massimo mantellini

Contrappunti/ Abbiamo bisogno di Edward Snowden

di M. Mantellini - Il contributo dell'ex-NSA è stato fondamentale per svelare la reale situazione in cui versa la privacy online. Ora c'è bisogno che chi altri sa, parli. E che noi altri si faccia la nostra parte

Contrappunti/ Abbiamo bisogno di Edward SnowdenRoma - Se credi, come io credo, che Internet abbia fatto molto per te, allora forse questo è il momento di pensare a cosa tu puoi fare per Internet. Perché al di fuori di isterismi e oggettive complessità non ci sono molti dubbi che, dopo le rivelazioni di Edward Snowden, l'intera reputazione della rete Internet, la sua capacità di essere luogo contemporaneamente pubblico e privato della nostra vita, siano state messe a dura prova, quando non del tutto scardinante.

I cinici vi racconteranno che si sapeva già da prima, citeranno una vecchia abusatissima frase del capo di una grande azienda tecnologica americana che oltre un decennio fa diceva che la privacy su Internet è pari a zero (aveva torto allora, continua ad averlo oggi, ma pazienza) mentre gli sciocchi vi racconteranno che se uno non ha nulla da nascondere non ha nemmeno nulla di cui preoccuparsi. Una certa stampa (la grande maggioranza della stampa) proverà a comporre articoli con la storia del poliziotto buono, elencherà innumerevoli casi nei quali il controllo e il data mining hanno evitato sfracelli mentre il politico imbelle, come è accaduto in molti Paesi europei, specie in Italia, di fronte alla gigantesca invasione della privacy dei propri cittadini da parte di uno stato straniero semplicemente se ne resterà in silenzio.

E invece noi? Cosa possiamo fare noi, concretamente, per contrastare il sistema di sorveglianza globale che NSA ed altri soggetti hanno negli anni messo in piedi?
Possiamo fare piccoli gesti molto importanti, postarli su Facebook o sui nostri blog, estenderli ai nostri amici, scriverli sui giornali, raccontarli negli eventi pubblici se e quando sarà possibile. Questi piccoli mattoni sono accomunati dall'essere piccole schegge di resistenza, minuscoli atti di contrapposizione ideologica e etica.

Scegliere di chi fidarsi intanto. Le piattaforme di Rete sono uscite distrutte dalla tempesta NSA ed hanno gravi oggettive responsabilità nei confronti del loro utenti. Dobbiamo immaginare con loro una nuova relazione, basata sulla terzietà della piattaforma rispetto al poliziotto, un intermediazione che si presumeva esistente e che invece nei fatti non c'era. Vedremo nei prossimi mesi se Facebook o Google, se Twitter o il nuovo prossimo servizio che tutti utilizzeremo domani, saranno in grado di schierarsi nettamente, con atti concreti, contro il controllo governativo o se invece accetteranno di esserne parte attiva. Se innalzeranno opportune barriere elettroniche all'occhio invadente del controllore oppure no. Se nulla cambierà, se i nuovi imprenditori si uniranno (come hanno fatto fino ad oggi) al vecchio gendarme, allora sarà tempo di abbandonarli per andare altrove. In questo contesto occorre ammettere che alcuni soggetti non meritano nemmeno questa tardiva ipotesi di redenzione: le aziende del software che secondo i report di Snowden sono più pesantemente compromesse con NSA, alcune delle maggiori aziende software mondiali, dovrebbero essere semplicemente rifiutate per manifesto tradimento.

Dobbiamo condividere informazioni. Bruce Schneiner che in questi mesi si è distinto per essere la mente più lucida nell'analisi politica del disastro mondiale della privacy - lui che è invece un tecnologo a tutto tondo - dice da settimane una cosa molto semplice: abbiamo bisogno di nuovi Edward Snowden. Chi sa parli, chi ha visto cose le racconti, chi ha documenti li renda pubblici. La maggior paranoia di NSA e di Barack Obama (il Presidente USA che a margine della vicenda NSA meriterebbe un biasimo tanto ampio quanto circostanziato) delle ultime settimane è stata capire quante e quali informazioni Snowden abbia portato fuori dal sancta sanctorum degli spioni planetari. Per tentare di arginare questo l'intelligence USA ha accettato di compromettere ulteriormente la propria già modestissima reputazione bloccando spazi aerei, fermando giornalisti dentro aeroporti, martellando computer e sequestrandone altri a cittadini che certo era difficile immaginare come pericolosi terroristi. Ma se la battaglia per la privacy in Rete è oggi una battaglia difficile anche quella del controllo sulla diffusione dei documenti si dimostra esserlo altrettanto e questa certamente è una buona notizia.

Educare alla riservatezza. La cultura della sicurezza ha bisogno di nuove semplificazioni nelle piattaforme. I sistemi di cifratura, che a differenza di quanto sostiene una certa vulgata giornalistica non sono stati craccati da NSA ma, nella maggioranza dei casi, semplicemente aggirati, hanno bisogno di essere implementati dentro la macchina. Tor o SSL sono comunque utili (o oggi ormai quasi necessari) ma non possono rimanere nelle competenze e negli utilizzi dei soli esperti. Se il gendarme ha grandi microfoni per ascoltare le nostre voci noi dovremo iniziare a parlare sottovoce o accendere la radio o utilizzare frasi in codice, come in certi vecchi film sulla DDR degli anni '60.

Pratiche di massa contro l'osservazione di massa. Perturbazioni software, forma di resistenza elettronica a patto che siano disponibili per tutti. Ma educare alla riservatezza non è soltanto l'abilità nell'utilizzo di uno strumento, è anche e soprattutto un processo culturale: TOR è il risultato, ma il pensiero che lo sorregge è perfino più importante. Ognuno di noi ha il diritto di non essere spiato.

Intorno a questa idea dovrà crescere la Internet dei prossimi anni: se lo sapremo fare, se saremo in grado di raccontarla bene, se non ci adatteremo ad essere i cari cari polli di allevamento, allora Internet continuerà ad avere un senso come lo hanno le piazze delle nostre città. Se tutto questo non sarà possibile allora avremo semplicemente perso tutti e non solo Barack Obama.

Massimo Mantellini
Manteblog

Tutti gli editoriali di M.M. sono disponibili a questo indirizzo
Notizie collegate
111 Commenti alla Notizia Contrappunti/ Abbiamo bisogno di Edward Snowden
Ordina
  • Articolo chiarissimo e totalmente condivisibile.

    Era da tempo che aspettavo che qualcuno dicesse queste cose:
    "Possiamo fare piccoli gesti molto importanti ... Questi piccoli mattoni sono accomunati dall'essere piccole schegge di resistenza, minuscoli atti di contrapposizione ideologica e etica ...
    Dobbiamo condividere informazioni ...
    Educare alla riservatezza ...
    PRATICHE DI MASSA CONTRO L'OSSERVAZIONE DI MASSA. Perturbazioni software, forma di resistenza elettronica a patto CHE SIANO DISPONIBILI PER TUTTI. Ma educare alla riservatezza non è soltanto l'abilità nell'utilizzo di uno strumento, è anche e soprattutto un processo culturale: TOR è il risultato, ma il pensiero che lo sorregge è perfino più importante. OGNUNO DI NOI HA IL DIRITTO DI NON ESSERE SPIATO."

    Pratiche DI MASSA contro lo spionaggio DI MASSA.
    Questo vuole anche dire (e qui mi attirerò le ire di qualcuno) CERCARE DI RENDERE PIU' SICURO (O MENO INSICURO) PURE L'USO DI WINDOWS.

    Perchè è assolutamente INUTILE sperare che una gran massa di utenti passi da Windows a Linux o addirittura a qualche pur valida ma oscura distribuzione Linux "hardenizzata".
    Troppi sono i motivi per cui Linux ha tuttora un misero uno e mezzo per cento del totale dei desktop.
    Se non si interviene su quell'oltre 90% di utenti Windows (e su quel 7% di utenti OS X) la battaglia è persa in partenza.

    Qualcuno dirà (ed effettivamente qualcuno dice) "che me ne importa a me? io uso Linux! lo facciano anche loro o si arrangino!".
    GRAVE ERRORE.

    Se certe campagne spionistiche di massa hanno successo, se certe operazioni terroristiche in grande stile contro utenti internet hanno successo, se intercettazioni e sequestri sono facilissimi non è perchè la gente usa l'"insicuro" Windows invece del "sicuro" Linux: è perchè la gente non si difende, nè con Tor nè con la crittografia sicura, INDIPENDENTEMENTE dal sistema operativo usato!

    E fino a quando certe campagne avranno successo, queste campagne CONTINUERANNO, risorse (pagate con i nostri soldi!) continueranno ad essere assegnate agLi spioni, mettendo a rischio la privacy di TUTTI gli utenti, non solo DEgli "utonti" di Windows ma pure degli "smart users" di Linux.
    Rendete invece queste operazioni spionistiche INFRUTTUOSE e queste campagne di massa salteranno per aria.

    Quanto potrebbero continuare a mettere soldi e tempo in operazioni che non cavano un ragno dal buco e che non sono specifiche e rivolte a criminali ma rivolte a cercare di "pescare" indiscriminatamente nella massa?
    Ben poco, io credo, a maggiore ragione in tempi di crisi.
    E, allora, una volta svuotata la facile ragione delle campagne di massa le risorse verranno finalmente assegnate per agire, in modo mirato, contro i VERI criminali.

    Ma per arrivare a questo bisogna "educare" anche gli utenti Windows, senza spocchie, senza credere che sia uno sforzo inutile e senza credere che se Windows è meno sicuro di Linux ciò nonostante non possa essere usato in modo MOLTO più sicuro di come fa il 99% dei suoi utenti (che sono il 90% degli utenti totali).

    Chi pensa "io uso Linux, quelli che usano Windows ... cavoli loro!", sbaglia.
    Sono "cavoli" DI TUTTI.
    Anche suoi, pur se si illude che non sia così, con il suo UltraSecureLinux 0.9834 build 18c, hardenizzato e magari customizzato in casa ...
    non+autenticato
  • L'articolo dice che sono "sciocchi" quelli che dicono che "non hanno niente te da nascondere e se ne fregano della privacy".
    E perché questo?
    Stiamo parlando di "intromissione nella privacy" da parte di persone che di quello che scriviamo normalmente su FB, che mandiamo via email all'amico di gaming online o che scriviamo in un forum non gliene frega nulla.
    Non stiamo parlando di qualcuno della ditta A che viola la privacy di qualcuno della ditta concorrente B, Carpenedolo segreti aziendali. In quest'ultimo caso la privacy ha senso di esistere, ma nel resto dei casi?
    Io non voglio che il mio amico rompicoglioni sappia dove vado, così non risciò di trovarmelo ogni 3x2 sotto casa, ma non mi frega nulla se l'NSA o la polizia italiana sanno che ora mi trovo in banca, al mercato, al mare, ecc...
    Idem per le email scambiate tra me e la mia fidanzata: non voglio che i nostri conoscenti leggano le porcheria che ci scriviamo (hehehe), ma di perfetti sconosciuti che non interagiranno mai con me/lei che mi frega?
    Che qualcuno pagato per la Sicurezza abbia accesso alle mie email verso la fidanzata o alla visione del mio estratto conto bancario, cosa mi cambia?
    Mi darebbe fastidio solo se USASSE quelle informazioni per un tornaconto personal, per sminuirmi, ma non si sta parlando di questo.
    non+autenticato
  • Se non si vuole che le FdO abbiano accesso ai propri dati personali (nemmeno nei casi eccezionali di cui si sta parlando), sarebbe come se il carabiniere, per mettere piede in casa tua e salvarti da un violentatore/ladro, dovesse chiederTI personalmente il consenso a farlo...ma come potresti rispondere se in quel momento sei sotto le grinfie dell'aggressione? Ci dev'essere qualcosa che, a differenza della normale vita quotidiana, permette a CERTE persone di poter controllare cose, che solitamente non dovrebbe, "fregandosene" un po' della privacy e delle leggi.
    Ovviamente la questione é delicata in quanto non si può garantire l'assoluta buonafede di quelle persone, ma allora dimentichiamoci pure di trovare mafiosi, evasori, ladri, assassini, stupratori, ecc ecc . perché.. Perche sinceramente dubito si facciano prendere consegnandosi spontaneamente, e molti vengono presi proprio violando la loro privacy.
    Se uno non é un ladro, un assassino, uno stupratore, un pedofilo, un evasore, un bugiardo, un infedele, un traditore (Stato o donne é uguale, hehehe), un delinquente in generale (cioè che fa, ha fatto o vuol fare qualcosa che va contro le leggi o la morale comune) non ha nulla da nascondere e se ne "frega" degli abusi da parte delle FdO nella sua privacy. In fondo a me non cambia la vita se l'NSA sa che ieri ero al mare o che ho scritto "zozzona" via email alla mia fidanzata...continuo a vivere esattamente come prima. Al massimo sono loro che si fanno una risata leggendo quelle mie emailsSorride
    non+autenticato
  • - Scritto da: Antony
    > In fondo a me
    > non cambia la vita se l'NSA sa che ieri ero al
    > mare o che ho scritto "zozzona" via email alla
    > mia fidanzata...continuo a vivere esattamente
    > come prima. Al massimo sono loro che si fanno una
    > risata leggendo quelle mie emails
    >Sorride

    Invece te la cambia, ci fregano soldi facendo spionaggio industriale anne nostre industrie, quindi sei piu' povero a causa dell'NSA che agisce non per sicurezza nazionale ma per l'interesse economico della propria nazione.

    Come gia' dimostrato dallo studio europeo su Echelon del 2004.
    krane
    22544
  • - Scritto da: Antony

    > Stiamo parlando di "intromissione nella privacy"
    > da parte di persone che di quello che scriviamo
    > normalmente su FB, che mandiamo via email
    > all'amico di gaming online o che scriviamo in un
    > forum non gliene frega nulla.
    >

    e chi ti dice che sarà sempre così? nei documenti pubblicati si parla di dipendenti delle NSA che spiavano amici, nemici e fidanzate

    non ti rendi conto che il potenziale per gli abusi è il vero problema

    e in secondo luogo, devi considerare che le leggi possono cambiare ( domani potrebbero prendere di mira tutti gli omosessuali, ad esempio, e a quel punto le cose che hai postato su facebook potrebbero costarti la vita )

    > Non stiamo parlando di qualcuno della ditta A che
    > viola la privacy di qualcuno della ditta
    > concorrente B, Carpenedolo segreti aziendali. In
    > quest'ultimo caso la privacy ha senso di
    > esistere, ma nel resto dei casi?

    ma la NSA è stata già pizzicata a fare anche questo ( Echelon ti dice nulla? )

    > ma di perfetti sconosciuti che non interagiranno
    > mai con me/lei che mi
    > frega?

    e se un tizio importante della NSA vuole la tua fidanzata? potrebbe usare quelle email per ricattarvi, potrebbe farti uccidere, potrebbe far rapire la tua fidanzata


    > Che qualcuno pagato per la Sicurezza abbia
    > accesso alle mie email verso la fidanzata o alla
    > visione del mio estratto conto bancario, cosa mi
    > cambia?

    che possono abusarne alla grande

    > Mi darebbe fastidio solo se USASSE quelle
    > informazioni per un tornaconto personal, per
    > sminuirmi, ma non si sta parlando di
    > questo.

    no no, stiamo parlando proprio di questo, visto che è stato fatto
    non+autenticato
  • - Scritto da: Antony
    > L'articolo dice che sono "sciocchi" quelli che


    > Idem per le email scambiate tra me e la mia
    > fidanzata: non voglio che i nostri conoscenti
    > leggano le porcheria che ci scriviamo (hehehe),
    > ma di perfetti sconosciuti che non interagiranno
    > mai con me/lei che mi
    > frega?
    > Che qualcuno pagato per la Sicurezza abbia
    > accesso alle mie email verso la fidanzata o alla
    > visione del mio estratto conto bancario, cosa mi
    > cambia?
    > Mi darebbe fastidio solo se USASSE quelle
    > informazioni per un tornaconto personal, per
    > sminuirmi, ma non si sta parlando di
    > questo.

    metti che domani ti candidi a una carica politica, a una posizione pubblica, sapendo che qualcuno ha accesso alle tue email zozze, alla tua cronologia del browser dove si vedono frequentazioni di siti imbarazzanti, o anche solo politicamente orientati, magari roba di anni fa e nel frattempo hai cambiato idea. Metti che una volta hai scaricato un mp3!
    Ancora prima di candidarti sei già ricattabile con la minaccia di spu**anamento pubblico.
    Funz
    12943
  • Il boss di NSA dice 'La privacy è morta da trent’anni, perché non ce la possiamo permettere' e non mi sembra di aver visto prese di posizione scandalizzate di altri governi in proposito.
    La dura realtà è che come al solito in Italia (ma non solo), siamo deboli con i forti e forti con i deboli.

    Siamo figli di una infrastruttura (Internet) che NON è sovranazionale, usiamo DNS statunitensi (10 su 13 root server), su desktop sistemi closed Microsoft (statunitensi), usiamo tutti motori di ricerca tipo Google (statunitense), scriviamo i cavoli nostri su Facebook (statunitense).

    La vera battaglia è questa!
    Chissà perché arrivare ad una rete davvero neutra è un'impresa praticamente impossibile, e non capiamo perché agli Stati Uniti va bene così (immaginate l'importanza strategica).

    E allora non discutiamo di questo, facciamo firmare il modulino sulla privacy dall'azienducola che ha un PC così tacitiamo la coscienza.
  • - Scritto da: paoloholzl
    > Il boss di NSA dice 'La privacy è morta da
    > trent’anni, perché non ce la possiamo permettere'
    > e non mi sembra di aver visto prese di posizione
    > scandalizzate di altri governi in
    > proposito.


    Pensiamo al motivo per cui l'ha detto.
    A me ne viene in mente uno: terrorismo internazionale di matrice islamica. Ti basta?



    > La dura realtà è che come al solito in Italia (ma
    > non solo), siamo deboli con i forti e forti con i
    > deboli.


    Demagogia.



    >
    > Siamo figli di una infrastruttura (Internet) che
    > NON è sovranazionale, usiamo DNS statunitensi (10
    > su 13 root server), su desktop sistemi closed
    > Microsoft (statunitensi), usiamo tutti motori di
    > ricerca tipo Google (statunitense), scriviamo i
    > cavoli nostri su Facebook (statunitense).
    >
    >
    > La vera battaglia è questa!
    > Chissà perché arrivare ad una rete davvero neutra
    > è un'impresa praticamente impossibile, e non
    > capiamo perché agli Stati Uniti va bene così
    > (immaginate l'importanza
    > strategica).


    Ma allora gli Stati Uniti sono proprio "il grande satana" come dicono i talebani... Occhiolino
    non+autenticato
  • Tutto inutile. Quanto rivelato da Snowden e' acqua passata. La nuova frontiera della NSA e di Obama e' il cervello. E non sono nel campo della ricerca che Obama intende pubblicamente finanziare: il "brain control" e' gia' implementato.
    non+autenticato
  • - Scritto da: Anonimo
    > Tutto inutile. Quanto rivelato da Snowden e'
    > acqua passata. La nuova frontiera della NSA e di
    > Obama e' il cervello. E non sono nel campo della
    > ricerca che Obama intende pubblicamente
    > finanziare: il "brain control" e' gia'
    > implementato.

    E' quello che ho pensato anch'io nel leggere perle come "che qualcuno pagato per la Sicurezza abbia accesso alle mie email verso la fidanzata o alla visione del mio estratto conto bancario, cosa mi cambia?".

    Del resto, la gente mette tranquillamente la propria vita su FB, il Grande Fratello è diventato uno show televisivo di successo e, come ha detto qualcuno, per molti ormai "essere spiati è bello".
    :(
    non+autenticato
  • Mhh sono gg che ci sto pensando... al tema in Oggetto...

    Questo MEGAeffluvio di paranoia spionistica, tenuto in massima tensione dai giornali inglesi, e che poi si e' riverberato ovunque (m/l tecniche comprese) lo trovo DANNOSO.
    Specie con le ultime sparate "l'nsa mette backdoor, inquina gli standard, decripta le vpn e ssl" molto generalizzate e praticamente mai con un dato concreto verificabile[1] alimenta sospetto e cospirazionismo a tutti i livelli (stile maccartismo), crea un clima di "panico" e di generale paranoia SU TUTTO... dalla quale NON ti puoi salvare.

    Capite che intendo, si? chain of trust sono semplicemente necessarie, se no non puoi fare nulla di nulla. Ovviamente ci sono gradi e gradi di fiducia, ma pensi che tutto e' inquinato... di cosa ti fidi?

    Un post completo e articolato mi piacerebbe farlo ma sarebbe parecchio piu lungo dell'articolo... butto li' alcune cose..
    ES:
    A> Firefox? si e' opensource. Ma tu usi il binario, inquinato dall'nsa.
    B> e' ma c'e' gente che i src li guarda e salterebbe fuori, e poi la reputazione di ff e' rovinata
    A> magari esce fuori, ma il risultato e' gia ottenuto. reputazione? ma mica e' stato il Dr. firefox, ma un coder infiltrato dell'nsa (come per openbsd [2])
    B> no impossibile in ff sono troppo attenti
    A> ok, pero' il core e' sempre in Usa e sono sottoposti alle leggi Usa (possono andar forse contro una National security letter ?) ...
    A> e poi i certificati SSL? e' pieno di CA americane... e pure qualcuna del DoD
    A> un mitm + certificato di bugzilla e inseriscono a insaputa del coder fidato un bug
    A> blabla

    Tutt'altra strada...
    A> a morte gli usa spioni... uso Privatenow addon di firefox, che mi proxa tutto
    B> intendi quell addon prelevato dai server USA di firefox..?
    A> hum si ma lo scarico dalla homepage degli autori russi
    B> russi? Quelli "buoni" dell' ex-urss, dell'SVR (il figlio del KGB), dei bulletproof hosting stile RBN ( Russian Business Network)?
    A> hum.. no ma questi sono bravi... c'e' scritto sul sito(!). lottano contro le ingerenze dei governo
    B> anche Mr.B dice di essere un perseguitato politico. Magari e' gestito dai cugini di RBN, dagli spammer ucraini, o dall'NSA (as usual). All'NSA e' forse impedito di comprare un hosting in russia?

    E cosi via all'infinito.... ogni proxy, tunnel, tor exit-node, browser addon, rete p2p, CA, src repository, e dichiarazione, algoritmo o framework (specie se molto complicato e/o molto poco usato), m/l, persona, puo essere sospettato di "inquinare" il sistema e di cospirare con l'NSA (o agenzia-che-vuoi) .
    Ogni bug/disfunzione/idiozia nel codice, ogni password per diagnostica/controllo remoto, ogni vicinanza con progetti cofinanziati dal Darpa, DoD, nsa, us navy, dipartimento dell'energia & cugini vari, viene sospettato di essere prodotto/cospirare col "nemico NSA".
    NON e' MOLTO PIACEVOLE un pianeta cosi'.

    Tra l'altro non capisco perche' si tormentino solo le agenzie a tre lettere americane (o quella a 4 in UK)... e quell'altro centinaio nel mondo? Gli israeliani, iraqueni, russi, cinesi, indiani, tedeschi, sudafricani.. ecc dormono tutti il silenzio dei giusti?


    Questo NON vuol dire non ci siano questioni, ingerenze, avvelentamento dei pozzi (inquinare di proposito gli standard e' vergognoso) ecc... ma solo che dal maccartismo NON ci si salva. Il "maccartismo bushiano" post 9/11 ha creato danni in una direzione... ora ne vedo altri, non migliori.



    [1] l'unico "sugli standard",con delle evidenze mi pare quello di quel vecchio Dual_EC_DRBG validato dal NIST, fanculato da subito e violato da 2 ricercatori M$(!), l'anno dopo. e questo molto prima di snowden
    [2] http://marc.info/?l=openbsd-tech&m=129236621626462... anche se cose strane vi furono (mi pare individuati 2 bug e forse il fork usato in prodotti commerciali fu inquinato) NON mi sembra fu mai evidenziata una backdoor intenzionale, Wright smenti', e Deraatd archivio' cosi (naturalmente cospirazionalmente parlando la gente potrebbe mentire del tutto o in parte)...
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione

    > Perchè sono quelle che hanno le migliori
    > infrastrutture fisico/politiche per poter fare
    > quello che
    > fanno.

    e sono quelle a cui arrivano tutte le informazioni, anche quelle provenienti dai nostri servizi

    ho letto svariati scritti sulla strategia della tensione, Gladio, servizi deviati, ecc... e l'elemento costante era il fatto che i nostri servizi agivano ( e probabilmente agiscono ) come tirapiedi degli americani

    cioè, alla fine, abbiamo un unico grande servizio segreto americano, le cui strategie e finalità vengono decise a Washington e non certo a Roma
    non+autenticato
  • - Scritto da: unaDuraLezione
    > - Scritto da: bubba
    >
    > > Ogni bug/disfunzione/idiozia nel codice, ogni
    > > password per diagnostica/controllo remoto,
    > ogni
    > > vicinanza con progetti cofinanziati dal
    > Darpa,
    > > DoD, nsa, us navy, dipartimento dell'energia
    > &
    > > cugini vari, viene sospettato di essere
    > > prodotto/cospirare col "nemico
    > > NSA".
    > > NON e' MOLTO PIACEVOLE un pianeta cosi'.
    >
    >
    > D'altra parte non possiamo scegliere in quale
    > mondo
    > nascere.
    > Per risponderti sull'argomento, le paranoie
    > devono esserci, per qualsiasi cosa, ma devono
    > anche essere proporzionali alla loro
    > probabilità.
    saggio consiglio.... difficile da attuare oggi pero'. Ammetterai che lo snowden-affaire ha scatenato un iperparanoia come non se ne vedevano da una vita... ovviamente se "il bushismo" non avesse effettivamente avvelenato i pozzi qua e la', la faccenda sarebbe gia stata derubricata dal mainstream...
    Se le agenzie-a-tre-lettere tornassero un po piu nei ranghi, io sarei piu preoccupato della "cloudizzazione di massa" invece

    >
    > > Tra l'altro non capisco perche' si tormentino
    > > solo le agenzie a tre lettere americane
    >
    > Perchè sono quelle che hanno le migliori
    > infrastrutture fisico/politiche per poter fare
    > quello che
    > fanno.
    Mah... non lo so mica sai...certamente sono molto potenti... sono certamente quelle a piu noi affini e dove e' piu difficile che finisci in siberia se fai domande.. ma non saprei dire se sono piu aggressive di quelle russe & cinesi (o anche, in certi gangli, israeliani, certi paese arabici o l'india )
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: bubba
    >
    > > Mah... non lo so mica sai...certamente sono
    > molto
    > > potenti... sono certamente quelle a piu noi
    > > affini e dove e' piu difficile che finisci in
    > > siberia se fai domande.. ma non saprei dire
    > se
    > > sono piu aggressive di quelle russe & cinesi
    > (o
    > > anche, in certi gangli, israeliani, certi
    > paese
    > > arabici o l'india
    > > )
    >
    > Eccerto, ma io non uso l'equivalente di gmail
    > araba o russa, uso quella USA e lo stesso vale
    > per la maggiorparte di
    > noi.
    tu non la usi, ma molta gente (anche non russa) la usa. Mai sentito mail.ru ? o yandex (il google-search russo)? Cmq io parlavo di "agenzie" non service provider... gmail consultato dai russi, passera' certamente dai tier-1 russi e cacheserver hostati in russia...

    > Questo pone gli USA al centro di internet. In più
    > la possibilità di interagire con chi progetta
    > hardware utilizzato in tutto il mondo (intel e
    > AMD su tutti) e con chi produce software
    > utilizzato in tutto il mondo è un lateriore
    > vantaggio per
    > loro.
    >
    > Oggettivamente nessun altro può vantare una tal
    > posizione.
    (a parte che parlavo di "agenzie") si, un certo vantaggio c'e'... ma meno di quel che appare.. visto che intel e amd hanno fabs (anche) in cina e india.. broadcom, infineon, nvidia ecc hanno tutte foundry in asia...
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: bubba
    >
    > > tu non la usi, ma molta gente (anche non
    > russa)
    > > la usa. Mai sentito mail.ru ? o yandex
    >
    > conosco parecchia roba che non si usa in Italia o
    > oin occidente perchè in passato ho seguito le
    > loro quotazioni in
    > borsa.
    altro bell'ambientinoSorride

    > > google-search russo)? Cmq io parlavo di
    > "agenzie"
    > > non service provider... gmail consultato dai
    > > russi, passera' certamente dai tier-1 russi e
    > > cacheserver hostati in
    > > russia...
    >
    > Però c'è di mezzo https (ormai di default).
    e allora la paura dei tap vampire sulla fibra che fa NSA? e' una supercazzola allora? perche https si usa anche verso gli Usa..

    > A meno che non forgino certificati farlocchi
    > inducendo i browser degli utenti ad accettarli (e
    > facendosi sgamare subito),
    oppure impiegare una CA cinese (o di "ex-amici" polacchi,ungheresi) o direttamente quella di VisaSorride .. firefox le ha come trusted... [e' chiaro che e' un discorso cosi, alla paranoica da taverna... puoi fare lo stesso anche se la CA nasce in Usa... certe sono multinazionali e quello che conta e' chi ha il controllo ecc]

    > non possono
    > decodificare praticamente
    > nulla.
    allora i soldi in quantum computing della Qwave (russa), sono spesi male

    > A pensar male viene da crede che l'HTTPS di
    > default su gmail abbia il doppio scopo di
    > impedire agli altri di spiare e illudere gli
    > spiati di essere al
    > sicuro.
    teoria interessante... ma ovunque ribaltabile.

    > > che intel e amd hanno fabs (anche) in cina
    > > e india.. broadcom, infineon, nvidia ecc
    > hanno
    > > tutte foundry in
    > > asia...
    >
    > Attenzione, c'è una bella differenza tra una
    > fabbrica ed un progetto per un
    > microprocessore.
    > Chi lavora fabbrica non ha nessuna possibilità di
    > capire il progetto che sta dietro al
    > processore.
    si l'operaio che rigira il pezzo in catena di montaggio certo che no... gli ingegneri ecc, e' un altra storia.

    PS: quasi tutto nelle risposte era in /iperparanoid mode..
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: bubba
    > Capite che intendo, si? chain of trust sono
    > semplicemente necessarie, se no non puoi fare
    > nulla di nulla. Ovviamente ci sono gradi e gradi
    > di fiducia, ma pensi che tutto e' inquinato... di
    > cosa ti
    > fidi?
    La regola principe, sia nel reale che nel virtuale, si chiama Separazione dei Poteri. Più sono le persone coinvolte, più sono le legislazioni coinvolte, più sono differenti gli ambienti, meno facile + riuscire a fare qualcosa di nascosto.

    Cominciamo con diversificare la legislazione dei mail server, invece di usare tutti Gmail/Hotmail/Server in USA mail. Il caro buon vecchio smtp del provider italiano, se non sono in grado di portarmelo direttamente in casa. Possibilmente un provider italiano, invece della succursale italiana di uno britannico. E già cominciamo che l'Ordine di Collaborare ha meno efficacia e si deve passare per altre vie. Che più facilmente rischiano di venire alla luce.

    Hai presente Abu Omar? Se fosse stato arrestato a Seattle, non avremmo mai saputo nulla. Avendolo dovuto prelevare a Milano, se lo sono comunque portati via tendenzialmente impuniti ma lo abbiamo saputo.

    Stesso dicasi per le CA. Se tutte si rifanno a Verisign, il gioco è facile. Ma se comincio ad usare CA Olandesi, Sudafricane, Tedesche, Italiane senza MAI incrociare la catena di fiducia, dovranno compromettere TUTTE le CA singolarmente. Fattibile ma si fa più fatica ed ancora una volta aumenta il rischio di essere scoperti.

    Di Firefox scarichi il binario, vero. Ma cominciamo a distribuire binari ricompilati localmente: il repository svedese si ricompila il codice e lo mette a disposizione sul server svedese. Quello italiano fa altrettanto. Io scarico da quello svedese e quello svedese scarica da quello italiano.
    Forse NSA non fa fatica a far compromettere il repository USA, ma a compromettere quello svedese il rischio di essere scoperti aumenta.
    Tra l'altro già ora, se usi Linux, ogni distribuzione ricompila da se Firefox (in alcuni casi anche perché deve cambiare qualcosa e chiamarlo IceWeasel) e questo nuovamente accresce il rischio di individuare la "corruzione".

    Ora come ora la "catena di fiducia" non solo è molto lunga, ma termina/attraversa praticamente sempre il territorio USA. Rendendo la vita facile a NSA. Se invece la mail da me a Sven passa per la Svizzera, la Germania e la Danimarca senza attraversare gli USA, la NSA è costretta a violare almeno una tra le legislazione IT, CH, DE, DK e SE per leggersi la sua email. Magari la fanno comunque franca, come nel caso Abu Omar, ma intanto in ferie a Parigi non ci vanno più.

    La parola chiave è "multilateralità". Catene di fiducia più corte e più dirette. Non evita di essere intercettati, ma lo rende esponenzialmente più a rischio di essere scoperto.

    Se domani scoprissimo che i Cinesi hanno inserito trojan nell'hardware, ci meraviglieremmo? Io no. Ma non perché sono cinico, ma perché siamo noi ad avergli reso la vita facile, passando tutti per la Cina per fare hardware. Finché l'hardware era prodotto in dieci paesi diversi era praticamente impossibile. Ora è invece molto facile e difficilmente individuabile. Ed anche fosse chiaramente individuato che faccio? Cito una azienda cinese che produce in Cina sotto la legislazione cinese?

    Ecco perché tanti anni fa era di moda una parola oggi in disuso: Antitrust. Non perché di per se il Monopolio sia male in se, ma perché non è bene né per i consumatori né per i cittadini. Ma oggi dire che una azienda non può essere più grossa della Rappresentanza Democratica che detta le regole del gioco, invece di essere proclamati come liberali, si rischia di essere additati come "comunisti".
    non+autenticato
  • - Scritto da: Skywalker
    > - Scritto da: bubba
    > > Capite che intendo, si? chain of trust sono
    > > semplicemente necessarie, se no non puoi fare
    > > nulla di nulla. Ovviamente ci sono gradi e
    > gradi
    > > di fiducia, ma pensi che tutto e'
    > inquinato...
    > di
    > > cosa ti
    > > fidi?
    > La regola principe, sia nel reale che nel
    > virtuale, si chiama Separazione dei Poteri. Più
    > sono le persone coinvolte, più sono le
    > legislazioni coinvolte, più sono differenti gli
    > ambienti, meno facile + riuscire a fare qualcosa
    > di
    > nascosto.
    >
    > Cominciamo con diversificare la legislazione dei
    > mail server, invece di usare tutti
    > Gmail/Hotmail/Server in USA mail. Il caro buon
    > vecchio smtp del provider italiano, se non sono
    > in grado di portarmelo direttamente in casa.
    > Possibilmente un provider italiano, invece della
    > succursale italiana di uno britannico. E già
    > cominciamo che l'Ordine di Collaborare ha meno
    > efficacia e si deve passare per altre vie. Che
    > più facilmente rischiano di venire alla luce.
    > (yadda)
    > Stesso dicasi per le CA. Se tutte si rifanno a
    > Verisign, il gioco è facile. Ma se comincio ad
    Ecco... questo e' UNO dei punti su cui controriflettevo...
    Il babau dell'NSA esiste... MA e' MOLTO limitato rispetto a quello che ha gia fatto il mercato/utenza DA SE'.. senza che l'Agenzia ti venisse a imporre.
    La "consumerizzazione" dell'informatica", l'istituzionalizzazione del security hacking (cfr. anni'80/90 vs pwn2own/vupen), la "cloudizzazione" della TUA roba (facebook & co, e "il tel e' tuo ma tutto il resto e' mio" dove il punto massimo per ora e' forse chromeos ,ecc) sono tendenze che non le ha imposte la mamma NSA...

    Passando a latere... differenziare le CA in diverse nazioni, con l'iperparanoia ATTIVA, non aggiunge piu' fiducia... "chi sono sti qua delle CA?", perche' dovrei fidarmi di una CA ucraina, cosi' mal combinato come paese... rispetto a quella Usa ? E' valida SOLO se penso che siano SOLO gli Usa il "mio nemico"...


    > Forse NSA non fa fatica a far compromettere il
    > repository USA, ma a compromettere quello svedese
    > il rischio di essere scoperti
    > aumenta.
    /iperparanoia on
    si aumenta, ma who cares... il risultato e' stato ottenuto.. (i mantainer svedesi sono forse immuni da pressione, corruzione, e hacking? un infiltrato nsa forse non puo lavorare su un progetto in svezia? ecc.. ecc)

    > Ora come ora la "catena di fiducia" non solo è
    > molto lunga, ma termina/attraversa praticamente
    > sempre il territorio USA. Rendendo la vita facile
    > a NSA. Se invece la mail da me a Sven passa per
    > la Svizzera, la Germania e la Danimarca senza
    a parte che con l'iperparanoia attiva non c'e' motivo di fidarsi piu della svizzera che degli Usa ( tra l'altro in sguizzera ci fu anche uno dei pochi casi "noti"... quello della Crypto AG ), non e' colpa dell'NSA se internet fu un progetto del DARPA e milioni di persone (con gli intenti piu diversi) si affidano a roba Usa, se le telco tirano cavi che finiscono in usa, se la Apple e' americana ecc...


    > attraversare gli USA, la NSA è costretta a
    > violare almeno una tra le legislazione IT, CH,
    > DE, DK e SE per leggersi la sua email. Magari la
    > fanno comunque franca, come nel caso Abu Omar, ma
    > intanto in ferie a Parigi non ci vanno
    > più.
    >
    > La parola chiave è "multilateralità". Catene di
    > fiducia più corte e più dirette. Non evita di
    > essere intercettati, ma lo rende esponenzialmente
    > più a rischio di essere
    > scoperto.
    Assolutamente non facile da attuare...
    per motivi prettamente (anche se non solamente) opportunistico-commerciali (e ci sara' anche di peggio) cmq questa cosa ha scatenato i localismi in effetti... vedi in Germania... in italia non ho sentito gran gente che "si e' messa a cogliere l'opportunita'" tutti impegnati come siamo a zerbinare e a dare retta a Mr.B ...


    >
    > Se domani scoprissimo che i Cinesi hanno inserito
    > trojan nell'hardware, ci meraviglieremmo? Io no.
    > Ma non perché sono cinico, ma perché siamo noi ad
    > avergli reso la vita facile, passando tutti per
    > la Cina per fare hardware. Finché l'hardware era
    > prodotto in dieci paesi diversi era praticamente
    > impossibile. Ora è invece molto facile e
    > difficilmente individuabile. Ed anche fosse
    > chiaramente individuato che faccio? Cito una
    > azienda cinese che produce in Cina sotto la
    > legislazione
    > cinese?
    >
    > Ecco perché tanti anni fa era di moda una parola
    > oggi in disuso: Antitrust. Non perché di per se
    si, e' un altro punto della riflessione.....
    ... quando i report di Mandiant "certificavano" l'hacking governativo cinese, non credo proprio (eufem.) se lo inventassero (adesso sono tutti presi a bastonare gli Usa, quindi parlarne farebbe gridare al gomblotto )... pero' .. molto hi-tech e' finito la' non perche lo dicesse l'NSA... ma perche al mercato faceva comodo cosi...

    In effetti per superriassumere con una frase.. io NON direi come schneier che "ci vogliono piu' snowden", ma ci "vuole piu EFF al governo"...

    sad sick world...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 14 discussioni)