La Concessione del Wi-Fi

A meno che non abbiate vissuto in una grotta negli ultimi 10 giorni, dovreste già essere al corrente di questa notizia:

<< Dal 1 gennaio libere connessioni wi-fi. Dal primo gennaio ci si potrà collegare liberamente, senza restrizioni e senza controlli, alla rete wi-fi.

Dopo la sua recente visita in Israele, ha detto ancora Maroni, nel corso della quale ha incontrato il responsabile dell’antiterrorismo di Gerusalemme, “ho valutato che si possa procedere all’abolizione delle restrizioni del decreto Pisanu, che scade il 31 dicembre, e dal 1 gennaio introduciamo la liberalizzazione dei collegamenti wi-fi attraverso gli smartphone”. “Da qui a dicembre – ha concluso – valuteremo quali siano gli adeguati standard di sicurezza e dal 1 gennaio i cittadini saranno liberi di collegarsi ai sistemi wi-fi senza le restrizioni introdotte 5 anni fa e che oggi sono superate dall’evoluzione tecnologica”.

Che cosa dice il decreto Pisanu. Come scrive l’Espresso, l’Italia è l’unico paese libero dove se il proprietario di un bar o di un altro negozio decide di offrire ai suoi clienti una connessione senza fili (Wi-Fi) a Internet, prima deve richiedere una speciale licenza al questore, poi “procedere all’identificazione previa esibizione di documento” di ogni singolo cliente, infine conservare su un apposito registro (cartaceo, naturalmente) tutti i dati “relativi alle attività di navigazione”. >>

[Da “Cdm, sì al pacchetto sicurezza – Libero accesso alle reti wi-fi”, apparso su La repubblica Online del 5 Novembre 2010]

Questa notizia, però, non è stata accolta da tutti con lo stesso entusiasmo:

<< Grasso: da liberalizzazione danno a indagini. Per il procuratore nazionale Antimafia, Piero Grasso, l’accesso libero alle postazioni wi-fi e agli internet point porterebbe a “ridurre moltissimo la possibilità di individuare tutti coloro che commettono reati attraverso Internet”. Grasso lo ha detto a Bari, da dove ha voluto segnalare “il venir meno del decreto Pisanu che stabiliva le regole precise – ha detto – per l’identificazione di coloro che usano le reti Internet”. “Bisogna rendersi conto – ha concluso il procuratore – che dietro queste reti wi-fi e internet point ci si può nascondere benissimo nella massa degli utenti non più identificabili e si possono trovare anche terroristi, pedofili e mafiosi”. >>

Mi permetto di intervenire in questa discussione sia come Segretario del Partito Pirata Italiano che come professionista del settore.

Il “braccialetto elettronico”, anche in Rete

Avete presente il braccialetto elettronico, cioè quel dispositivo che si fa calzare ai delinquenti in libertà vigilata per sapere dove si trovano in qualunque momento? Si?

Allora, rispondete sinceramente a questa domanda: “Vi sembrerebbe giusto che, anche se siete incensurati, qualcuno pretendesse di farvi calzare il braccialetto ogni volta che uscite di casa, in modo da poter sapere in ogni istante dove siete, cosa fate e con chi vi incontrate?”

Francamente, io troverei questa pretesa del tutto ingiustificata ed inaccettabile. Poco importa se in questo modo si potrebbe “beccare” qualunque delinquente in meno di venti minuti dal verificarsi di qualunque azione criminale. Poco importa se in questo modo potrei essere ritrovato sotto una slavina in pochi minuti.

Semplicemente, sono incensurato e non voglio che lo Stato (impersonato magari da Berlusconi) possa sapere dove vado, cosa faccio e chi frequento sorvegliando ogni istante della mia vita.

Di conseguenza, trovo semplicemente inammissibile che si pretenda di schedare ogni utente che accede ad Internet (proprio ad Internet, non ad uno specifico servizio). L’identificazione dell’utente al momento dell’ingresso su Internet, infatti, è l’equivalente in rete del braccialetto elettronico nella vita fisica: permette di tracciare l’utente in ogni istante della sua navigazione, sapendo con precisione cosa fa, dove va e chi incontra.

Francamente, non può esistere nessuna giustificazione plausibile per un simile livello di invadenza. Si tratta di qualcosa degno di uno stato di polizia, della URSS stalinista o dell’Italia fascista, non certo di una democrazia.

La sicurezza si fa sui nodi

Il fatto di non identificare l’utente al suo ingresso su Internet, NON vuole affatto dire che non si possa garantire la necessaria sicurezza agli altri cittadini della Rete. La sicurezza, infatti, si fa sui singoli nodi della rete (sui singoli computer), non sulla rete in quanto tale. In altri termini, la sicurezza si gestisce sui singoli server e sui singoli client (desktop, laptop, smartphone, etc.), non sulle connessioni alla rete.

Guardate la Internet a cui siete abituati. Guardate i siti che visitate. Sono questi server che vi chiedono di identificarvi al momento in cui devono fornirvi qualche servizio. Questo è il modo normale di trattare la sicurezza in rete. Non solo: è anche il modo tecnicamente corretto di fare sicurezza.

La ragione è ovvia: è il singolo nodo a fornire i servizi ed a essere passibile di attacchi e quindi è il singolo nodo a dover essere protetto. Non c’è nessun motivo di tracciare l’utente nel resto della sua navigazione e, soprattutto, tracciarlo ovunque non è di nessuna utilità ai fini della sicurezza.

Il mito dell’anonimato e della irrintracciabilità

Il fatto di non identificare l’utente al suo ingresso su Internet, NON vuole affatto dire che non lo si possa identificare in seguito, se e quando occorre.

Coloro che “trafficano” con il “file sharing” sanno bene quanto sia difficile restare anonimi ed irrintracciabili su Internet. In realtà, è difficilissimo. Lo è persino usando tecnologie appositamente realizzate con questo scopo come Freenet, TOR, eMule e roba simile.

La ragione di questa difficoltà è ben nota: per ovvie ragioni tecniche, ogni scheda di rete (e quindi ogni computer) deve poter essere identificato da un apposito indirizzo (l’IP address). Di conseguenza, anche l’utente è (relativamente) facile da rintracciare.

Per questa ragione non c’è nessuna necessità di identificare l’utente al momento del suo accesso in rete. È sempre possibile identificarlo e tracciarlo in seguito, se e quando sarà necessario.

Delinquenti digitali (quelli veri)

I delinquenti digitali, quelli veri, scavalcano allegramente i controlli previsti da leggi ottuse come il Decreto Pisanu (e molte altre assurde leggi di quest’italietta berlusconiana).

Ecco qui di seguito un piccolo elenco delle tecniche normalmente adottate da chi vuole davvero fare qualcosa di malvagio.

Falsi documenti: pensate davvero che chi si presenta ad un Internet Cafè fornisca sempre documenti attendibili? Davvero pensate che non bastino venti euro per convincere molti gestori a riusare una carta d’identità di un vecchio utente per registrarvi?

Macchine all’estero: l’obbligo di identificare l’utente che accede ad un Internet Cafè o ad una rete wi-fi esiste solo in Italia. Basta andare in Croazia per risolvere il problema. Dvvero le vostre attività criminali più pericolose e più critiche non valgono una bella vacanza di tre giorni al di là dell’adriatico?

Macchine di Pool: secondo una statistica molto rozza, in Italia ci sono circa 30.000.000 (trenta milioni) di PC dislocati in scuole, università, aziende private di ogni dimensione e di ogni tipo, parrocchie, sedi di associazioni, sindacati, partiti politici e via dicendo. Pensate davvero che queste macchine, destinate ad un uso più o meno pubblico, siano adeguatamente protette e sorvegliate?

Wi-Fi sprotette: dal punto in cui mi trovo (un palazzo alla periferia di Ferrara), in questo momento vedo (attraverso il mio PC) ben otto diverse reti wi-fi che, plausibilmente, appartengono ai miei condomini. Tre di queste sono completamente prive di protezione. Due sono protette dalla password “123456” ed una è protetta da una password uguale al nome della rete. Le ultime due sono protette (da WPE e WPA). Davvero pensate che, se volessi compiere qualche azione criminale, avrei qualche problema a trovare una rete di cui abusare, qui o altrove?

Senza tetto: i senza tetto (hobos) sono la più grande risorsa della criminalità spicciola ed organizzata. Basta dar loro venti euro per convincerli a rivenderci una loro scheda SIM (telefonica od abilitata al traffico dati) che non potrà mai essere ricondotta a noi sulla base dei dati anagrafici.

Relakks e Ipredator:

Con 45 € all’anno è possibile noleggiare il servizio di tunneling TCP/IP di Relakks (https://www.relakks.com/?cid=gb&lang=en) o di Ipredator (https://www.ipredator.se/). Questo servizi si prenderanno tutte le colpe al nostro posto. Tanto, a loro interessa ben poco: hanno sede in Svezia ed hanno preso le opportune precauzioni tecniche e legali. Esistono servizi simili (più o meno pubblicizzati) in quasi qualunque paese del mondo (Thailandia, Namibia, Haiti, etc.) e con pochi dollari è possibile (su Internet, senza muoversi dal salotto) convincere un cittadino straniero a fornirci lo stesso servizio usando un server noleggiato a suo nome. Davvero vogliamo parlare di rogatorie internazionali e di indagini su scala globale?

Wi-Fi hacking: ed infine arriva l’hacking. Vogliamo parlare di quelle due ultime reti, protette da WPE o WPA che si vedono da questo punto di osservazione? Devo proprio lanciare uno dei tool di penetration testing che sono presenti sulla mia installazione di BackTrack (http://www.backtrack-linux.org/)?

Ma davvero si può pensare di fare lotta al crimine digitale creando inutili problemi ai cittadini incensurati? Davvero si può pensare che i veri criminali si lascino identificare e tracciare in questo modo?

Tecniche di identificazione e tracciamento

Ristabilita la verità riguardo alla reale efficacia di queste patetiche leggiucole, va però detto che le tecniche per identificare e tracciare gli utenti, anche quelli più tecnicamente preparati e più malvagi, non mancano di certo.

Come ho già detto, quando un dispositivo (laptop, desktop, smartphone, etc.) si collega ad una rete, sia essa wireless (wi-fi) o wired (ADSL), deve per forza di cosa rendersi raggiungibile (solitamente attraverso un indirizzo IP) e già questo rende il dispositivo facilmente identificabile in moltissimi casi.

Oltre a questo, il dispositivo espone una enorme quantità di informazioni, sia legate al sistema operativo che legate al software in uso. Per farvi un’idea di quante informazioni vengano rilasciate, provate a visitare questi siti web:

Panopticlick: https://panopticlick.eff.org/ . Questo sito, che è un progetto di EFF, dimostra come il browser web dell’utente risulti spesso configurato in una maniera che risulta unica su milioni di casi e quindi sia possibile usare la sua “impronta digitale” per identificare in modo univoco l’utente.

Online Browser Security e Privacy Scanners come http://browserspy.dk/ , http://privacy.net/analyze/ , http://mybrowserinfo.com/ e http://ipinfo.info/html/privacy-check.php . Questi server analizzano le richieste inviate dal vostro browser e le visualizzano in una pagina web, In questo modo è possibile toccare con mano l’enorme quantità di informazioni che si lasciano trapelare sulla rete mentre si naviga.

Si potrebbe erroneamente pensare che queste tecniche di identificazione funzionino solo nei confronti di un browser web ma non è così. Come ben sanno gli hacker che si dedicano allo OS Fingerprinting, è possibile identificare il sistema operativo di un server (e di qualunque computer, in realtà) esaminando il modo in cui risponde alle richieste di connessione:

http://en.wikipedia.org/wiki/TCP/IP_stack_fingerprinting

http://insecure.in/network_hacking_03.asp

Questa tecnica viene già usata da tempo in ambito forense per (tentare di) identificare gli hacker mentre svolgono le loro operazioni:

http://searchenterprisedesktop.techtarget.com/tip/0,289483,sid192_gci1127712,00.html

Di conseguenza, sostenere che senza le “abituali” procedure di identificazione (carta d’identità all’ingresso degli internet Cafè, IP assegnato al PC di casa dal provider ADSL, SMS per accedere alle reti wi-fi, etc.) non sia possibile identificare e rintracciare gli utenti (se e quando è necessario) è una menzogna.

Uno stato che (com’è logico che sia) ha accesso (su mandato di un Giudice) ai dati raccolti (per legge, in Italia) dai provider, non ha bisogno di nient’altro per portare a termine (spesso con successo) le sue azioni di contrasto nei confronti del crimine. Non c’è nessuna ragione al mondo per pretendere di identificare e tracciare i privati cittadini (incensurati) nel momento a cui accedono ad Internet. L’identificazione ed il tracciamento “a tappeto” dei cittadini non aggiunge nessuna freccia all’arco degli investigatori.

Scelte di portafoglio

In quasi tutti i paesi occidentali (che aderiscono al famigerato trattato WIPO della WTO), le forse di polizia vengono chiamate ad un impegno crescente per proteggere i diritti di copia su vari tipi di prodotti digitali (musica, film, serie televisive ma anche spartiti musicali, lyrics e roba simile). Vengono già adesso spese delle somme enormi per la lotta alla cosiddetta “pirateria” e si chiede ai vari stati di spendere sempre di più.

Si tratta di soldi pubblici (vostri e miei) che vengono spesi per difendere i diritti commerciali di aziende private (le aziende di produzione e distribuzione). Non si tratta affatto, come si vorrebbe far credere, di soldi pubblici spesi per difendere la società (voi e me) dalle azioni malvagie dei “pirati”.

Stiamo pagando (un sacco di soldi) per difendere i discutibilissimi e personalissimi interessi commerciali di aziende multimiliardarie (in euro), non per migliorare la nostra sicurezza.

Questa pretesa di tracciare gli utenti sin dal loro ingresso in rete è solo un’altra delle pretese avanzate dalle industrie del recording per difendere i propri privilegi (ormai indifendibili). Non serve assolutamente a garantire la sicurezza della rete e dei cittadini, come si vorrebbe far credere. A queste aziende (ed ai politici che le appoggiano) non interessa minimamente il fatto che, per difendere i loro medievali privilegi, vengano messe a repentaglio la libertà, la riservatezza e la sicurezza dei cittadini.

Francamente, sarebbe tempo di chiedere alle nostre forze di polizia di occuparsi dei criminali, quelli veri, e di lasciar stare i ragazzini brufolosi che scaricano musica da eMule.

La “pirateria digitale” è un fenomeno sociale da comprendere e da accettare, non un nemico da combattere a suon di cannonate.

Le soluzioni alla Maroni: la SIM

In realtà, come hanno già fatto notare parecchi osservatori, siamo di fronte ad un annuncio a puro scopo mediatico. Il Decreto Pisanu NON verrà abolito. Si eviterà solo di prorogarne un singolo articolo (quello che riguarda l’obbligo di autorizzazione della questura per l’esercente). Tutto il resto rimane invariato.

Non solo: NON viene affatto abolito l’obbligo di registrazione dell’utente che si collega. Ci si limita ad adottare una soluzione alternativa. E qui viene il bello:

<< Per quanto riguarda gli “obblighi di sicurezza in capo a chi fornisce il servizio”, si ipotizza un modello che renda obbligatoria una rete con password, in modo da individuare gli utenti al momento del login. Alcuni osservatori, per esempio, parlano di un sistema di identificazione via SMS con l’utente che fornisce il proprio numero di cellulare per ricevere una password (metodo, peraltro, già parzialmente utilizzabile con una circolare di aggiornamento del decreto), e in modo simile a quanto previsto dal modello Cassinelli. >>

Quindi, si passa dall’identificazione diretta dell’utente alla sua identificazione indiretta via SIM del telefono cellulare. Tanta strada e tanto clamore per tornare al punto di partenza.

Tra l’altro, l’identificazione via SMS ha senso solo se la SIM del telefono cellulare è stata acquistata in Italia. In nessun altro paese del mondo (nemmeno in Namibia) è necessario presentare un documento di identità per acquistare una SIM.

Le SIM telefoniche e le connessioni Wi-Fi, infatti, vengono considerate alla stregua di armi da fuoco solo in paesi a chiarissima vocazione dittatoriale, come la Cina, Cuba ed il Sultanato d’Italia.

Detto questo, rileggete la sezione “Senza Tetto” del paragrafo “delinquenti digitali” che trovate qui sopra. Non credo sia necessario dire altro a proposito.

Cosa ci stiamo perdendo

L’obbligo di identificare l’utente che accede ad una rete Wi-Fi ha innanzitutto l’effetto di limitare l’accesso ad Internet fuori di casa e fuori dai luoghi di lavoro. Questa è già una pessima notizia, in un mondo che dipende in modo sempre più stringente da questi servizi.

In secondo luogo, però, ha un effetto ancora più subdolo e dannoso: impedisce il cosiddetto “hand over” automatico tra una rete e l’altra. L’hand over è quella procedura che ha luogo quando un dispositivo abbandona una “cella” (un hotspot wi-fi, in questo caso) e si collega a quella successiva. È grazie all’hand over che i nostri telefoni cellulari restano collegati alla rete GSM mentre ci muoviamo.

Se fosse possibile praticare lo hand over anche sulle reti wi-fi, queste potrebbero essere usate da dispositivi in movimento nello stesso modo in cui vengono usati i telefoni cellulari. Se pensate che il wi-fi già adesso può supportare una comunicazione VoIP come quella di Skype, potete ben vedere che la rete wi-fi potrebbe diventare un temibile (e gratuito) concorrente delle TelCo come Telecom Italia, Vodafone, 3g e via dicendo. Questo sia nel settore voce che in quello dati.

Per fortuna (delle TelCo), in Italia (e SOLO in Italia), questo non è possibile: da noi bisogna ri-effettuare l’autenticazione (login) ad ogni accesso alle singole reti wi-fi, sempre con password diverse e con una procedura che obbliga l’utente ad intervenire manualmente (ora con carta d’identità, in futuro con SMS a quanto si sa).

Le TelCo sentitamente ringraziano.

Se pensate che soluzioni come questa siano fantascienza, date un’occhiata a TerraNet:

http://www.terranet.se/

Conclusioni: può dormire sonni tranquilli, Dottor Grasso

In conclusione, Dottor Grasso, lei può dormire sonni tranquilli. Se anche si arriverà ad una REALE abolizione di queste pessime leggi, degne soltanto di una dittatura fascista, lei, come investigatore, non ne subirà alcun danno. Non è certo da queste leggiucole che lei ottiene la forza necessaria per lottare contro il crimine.

Semmai anche lei, come cittadino, potrà finalmente godere della doverosa riservatezza a cui avrebbe sempre avuto diritto.

La lotta al crimine, in Rete, è qualcosa di molto, molto più sottile e più complesso. Non si può pensare che leggi rozze come queste possano realmente essere d’aiuto.

Alessandro Bottoni

L’immagine del logo wifi proviene da qui: flickr.com/photos/odonovan/3715717053/ .

 

AGGIORNAMENTO DEL 8 Novembre 2010:

Dai commenti a questo articolo è chiaro che molti lettori cadono in questo tranello: “Niente identificazione al momento della connessione, quindi niente controllo, quindi niente sicurezza.”

SBAGLIATO!

Anche senza l’identificazione dell’utente al momento dell’accesso alla Rete, i controlli ci sono. Ci sono eccome! E sono anche capillari e molto efficaci.

La dimostrazione vi viene dal sistema di home banking della vostra banca. La vostra banca (ad esempio FINECO) non ha accesso ai dati raccolti dal gestore dell’Internet Cafè che state usando. Non ha accesso nemmeno ai dati raccolti dal provider di accesso che state usando per connettervi da casa via ADSL (Telecom, Vodafone, etc.) o per connettervi attraverso UMTS dal camper (3G e simili). Nonostante questo, la vostra banca è perfettamente in grado di garantire la vostra sicurezza e, anche se non ve ne accorgete, è in grado di proteggere gli altri utenti e gli altri cittadini dalle vostre azioni. Questo è possibile semplicemente perché controlla il server a cui vi collegate.

Su Internet (e su qualunque altro tipo di rete) non esiste il concetto di “azione diretta” tra voi ed il vostro “bersaglio”. Qualunque cosa voi facciate, lo fate sempre e solo grazie a qualche server che si interpone tra voi ed il bersaglio. Se inviate un messaggio di posta, questo messaggio, prima di arrivare a destinazione, attraversa almeno tre o quattro server che dipendono da tre o quattro aziende diverse. Se stabilite una comunicazione IM (IRC, MSN, Jabber) o una connessione P2P (eMule) questa connessione deve per forza attraversare tre o quattro server di redirezione (router e DNS) prima di arrivare all’altra estremità. Dato che questi server sono sotto il controllo di qualcun altro (il provider ADSL, altri operatori, etc.) il vostro traffico è comunque tracciabile ed è sempre possibile risalire al terminale che state usando.

L’unica cosa che resta ignota è la vostra identità anagrafica. In altri termini, uscendo dall’Internet Cafè potete sparire nell’ombra. Questo, però, è esattamente il tipo di mancanza di controlli (cioè di “libertà”) che mi aspetto in un paese civile e democratico. Avete il diritto di sparire nell’ombra perché siete cittadini onesti ed incensurati. Se così non fosse, un giudice avrebbe comunque tutta l’autorità necessaria per autorizzare i controlli e le indagini del caso. Non c’è nessun bisogno di un Decreto Pisanu per questo.

Inoltre, anche senza il Decreto Pisanu l’esercente (il proprietario dell’Internet cafè, il provider ADSL e via dicendo) ha tutto il diritto di chiedervi i documenti (anche perché, in genere, deve emettere fattura verso di voi). Ciò che il decreto Pisanu aggiunge a questa situazione è solo che per un’associazione (come quella di cui sono segretario) è legalmente impossibile fornire accesso libero ed incontrollato alla sua rete. Inoltre, questo decreto rende impossibile il cosiddetto “hand over” (vedi testo originale dell’articolo).

Non c’è nessun guadagno per la sicurezza. Ci sono solo delle evidenti perdite di libertà.

FINE AGGIORNAMENTO

Comments
32 Responses to “La Concessione del Wi-Fi”
  1. lucapost scrive:

    Questo è il genere di articoli che vengo a cercare su questo blog, complimenti.

    Riporto da wikipedia : “Questa caratteristica svincola virtualmente il protocollo IPv6 dalla topologia della rete fisica, permettendo per esempio di avere lo stesso indirizzo IPv6 a prescindere dal particolare internet provider che si sta usando (il cosiddetto IP personale), rendendo l’indirizzo IPv6 simile a un numero di telefono.”. Qualche commento a riguardo?

    • Grazie.

      Si, ovviamente l’indirzzo IP identifica la scheda di rete (non l’utente) e lo fa comunque sulla base di una attribuzione (IPddress->MACAddress) che è temporanea ed arbitraria per cui si tratta di un “identificativo” nella stessa misura in cui lo è il numero di telefono assegnato alla SIM del nostro cellulare.

      Questo però non vuol certo dire che la stragrande maggioranza degli utenti non possa venire identificata e rintracciata sulla base dell’IP Address (come ben sanno le vittime di RIAA e MPAA), anche se usano reti ad offuscamento di IP ed altre diavolerie.

      Rendersi davvero anonimi ed irrintracciabili su Internet è difficile, molto difficile, specialmente se dall’altra parte del cavo c’è qualcuno che sa il fatto suo (e la Polizia Posta italiana sa il fatto suo…).

      Per rendersi davvero anonimi è necessario usare tecnologia pensate appositamente per questo scopo, come anonet, e farlo con cognizione di causa. Non è roba da ragazzini ma, soprattutto, non è roba da terroristi improvvisati (come le nostre BR Rel. 2.0). Si fa molto prima ad usare soluzioni a bassa tecnologia, come i famosi “pizzini” dei mafiosi.

  2. lpalli scrive:

    Concordo sul fatto che l’identificazione via SIM non sia molto affidabile, ma le informazioni riportate non sono giuste: nella maggior parte dei paesi l’acquisto di una carta SIM implica l’identificazione con un documento d’identità ufficiale.

    Nello specifico conosco bene la situazione Svizzera:
    In un primo tempo era possibile acquistare una SIM prepagata senza identificarsi, questa possibilità è stata sfruttata da individui e organizzazioni poco raccomandabili (in Italia si è parlato di SIM svizzere utilizzate da organizzazioni mafiose, ma anche nel mondo legato a calciopoli).
    Da parecchi anni (almeno 5) però l’identificazione è diventata obbligatoria, mentre per le vecchie SIM sono state fatte delle campagne per incentivare la registrazione, ma probabilmente ne restano un buon numero anonimo.

    Per concludere concordo: il sistema SIM non è male per controllare l’utente onesto, ma è completamente inutile per identificare l’utente malintenzionato.

    • Purtroppo, proprio a seguito di questo articolo alcuni amici che risiedono all’estero mi hanno fatto sapere che la situazione è cambiata (in peggio) anche da loro negli ultimi anni (Svizzera, USA, UK, etc.). Sembra che questa febbre del controllo a tutti i costi stia contagiando un po’ tutti.

      Ragion di più per resistere…

      • e’ che un paio di anni fa c’e’ stata una raccomandazione del consiglio dei ministri dell’interno per aumentare il livello di identificazione degli utenti dei servizi di tlc. adesso non lo trovo su due piedi, ma ai tempi lo avevo bloggato.

  3. Gaspar scrive:

    Grazie Alessandro, sei stato chiarissimo.

  4. Luca Venturini scrive:

    Grande, ma troppo buono con il procuratore Grasso il quale cavalca la mania di regolare il web. Io l’ho proposto per il mio personalissimo premio Carciofo del mese.

    Per quanto riguarda la non abolizione del decreto, aspetterei di vedere cosa fanno. Per il momento non ha dichiarato che il decreto Pisanu restera’ in piedi.

  5. Leo scrive:

    Ottimo lavoro, i miei complimenti.

  6. Walt scrive:

    Bellissimo articolo, davvero esaustivo, Grazie. Purtroppo non credo che i Grasso, i Maroni e i loro accoliti siano in malafede o abbiano la vocazione a opprimere il popolo, sono purtroppo abbastanza certo che siano ignoranti e stupidi e senza alcun interesse ad approfondire i reali problemi della società moderna (come gran parte della classe dirigente italiana) la qualcosa per me è assai grave. Preferisco la disonestà alla stupidità: dalla prima ci si può difendere, dalla seconda no.

  7. Maurizio scrive:

    Ciao Alessandro, bellissimo articolo, ben spiegato ed è chiarissimo il tuo punto di vista che al 90% condivido.

    Diciamo che contestare le osservazioni del procuratore Grasso, mi sembra poco corretto…a mio avviso ha sottolineato un concetto fondamentale che troppo spesso si dimentica:” Il bene della società e la sicurezza comune, viene prima della libertà del singolo individuo” di conseguenza dobbiamo essere tutti controllati, come gia tra l altro siamo. Non fate prelievi con il bancomat? non pagate mai con la carta di credito? le sigarette al distributore? non usate il cellulare? non passeggiate per vie cittadine stracolme di telecamere? SIAMO TUTTI SEMPRE CONTROLLATI, ed è giusto per la nostra sicurezza e per quella degli altri che continui ad essere cosi e paragonare noi alla Cina l ho trovato davvero fuoriluogo. Ti preciso che sono di Sinistra, quindi non a favore di Maroni e simili…. pero’ io ho trovato il punto di vista di Grasso non cosi da “Carciofo del Mese”……. inviterei tutti a leggere il curriculum del carciofo…..comunque bellissimo articolo grazie alessandro è stato bello leggerti.

    • Maurizio scrive:

      scusate gli errori di ortografia ma andavo di fretta…;) chiedo venia

    • Capisco il tuo punto di vista e, credimi, non ho certo intenzione di bastonare il povero Dottor Grasso che già ha le sue gatte da pelare…

      Il punto centrale della discussione però è un altro: non c’è nessun bisogno di sorvegliare milioni di cittadini incensurati per beccare alcune migliaia di mafiosi e/o di terroristi. Li si può beccare benissimo lo stesso, conducendo le indagini nello stesso modo in cui lo fanno in molti altri paesi. Nel mio articolo ho anche cercato di spiegare come, nel dettaglio.

      Il “tracciamento” che è possibile usando le carte di credito, il telepass ed altri sistemi di identificazione è la conseguenza di un’esigenza reale, anche se legata a motivi finanziari e non a motivi di ordine pubblico, e quindi c’è (relativamente) poco da lamentarsi.

      Viceversa, il tracciamento imposto dal Decreto Pisanu serve proprio solo a questo. Non ci sono consumi da contabilizzare, fatture da consegnare o altro. Si tratta di un tracciamento del tutto gratuito ed ingiustificato. Serve solo a sapere chi fa cosa sulla rete. Come ho cercato di spiegare nel mio articolo, non c’è nessuna ragione di adottare un monitoraggio a tappeto come questo. Gli strumenti di indagine non mancano, anche senza il Decreto Pisanu.

  8. Terranet non c’entra nulla con il wifi.
    il wifi è una tecnologia di accesso per le ultime decine di metri (si può fare anche mooolto di più in condizioni controllate/adeguate, ma è l’eccezione, non la norma).

    <>

    aspettiamo a vedere se chi ipotizza avrà ipotizzato giusto, perchè ipotizzare che ipotizzi il giusto è un’ipotesi..
    :-)

    • Si, certo. Volevo solo far sapere ai lettori che esistono anche le reti mesh e che esse possono fare cose che forse nemmeno immaginano.

      Comunque, hai ragione: come sempre avviene con il Sultanato, non ci sono fatti ma solo annunci. Bisogna aspettare e vedere cosa decideranno davvero durante una delle loro cene private. :-(

  9. Garese scrive:

    Mi trovo in disaccordo su diversi punti. Innanzitutto, il paragone con dittature ecc.: qui si parla di identificarsi mentre si utilizza una connessione intestata a qualcun altro (l’esercente), che dovrebbe essere il primo a voler essere tutelato in caso di abusi/reati effettuati da pc che ha messo a disposizione del pubblico. Inoltre azzardato è anche il paragone col braccialetto elettronico, perchè paragonare un utente di un hotspot pubblico con un carcerato serve solo a fare clamore. Un paragone più appropriato sarebbe invece la “schedatura” degli ingressi al casinò, della quale direi non si sia lamentato nessuno…
    Infine, dici che indirizzi MAC ed IP rendono facilmente tracciabile una macchina, e quindi non sono necessari ulteriori procedimenti di identificazione, ma è proprio qui il punto: in caso di illecito si risalirebbe al luogo (internet point, biblioteca, ecc.) ma in nessun modo, senza altri metodi di controllo, si potrebbe risalire all’effettiva identità dell’utente.
    Ah, e la presenza di reti domestiche non protette è soltanto un tentativo per dire: “questi controlli non servono, visto che l’illecito si può fare anche in altri modi”, ed è un ragionamento che non porterà mai da nessuna parte…

    • Per i miei commenti, puoi vedere anche la risposta che ho dato a Luca qui sotto.

      La sostanza è che non trovo per niente legittima la “prevenzione” del crimine attraverso tecniche di schedatura e di monitoraggio generalizzate ed indiscriminate come queste. Personalmente, voglio essere considerato innocente finché non viene dimostrata la mia colpevolezza e voglio restare anonimo ed invisibile finchè non sia stabilito (da un giudice) che esiste un serissimo motivo per sorvegliarmi e tracciarmi.

      In altri termini, la persona che si trova dietro quellì’indirizzo IP o MAC deve essere libera di sparire nell’ombra dopo aver usato il terminale perché non c’è nessuna ragione per tracciarlo (almeno finché non un giudice non stabilisce il contrario, nello specifico caso e sulla base di sospetti e di esigenze ben precisi). Come ho già detto, l’autenticazione e la sicurezza sono questioni che, se necessario, devono essere affrontate a livello dei singoli server (come infatti puntualmente avviene), non al momento dell’accesso alla rete.

      Questo è ciò che dovrebbe avvenire in un paese civile e democratico, anche se dopo 15 anni di berlusconismo sembra che se lo ricordino in pochi.

      Il Decreto Pisanu è una legge sbagliata (per i motivi appena elencati) ma è anche una legge inutile, proprio perché non permette di impedire all’hacker di commettere lo stesso illecito in mille altri modi. Non riesco ad immaginare nulla di peggio.

      Si tratta di qualcosa di concettualmente equivalente al braccialetto elettronico (serve a tracciare un utente) e viene usata in modo indiscriminato su tutti gli utenti (più esattamente su quelli che sfuggono alle altre forme di controllo, come la registrazione dell’identità all’atto della vendita di una SIM od all’atto della sottoscrizione del contratto ADSL). Questo livello di controllo sarebbe considerato assurdo ed inaccettabile nel mondo fisico. Non vedo perché dovrebbe essere considerato necessario in quello virtuale.

      Purtroppo, non frequento i casinò e quindi non posso commentare sulla schedatura degli utenti semplicemente perché non ne so nulla.

      • Garese scrive:

        Quindi secondo questo ragionamento, gli utenti privati che sottoscrivono un abbonamento ad internet diventerebbero “discriminati”, in quanto il loro traffico diverrebbe l’unico riconducibile ad uno specifico utente (essi stessi), mentre il traffico effettuato da punti d’accesso pubblici deve essere anonimo, giusto?

        PS: con tutto il rispetto, mi sembra estremamente di cattivo gusto il paragone che hai fatto poco sotto, tirando in ballo ebrei ed Hitler…

      • Personalmente, credo che sia profondamente sbagliato pretendere che l’utente privato (ed incensurato) si debba identificare al momento in cui si collega ad Internet, sia che lo faccia da casa propria, sia che lo faccia in altro modo.

        Come ho già cercato di spiegare nell’articolo, questo livello di controllo non è affatto necessario ai fini della sicurezza (come i Nostri Amati Governanti tentano di farci credere) perchè la sicurezza (dei server, dei cittadini, degli utenti e dell’intero sistema Internet) si garantisce sui singoli server e sui singoli client, se e e quando occorre. I mezzi per indagare sui reati commessi e per rintracciare i colpevoli non mancano affatto, anche senza ricorrere a queste tecniche di sorveglianza di massa.

        L’unica cosa che non si può fare con le tecniche attuali è proprio controllare il comportamento dei cittadini in modo massivo ed indiscriminato, che è esattamente ciò che si ottiene con il Decreto Pisanu. Questa però è una “funzionalità” che serve solo ai dittatori. In una democrazia è normale che la Polizia si interessi ad un cittadino solo se e quando questo cittadino commette un crimine.

        Di cattivo gusto c’è il continuo scivolare di ciò che resta della democrazia italiana verso l’abisso neofascista. Hitler e Mussolini sono degli esempi inevitabili per spiegare dove stiamo andando, purtroppo.

  10. luca scrive:

    Complimenti per la dissertazione completa, puntuale e senz’altro frutto di una conoscenza fuori dall’ordinario.

    Temo tuttavia che la questione dell’identificazione vada posta in termini molto più banali: è vero che dall’ip si può identificare chiunque, il problema è chi sia il “chiunque” a monte di quell’IP. Se un bar mette a disposizione degli utenti una connessione completamente “open”, gli inquirenti arriveranno sicuramente al barista ma con ogni probabilità non andranno oltre.

    Un’identificazione o comunque un controllo fatto all’accesso di una risorsa “aperta al pubblico” come una connessione Wi-Fi a Internet può banalmente servire a chi eroga il servizio per scaricare la responsabilità in caso di utilizzi illeciti.

    Io, se avessi un locale aperto al pubblico, un sistema di autenticazione, ed eventualmente di identificazione (se la Legge me lo consentisse), lo manterrei attivo e sarei felice di averlo, sia nell’ottica di decidere a chi offrire la mia connessione (regalandola o facendola pagare), sia in quella di poter dire “non sono stato io” nel caso qualcuno venisse a contestarmi attività illecite da parte di miei utenti.

    • Luca scrive:
      “Temo tuttavia che la questione dell’identificazione vada posta in termini molto più banali: è vero che dall’ip si può identificare chiunque, il problema è chi sia il “chiunque” a monte di quell’IP. Se un bar mette a disposizione degli utenti una connessione completamente “open”, gli inquirenti arriveranno sicuramente al barista ma con ogni probabilità non andranno oltre.”

      Questo è esattamente il tipo di mancanza di controllo (cioè di “libertà”) che mi aspetto di avere in un paese civile e democratico. Si deve indagare sui crimini che vengono commessi (dopo che sono stati commessi), non tracciare indiscriminatamente i cittadini incensurati (prima che abbiano commesso qualunque crimine). Avete visto “Minority report”?

      “Un’identificazione o comunque un controllo fatto all’accesso di una risorsa “aperta al pubblico” come una connessione Wi-Fi a Internet può banalmente servire a chi eroga il servizio per scaricare la responsabilità in caso di utilizzi illeciti.”

      Ma, infatti, l’esercente (di un bar o di un server web) non dovrebbe essere considerato responsabile della azioni dei suoi clienti (utenti). Questa è ciò che si chiama “mere conduit” ed è un’altra delle cose che mi aspetto in un paese civile e democratico. Se qualcuno commette un crimine, si indaghi su quel crimine e si rintracci l’autore. Come mi sembra di aver ampiamente spiegato, i mezzi per farlo non mancano di certo.

      “Io, se avessi un locale aperto al pubblico, un sistema di autenticazione, ed eventualmente di identificazione (se la Legge me lo consentisse), lo manterrei attivo e sarei felice di averlo, sia nell’ottica di decidere a chi offrire la mia connessione (regalandola o facendola pagare), sia in quella di poter dire “non sono stato io” nel caso qualcuno venisse a contestarmi attività illecite da parte di miei utenti.”

      Questa è una decisione che, in quasi tutti i casi, l’esercente può legittimamente prendere in piena autonomia ed in modo insindacabile. Nessuno pretende che non lo faccia. Quello che pretendo è che non esista una legge che lo impone. Io, come membro di un’associazione, voglio lasciare accesso libero ed incontrollato ai soci. Non ci deve essere una legge del genere ad impedirmelo (perché né io né i miei soci siamo dei criminali).

      • cio’ che tu dici e’ vero per gli oepratori che offrono servizi di comunicazione elettrnica (e che hanno una regolamentazione specifica, da cui la esenzione di responsbilita’ del mere conduit). Non e’ vero per chi non e’ operatore.

        in olanda la loro autorita’ delle comunicazioni sta chiedendo a tutti gli alberghi che offrono wifi di registrarsi come opratori di telecomunicazioni (che implica tenuta dei log secondo alcuni principi del garante dela privacy, collaborazione con le forze dell’ordine e una decina di altri obblighi).

        un esercente che venda al pubbico servizi di telecomunicazioni deve essere un oepratore, secondo l’attuale quadro regolamentare (generalmente disatteso) europeo.

        era cosi’ anche con itelefoni negli alberghi che facevano pagare lo scato 300 lire (qualcuno si ricordera’, io lavoravo in un albergo) e poi la sgabola regolamentare che fu trovata e’ che formalmente stai pagando la quota di ammortamento del centralino, il servizio nn è venduto.

        riassumo:
        se non vuoi responsabilita’, devi essere un oepratoer; puoi vendere il servizio ma hai altre incomebenze (caso olandese, http://is.gd/gQyI5)
        se non vuoi essere un oepratore non devi vendere il servizio, ma sei responsabile, fino a prova contraria.

  11. wooopy scrive:

    E’ tra i miei sogni quello di avere a disposizione svariati punti della mia città dove potermi connettere con il mio ipod o pc. La questione dell’identificazione diretta o indiretta non la reputo una cosa così negativa o nociva: su una persona non ha nulla da nascondere di fronte alla legge, non dovrebbe avere niente da temere se venisse controllato. Sicuramente è corretto il concetto, già esposto, secondo il quale non è necessario controllare milioni di persone per individuale un insieme di criminali ecc, ma spesso il materiale informatico scaricato e visitato è una via breve ed efficace per individuarli. Pensate ai pedofili, ad esempio.
    Naturalmente, la questione del braccialetto è una boiata sconsiderata. Credo che con “controllo” possa essere sufficiente tenere a breve termine una registrazione per scandagliare ad alto livello percorsi in siti con contenuto illecito, sempre ad esempio.
    W.

    • Woopy scrive:
      “su una persona non ha nulla da nascondere di fronte alla legge, non dovrebbe avere niente da temere se venisse controllato.”

      No, Woopy, non è così. Tu stai dando per scontato che dall’altra parte ci sia sempre una Legge Buona e Giusta, gestita da uomini Buoni e Giusti. Lo pensavano anche gli ebrei tedeschi negli anni ’20, poi 18.000.000 di uomini buoni e giusti (sotto la pressione della fame e della disperazione) hanno votato per Adolf Hitler.

      Se vi sembra una situazione limite, che non si ripeterà mai più nella storia, fate una bella vacanza nella ex-Yugoslavia e fate due chiacchere con gli indigeni (tanto parlano spesso italiano).

      Le leggi devono garantire la sicurezza del cittadino e la sua libertà, anche nel caso di cambiamenti facilmente ipotizzabili come questi. Questa legge (il Decreto Pisanu) non lo fa.

  12. CristianCantoro scrive:

    Innanzitutto complimenti per l’articolo che è davvero interessante (mi è piaciuto molto panopticlick).

    Secondariamente (e avevo già avuto modo di dirlo rispondendo ad un post sul blog di Quintarelli qualche tempo fa) credo che una possibile soluzione sia un meccanismo di “autenticazione a tre” usando i certificati dove la CA è un organismo indipendente (necessariamente pubblico).

    Dico questo dall’esperienza che nasce nelle università. Nella mia (Milano-Bicocca) gli studenti e i dipendenti possono accedere al WiFi tramite connessione protetta usando un certificato personale emesso dall’Università stessa (che è la CA). Naturalmente questo sistema rispetta anche la Pisanu dato che comunque l’Università è in possesso dei dati di tutti gli studenti (o dipendenti, ecc.).

    In questo modo se voglio mettere a disposizione un hot spot WiFi gli utenti arrivano, si connettono con i propri dispositivi (che contengono il loro certificato), il sistema manda una richiesta di autenticazione all’organismo terzo, quindi gli utenti vengono così “autenticati”, ma non viene fatta alcuna associazione con nome e cognome della persona che si connette. Autenticazione senza identificazione.

    Per quello che ho in mente il certificato funzionerebbe come una sorta di “carta d’identità” e l’incrocio delle informazioni (ovvero l’associazione dei dati di navigazione con una persona fisica) avverrebbe solo in caso di richiesta di un giudice. Ossia una carta di indentità che viene richiesta solo quando c’è bisogno di fare un controllo.

    In quiesto modo, poi, anche le connessioni tra i dispositivi e gli hot spot sarebbero opportunamente protette.

    • Ciao Cristian,
      l’approccio che proponi si chiama separazione raccolta/analisi (data_collection/data_analysis separation) ed è già largamente utilizzato nel caso delle videosorveglianze e di altri tipi di sorveglianze ambientali. Come saprai, anche la legge italiana prevede che i dati provenienti dalle telecamere di strada vengano raccolti e conservati a cura di un operatore ma visualizzati ed analizzati solo dalla polizia e solo in caso di necessità. In altri paesi la separazione è usata in modo ancora più diffuso (ad esempio, viene utilizzata anche nel caso della sorveglianza di ambienti aziendali) e più stringente (ad esempio, ci vuole un mandato del giudice per vedere i filmati).

      Ad ogni modo, sposo la tua proposta. Risolverebbe almeno in parte il problema della riservatezza e dell’anonimato (anche se, personalmente, trovo comunque inutile questo tipo di sorveglianza a tappeto).

    • e i turisti ? gli utenti occasionali ? come fanno l’enrollment ?

  13. Tiziano scrive:

    Secondo me , tenere un log ELETTRONICO è anche giusto , ma non con i dati anagrafici o rendendo difficile la connessione, ma semplicemente loggando i mac address dei client wifi , per l’utente medio-basso è molto difficile falsificarlo e in caso di indagini è facile risalire al dispositivo, i log è possibile farli con squid ad esempio , ma in ogni caso chi vuole veramente commettere reati grossi sa come cambiare mac address alla propria wifi e quindi non farsi identificare , alla fine queste misure sono totalmente inutili , internet permette di fare roba con la quale c’è poco da fare per la polizia postale , se fai 2 tunnel nidificati tramite ssh con chiavi a 4096 bit con server all’estero in paesi tipo svezia col cazzo che riescono a beccarti, puoi usare botnet per fare roba ancora più rischiosa ad esempio, internet è concepito come una rete libera e tenderà sempre ad esserlo , attualmente il 90% della gente “scrocca” la wifi di quello + vicino invece di usare quella del bar , non cambia molto…

    • Ciao Tiziano,
      posso solo dire: “appunto!”

      A parte questo, però, tieni presente che, anche se sembra realativamente semplice diventare invisibili in rete, per esserlo veramente bisogna fare ogni cosa in modo veramente molto preciso e coscienzioso. La Polizia Postale (forse giustamente) ha modo di indagare con relativa facilità su gran parte dei reati, se vuole farlo.

      In ogni caso, sarebbe tempo che i Nostri Amati Governanti capissero che Internet (e non solo Internet) è un meccanismo molto più complesso e molto più delicato di quello che sembra e tentare di regolamentarlo in modo così rozzo non è quasi mai una buona idea.

      • Tiziano scrive:

        Volevo precisare che inoltre il log lo intendevo ai fini di attacchi informatici( flooding alla rete wifi, attacchi ai dispositivi degli altri clienti ecc ), e cmnq a titolo informativo con wifi cinesi ad altissima potenza sono arrivato a 2 km con antenna omnidirezionale e oltre 50 km con antenne altamente direzionali( riguardo a ques’t ultima è una stima in quanto tramite varie ricerche sul web sono riuscito a risalire alle possibili posizioni degli hotspot ma non ne sono sicuro ), usando una di quelle schede wifi in città non hai nessun problema , l’unico inconveniente è che non si possono mettere su roba tipo cellulari , ipod , galaxy tab ecc

Trackbacks
Check out what others are saying...
  1. […] Timeo Danaos et dona ferentes Pubblicato il domenica, 7 novembre 2010 da Aldo | Shortlink: http://wp.me/p4yd8-BI […]

  2. […] Alessandro Bottoni sul suo blog chiarisce come sarà il WiFi libero promessoci dai politici con l'abrogazione del decreto Pisanu = braccialetto elettronico, "cioè quel dispositivo che si fa calzare ai delinquenti in libertà vigilata". L'articolo qui […]

  3. […] sem obter antes uma cópia da cédula de identidade do internauta, está violando a lei em vigor. A partir de primeiro de janeiro, este acesso estará liberado sem a necessidade de cadastro prévio e identificação, é um obstáculo a menos para o acesso […]



Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: