Società e tecnologie
ai confini fra sicurezza e privacy
Alberto Cammozzo
Università Cattolica del Sacro Cuore
Master in Giornalismo
Milano – 14 aprile 2014
ai confini fra sicurezza e privacy
/1/ sicurezza e privacy: cosa sono
/2/ Snowden, NSA e gli altri
/3/ un caso di studio: l'aeroporto
/4/ conclusioni
/5/ giornalisti: che fare?
/sicurezza/
{
Security/Safety – difesa da paura e minacce
Certainity – certezza: assenza di dubbio Minaccia
paura
Individuo
difesa
Spazio di integrità,
libertà ed autonomia
o
Collettività
« We are not fully ourselves if too many of our decisions are not taken by us, but by agents, automata, or superiors. On the other side, sometimes it is our duty, our moral duty if you like, to accept authority» Autonomia
Autorità
Joseph Raz "The Problem of Authority: Revisiting the Service Conception", 2006
« Sometimes –for example, on the scene of an accident– coordination, which in the circumstances requires recognizing someone as being in charge of the rescue, is essential if lives are to be saved. We must yield to the authority, where there is someone capable of playing this role.
There are in the political sphere many less dramatic analogues of such situations, where a substantial good is at stake, a good that we have moral reasons to secure for ourselves and for others but that can in the circumstances be best secured by yielding to a coordinating authority.
These cases justify giving up deciding for oneself, and pose no threat to the authenticity of one's life, or to one's ability to lead a self­reliant and self­fulfilling life. »
Joseph Raz "The Problem of Authority: Revisiting the Service Conception", 2006
Minaccia
Individuo
o
Autorità
Collettività
o
Dispositivo
Spazio di libertà ed
autonomia
fiducia
Delega
Tutela
Affidamento
Coordinamento di una autorità che promette l'ottenimento di un bene superiore.
Uso dispositivi tecnici, normativi ed organizzativi che garantiscono protezione o tutela.
→ fiducia a priori: “per essere sicuri occorre fidarsi”
/sicurezza/
{
Sorveglianza: acquisire informazioni sia riservate che pubbliche
Segretezza: mantenerle riservate Spionaggio: acquisire nascostamente informazioni segrete
Controllo sociale: regolazione dei comportamenti
→ sfiducia a priori “per garantire sicurezza occorre essere diffidenti”
Problema: senza trasparenza diventa difficile condividere le ragioni
Minaccia
Spionaggio
Segretezza
Sorveglianza
Autorità
Individuo
o
Collettività
o
Dispositivo
diffidenza
fiducia
/privacy/
{
Insieme di norme sociali che regolano:
1. quali informazioni è appropriato rivelare in un dato contesto
2. la circolazione o distribuzione di queste tra diverse parti. Variabili:
–
La natura del contesto e dell'informazione in rapporto al contesto
–
Il ruolo degli agenti nel contesto e verso il soggetto
–
Le condizioni alle quali l'informazione viene rilasciata in primo luogo e in caso di ulteriore diffusione (Nissenbaum 2004)
Minaccia
Contesto pubblico
Sorveglianza
Segreto/
riservato
informazioni
Segretezza
(eccezione al requisito di trasparenza di chi coordina)
Spionaggio
Contesto privato
ai confini fra sicurezza e privacy
/1/ sicurezza e privacy: cosa sono
/2/ Snowden, NSA e gli altri
/3/ un caso di studio: l'aeroporto
/4/ conclusioni
/5/ che fare?
https://nsa-observer.laquadrature.net/
248 NSA programs
97 NSA Attack Vectors
NSA Compartments
washingtonpost.com
theguardian.com
spiegel.de
1. Raccolta indiscriminata
●
Intercettazione su snodi internazionali in fibra ottica
STORMBREW OAKSTAR BLARNEY FAIRVIEW TEMPORA ●
Infiltrazione e/o collaborazione con industria
Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple PRISM, MUSCULAR Xkeyscore, SCISSORS, BOUNDLESS INFORMANT ●
Raccolta metadati delle conversazioni telefoniche
Verizon, AT&T e Sprint Nextel
MAINWAY, STELLARWIND
2. Attività mirate
●
Intercettazione: –
Ambasciate (38), ministeri (Fr), media (Al Jazeera), –
leader politici, capi di Stato (Br, Mx, De), –
organizzazioni internazionali (ONU, IAEA)
DROPMIRE
●
Intrusione informatica con virus e malware
GENIE, T.A.O.
●
Attacco a prodotti anonimizzanti: Tor
(EgotisticalGiraffe).
3. Attività su infrastrutture
●
Indebolimento dei protocolli crittografici standard –
"Differential Workfactor Cryptography" (Lotus Notes)
–
Dual_EC_DRBG standard: (RSA)
BULLRUN, EDGEHILL, Sigint Enabling
→ Sovvertimento della sicurezza –
prodotti proprietari: Crypto AG, Windows Output
●
Raccolta indiscriminata:
–
Social Network Analysis, Text Analysis, Geolocation, Biometrics
→ Rete globale delle relazioni interpersonali e finanziarie
●
●
Attività mirate
–
Informazioni strategicamente rilevanti
–
Controllo sui computer di persone e gruppi di persone chiave
–
Reti di computer disponibili per attacchi informatici
Infrastrutture
–
Indebolimento della sicurezza globale
–
Controllo su canali e archivi dati
Outcome [?]
●
USA: “domestic spying”
●
Non US: violazione della privacy → Abbandono dei social network USA­based
→ Sfiducia delle imprese non USA per il Cloud, specie se USA
“safe harbor”
●
Diffidenza degli alleati non five­eyes
→ Riequilibrio globale delle alleanze e dell'intelligence (?)
●
Sfiducia nelle infrastrutture: → Abbandono delle attuali infrastrutture compromesse
→ Ridefinizione degli standard globali di crittografia
Eternal vigilance
is the price of liberty
Thomas Jefferson
John Philpot Curran
Wendell Phillips ...
But
Insanity is the price of eternal vigilance
Mark Vonnegut
Solo NSA?
●
EU: Data Retention Directive, INDECT
●
Progetto Aadhaar, India: ●
–
Promessa: servizi, inclusività, finanziaria, impiego
–
dati biometrici di tutta la popolazione: impronte delle 10 dita, scansione dell'iride, fotografia del volto per il riconoscimento facciale. Bambini inclusi.
Face recognition, Facebook e la reidentificazione
Perchè?
●
Social pull
domanda di sicurezza post 11/9 → “per la tua sicurezza” ●
Technology push
“se si può fare tecnicamente allora si deve fare”
“privacy is dead, anyway”
●
Market push
Big data, social Networks → #nymwar
“chi non ha niente da nascondere non ha di che preoccuparsi”
Security industry: “Total information awareness”
Minaccia
Spionaggio
Segretezza
Sorveglianza
Autorità
Dati $ €
sicurezza
tecnologie & servizi
Fornitori Individuo
o
$€
Collettività
ai confini fra sicurezza e privacy
/1/ sicurezza e privacy: cosa sono
/2/ Snowden, NSA e gli altri
/3/ un caso di studio: l'aeroporto
/4/ conclusioni
/5/ che fare?
La semantica del volo
Aeroporto
“La libertà prende luogo”
“Fuori”
Landside
“Dentro”
Airside
Landside
Airside
Landside
Shops
Immigration
Security
Schultz, Hartmut 2011.
Volkova, 2009. Based on Scholvinck J. (2000)
Shops
Captive customer
Immigration
Security
+stress
~ 50% dei ricavi degli aeroporti sono “non aeronautici”: F&B (food and beverage), negozi, parcheggi, noleggi, pubblicità.
«To maximize performance and profitability an impulse strategy should permeate all elements of airport retail activities» Volkova,2009
OK, ma questa architettura è funzionale per la sicurezza?
http://terminalcornucopia.com/
Ok, ma almeno la barriera di sicurezza funziona?
According to 2 reports to Congress [TSA] “with a budget of $5.5 billion per Year, [...] has not led to demonstrably improved protection of planes from dangerous objects”
Poole 2009:267
Our current response to terrorism is a form of "magical thinking"
Schneier 2009
«When people are scared, they need something done that will make them feel safe, even if it doesn't truly make them safer.»
«Politicians naturally want to do something in response to crisis, even if that something doesn't make any sense»
Schneier 2003:38
«some countermeasures provide the feeling of security instead of reality. These are nothing more than security theatre.»
Schneier 2009
Richard Colvin Reid, December 22, 2001, volo 63 Parigi – Miami
http://latimesblogs.latimes.com/washington/201
«Du maître de discipline à celui qui lui est soumis, le rapport est de signalisation: il s'agit non de comprendre l'injonction, mais de percevoir le signal, d'y réagir aussitôt, selon un code plus ou moins artificiel établi a l'avance. »
«Placer le corps dans un petit monde de signaux à chacun desquels est attachée une réponse obligée » Foucault 1975
« faire passer dans la pierre l'intelligence de la discipline » Lucas 1836
Minaccia terrorismo
Airport
Security
Percezione di
sicurezza
Disciplinamento
Passeggero
Dati $ €
tecnologie & servizi
Sec Industry Captive
customer
Shops Cattività – Libertà
Sicurezza – Disciplina
Autonomia
al confine fra sicurezza e privacy
/1/ sicurezza e privacy: cosa sono
/2/ Snowden, NSA e gli altri
/3/ un caso di studio: l'aeroporto
/4/ conclusioni
/5/ che fare?
Minaccia terrorismo
National
Security
Percezione di
sicurezza
Cittadino
/Utente
Dati $ €
tecnologie & servizi
Sec Industry Dati
Identified
user
SNs
Cloud, ... Dai “Grandi Eventi” ai “piccoli eventi”
Olimpiadi
Campionati calcio
G*
Expo
…
Concerti
...
«A ogni guerra per la libertà, ci viene tolto il 25% delle libertà che ci restano »
«Quando le democrazie avranno fatto trionfare decisamente la libertà nel mondo, mi chiedo cosa resterà per noi »
Georges Bernanos 1965
La sicurezza come dispositivo
Trasforma:
(1) autonomia → libertà condizionata al disciplinamento
(2) il cittadino → captive customer e utente identificabile (3) tecnologia dal dubbio funzionamento → tecnologia indispensabile, pagata con taxpayer money
(4) l'attore politico offre percezione di sicurezza → popolazione più disciplinata, fiducia acritica, apparato statale più forte
Minaccia
Autorità
tecnico­politica
Intelligence & security technology
Cittadino
Industria
al confine fra sicurezza e privacy
/1/ sicurezza e privacy: cosa sono
/2/ Snowden, NSA e gli altri
/3/ un caso di studio: l'aeroporto
/4/ conclusioni
/5/ che fare?
Che fare?
●
●
Verificare se l'autorità mantiene le promesse in base alle quali ottiene la fiducia
Se il dispositivo codifica i comportamenti,
possiamo decidere noi come codificare il dispositivo
Il ruolo della stampa
(0) costruire il senso comune del termine “sicurezza”
(1) bilanciare le asimmetrie informative
(2) offrire criteri per la valutazione della sicurezza reale: le misure di sicurezza funzionano? Ottenere I dati.
(3) mascherare le agende nascoste
Il ruolo della stampa/2
Q: Does the BND deliver data of Germans to the NSA?
A: Whether the BND does it directly or knowingly the NSA gets German data. Whether it’s provided I can’t speak to until it’s been reported because it would be classified and I prefer that journalists make the distinctions and the decisions about what is public interest and what should be published.
Q: Does the NSA spy on Siemens, on Mercedes, on other successful German companies for example, to prevail, to have the advantage of knowing what is going on in a scientific and economic world?
A: I don’t want to pre­empt the editorial decisions of journalists but what I will say is there’s no question that the US is engaged in economic spying. Seipel. 2014
Il ruolo della stampa/3
Q: Nothing annoyed the German government more than the fact that the NSA tapped the private phone of the German Chancellor Merkel over the last 10 years obviously, [..] did the NSA tape already previous governments including the previous chancellors and when did they do that and how long did they do this for?
A: This is a particularly difficult question for me to answer because there’s information that I very strongly believe is in the public interest. However, as I’ve said before I prefer for journalists to make those decisions in advance, review the material themselves and decide whether or not the public value of this information outweighs the sort of reputational cost to the officials that ordered the surveillance.
Seipel. 2014
Riferimenti
●
●
●
●
●
●
●
●
●
●
Bernanos, Georges. La Liberté, Pour Quoi Faire? impr. de E. Grevin et fils, 1953. Cammozzo, Alberto. 2010. “Airport Guantanàmo.” in e­privacy 2010 ­ Deanonimizzazione e Censura. Firenze
http://www.cammozzo.com/Papers/AirportGuantanamo­1.3.pdf
Lucas, Charles Jean Marie. 1836. De la réforme des prisons, ou De la théorie de l’emprisonnement, de ses principes, de ses moyens, et ses conditions pratiques. Paris, FR: E. Legrand et J. Bergounioux.
Lyon, David. 2003. Surveillance after September 11. Cambridge, UK: Polity.
Poole, Robert W. Jr. 2009. “Airport security: time for a new model.” in Protecting Airline Passengers in the Age of Terrorism. Santa Barbara, CA, USA: ABC­CLIO.
Raz, J. 2005. “Problem of Authority: Revisiting the Service Conception, The.” Minnesota Law Review 90:1003.
Schultz, Michael, and Hartmut Fricke. “Managing Passenger Handling at Airport Terminals”. Berlin, 2011. http://www.atmseminar.org/seminarContent/seminar9/papers/122­Schultz­Final­Paper­4­16­11.pdf
Seipel. Snowden Exklusiv ­ Das Interview | NDR (English), 2014. http://archive.org/details/snowden_interview_en
Volkova, Nazeda. 2009. Determinants of retail revenue for today’s airports. German Airport Performance Project Retrieved http://userpage.fu­berlin.de/~jmueller/gapprojekt/downloads/gap_papers/The%20role%20of%20retail%20revenue%2
0for%20today%27s%20airports_Bremen%20rev%20jm%2011%207%2009.pdf
Vonnegut, Mark. The Eden Express. Cape, 1976.
Grazie!
Domande?
alberto cammozzo.com
http://cammozzo.com
Twitter: tagMeNot