Libertà e Sicurezza in
Internet.
Riflessioni sparse
Martedì, 5 Novembre
Palazzo Stelline
C.so Magenta 61, Milano
Paolo Da Ros, membro del Direttivo CLUSIT
Liberta’ individuali, privacy e
sicurezza: esempi di un dilemma
senza soluzioni definitive
“la Societa’ aperta ed I suoi nemici”
Chiuderla per difenderne l’ apertura risolve il problema alla
radice…
“Non esistono uomini liberi in societa’ in cui esiste uno schiavo”
L’ esistenza di un singolo schiavo genera una relazione “padrone –
schiavo” alla quale tutti gli individui vengono riportati, e annulla
la possibilita’ di uomini liberi
“Aperti e Sicuri”
“blindare” l’ azienda, mantenendo segrete tutte le sue
informazioni, rende l’ azienda sicura … ma la fa “chiudere” per
mancanza di clienti che possano comprare le cose segrete che
produce!!!
Paolo Da Ros
[email protected]
2
Un dilemma senza soluzioni
definitive
Non esistono scorciatoie, ricette universalmente valide nel
tempo e nello spazio. Gli esseri umani praticano
costantemente il compromesso. Cio’ che qui e ieri era
inaccettabile, li’ e oggi puo’ essere accettato.
Esistono diritti fondamentali, tuttavia, e questi vanno
tenuti presenti quando si accettano compromessi.
Paolo Da Ros
[email protected]
3
Ma che cos’e’ la Privacy?
Una definizione:
La privacy e’ il diritto della persona
a negoziare le proprie relazioni
sociali sulla base del controllo delle
informazioni che la riguardano
Paolo Da Ros
[email protected]
4
Ma che cos’e’ la Privacy?
E un esempio
“Gentile signor Rossi, abbiamo notato che l’ uso della sua carta di credito alternato a
quello della carta di credito della signora Neri si e’ recentemente diradato in maniera
significativa.
Dal suo frequente acquisto di cibo surgelato in confezioni monodose, e dal diradarsi
dei suoi acquisti di profilattici, ci permettiamo di dedurre che la Sua vita
sentimentale attraversa un periodo di una qualche difficolta’.
Ci permettiamo di sconsigliarLe l’ approfondimento della conoscenza della signorina
Verdi, che deduciamo dall’ episodico utilizzo alternato di carte di credito in vari
ristoranti adiacenti alle vostre abitazioni e dalla posizione dei vostri cellulari
frequentemente individuati nella stessa cella. La signorina Verdi si e’ infatti
recentemente sottoposta ad analisi di laboratorio presso lo Studio malattie Veneree
ed affini sito in Via Roma.
Ci permettiamo di conseguenza di raccomandarle l’ utilizzo dei servizi della nostra
Societa’ : la XXX Video e’ una delle piu’ referenziate societa’ di noleggio di materiale
erotico, che viene consegnato a domicilio in confezioni anonime. A tutela della sua
privacy siamo in condizione di garantirLe la piu’ assoluta discrezione.
Paolo Da Ros
[email protected]
5
Come si applicano i compromessi
quando si tratta di diritti
fondamentali?
Nello stesso modo con cui I ricci fanno all’ amore.
Con molta attenzione!!!!
Paolo Da Ros
[email protected]
6
Molta attenzione!!
Esistono tecnologie estremamente potenti.
Ad esempio, la crittografia a chiave pubblica
Posso usarla per generare sistemi di assoluto anonimato (Blind
Signatures, anonymous remailers…) o per generare sistemi di
assoluta certezza dell’ identificazione.
Posso usarla per far si che le intercettazioni (male necessario a
tenere “socchiusa” (meglio: ”semiaperta”) la societa’ aperta negli
anni del terrorismo e della minaccia criminale di massa) siano
assolutamente protette, ed accedute solamente da chi ne ha il
diritto/dovere. Con la garanzia che in fase probatoria nessuno
possa metterne in discussione autenticita’ ed integrita’.
Paolo Da Ros
[email protected]
7
Viene utilizzata questa attenzione?
Da quello che se ne sa… NO.
Sarebbe possibile dare confidenzialita’ assoluta e controllo accessi
“matematicamente sicuro”, certezza di tempo, luogo e integrita’
delle conversazioni intercettate. Ma non viene fatto, a giudicare da
casi di pubblica notorieta’…
I sistemi di telecomunicazione sono –e saranno sempre piu’basati su tecnologie IP. Occorrerebbe utilizzare per la sicurezza
dei sistemi che garantiscono la sicurezza della collettivita’ lo
stesso approccio che si usa su Internet per la valutazione dei
sistemi di sicurezza.
Peer review, pubblicita’ dei protocolli.
E certificazione (ISO 15408/Common Criteria –pubblicita’ dei
protection profiles!-, ISO 17799, ISMS).
Paolo Da Ros
[email protected]
8
Quali sono le implicazioni?
Tutte le forniture di armi sofisticate a paesi di una certa area
geopolitica erano accompagnate dalla donazione di STU –Secure
Telephone Units- al paese acquirente. E’ il famoso caso ... I telefoni
erano basati su crittografia simmetrica. E una copia della chiave era
in possesso dei servizi segreti di una certa nazione (quella che
forniva le armi).
Monitorare il traffico telefonico e’ quanto viene attribuito al
famoso Echelon, utilizzato –sembra- piu’ a fini di concorrenza
industriale che a fini militari o di antiterrorismo.
Utilizzare sistemi per il monitoraggio non sottoposti a
certificazione (ISO 15408, ISO 17799) apre lo spazio a backdoors
e a trojan horses, o a debolezze organizzative di pericolosita’
strategica per gli interessi nazionali.
Paolo Da Ros
[email protected]
9
Conclusioni
Occorre accettare compromessi (probabilmente)
I compromessi potrebbero essere piu’ accettabili se fosse trasparente il
processo (andrebbe evitato l’ errore della polemica filo/anti nucleare e del
chiasso che si sostituisce all’ argomentazione razionale)
La trasparenza si traduce in:
•
Esplicitazione delle implicazioni (se usi una fidelity card, stai vendendo
la tua privacy per lo 0,0x% di sconto sulla spesa che fai…);
•
Controllo e tutela della riservatezza dei dati personali (675/96-467/01,
DPR 318/99);
•
Esplicitazione dei criteri di deroga al rispetto della privacy –law
enforcement-
•
Utilizzo di prodotti e processi SICURI per la messa in atto della deroga
(certificazione dei prodotti: ISO 15408 -CC- e dei processi: ISO 17799),
in maniera che l’ addetto della societa’ di telecomunicazioni XYZQ non
informi l’ intercettato –caso recente, a beneficio dell’ intercettato- o la
stampa –altro caso recente, a danno dell’ intercettato).
Paolo Da Ros
[email protected]
10
La liberta’ e’ il nostro bene piu’ prezioso.
Non puo’ essere assoluta nella civilta’ di massa nella quale
viviamo (e infatti Digicash, anonimous remailers, anonymous
betting pools, reputation policies e altre idee dei primi anni ’90 tecnicamente praticabili e “sociologicamente suggestive”- che
miravano a conseguirla non hanno trovato cittadinanza).
Il compromesso che va trovato non puo’ prescindere dalla massima
attenzione a “non buttare il bambino” (la liberta’ individuale e
collettiva) “con l’ acqua sporca” (la necessita’ di intelligence,
controterrorismo e di applicazione della Legge della nostra
Societa’).
Grazie per l’ attenzione!!
Paolo Da Ros
[email protected]
11
Scarica

Libertà e sicurezza in Internet