono reati attraverso Internet”. Grasso lo ha detto a Bari, da dove ha voluto segnalare “il venir meno del decreto Pisanu che stabiliva le regole precise – ha detto – per l’identificazione di coloro che usano le reti Internet”. “Bisogna rendersi conto – ha concluso il procuratore – che dietro queste reti wi-fi e internet point ci si può nascondere benissimo nella massa degli utenti non più identificabili e si possono trovare anche terroristi, pedofili e mafiosi”. >>

Mi permetto di intervenire in questa discussione sia come Segretario del Partito Pirata Italiano che come professionista del settore.

Il “braccialetto elettronico”, anche in Rete

Avete presente il braccialetto elettronico, cioè quel dispositivo che si fa calzare ai delinquenti in libertà vigilata per sapere dove si trovano in qualunque momento? Si?

Allora, rispondete sinceramente a questa domanda: “Vi sembrerebbe giusto che, anche se siete incensurati, qualcuno pretendesse di farvi calzare il braccialetto ogni volta che uscite di casa, in modo da poter sapere in ogni istante dove siete, cosa fate e con chi vi incontrate?”

Francamente, io troverei questa pretesa del tutto ingiustificata ed inaccettabile. Poco importa se in questo modo si potrebbe “beccare” qualunque delinquente in meno di venti minuti dal verificarsi di qualunque azione criminale. Poco importa se in questo modo potrei essere ritrovato sotto una slavina in pochi minuti.

Semplicemente, sono incensurato e non voglio che lo Stato (impersonato magari da Berlusconi) possa sapere dove vado, cosa faccio e chi frequento sorvegliando ogni istante della mia vita.

Di conseguenza, trovo semplicemente inammissibile che si pretenda di schedare ogni utente che accede ad Internet (proprio ad Internet, non ad uno specifico servizio). L’identificazione dell’utente al momento dell’ingresso su Internet, infatti, è l’equivalente in rete del braccialetto elettronico nella vita fisica: permette di tracciare l’utente in ogni istante della sua navigazione, sapendo con precisione cosa fa, dove va e chi incontra.

Francamente, non può esistere nessuna giustificazione plausibile per un simile livello di invadenza. Si tratta di qualcosa degno di uno stato di polizia, della URSS stalinista o dell’Italia fascista, non certo di una democrazia.

La sicurezza si fa sui nodi

Il fatto di non identificare l’utente al suo ingresso su Internet, NON vuole affatto dire che non si possa garantire la necessaria sicurezza agli altri cittadini della Rete. La sicurezza, infatti, si fa sui singoli nodi della rete (sui singoli computer), non sulla rete in quanto tale. In altri termini, la sicurezza si gestisce sui singoli server e sui singoli client (desktop, laptop, smartphone, etc.), non sulle connessioni alla rete.

Guardate la Internet a cui siete abituati. Guardate i siti che visitate. Sono questi server che vi chiedono di identificarvi al momento in cui devono fornirvi qualche servizio. Questo è il modo normale di trattare la sicurezza in rete. Non solo: è anche il modo tecnicamente corretto di fare sicurezza.

La ragione è ovvia: è il singolo nodo a fornire i servizi ed a essere passibile di attacchi e quindi è il singolo nodo a dover essere protetto. Non c’è nessun motivo di tracciare l’utente nel resto della sua navigazione e, soprattutto, tracciarlo ovunque non è di nessuna utilità ai fini della sicurezza.

Il mito dell’anonimato e della irrintracciabilità

Il fatto di non identificare l’utente al suo ingresso su Internet, NON vuole affatto dire che non lo si possa identificare in seguito, se e quando occorre.

Coloro che “trafficano” con il “file sharing” sanno bene quanto sia difficile restare anonimi ed irrintracciabili su Internet. In realtà, è difficilissimo. Lo è persino usando tecnologie appositamente realizzate con questo scopo come Freenet, TOR, eMule e roba simile.

La ragione di questa difficoltà è ben nota: per ovvie ragioni tecniche, ogni scheda di rete (e quindi ogni computer) deve poter essere identificato da un apposito indirizzo (l’IP address). Di conseguenza, anche l’utente è (relativamente) facile da rintracciare.

Per questa ragione non c’è nessuna necessità di identificare l’utente al momento del suo accesso in rete. È sempre possibile identificarlo e tracciarlo in seguito, se e quando sarà necessario.

Delinquenti digitali (quelli veri)

I delinquenti digitali, quelli veri, scavalcano allegramente i controlli previsti da leggi ottuse come il Decreto Pisanu (e molte altre assurde leggi di quest’italietta berlusconiana).

Ecco qui di seguito un piccolo elenco delle tecniche normalmente adottate da chi vuole davvero fare qualcosa di malvagio.

Falsi documenti: pensate davvero che chi si presenta ad un Internet Cafè fornisca sempre documenti attendibili? Davvero pensate che non bastino venti euro per convincere molti gestori a riusare una carta d’identità di un vecchio utente per registrarvi?

Macchine all’estero: l’obbligo di identificare l’utente che accede ad un Internet Cafè o ad una rete wi-fi esiste solo in Italia. Basta andare in Croazia per risolvere il problema. Dvvero le vostre attività criminali più pericolose e più critiche non valgono una bella vacanza di tre giorni al di là dell’adriatico?

Macchine di Pool: secondo una statistica molto rozza, in Italia ci sono circa 30.000.000 (trenta milioni) di PC dislocati in scuole, università, aziende private di ogni dimensione e di ogni tipo, parrocchie, sedi di associazioni, sindacati, partiti politici e via dicendo. Pensate davvero che queste macchine, destinate ad un uso più o meno pubblico, siano adeguatamente protette e sorvegliate?

Wi-Fi sprotette: dal punto in cui mi trovo (un palazzo alla periferia di Ferrara), in questo momento vedo (attraverso il mio PC) ben otto diverse reti wi-fi che, plausibilmente, appartengono ai miei condomini. Tre di queste sono completamente prive di protezione. Due sono protette dalla password “123456” ed una è protetta da una password uguale al nome della rete. Le ultime due sono protette (da WPE e WPA). Davvero pensate che, se volessi compiere qualche azione criminale, avrei qualche problema a trovare una rete di cui abusare, qui o altrove?

Senza tetto: i senza tetto (hobos) sono la più grande risorsa della criminalità spicciola ed organizzata. Basta dar loro venti euro per convincerli a rivenderci una loro scheda SIM (telefonica od abilitata al traffico dati) che non potrà mai essere ricondotta a noi sulla base dei dati anagrafici.

Relakks e Ipredator:

Con 45 € all’anno è possibile noleggiare il servizio di tunneling TCP/IP di Relakks (https://www.relakks.com/?cid=gb&lang=en) o di Ipredator (https://www.ipredator.se/). Questo servizi si prenderanno tutte le colpe al nostro posto. Tanto, a loro interessa ben poco: hanno sede in Svezia ed hanno preso le opportune precauzioni tecniche e legali. Esistono servizi simili (più o meno pubblicizzati) in quasi qualunque paese del mondo (Thailandia, Namibia, Haiti, etc.) e con pochi dollari è possibile (su Internet, senza muoversi dal salotto) convincere un cittadino straniero a fornirci lo stesso servizio usando un server noleggiato a suo nome. Davvero vogliamo parlare di rogatorie internazionali e di indagini su scala globale?

Wi-Fi hacking: ed infine arriva l’hacking. Vogliamo parlare di quelle due ultime reti, protette da WPE o WPA che si vedono da questo punto di osservazione? Devo proprio lanciare uno dei tool di penetration testing che sono presenti sulla mia installazione di BackTrack (http://www.backtrack-linux.org/)?

Ma davvero si può pensare di fare lotta al crimine digitale creando inutili problemi ai cittadini incensurati? Davvero si può pensare che i veri criminali si lascino identificare e tracciare in questo modo?

Tecniche di identificazione e tracciamento

Ristabilita la verità riguardo alla reale efficacia di queste patetiche leggiucole, va però detto che le tecniche per identificare e tracciare gli utenti, anche quelli più tecnicamente preparati e più malvagi, non mancano di certo.

Come ho già detto, quando un dispositivo (laptop, desktop, smartphone, etc.) si collega ad una rete, sia essa wireless (wi-fi) o wired (ADSL), deve per forza di cosa rendersi raggiungibile (solitamente attraverso un indirizzo IP) e già questo rende il dispositivo facilmente identificabile in moltissimi casi.

Oltre a questo, il dispositivo espone una enorme quantità di informazioni, sia legate al sistema operativo che legate al software in uso. Per farvi un’idea di quante informazioni vengano rilasciate, provate a visitare questi siti web:

Panopticlick: https://panopticlick.eff.org/ . Questo sito, che è un progetto di EFF, dimostra come il browser web dell’utente risulti spesso configurato in una maniera che risulta unica su milioni di casi e quindi sia possibile usare la sua “impronta digitale” per identificare in modo univoco l’utente.

Online Browser Security e Privacy Scanners come http://browserspy.dk/ , http://privacy.net/analyze/ , http://mybrowserinfo.com/ e http://ipinfo.info/html/privacy-check.php . Questi server analizzano le richieste inviate dal vostro browser e le visualizzano in una pagina web, In questo modo è possibile toccare con mano l’enorme quantità di informazioni che si lasciano trapelare sulla rete mentre si naviga.

Si potrebbe erroneamente pensare che queste tecniche di identificazione funzionino solo nei confronti di un browser web ma non è così. Come ben sanno gli hacker che si dedicano allo OS Fingerprinting, è possibile identificare il sistema operativo di un server (e di qualunque computer, in realtà) esaminando il modo in cui risponde alle richieste di connessione:

http://en.wikipedia.org/wiki/TCP/IP_stack_fingerprinting

http://insecure.in/network_hacking_03.asp

Questa tecnica viene già usata da tempo in ambito forense per (tentare di) identificare gli hacker mentre svolgono le loro operazioni:

http://searchenterprisedesktop.techtarget.com/tip/0,289483,sid192_gci1127712,00.html

Di conseguenza, sostenere che senza le “abituali” procedure di identificazione (carta d’identità all’ingresso degli internet Cafè, IP assegnato al PC di casa dal provider ADSL, SMS per accedere alle reti wi-fi, etc.) non sia possibile identificare e rintracciare gli utenti (se e quando è necessario) è una menzogna.

Uno stato che (com’è logico che sia) ha accesso (su mandato di un Giudice) ai dati raccolti (per legge, in Italia) dai provider, non ha bisogno di nient’altro per portare a termine (spesso con successo) le sue azioni di contrasto nei confronti del crimine. Non c’è nessuna ragione al mondo per pretendere di identificare e tracciare i privati cittadini (incensurati) nel momento a cui accedono ad Internet. L’identificazione ed il tracciamento “a tappeto” dei cittadini non aggiunge nessuna freccia all’arco degli investigatori.

Scelte di portafoglio

In quasi tutti i paesi occidentali (che aderiscono al famigerato trattato WIPO della WTO), le forse di polizia vengono chiamate ad un impegno crescente per proteggere i diritti di copia su vari tipi di prodotti digitali (musica, film, serie televisive ma anche spartiti musicali, lyrics e roba simile). Vengono già adesso spese delle somme enormi per la lotta alla cosiddetta “pirateria” e si chiede ai vari stati di spendere sempre di più.

Si tratta di soldi pubblici (vostri e miei) che vengono spesi per difendere i diritti commerciali di aziende private (le aziende di produzione e distribuzione). Non si tratta affatto, come si vorrebbe far credere, di soldi pubblici spesi per difendere la società (voi e me) dalle azioni malvagie dei “pirati”.

Stiamo pagando (un sacco di soldi) per difendere i discutibilissimi e personalissimi interessi commerciali di aziende multimiliardarie (in euro), non per migliorare la nostra sicurezza.

Questa pretesa di tracciare gli utenti sin dal loro ingresso in rete è solo un’altra delle pretese avanzate dalle industrie del recording per difendere i propri privilegi (ormai indifendibili). Non serve assolutamente a garantire la sicurezza della rete e dei cittadini, come si vorrebbe far credere. A queste aziende (ed ai politici che le appoggiano) non interessa minimamente il fatto che, per difendere i loro medievali privilegi, vengano messe a repentaglio la libertà, la riservatezza e la sicurezza dei cittadini.

Francamente, sarebbe tempo di chiedere alle nostre forze di polizia di occuparsi dei criminali, quelli veri, e di lasciar stare i ragazzini brufolosi che scaricano musica da eMule.

La “pirateria digitale” è un fenomeno sociale da comprendere e da accettare, non un nemico da combattere a suon di cannonate.

Le soluzioni alla Maroni: la SIM

In realtà, come hanno già fatto notare parecchi osservatori, siamo di fronte ad un annuncio a puro scopo mediatico. Il Decreto Pisanu NON verrà abolito. Si eviterà solo di prorogarne un singolo articolo (quello che riguarda l’obbligo di autorizzazione della questura per l’esercente). Tutto il resto rimane invariato.

Non solo: NON viene affatto abolito l’obbligo di registrazione dell’utente che si collega. Ci si limita ad adottare una soluzione alternativa. E qui viene il bello:

<< Per quanto riguarda gli “obblighi di sicurezza in capo a chi fornisce il servizio”, si ipotizza un modello che renda obbligatoria una rete con password, in modo da individuare gli utenti al momento del login. Alcuni osservatori, per esempio, parlano di un sistema di identificazione via SMS con l’utente che fornisce il proprio numero di cellulare per ricevere una password (metodo, peraltro, già parzialmente utilizzabile con una circolare di aggiornamento del decreto), e in modo simile a quanto previsto dal modello Cassinelli. >>

Quindi, si passa dall’identificazione diretta dell’utente alla sua identificazione indiretta via SIM del telefono cellulare. Tanta strada e tanto clamore per tornare al punto di partenza.

Tra l’altro, l’identificazione via SMS ha senso solo se la SIM del telefono cellulare è stata acquistata in Italia. In nessun altro paese del mondo (nemmeno in Namibia) è necessario presentare un documento di identità per acquistare una SIM.

Le SIM telefoniche e le connessioni Wi-Fi, infatti, vengono considerate alla stregua di armi da fuoco solo in paesi a chiarissima vocazione dittatoriale, come la Cina, Cuba ed il Sultanato d’Italia.

Detto questo, rileggete la sezione “Senza Tetto” del paragrafo “delinquenti digitali” che trovate qui sopra. Non credo sia necessario dire altro a proposito.

Cosa ci stiamo perdendo

L’obbligo di identificare l’utente che accede ad una rete Wi-Fi ha innanzitutto l’effetto di limitare l’accesso ad Internet fuori di casa e fuori dai luoghi di lavoro. Questa è già una pessima notizia, in un mondo che dipende in modo sempre più stringente da questi servizi.

In secondo luogo, però, ha un effetto ancora più subdolo e dannoso: impedisce il cosiddetto “hand over” automatico tra una rete e l’altra. L’hand over è quella procedura che ha luogo quando un dispositivo abbandona una “cella” (un hotspot wi-fi, in questo caso) e si collega a quella successiva. È grazie all’hand over che i nostri telefoni cellulari restano collegati alla rete GSM mentre ci muoviamo.

Se fosse possibile praticare lo hand over anche sulle reti wi-fi, queste potrebbero essere usate da dispositivi in movimento nello stesso modo in cui vengono usati i telefoni cellulari. Se pensate che il wi-fi già adesso può supportare una comunicazione VoIP come quella di Skype, potete ben vedere che la rete wi-fi potrebbe diventare un temibile (e gratuito) concorrente delle TelCo come Telecom Italia, Vodafone, 3g e via dicendo. Questo sia nel settore voce che in quello dati.

Per fortuna (delle TelCo), in Italia (e SOLO in Italia), questo non è possibile: da noi bisogna ri-effettuare l’autenticazione (login) ad ogni accesso alle singole reti wi-fi, sempre con password diverse e con una procedura che obbliga l’utente ad intervenire manualmente (ora con carta d’identità, in futuro con SMS a quanto si sa).

Le TelCo sentitamente ringraziano.

Se pensate che soluzioni come questa siano fantascienza, date un’occhiata a TerraNet:

http://www.terranet.se/

Conclusioni: può dormire sonni tranquilli, Dottor Grasso

In conclusione, Dottor Grasso, lei può dormire sonni tranquilli. Se anche si arriverà ad una REALE abolizione di queste pessime leggi, degne soltanto di una dittatura fascista, lei, come investigatore, non ne subirà alcun danno. Non è certo da queste leggiucole che lei ottiene la forza necessaria per lottare contro il crimine.

Semmai anche lei, come cittadino, potrà finalmente godere della doverosa riservatezza a cui avrebbe sempre avuto diritto.

La lotta al crimine, in Rete, è qualcosa di molto, molto più sottile e più complesso. Non si può pensare che leggi rozze come queste possano realmente essere d’aiuto.

Alessandro Bottoni

L’immagine del logo wifi proviene da qui: flickr.com/photos/odonovan/3715717053/ .

 

AGGIORNAMENTO DEL 8 Novembre 2010:

Dai commenti a questo articolo è chiaro che molti lettori cadono in questo tranello: “Niente identificazione al momento della connessione, quindi niente controllo, quindi niente sicurezza.”

SBAGLIATO!

Anche senza l’identificazione dell’utente al momento dell’accesso alla Rete, i controlli ci sono. Ci sono eccome! E sono anche capillari e molto efficaci.

La dimostrazione vi viene dal sistema di home banking della vostra banca. La vostra banca (ad esempio FINECO) non ha accesso ai dati raccolti dal gestore dell’Internet Cafè che state usando. Non ha accesso nemmeno ai dati raccolti dal provider di accesso che state usando per connettervi da casa via ADSL (Telecom, Vodafone, etc.) o per connettervi attraverso UMTS dal camper (3G e simili). Nonostante questo, la vostra banca è perfettamente in grado di garantire la vostra sicurezza e, anche se non ve ne accorgete, è in grado di proteggere gli altri utenti e gli altri cittadini dalle vostre azioni. Questo è possibile semplicemente perché controlla il server a cui vi collegate.

Su Internet (e su qualunque altro tipo di rete) non esiste il concetto di “azione diretta” tra voi ed il vostro “bersaglio”. Qualunque cosa voi facciate, lo fate sempre e solo grazie a qualche server che si interpone tra voi ed il bersaglio. Se inviate un messaggio di posta, questo messaggio, prima di arrivare a destinazione, attraversa almeno tre o quattro server che dipendono da tre o quattro aziende diverse. Se stabilite una comunicazione IM (IRC, MSN, Jabber) o una connessione P2P (eMule) questa connessione deve per forza attraversare tre o quattro server di redirezione (router e DNS) prima di arrivare all’altra estremità. Dato che questi server sono sotto il controllo di qualcun altro (il provider ADSL, altri operatori, etc.) il vostro traffico è comunque tracciabile ed è sempre possibile risalire al terminale che state usando.

L’unica cosa che resta ignota è la vostra identità anagrafica. In altri termini, uscendo dall’Internet Cafè potete sparire nell’ombra. Questo, però, è esattamente il tipo di mancanza di controlli (cioè di “libertà”) che mi aspetto in un paese civile e democratico. Avete il diritto di sparire nell’ombra perché siete cittadini onesti ed incensurati. Se così non fosse, un giudice avrebbe comunque tutta l’autorità necessaria per autorizzare i controlli e le indagini del caso. Non c’è nessun bisogno di un Decreto Pisanu per questo.

Inoltre, anche senza il Decreto Pisanu l’esercente (il proprietario dell’Internet cafè, il provider ADSL e via dicendo) ha tutto il diritto di chiedervi i documenti (anche perché, in genere, deve emettere fattura verso di voi). Ciò che il decreto Pisanu aggiunge a questa situazione è solo che per un’associazione (come quella di cui sono segretario) è legalmente impossibile fornire accesso libero ed incontrollato alla sua rete. Inoltre, questo decreto rende impossibile il cosiddetto “hand over” (vedi testo originale dell’articolo).

Non c’è nessun guadagno per la sicurezza. Ci sono solo delle evidenti perdite di libertà.

FINE AGGIORNAMENTO

Archiviato in Business, filesharing, frontpage, Internet, Legge, Networking, politica, Tecnologia, telefonia · Tagged with legge, pisanu, wifi