sicurezza e privacy


è possibile commentare questo documento e altri sul blog dell'autore Claudio Agosti
http://www.delirandom.net/

Il parere dei vecchi: perchè sicurezza e privacy non possono convivere ?

Chi segue le vicende legate ai diritti digitali, alla privacy in rete e le leggi che regolano la e-vita, avrà notato negli ultimi anni parecchie incoerenze.
In questo documento metteremo in discussione alcune azioni istituzionali, alcuni disegni di leggi ed alcuni stereotipi. L'argomento trattato è la sicurezza, le reazioni al terrorismo, e la descrizione delle insensatezze che avvengono in Internet a causa delle influenze politiche.
In pratica, spiega perchè il terrorismo sta vincendo.
Verranno criticate alcune posizioni istituzionali a causa della loro natura esplicitamente nociva per la privacy degli Italiani, analizzando quello che è realmente utile ai fini della sicurezza e quello che va contro di essa.
In questo documento non si vuole mettere in discussione la necessità e l'utilità che lo Stato effettui controlli e verifiche, finanziare e sociali, atte a mantenere la libertà, il governo, l'organizzazione della nazione. L'ordine ottenuto è il risultato di un millennio di storia tumultuosa, che si sta avvicinando ad un'organizzazione completa, umana ed integra.
Ciò nonostante, alcuni eventi degli ultimi anni, per la loro unicità, a causa di (s)considerazioni avventate o per strategie egoistiche, stanno minando il coordinamento e l'equilibrio al quale ci si stava avvicinando.
Il documento nasce in seguito ad un'intervista pubblicata su GNOSIS [1], rivista dei servizi di intelligence italiana. Il titolo è Privacy e sicurezza - la difficile convivenza [2]. L'intervista è volta a spiegare perchè dobbiamo sacrificare la privacy in nome di una guerra al terrorismo. Ma ogni esperto di sicurezza che analizza il documento noterà che le strategie e le riflessioni proposte non sono fatte con il fine di ottenere una maggiore sicurezza, ma solamente una minore privacy. L'utilizzo di una problematica seria come il terrorismo per motivare azioni negative nei confronti dei cittadini è il motivo che mi spinge a scrivere questo articolo.
Vi prego di non cercar di generalizzare i concetti espressi nel documento attribuendoli a un governo piuttosto che ad un altro. Sia con la destra che con la sinistra, le teorie sulla sicurezza non cambiano e gli abusi indossano solo un'altra maschera.
Autore:
Un esperto di sicurezza impegnato a mettere in discussione i sistemi insicuri che popolano la nostra vita. Spesso dubbioso se sia meglio rivelare come stanno le cose o se lasciare le persone nella loro tranquillità, normalmente opta per la seconda se non esplicitamente interpellato.
Contatti:
Claudio Agosti <vecna@s0ftpj.org>
Ringraziamenti:
Damiano, l'ormai standard revisore ortografico, smaster per tutto, Andrea e Marco per i preziosi suggerimenti.
Riferimenti:
[1] GNOSIS, rivista digitale di intelligence http://www.sisde.it/
[2] Intervista a Francesco Pizzetti, Alfredo Mantovano, Armando Spataro. Intitolata "Privacy e Sicurezza: la difficile convivenza", grazie alla quale ho sentito l'esigenza di scrivere questo documento, nella speranza di fare chiarezza su quello che sta succedendo agli occhi di chi forse è troppo "affermato" per coglierlo http://www.sisde.it/gnosis/Rivista9.nsf/ServNavig/57

1. Realtà nel combattimento al terrorismo
1.1 Sacrificio dei diritti umani
1.2 Reazioni al "vecchio"
1.3 Efficacia delle analisi, abbiamo bisogno di piu' dati ?
2. Effetti psicologici del terrorismo
2.1 Quello che vogliono i terroristi
2.2 Attrazione da paura
2.3 PSYOP vs Internet
2.3.1 Controllo dell'informazione
3. Nuove tecnologie, utopie e destini
3.1 Il vero effetto del controllo
3.1.1 Controllo per "incrementare la sicurezza telematica" ?
3.2 L'obsolescenza dello schema mentale/legale
3.3 Concetti alla base della sicurezza informatica ed autodifesa minima
3.4 Profilazione e reali Poteri della rete
3.4.1 Come viene "venduta" la profilazione ?
3.4.2 Cos'è realmente la profilazione
3.5 Speculazioni e supposizioni
4. Sicurezza e percezione della sicurezza

1. Realtà nel combattimento al terrorismo
L'intervista parte dal presupposto che "per battere il terrorismo islamico è necessario un maggior controllo".
Partire dal preconcetto che la sicurezza e il rispetto dei diritti umani (perché di questo si tratta, non solo di “privacy”) siano i due estremi opposti del pendolo non è vero. La sicurezza è un approccio ed uno status che si può raggiungere in qualunque ambito. Normalmente siamo portati a pensare che la sicurezza la si ottenga con dei palliativi, ad esempio: ho paura dei furti, richiedo sicurezza ed ottengo che vengono messe le telecamere, ma non per questo ora sono protetto dai furti. Ho paura degli incidenti d'auto, vengono messe le cinture di sicurezza, ma non per questo sono protetto dagli incidenti d'auto.
Il fatto che si tenda a “non risolvere il problema” è un errore degli approcci alla sicurezza convenzionale, se è ora di evolversi lo si deve fare nella direzione giusta. Necessario per raggiungere questo status è comprendere la differenza tra “essere sicuri” e “sentire l'illusione di essere protetti da altri” (che parrebbe un'abitudine ormai assimilata).
Tratto dall'intervista:
E, infatti, la sicurezza e la privacy sembrano coagulare confronti tipici della filosofia e della politica, come l'essere progressista o conservatore, democratico o "poliziesco", libertario o liberticida, equilibrato o ingiusto, ecc. Il ponte che mette in relazione la sicurezza e la privacy è il concetto di controllo: se è necessario che gli Stati - istituzione dell'era delle tecnologie si adeguino ai rischi enormi che comporta l'asimmetrica lotta al terrorismo islamista, è inevitabile che si ricorra a maggiori controlli;
Queste affermazioni danno per scontato due elementi, per nulla certi: che la fonte dalla quale ci si debba realmente proteggere sia nota (il terrorismo islamico) e che “è inevitabile che si ricorra a maggiori controlli”:

* dare per scontato in un “conflitto asimmetrico multidimensionale” la fonte del nemico è di per sè un controsenso [1], pensare che l'unica fonte terroristica sia un gruppo religioso non crea altro che erronei pregiudizi alle vere vittime del terrore (le persone). I dati, l'opinione pubblica, la percezione, stanno generalizzando che il problema provenga solo da lì, è un dettaglio da tenere in considerazione, ma non in modo esclusivo. (di fatto non dovremmo proteggerci dal terrorismo islamico, ma da qualunque forma di terrorismo). Se lo Stato si prodiga per renderci più sicuri, lo dovrebbe fare contro qualunque minaccia. Inoltre, la capacità del terrorismo è di colpire di sorpresa, dove non siamo pronti, dove non avevamo mai pensato. Se i sistemi di controllo si inaspriscono in ambiti che vengono ritenuti a rischio a che serve realmente ? Sono gli ambienti non ancora protetti, o non ancora percepiti come a rischio ad essere nel mirino dell'effetto sorpresa.

Specifico “a che serve realmente” perché, se la finalità indiretta di un sistema di sicurezza è dare una percezione tangibile dell'impegno statale al popolo spaventato [2], il controllo serrato da questo effetto e raggiunge lo scopo rassicurante. Ma non ci rende più sicuri. Chiunque può causare danni enormi, con i prodotti che ha in casa, con i funghi che raccoglie al parco, con il proprio garage. Eppure non avviene, ma dovremmo prendere consapevolezza del fatto che è nel potere di tutti. Non avviene perché non è negli interessi di nessuno. Cercare di stigmatizzare una classe specifica come può essere l'islamico o il ceceno, forse farà sentire le persone più sicure ma non lo saranno realmente.

Un attentato su grande scala, un omicidio imprevedibile, un incidente catastrofico e un'epidemia di meningite capitano con la stessa percentuale. La vita è imprevedibile, da sempre, non dovrebbe essere questa ovvietà a farci perdere un diritto umano come la riservatezza.

* Il controllo davvero porta alla sicurezza ? non stiamo inseguendo un falso mito ? Pensiamo ad un esempio pratico, spesso parlando di cose astratte come “la sicurezza”, “il terrorista” si rischia di non comprendere con chiarezza la situazione. Facciamo finta di entrare per 10 minuti nella mente di un terrorista. Non uno che si è specializzato, non uno molto motivato, uno che semplicemente odia talmente tanto la società attorno a sè (o la sua vita, non so come funzioni l'aspetto suicida) da volersi sacrificare. [3]:

Mario Rossi ha 40 anni, è un impiegato milanese con il suo affitto, la sua macchina, la sua tv. Un giorno fa benzina ad un self service, ci sono telecamere in strada che lo riprendono all'ingresso del benzinaio, sopra alla pompa di benzina, dentro al bancomat, nell'autolavaggio. Anche la transazione finanziaria è registrata: il signor Mario Rossi ha pagato 50 Euro, alle 11:47 del 21 gennaio 2007, il suo bancomat è stato usato per la terza volta in questo mese. Tutti questi dati vengono registrati dall'enorme sistema di sicurezza dello Stato. Mario Rossi parte verso il proprio garage, lo fa alle 11:49, arriva a casa alle 12:20. La sera travasa parte della benzina in una tanica tagliata, il taglio è otturato da uno straccio che collega l'interno con l'esterno della tanica, la tanica viene chiusa in una valigia. La mattina esce con la sua valigia in mano, un accendino nel taschino, il sistema lo riprende, alle 8:45 esce da Via Torino ed entra nella metropolitana del Duomo, usa l'abbonamento, il sistema di controllo sa che Mario Rossi sta accedendo alla metro. Le telecamere lo riprendono insieme alle altre 1.000 persone presenti, i sistemi di riconoscimento facciale lo vedono a fianco di Mike Buonasera e di un'emigrata non ancora registrata [danger]. Arriva la metropolitana, entra insieme alla calca, apre 5 cm di valigia, prende l'accendino, accende lo straccio ormai intriso di benzina e questa molotov improvvisata salta con effetto garantito.

Le telecamere hanno ripreso tutto, il sistema di tracciamento finanziario sa chi era, la sua storia di entrate e di uscite (non ha mai evaso le tasse!), cos'ha fatto, quando l'ha fatto, il sistema di controllo digitale conosce i suoi amici sul web ed i contenuti delle sue email: Mario Rossi si interessava di Egittologia, voleva comprare delle azioni della ENI e preferiva le ragazze dai capelli blu. E l'hanno fermato ? A cos'è servito ? A cosa serve un sistema di controllo quando il controllo ha solo un effetto di deterrenza, e che utilità ha un deterrente per un suicida !? Quando si parla di terrorismo (oltre all'abuso terminologico che ne se sta facendo per identificare tutto ciò che deve essere visto come “male”) si deve pensare ad un nemico disposto a sacrificarsi, non al semplice criminale ruba & scappa. Non sarà con delle nuove tecnologie di controllo ad essere fermato.

Riferimenti:
[1] Psychology of Intelligence Analysis - Richards J. Heuer, Jr. (da http://www.cia.gov) questo riferimento viene posto varie volte nel documento. Si trovano svariati capitolo inerenti la lotta al terrorismo. Tra i quali “Do You Really Need More Information ?”, “Trascending the Limits of Incomplete Infomation” e “Keeping an open mind”.
[2] Percezione della sicurezza http://www.cato.org/pubs/regulation/regv27n3/v27n3-5.pdf
[3] Bruce Schneier ha organizzarto una sorta di “concorso” sul suo blog: descrivere l'attacco terroristico più scenografico ed efficace possibile, ipotizzando di avere delle risorse limitate. Questo è stato fatto non per dare più idee ai terroristi, come qualche vecchietto ha immaginato, ma per dimostrare quanto sia possibile essere a rischio, e se veramente si stesse a prevedere tutte le possibili vie d'attacco che può avere un nostro nemico cesseremmo di vivere. http://www.schneier.com/blog/archives/2006/04/movie_plot_thre.html

1.1 Sacrificio dei diritti umani
Questo paragrafo come altri è stato ispirato dalla domanda: "E' giusto sacrificare un pochino di privacy per un problema così grosso come la sicurezza degli individui dalla minaccia del terrorismo ?"
Riassumendo la risposta, viene detto che certamente è giusto, del resto se non ci fossero le telecamere nei sottopassaggi in metropolitana sarebbe molto meno sicuro.
Tergiversando del resto si risponde a tutto. Già la domanda dimostra una certa confusione su quello che sia realmente la sicurezza. Le telecamere servono come deterrente al furto, non al suicidio del terrorista. Inoltre presupporre che la minaccia sia riconoscibile da un filmato registrato significa che la minaccia è nota. E lo stesso giornalista prima definisce la minaccia terroristica "mimetica ed immutabile" [1]. nonostante questo controsenso la risposta è che "certamente un maggior controllo è la soluzione ad ogni nostro male! anche alla perdita di capelli!"
Certo, a seguito dei recenti scandali di fuga di dati intercettati (Tavaroli, Cipriani & co.) l'intervistatore si pone il problema della collaborazione tra le forze investigative, riflettendo sulla sensibilità dei dati. Apparentemente la soluzione proposta è data da "protocolli" organizzativi che consentano il solito tracciamento e controllo degli accessi istituzionali. E' un'iniziativa ufficialmente encomiabile, ma trattandosi di dati digitali, il loro formato, il loro passaggio una volta che sono stati visualizzati una volta, automaticamente può non essere più tracciato. L'esempio relativo la protezione dei contenuti lo si vede con l'eterna lotta tra la RIAA e chi diffonde film copiati. L'essere arrivati dopo anni a portare il DRM su tutti i processori, facendolo spacciare come iniziativa di sicurezza, comunque non impedisce a chi visualizza il contenuto finale di -filmarlo- e riprodurlo. Questo è sufficiente per non guardare un film ? no, come non può esistere soluzione plausibile per tracciare lo spostamento di un dato privato come un'intercettazione quando tutto il mondo istituzionale potrà accedervi.
Il fine permane, ed è dichiarato a caratteri cubitali: "regolamentare le modalità di protezione dei dati acquisiti! e non vietarla". Potranno essere regolamentati protocolli e modi, ma per come funzionano i sistemi di comunicazione occultare i contenuti trasmessi è possibile per tutti.
Ancora una volta, chi si sente minacciato potrà proteggersi senza difficoltà. Lo faranno avvocati, commercialisti e dottori [2]. Perchè non dovrebbe farlo un terrorista ? Vittima sarà solo chi non è consapevole, chi non ha controllo del mezzo. Una tecnologia aperta come l'informatica (e parzialmente come la telefonia) ha avuto successo grazie alla sua apertura. Questa sua natura non può essere cambiata, allo stesso modo degli strumenti di protezione che non possono essere vietati, contro i quali i sistemi di controllo falliranno come già avviene.
Se si dovesse arrivare ad un divieto degli strumenti di protezione, ancora una volta il criminale potrebbe proteggersi (utilizzando strumenti fatti appositamente) mentre il cittadino innocente continuerà ad essere vittima. Questa possibilità è intrinseca nel mondo digitale: le informazioni ed i software possono essere occultati, possono essere cifrati e nascosti, possono non risiedere sul computer del criminale consentendo a lui di farne uso. Le possibilità del mondo digitale sono sufficientemente ampie da sconvolgere tutte le comuni tecniche di prevenzione e di attacco. Per questo motivo l'uso di leggi, la creazione di deterrenti e di limiti non può essere una soluzione. Qualcuno potrà sempre sviluppare del software in grado di fare qualcosa di "vietato", per questo "vietare" diventa impossibile. L'unica possibilità sensata è rendersi sicuri a priori.
Durante l'intervista, una domanda sostiene che il problema non sia nello specifico l'acquisizione delle informazioni (sembra sia data già per scontata) ma piuttosto la loro gestione. Pizzetti risponde con:
E' vero che nell'ampio dibattito di questi anni su sicurezza versus libertà sono spesso emerse posizioni antitetiche: la difesa assoluta delle libertà civili e la difesa assoluta del principio di sicurezza. Una contrapposizione che io considero sterile e molto pericolosa. Ritengo che dobbiamo elaborare, sostenere una concezione della libertà giusta ed equilibrata rispetto alla necessità di combattere il terrorismo. La sicurezza dei cittadini è una preoccupazione che accomuna tutti ed in una fase della nostra storia, come quella che stiamo vivendo, è indispensabile ricercare e fissare un punto di equilibrio fra libertà e sicurezza. Per quel che mi riguarda e per il ruolo che rivesto, io sono convinto che la privacy non può essere di ostacolo alla sicurezza; sicurezza e privacy sono parti coessenziali del sistema democratico. Il perseguimento della sicurezza può e deve avvenire nel rispetto delle norme costituzionali a presidio della libertà individuale e collettiva. Noi ci sentiamo impegnati a far rispettare i valori e i principi sanciti nella Carta costituzionale ma, allo stesso tempo, sentiamo la responsabilità di accettare che le libertà costituzionali siano compatibili con le garanzie di sicurezza per i cittadini. Ecco perché io chiedo con forza che ogni decisione che, direttamente o indirettamente, limita la libertà e incide sulla privacy dei cittadini sia attentamente meditata ab origine e costantemente verificata nel suo corso.
E' encomiabile il voto sacro che fa a protezione dei dati Italiani, ma ritenere che la privacy e la sicurezza siano in contrapposizione è l'errore più grave che si possa commettere. E' altrettanto utopico che si possa assicurare l'attenta mediazione delle informazioni dei cittadini, si sta parlando di informazioni digitali, non di fascicoli.
Privacy e Sicurezza non sono in contrapposizione, L'esempio più semplice avviene riflettendo sulla protezione dei vostri computer.
Supponiamo che abbiamo un computer "controllato", ovvero un computer vulnerabile ma con un sistema che effettua l'analisi del traffico. Supponiamo che riceviate un attacco e che vada a buon fine. Se il sistema di controllo sarà stato aggiornato allora l'attacco potrà essere individuato e riportato. Nel frattempo l'attaccante si sta impossessando dei vostri dati. Quando il sistema di controllo verrà consultato si potranno stimare i danni (senza averli impediti). Ora facciamo la stessa riflessione con un computer costantemente aggiornato. Quando riceverà un attacco informatico questo non funzionerà, perchè l'attacco sfrutta delle debolezze che gli aggiornamenti correggono costantemente.
Questo significa rendersi sicuri senza delegare la propria sicurezza ad altri. Questa è la strada da perseguire anche negli ambiti più reali e meno virtuali. Solo nel caso un deterrente sia efficace, solo nel caso in cui non ci sia una soluzione migliore, allora prende senso una difesa basata sul controllo. E' l'esempio delle telecamere nei sottopassaggi della metropolitana. Ma un analista di sicurezza sa trovare sistemi di difesa molto più resistenti del controllo in una miriade d'altri casi.
Il paragone con la chemioterapia può essere azzeccato. Dove altrimenti impossibile viene usata questa cura invasiva e lesiva. Ma nelle numerose possibilità in cui il dottore (l'analista di sicurezza) potrà valutare una cura migliore, essa non verrà usata a causa dei gravosi effetti collaterali.
La sicurezza è una scienza, non andrebbero prese scelte che compromettono la vita dei civili così alla leggera senza un'analisi più che adeguata.
Privacy e sicurezza non sono quindi in contrapposizione, privacy e controllo lo sono. Sicurezza e controllo si conciliano in una percentuale di casi davvero limitata.
La scelta grossolana e liberticida ci offre, alla meglio, un deterrente per dei criminali di basso profilo, e quello che viene sacrificato è un diritto umano di milioni di cittadini. Il simbolo del “Big Brother Award”, premio annuale assegnato all'organizzazione che da il peggio di sè per calpestare i diritti umani, mi sembra proprio azzeccato citarlo [3]:
graphic

In ogni caso, sta avvenendo. In America è già legge, l'11 Maggio detto " il giorno dell'intercettazione di Internet". Quanto impiegherà l'Europa per uniformarsi a questa cosa ?
Riferimenti:
[1] Psychology of Intelligence Analysis - Richards J. Heuer, Jr. (da http://www.cia.gov) questo riferimento viene posto varie volte nel documento. Si trovano svariati capitolo inerenti la lotta al terrorismo. Tra i quali “Do You Really Need More Information ?”, “Trascending the Limits of Incomplete Infomation” e “Keeping an open mind”.
[2] Software di comune uso, che in cambio di performance peggiori, assicurano l'anonimato: http://www.vnunet.com/vnunet/news/2164698/hackers-fire-anonymous-torpark e come questo, alla lunga, non porta ad un crollo della rete: http://www.wired.com/news/columns/0,70000-0.html
[3] Big Brother Award Italia https://bba.winstonsmith.info/ I vincitori del 2007: http://www.repubblica.it/2007/04/sezioni/scienza_e_tecnologia/big-bros-awards/big-bros- nomination/big-bros-nomination.html

1.2 Reazioni al "vecchio"
I concetti di privacy e di sicurezza non sono affatto cambiati negli ultimi anni. probabilmente prima c'era un'esposizione inferiore, per le quali anche dei palliativi blandi risultavano efficaci. In questo modo, leggi, modi di fare, abitudini e consapevolezza sociale si sono adattati. Ora che la minaccia viene percepita come vera, come nuova, e questo fa sentire inadeguate le misure storiche utilizzate, la soluzione apparentemente più sensata è di aggiornare le leggi.
Un problema che affronteremo spesso in questi anni è legato alla questione generazionale: queste "nuove tecnologie" che hanno cambiato la nostra vita senza neppure accorgerci di come, se sono comprese a pieno da chi ci vive, sono aliene per chi le vive da utilizzatore finale. Quasi ogni legislatore, PM e giudice rientra in questa categoria per una mera questione di età.
L'effetto al quale assistiamo è cercare di regolamentare gli avvenimenti del mondo digitale paragonandoli agli avvenimenti del mondo reale.
E' comprensibile che l'esperienza ottenuta inviti i legislatori ad applicarla alla situazione reale, ma e' così radicalmente impossibile che la "cura" diventa peggiore del male stesso [1].
La mancanza di una storia di riferimento per la creazione di nuove soluzioni richiede necessario un coinvolgimento maggiore da parte di tutte le persone potenzialmente competenti. Si è assistiti ad un'ottima iniziativa di democrazia digitale quando fu allestita una consultazione pubblica sulle tematiche di Governance di Internet, in vista di un summit europeo [2].
Riferimenti:
[1] Intervento di Matteo Flora che illustra l'insensatezza dei Decreti legge che tentano di regolare Internet: http://www.lastknight.com/2007/01/18/8-febbraio-infosecurity-2007-come-eludere-i-controlli-di- polizia/
[2] http://www.funzionepubblica.it/consultazione.htm

1.3 Efficacia delle analisi, abbiamo bisogno di piu' dati ?
La CIA ha una parte del proprio sito dedicata alla formazione degli agenti. Gli agenti operativi sono coloro che effettivamente svolgono il lavoro d'analisi. I politici ed i giornalisti non dovrebbero parlare di intelligence, ma dovendo rassicurarci fanno questo ed altro.
Questo in un ambiente medioevale post inquisitorio poteva funzionare, oggi pero' tutti possono accedere a [1], studiare le teorie d'intelligence in voga e capire che non servono affatto più dati.
Purtroppo non tutti hanno provato a fare analisi di intelligence/network forense, ma mi è successo e non scriverei questi pezzi se non sapessi quanto è vero.
In questo momento una serie di entità non statali richiedono i documenti d'identità per rilasciare dei servizi. Basti pensare all'acquisto di una SIM telefonica. Questa pratica sembra accettata passivamente, ma nessuno ha riflettuto sul fatto che noi ci stiamo identificando con una fotocopia ? E se tra le migliaia di collaboratori occasionali qualcuno si tenesse una fotocopia dopo averla faxata, non avrebbe la possibilità di usare quel documento per altre registrazioni ?
Parallelamente, altre entità statali o meno, per motivazioni di apparente sicurezza o per semplice pubblicità raccolgono dati che ci riguardano. E' ovvio che nessun sistema di coordinamento riuscirà mai a mantenerli in modo esclusivo. I dati che ci descrivono sono già persi. L'accumulo di dati da differenti ambienti, sempre più completi e disparati diminuisce la possibilità di un'intelligence mirata e di successo, ed aiuta la possibilità di controllo dei trend sociali.
Inoltre, insistere sul fatto che questi dati possano impedire le frodi o il terrorismo è una banalità senza precedenti. Non è una legge ad impedire la frode, ma l'impossibilità del suo compimento.
Fino all'anno scorso i tornelli della metropolitana di Milano permettevano l'uso (fraudolento) di un biglietto più volte. Adesso il biglietto magnetico non lo consente più e gli accessi abusivi sono diminuiti.
Se il furto (inteso con criminale che punta un'arma "o la borsa o la vita") esisteva 2000 anni fa, 1000 anni fa ed esiste ora, il problema ovviamente non sta nelle leggi, nè nell'educazione, nè nella vendita legale o meno di armi. Ma nell'esistenza di un valore simbolico cedibile fisicamente (la moneta). Naturalmente ogni possibile scelta alternativa va contro un'idea radicata dalla nascita in tutti gli italiani.
Rendere, ad esempio, il denaro virtuale sarebbe una scelta più efficacie del mettere le telecamere davanti alla posta per proteggere i pensionati, come del mettere le doppie porte in una banca, destinate ad essere aperte senza troppi controlli dopo i primi due mesi.
La consapevolezza del controllo, da a chi commette la frode un deterrente, ma non gli toglie la possibilità di soppesare le sue possibilità.
La metropolitana di Milano, fino all'anno scorso, multava con 25 euro ogni persona trovata senza biglietto all'uscita di un treno. Ogni biglietto vale un euro, se la frequenza del controllo fosse stata maggiore di una volta ogni 25 viaggi medi il controllo sarebbe stato un deterrente vincente. Essendo il controllo cosi' raro, la spesa saltuaria di 25 euro di multa, resta comunque più vantaggiosa di usare regolarmente il biglietto.
Allo stesso modo, un terrorista che entra con una bomba in metropolitana è consapevole delle innumerevoli registrazioni che lo ritraggono. Il deterrente non esiste neppure, perchè sebbene esista la consapevolezza che il giorno dopo l'attentato verrà denunciato, una volta deciso di sacrificarsi, il deterrente "registrazione -> segnalazione" diventa inutile.
Cercare di studiare sistemi di difesa applicando il deterrente ai nostri canoni (persone che vogliono vivere/che vogliono mantenere il loro status sociale, ecc...) è del tutto errato durante il combattimento di una minaccia non nota, perchè quello che per noi sarebbe un deterrente per loro potrebbe non esserlo.
A maggior ragione, all'interno del blasonato "conflitto asimmetrico multidimensionale", bisogna investire sull'impossibilità della realizzazione degli attacchi e delle frodi, non sui deterrenti.
Riferimenti:
[1]Psychology of Intelligence Analysis - Richards J. Heuer, Jr. (da http://www.cia.gov) questo riferimento viene posto varie volte nel documento. Si trovano svariati capitolo inerenti la lotta al terrorismo. Tra i quali “Do You Really Need More Information ?”, “Trascending the Limits of Incomplete Infomation” e “Keeping an open mind”.

2. Effetti psicologici del terrorismo
Dal nome "terrorismo", si comprendere che il suo scopo è creare terrore, non morti.
I morti derivati da azioni terroristiche non sono di più, sia in quantità che in incidenza storica, che quelli creati da un terremoto o da un'epidemia.
Ciò nonostante, l'effetto che un nemico intangibile possa cospirare alle spalle degli innocenti è un'idea così radicata e temuta da far perdere qualunque approccio razionale al problema.
Gli effetti del terrorismo sono più forti e incisivi di qualunque altra azione, oggettivamente peggiore, finanziaria, sociale o naturale.
Ne consegue che chi ne è vittima, quindi terrorizzato, spaesato, alla ricerca di un senso di protezione, accetti con facilità qualunque cosa venga proposta purché all'apparenza atta a contrastare il nemico.
Dall'altra parte, chi riesce a resistere al terrore e a essere senza scrupoli, sa che una buona fetta di popolazione sarà nello stato mentale di accettazione passiva, pronti ad affidare la fiducia a chiunque possa farli tornare a dormire sogni tranquilli.
L'intangibilità del nemico non ci fa visualizzare un pericolo nè una soluzione, c'è solo questo senso di insicurezza che deve essere placato.
Approfondimenti:
Psicologia del terrorismo , preso da http://www.cepic-psicologia.it/attivita-svolte/corsi-criminologia- svolti.htm e convertito da documento word a pdf.

2.1 Quello che vogliono i terroristi
Questa parte la copio integralmente da Cryptogram [1] (tradotta in italiano [2]) di settembre 2006, perchè non trovo altre parole per comunicare le stesse cose.
Per analizzare la lotta al terrorismo, quello che viene detto pubblicamente e quello che è vero, è necessario comprendere quali sono le equazioni in ballo.
Quel che vogliono i terroristi

* Il 16 agosto due uomini sono stati scortati fuori da un aereo diretto a Manchester, Inghilterra, perché ad alcuni passeggeri sembravano asiatici o mediorientali, perché sembrava parlassero in arabo, perché indossavano giacche di pelle e stavano consultando i propri orologi da polso, e i passeggeri si sono rifiutati di volare con questi due uomini a bordo. I due sono stati interrogati per parecchie ore e quindi rilasciati.
* Il 15 agosto un intero terminal di un aeroporto è stato evacuato perché i cosmetici di un passeggero hanno innescato un falso positivo al test di esplosivi. Lo stesso giorno, un musulmano è stato fatto scendere da un aereo a Denver perché stava recitando delle preghiere. La Transportation Security Administration ha stabilito che il personale di volo ha reagito in maniera esagerata, tuttavia l’uomo ha dovuto ugualmente passare la notte a Denver prima di poter ritornare a casa il giorno seguente.
* Il giorno dopo, un terminal dell’aeroporto di Seattle è stato evacuato perché due cani antibomba hanno dato un falso allarme esplosivi.
* Il 19 agosto un aereo ha effettuato un atterraggio di emergenza a Tampa, Florida, dopo che l’equipaggio si è insospettito nel constatare che due delle porte dei servizi igienici erano chiuse a chiave. L’aereo è stato esaminato da cima a fondo, ma non è stato trovato nulla. Nel frattempo, un individuo che ha manomesso un rilevatore antincendio in uno dei servizi su un volo diretto a San Antonio è stato liberato dalle accuse di terrorismo, ma solo dopo una perquisizione di casa sua.
* Il 16 agosto, durante un volo Londra-Washington, una donna ha avuto un attacco di panico che l’ha resa violenta, per cui l’aereo è stato scortato all’aeroporto di Boston da caccia militari. “La donna aveva con sé della crema per mani e dei fiammiferi, ma non si è trattato di una minaccia terroristica”, ha dichiarato il portavoce della TSA dopo l’incidente.
* E il 18 agosto un aereo in volo da Londra e diretto in Egitto ha dovuto effettuare un atterraggio di emergenza in Italia dopo che qualcuno ha trovato una minaccia dinamitarda scribacchiata su un sacchetto per il mal d’aria. Sull’aereo non è stato trovato nulla, e nessuno sa da quanto tempo quella nota era presente a bordo.

Adesso fate tutti un bel respiro e ascoltatemi un minuto.
Il fine del terrorismo è provocare terrore, a volte per perpetrare un obiettivo politico, altre volte da puro e semplice odio. Le persone che vengono uccise dai terroristi non sono i bersagli veri e propri, sono danni collaterali. E far saltare aerei, treni, mercati o autobus non è l’obiettivo principale; quella è semplicemente tattica. I veri bersagli del terrorismo siamo tutti noi, i miliardi di persone che non vengono uccise ma che rimangono terrorizzate a causa delle uccisioni. Il vero fine del terrorismo non è l’atto in sé, ma la nostra reazione a esso. E stiamo facendo esattamente quel che vogliono i terroristi.
Riferimenti:
[1] Newsletter sulla sicurezza: http://www.schneier.com/crypto-gram.html
[2] http://www.communicationvalley.it/cryptogramPdf/Settembre2006.pdf

2.2 Attrazione da paura
"Attrazione da paura" è una libera traduzione di "Appeal to Fear" [1].
E' una logica fallata, un'argomentazione non valida ma apparentemente sensata, che posta a persone spaventate, incoscienti ed ignoranti in materia pare valida.
Questo attacco psicologico viene spesso utilizzata nel marketing e nella politica. In entrambi i casi fanno perno sulla paura e sulla necessità. In entrambi i casi la vittima, recepisce la soluzione proposta e nonostante non ne abbia altre, nonostante non conosca i dettagli, essendo l'unica apparente soluzione plausibile, l'accetta.
L'esempio è molto semplice:
In questo caso esiste Internet ( I ), la libertà di parola ( L ) e il controllo ( C ). Poi esistono i crimini meno popolari come il terrorismo ( T ) e la pedofilia ( P ). Da notare come, i decreti proposti sono sempre anti-terrorismo e anti-pedofilia, non dubito che lo sforzo di eliminazione di questi due problemi sia molto forte, ma se penso ai guerriglieri iracheni chiamati sempre "terroristi", se penso agli utenti del peer to peer chiamati "pedofili", inizio a pensare che c'è un po' di abuso di terminologia.
Comunque, ci sono i problemi T e P, esacrabili ed impopolari, i due peggiori crimini che possono esistere all'occhio del civile comune.
Viene proposta la soluzione C (Controllo), che limita I (Internet) e lo sprazzo di L (Libertà) che potrebbe darci questa innovazione, T e P non sono minimamente toccati, viene spiegato meglio sul pezzo "L'obsolescenza dello schema mentale/legale". Ma dai promotori di C, questa è l'unica soluzione per contrastare T e P.
Dal punto di vista logico, l'attacco si presenta così

* Il problema T è noto a tutti, la soluzione offerta C.
* T è spaventoso
* allora C è giusto.

L'argomentazione è invalida. Viene utilizzata la paura instillata da T perchè chi propone C venga supportato, poichè lo fa in nome della lotta a T. una volta ottenuto, presenta C come unica alternativa.
Riferimenti:
[1] http://en.wikipedia.org/wiki/Appeal_to_fear

2.3 PSYOP vs Internet
Con il termine PSYOP[1] si fa riferimento alle "Psychologic Operations", operazioni psicologiche il quale fine è di influenzare le emozioni, le motivazione, la percezione ed il comportamento degli obiettivi. Gli obiettivi sono le persone (o almeno la maggior parte di esse) al fine di influenzare l'opinione pubblica ed ottenere il suo indispensabile supporto, come ogni paese democratico esige.
Le PSYOP non sono inventate da uno scrittore dark-fantascientifico, esistono società che effettuano questo servizio, esistono corpi militari adibiti a questo con tanto di documenti di ricerca pubblici. Nonostante non venga scritto in basso a destra, analogamente a "trasmissione promozionale", i contenuti rivisti in chiave PSYOP ci vengono propinati quotidianamente.
Non è possibile, per il lettore poco motivato ad avere una visione obiettiva di una faccenda, esserne immune.
Non è possibile, per l'utente fiducioso dei mezzi di informazione monodirezionali storici (TV, libri, giornali) esserne libero.
Internet è la prima anomalia tecnologica che lo consente. Lo consentirebbe, in linea teorica, qualunque tipo di rete, come lo scambio di lettere ed il telefono. Ma Internet è la prima rete che può avere un effetto massivo quasi pari ad i mezzo di informazione monodirezionali classici. Se prima l'informazione prendeva una strada piramidale ora tramite Internet è possibile uno scambio di informazioni diretto tra tutte le parti più basse, che altrimenti non avrebbero visibilità di ciò che avviene al di fuori dei loro spazi fisici e sociali.
Le PSYOP sono tutt'ora delle funzioni chiave all'interno della propaganda, ed esse sono possibili solo tramite la struttura piramidale dei vecchi sistemi di comunicazione. Permettere che essi vengano soppiantati da una tecnologia paritetica (dove tutti i componenti sono alla pari) è una difficile perdita da poter accettare.
Si è visto, negli anni, delle leggi che cercavano di limitare la possibilità di pubblicazione online. dalla necessità di essere pubblicisti, all'obbligo di dare una copia alle biblioteche. Inutile dire che qualunque forma di limitazione della caratteristica più popolare di Internet è destinata a fallire miseramente.
In ogni caso, un'indubbia direzione di progresso, può esserci riuscendo ad utilizzare tecnologie collaborative e collettive come forme d'informazione [2][3], in modo da assicurare un'inquinamento delle informazioni minore visto il minor numero di punti che intercorrono dalla segnalazione alla diffusione della notizia.
Riferimenti:
[1] PSYOP: http://en.wikipedia.org/wiki/PSYOP
[2] Giornalismo partecipativo: http://it.wikipedia.org/wiki/Giornalismo_partecipativo
[3] E-Democracy: http://en.wikipedia.org/wiki/E-democracy

2.3.1 Controllo dell'informazione
Da che esistono organi di dominio, dittatoriali o democratici, in realtà o in pratica, l'informazione nei confronti dell'opinione pubblica è sempre una carta molto importante.
Ma il problema non si pone (più) nei termini dell'esistenza di fonti informative fidate o meno, si pone nel momento in cui queste fonti diventano poche. Essendo poche sono più controllabili, più discriminabili per tendenze e più settoriali. Questa frammentazione causa una divisione delle persone che in virtù delle proprie tendenze segue un'emittente o un quotidiano. Questa tendenza segue la necessità umana dell'avere certezze e stabilità, se una persona senza una precisa idea (cosa che succede a tutti in quella fetta di faccende che viviamo di meno) leggesse un quotidiano differente al giorno, perderebbe quella quantità di certezze necessarie ai più per proseguire.
Internet sta dando la possibilità di non sottostare più a questo limite informativo. Chi vuole potrà rimanere affezionato alla sua testata, ma fioriscono con il tempo sempre più iniziative di giornalismo partecipativo [1], filtro collaborativo [2] ed altre tecnologie che possono dare un'informazione meno esplicitamente influenzata.
Il giornalismo partecipativo è il termine con cui si indica la nuova forma di giornalismo che vede la partecipazione attiva dei lettori, grazie alla natura interattiva dei nuovi media e alla possibilità di collaborazione tra moltitudini offerta da Internet.
Molti esperimenti di produzione collaborativa sono falliti. Essi non vanno presi da esempio poichè è stata l'implementazione della modalità errata. Se si da la possibilità a tutta Internet di modificare una pagina che descrive una faccenda, succederà che qualcuno ne abuserà snaturandone il funzionamento. Se si crede che cento giornalisti possano collaborare reciprocamente per la descrizione di un articolo si urterà contro delle differenze di interpretazioni abissali. Ma un sistema simile consente ad un gruppo di cinque giornalisti ed una decina di collaboratori di descrivere in modo molto più ampio un articolo.
Il filtro collaborativo invece è un sistema di votazione che fa prendere punti a una notizia piuttosto che ad un video. digg.com e youtube.com utilizzano questa tecnologia. affiancata all'uso dei commenti la possibilità di avere un'informazione più sfaccettata aumenta di gran lunga.
Il web 2.0, Internet e gli utenti stanno prendendo consapevolezza della potenza di una rete totalmente interconnessa. Ciò nonostante questo non viene ancora recepito da chi si muove con la forza delle minacce legali. La storia della chiave di crack di HD DVD [3] e del fatto che qualcuno abbia cercato di censurare un numero è surreale per chiunque mastichi la realtà informatica.
Il grande filtro cinese, l'unico "ufficiale", funziona analizzando il traffico e nel caso incontrasse dei tentativi di navigazioni su delle pagine non consentite (non so se per indirizzi in blacklist o se per la presenza di certi termini) manda dei segnali di chiusura ad entrambi i lati. Esistono patch ai sistemi operativi perchè ignorino questo segnale [4]. Io lo conosco, un pugno di esperti lo conosce, ma il 99% della popolazione no, e si affida solo ad i sistemi informativi principali. Questo è uno dei motivi per il quale l'informazione collaborativa ora ha vita, ma negli anni si sono viste delle stranezze legali inconsistenti nel tentativo di limitare questi strumenti. [5] [6].
L'informazione attualmente segue un percorso piramidale: l'evento viene vissuto nella cittadina, il giornalista lo sa e va a raccogliere informazioni, le passa all'editore, l'editore pubblica sul giornale, gli altri leggono il giornale. Questa struttura piramidale ha vari livello di filtro di ritoccamento, di analisi giornalistica applicata indipendentemente dalla natura delle notizie [7].
Mi capita di leggere notizie sul giornale di faccende nella quale ero presente o ero a conoscienza. La sensazione è che non ci abbiano capito niente, e che chi dovesse leggere la notizia farsi un'idea completamente distorta. Questo succede a chi ha una percezione della realtà, ma non alla maggior parte. E' questa ovvia considerazione che raramente si può fare che motiva l'esistenza di un'informazione meno piramidale: "ma se le poche notizie da me vissute mi apparivano distorte e parziali, tutte le altre per le quali non conosco nulla... cosa sono realmente ?"
Riferimenti:
[1] Giornalismo partecipativo: http://it.wikipedia.org/wiki/Giornalismo_partecipativo
[2] Filtro collaborativo: http://it.wikipedia.org/wiki/Collaborative_filtering
[3] come un abuso di potere può essere così illogico da cercare di censurare un numero da internet: http://punto-informatico.it/p.aspx?id=1972328
[4] http://www.lightbluetouchpaper.org/2006/06/27/ignoring-the-great-firewall-of-china
[5] Una proposta di legge che obbligherebbe tutti i siti che fanno informazione ad iscriversi come testate giornalistiche, l'esempio della difficoltà per "i vecchi" a comprendere che il mondo stà cambiando ? http://web.peacelink.it/censura/ilex712.htm http://www.mcreporter.info/stampa/mcstampa.htm http://punto-informatico.it/p.aspx?i=31691
[6] Una sentenza in Belgio accusa Google di violare il copyright delle testate giornalistiche tramite google news. Dal punto di vista dell'informazione avere un'unificazione di differenti testate poteva essere un'innovazione interessante. http://googlisti.com/2006/09/25/un-sentenza-in-belgio-accusa- google-di-violare-copyright.html
[7] Tratto da http://www.uakron.edu/colleges/cba/ L'articolo "Information pollution: a disaster waiting to happen"

3. Nuove tecnologie, utopie e destini

3.1 Il vero effetto del controllo
Non capisco come mai, i film ed i libri che dipingono un estremo di controllo totale (1984, V per Vendetta, BladeRunner) anzichè funzionare da monito surreale sembrano suggerire delle idee perverse.
Il vero effetto del controllo, come abbiamo visto dalla faccenda Tavaroli/Cipriani/Bernardini [1], l'unico effetto di un sistema di intercettazione è stato l'utilizzo dell'informazione catturata ai fini del ricatto di innocenti e per spionaggio. Le informazioni sono la moneta del futuro, e dei personaggi del tutto anonimi si sono trovati a potere avere tutte le informazioni che volevano.
Durante l'intervista viene spesso descritto il terrorismo con queste figure retoriche impressionanti (conflitto asimmetrico multidimensionale, abuso della dissimulazione e mimetizzazione sociale), ma lo spionaggio, la rivendita della privacy violata e la profilazione dei concorrenti non rientrano in queste descrizioni ? La differenza è che sono effettuate da ex agenti statali.
Ma parlando di teoria, la scienza della sicurezza ci insegna che ogni elemento deve essere sicuro al pari degli altri. Ogni anello della catena deve avere la stessa importanza e la stessa resistenza. Se la resistenza di un anello è particolarmente inferiore lì avverrà l'attacco. Se un anello ha un valore enorme, per quanto ben difeso, la sua compromissione vale molti sacrifici.
La scienza della sicurezza di conseguenza vede in modo totalmente scorretto una qualunque soluzione che si basa sull'acquisizione indiscriminata e sul raccoglimento dei dati. Significa creare banche dati dal valore enorme, l'anello sensibile della sicurezza di tutti gli Italiani. Per quanto l'accesso possa essere regolamentato e sorvegliato, sono gli umani ad accedervi. L'uomo è debole, e dare la possibilità a degli uomini di controllare così tanto potere informativo non è inferiore al potere contrattuale che esercita uno stato con le bombe atomiche.
Affidare qualcuno, anche alla piu' pura e sorvegliata entità statale l'accesso dei nostri dati è insensato. Quando un segreto cessa di essere un segreto non importa chi sia a conoscerlo oltre noi. Che sia un terrorista o un ex Agente dipendente di TelecomItalia, il pericolo è lo stesso.
La Logica, non accetta una soluzione nella quale è prevista della fiducia verso una parte non fidata, la Sicurezza in quanto Scienza non presuppone che esista una situazione di compromesso, nè una situazione parziale. Se l'effetto della contromisura di sicurezza sta solamente spostando il lato più vulnerabile, non sta per nulla risolvendo la vulnerabilità.
Riferimenti:
[1] Scandalo ai vertici della telco italiana, tra rivendita di informazioni ai servizi segreti, riciclo di denaro in grande stile, ricatti a VIP ed una morte misteriosa subito attribuita ad un “suicidio”: http://www.repubblica.it/2006/08/sezioni/cronaca/sismi-mancini-5/bonini-disk/bonini-disk.html

3.1.1 Controllo per "incrementare la sicurezza telematica" ?
Durante l'intervista si trattano un po' di temi blasonati tra i quali l'informatica ed Internet. Il controllo di Internet come misura di sicurezza governativa quando poi viene fornita una curiosa motivazione di facciata, ovvero che il controllo aiuterebbe ad aumentare la sicurezza telematica di tutte le persone.
Questo risvolto appare insensato ad ogni esperto di sicurezza informatica. Non si può credere che in un'infrastruttura digitale le cose funzionino come nel mondo reale.
Se un professionista o un criminale effettuano delle intrusioni lo faranno in modo anonimo. Le poche volte che si legge della polizia che riesce a prendere dei presunti “hacker” lo fa perché degli incompetenti hanno portato a termine l'attacco, come è già stato annunciato da parecchie agenzie di sicurezza informatica, il 90% o più delle frodi bancarie non vengono denunciate perché la perdita di immagine è maggiore della perdita subita con la frode [1].
Non bisogna commettere l'errore di paragonare un sistema di controllo come le telecamere, che possono essere un deterrente, per proteggersi dai criminali online per due motivi:

* la percezione del crimine variata. Chi commette furti digitali lo fa stando seduto al computer, come tutti gli altri in famiglia, come i propri amici e come la vittima. E' una sensazione ed una percezione del crimine molto differente dal puntare la pistola a una vecchietta inerme. Per questo motivo il deterrente ha meno effetto, anche la percezione di “paura della pena” varia di conseguenza [2].
* L'attaccante può cambiare volto, stato di provenienza, magari sta cercando di incolpare la vittima impersonata, anche se probabilmente è uno dei tanti utenti violati inconsapevolmente, che non ritengono di essere a rischio perché semplici utenti[3].

Riferimenti:
[1] Intervista a chi sviluppa troiani per attacchi ad alto profilo: http://computersweden.idg.se/2.139/1.93344
[2] Divenendo l'informatica il canale di trasporto dell'economia e passando le frodi a questo lato, la percezione del reato cambia e così la tipologia di criminale: http://www.findarticles.com/p/articles/mi_m1272/is_2680_130/ai_82012998 , http://www.umsl.edu/~rkeel/200/wcolcrim.html , Alcuni aspetti più ad ampio spettro di leggono qui:http://it.wikipedia.org/wiki/Criminologia
[3] Gli zombie possono far collassare Internet ? http://punto-informatico.it/p.aspx?id=1866428

3.2 L'obsolescenza dello schema mentale/legale
Durante l'intervista viene discusso l'ambito telematico. Si parla di cyberspazio, di metaterritorio, si usano un po' di termini e si viene a contatto con l'argomento nuove tecnologie. Le nuove tecnologie sembrano un problema, perchè in qualche modo affidano al nemico degli strumenti aggiuntivi che prima non aveva.
Per cui l'unica tecnologia completamente aperta come Internet non viene percepita per quello che è, ma viene vista la punta dell'iceberg dei problemi come l'unico sintomo da correggere. Ad esempio: la tecnologia internet viene usata per comunicare (come le lettere, le telefonate ed i piccioni viaggiatori) ma il fatto che dei terroristi o dei pedofili ne facciano uso sembra far pensare ad internet come un problema. Non c'e' altra spiegazione al decreto Gentiloni, il decreto Pisanu o la risposta a questa intervista sul sito del SISDE. Spesso mi chiedo se sia stato interpellato almeno un esperto in materia o si stiano seguendo altre strategie, meno note.
In ogni caso, la vita è cambiata con Internet. L'esempio del metaterritorio è pur sempre vero, ma i rischi sociali che prima venivano contestualizzati in uno stato ora diventano di dimensioni mondiali. Se l'effetto del totalitarismo di controllare l'uomo e guidarlo secondo le proprie idee prima era imputabile ad una realtà in grado di controllare le forme di comunicazione (nell'intervista si faceva riferimento ad un possibile abuso del telegrafo per finalità di controllo) ora questo diventa esponenzialmente più facile. Le informazioni personali transitano tramite internet, le informazioni divulgative possono essere veicolate, e la rete per com'è stata prevista anni fa non è dotata di strumenti di protezione. Chi può attentare agli utenti ? varie entità. I servizi che gratuitamente guidano gli utenti tra le informazioni sono i più indicati (Google [1] ) Un fornitore di connettività che ha bisogno di sottostare alle leggi statali può fornire questo tipo di accesso (tutti in italia, vodafone/fastweb/tin...). E tutte le terze parti implicate all'interno di questi fornitori hanno la loro porzione di visiblità sulle informazioni distribuite e sulle informazioni in transito.
Per cui la problematica che lo Stato si trova ad affrontare è duplice: la prima è che non ha più controllo delle informazioni che transitano sulla rete (e per quanto le leggi si sforzino di ottenerlo, è impossibile), la seconda è che questo controllo l'hanno i fornitori di servizio nei confronti dei cittadini italiani: non gli altri stati, anch'essi soffrono della stessa limitazione di controllo e d'analisi. Un po' come dicevano i libri di Gibson, i poteri multinazionali diventano così forti da non essere neppure più visti. Ma lo stato percepisce questa perdita e per dovere nazionale cerca di recuperare.
Purtroppo finora i tentativi di regolamentazione del mondo telematico seguono delle logiche derivata dal mondo reale, nonostante non siano applicabili [2]. Se il modo di vivere sta cambiando non puo' essere preso a riferimento il vecchio modello al fine di unificare i regolamenti.
L'esempio più ovvio di soluzione affetta avviene sui punti più importanti per l'opinione pubblica: le frodi informatiche. Davanti alla perdita di pecunia a seguito di attacchi informatici (sia a strutture come banche online sia ad utenti tramite phishing) la dimostrazione di questo problema richiedere un intervento pubblico. L'intervento pubblico come prima soluzione cerca di prevedere ed identificare le frodi. Non di impedirle, ma di limitarsi a vederle e contrastarle. A differenza di furti vecchio stile è più facile impedirle di ogni altra contromisura [3]. Credere di portare “sicurezza” tenendo sotto controllo il traffico Internet è un'utopia che danneggia la sicurezza anzichè aumentarla. Con qualunque computer, con qualunque software si può effettuare un'intercettazione, ma con qualunque computer si può realizzare un sistema di comunicazione che non può essere intercettato. Questo porta ad essere intercettata solo la grande massa, gli utenti comuni, e chi è veramente motivato a comunicare segretamente riesce senza una grande spesa.
Nell'intervista questo paragrafo viene sollevato quando, a seguito dell'11/9, viene divulgata la notizia che i terroristi non si scambiavano e-mail bensì utilizzavano una casella di posta condivisa. Non si può pensare che il problema sia stato nell'inadeguatezza delle forze di intelligence, le possibilità di effettuare evasione dall'analisi sono infinite. Le soluzioni al problema devo seguire altre strade, non di certo il miglioramento di una tecnologia di intercettazione che verrà superata due giorni dopo dal più scapestrato tecnico. Perseguire quella strada è una perdita in partenza.
Forse non è ancora chiaro, ma in Internet chi vuole essere anonimo, o semplicemente chi vuole comunicare in modo riservato potrà sempre farlo. E' semplicemente più “scomodo” [4], per questo l'utente di casa, che gode delle comodità della rete, usa poco queste possibilità. L'utente che si sente minacciato invece le usa, perché il costo in termini di prestazioni e di tempo è ripagato dalla sicurezza che ottiene.
Il decreto legge Gentiloni [5] è un esempio di risposta insensata. Lo stimolo (ufficiale) non è stato il terrorismo ma la pedofilia. Già di per se' è inusuale che negli ultimi anni la maggior parte dei decreti e di leggi speciali vengano emesse per fare fronte a questi due crimini, che per quanto esacrabili sono statisticamente poco frequenti. La statistica deve importare poco all'opinione pubblica perchè altrimenti si accanirebbe sui problemi che subisce quotidianamente e non su problemi di molti ordini di grandezza meno frequenti. In ogni caso, se l'opinione pubblica sembra volere questi combattimenti il buon parlamentare deve farlo. Allora il ministro Gentiloni vara il decreto per cui, se dovesse essere segnalato un sito con contenuti pedopornografici, esso sarà oscurato entro 6 ore dalla notifica. E cosa dichiara come corollario ?
«Il web è una straordinaria fonte di informazione ed un motore dell'innovazione — sottolinea il ministro delle Comunicazioni — ma per difendere la libertà contro ogni tentazione di censura preventiva e generalizzata, peraltro impraticabile, occorre colpire in modo efficace chi ne fa un uso criminoso contro i bambini».
Praticamente si contraddice, non risolve il problema, non protegge i bambini ed anche il presidente italiano associazione provider, un po' scettico, dice:
«Sicuramente si ridurrà enormemente l'impatto dell'accesso casuale ai siti pedopornografici e si renderà la vita difficile al pedofilo con scarsa esperienza informatica. Tuttavia resta un interrogativo. Si mette in piedi un sistema di filtraggio che non possiamo definire censura solo per le sue finalità. Ma che potrebbe diventare facilmente tale se in futuro la pressione di lobby rendesse possibile la sua estensione a esempio anche al peer to peer».
Come se l'accesso casuale ai siti pedopornografici fosse il problema da risolvere ? E' l'accesso volontario il problema!
Praticamente si mette su un sistema di censura, che non si può chiamare censura, che deve fermare la pedopornografia, che può usare infinite possibilità eccetto la pubblicazione via web e si inizia ad abituare la gente che, se un sito non va bene, non c'e' Internet che tenga: viene oscurato.
Dal punto di vista tecnico, quando questo avverrà, potrà succedere così:
1) utilizzo di materiale pedopornografico al fine di far oscurare un sito ad un nemico.
2) utilizzo di spam per far segnalare utenti innocenti come usufruitori di materiale pedoporno.
Se ne deduce che è stata prevista una misura che aumenta l'effettiva insicurezza degli utenti e dei servizi online. Come effetto collaterale l'Italia diventa l'unico stato dell'unione europea ad effettuare la Censura come i nostri alleati cinesi (?) [6] i nostri fratelli coreani (!?) [7] e si dimostra tecnologicamente ignorante.
Le mutazioni tecnologiche devono essere la cosa più difficile da comprendere. Altrimenti non mi spiego come mai si debba dare la colpa all'intelligence per non essere stata in grado di stare al passo coi tempi.
Quando il peer to peer ha iniziato ad essere diffuso il sistema di comunicazione era uno solo: Napster. Ci sono voluti mesi perchè i sistemi di intercettazione si adattassero ad esso, ed appena è successo a causa dell'attacco della RIAA sono fioriti altri sistemi. Kazaa, Gnutella, BitTorrent, eMule. Gli sniffer si sono trovati ancora una volta arretrati. Basterebbe che ad ogni aggiornamento del software il protocollo cambiasse di una virgola per rendere l'analisi ancora una volta obsoleta e lasciare l'intelligence arretrata.
Perchè esiste questo nuovo aspetto ? Il software, a differenza di una tecnologia elettronica vecchio stile, richiede un istante per essere modificato, due istanti per essere diffuso. Non si può cercare di stare al passo con i tempi, non si può limitare la diffusione di tecnologie di comunicazione (non perché è semplicemente disumano, ma perché è impossibile) non si può limitare l'uso della crittografia (per la stessa impossibilità).
Riferimenti:
[1] La minaccia fantasma, l'articolo parla di come i portali che ci assistono nella navigazione (uno su tutti, Google) possono profilare i loro utenti e guidare le loro navigazioni http://www.s0ftpj.org/docs/LMF/LMF.htm Aggiungo questa pagina che indica 100 valide alternative a Google, purtroppo molto poco conosciute http://www.readwriteweb.com/archives/top_100_alternative_search_engines.php e questo articolo che parla di un'evoluzione nella tecnologia di profilazione: http://technology.guardian.co.uk/news/story/0,,2078061,00.html?gusrc=rss&feed=networkfront
Segnalo anche il libro libero (sotto licenza CC) "Luci ed Ombre di Google".
[2] Intervento di Matteo Flora che illustra l'insensatezza dei Decreti legge che tentano di regolare Internet: http://www.lastknight.com/2007/01/18/8-febbraio-infosecurity-2007-come-eludere-i-controlli-di-polizia
http://www.lastknight.com/2007/03/03/eludere-i-controlli-di-polizia-il-video-completo
[3] Quanto le tecnologie d'analisi siano arretrate, quando il data mining non sia adeguato, quanto nel futuro questa situazione è destinata a peggiorare alzando i layer di comunicazione e con la creazione di protocolli sempre più evoluti: http://www.schneier.com/blog/archives/2006/07/terrorists_data.html
[4] Software di comune uso, che in cambio di performance peggiori, assicurano l'anonimato: http://www.vnunet.com/vnunet/news/2164698/hackers-fire-anonymous-torpark e come questo, alla lunga, non porta ad un crollo della rete: http://www.wired.com/news/columns/0,70000-0.html , la ricerca continua di queste tecnologie http://freehaven.net/anonbib/date.html
[5] La contraddizione del paladino antipedofilia http://www.corriere.it/Primo_Piano/Cronache/2007/01_Gennaio/02/decreto.shtml
[6] La censura cinese http://www.lucisullest.it/dett_news.php?id=728
[7] I tredici nemici di internet, http://punto-informatico.it/p.aspx?id=1745347 o ora siamo il 14-esimo ?

3.3 Concetti alla base della sicurezza informatica ed autodifesa minima
Sicurezza informatica e sicurezza personale fanno parte della stessa scienza. La scienza della sicurezza. L'informatica a differenza di quella fisica ha subito mostrato una sua accezione molto più coerente, con meno scappatoie. La sicurezza fisica invece ha sempre avuto dei vincoli legati alla nostra natura umana.
Ad esempio: non si fanno furti perchè c'è la legge che punisce il furto. Se rubi, la società ti punisce con una pena teoricamente proporzionata al problema da te creato.
Se utilizzi Internet per commettere un reato sei punibile allo stesso modo. Per effettuare un furto in modo anonimo, nel mondo fisico, si prende uno sgherro, lo si paga profumatamente e lo si manda a fare il furto. Se viene preso si spera sia fedele e non dica chi è il suo mandante. Su Internet si attacca il PC di una vittima inconsapevole (difficoltà: 2 click)[1], lo si manda a fare il furto (difficoltà: mezz'ora di attacco) e lo si abbandona subito dopo. Da qui se ne deduce che su Internet l'identità del mittente non è affatto certa, e se la protezione delle persone è affidata alla sola esistenza del deterrente "detenzione in cambio di furto", significa che la protezione è assente.
Attualmente gli strumenti non sono sicuri perchè nessuno che produce software sente che deve farlo. Essi incassano milioni semplicemente vendendo le licenze, e gli utenti non sono consapevoli dei problemi ai quali si espongono ad ogni installazione. Finchè gli utenti non lo pretenderanno nessun produttore lo farà. Nessuno stato imporrà uno standard di sicurezza e gli attacchi informatici prolificheranno senza troppi fastidi[2].
Ma non si può, e non deve essere fatto l'errore di credere, che l'utente possa "delegare" la sua protezione ad un'istituzione. L'utente deve essere protetto autonomamente, deve sapere di cosa fidarsi e di cosa non fidarsi. Quando una persona, in strada, vede qualcuno sporco di sangue inseguirlo con una spada... probabilmente si allontanerà. Questo comportamento è data dall'esperienza, esperienza che nel mondo digitale non c'è ancora. Ma nessuna istituzione potrà darla agli utenti, nessuno potrà proteggervi e promettervi di farlo.
Per quanto riguarda le società che vendono servizi di sicurezza, credo l'argomento potrebbe richiedere un articolo a se stante, in ogni caso bisogna saper distinguere su ciò che è realmente una minaccia e ciò che può essere superfluo. Il lavoro di una società di sicurezza è vendere un servizio, difficilmente potranno essere obiettive in un consiglio. [3]
In un sistema di comunicazione basato su una rete, che connette mittenti e destinatari tramite una catena di strumenti (router, switch, satelliti, ecc...) la protezione delle informazioni non può essere delegata a nessuno. Devono essere mittente e destinatario ad adottarla, a rendersi sicuri dove l'informazione è viva, a proteggerla con la crittografia. Ogni sistema bancario utilizza HTTPS, la navigazione sicura per proteggere gli utenti dal furto di informazioni sensibili. Ma le informazioni sensibili non sono solo quelle di carattere finanziario, tutte le informazioni personali devono essere trattate allo stesso modo ed ogni sito dovrebbe funzionare con HTTPS.
Attualmente, con delle leggi a sostegno della data retention e la diffusione di strumenti dalla sicurezza limitata si ottiene la situazione più sfavorevole per gli onesti cittadini.
Di fatto, le uniche informazioni catturabili appartengono a coloro che non si sentono minacciati, gli altri sanno proteggersi. anch'io a volte mi sento minacciato dal fatto che i miei datori di lavoro possano leggere le mie email, e di conseguenza le cifro [4][5]. Un'amica particolarmente pudica cifra le email che si scambia con il suo ragazzo, plausibilmente un terrorista cifrerà le email che si scambia con il suo padre spirituale, e il manager che ha visto il PC di Colao esposto al pubblico ludibrio cifra i propri dati a protezione dello spionaggio industriale.
Tolte queste ristrette categorie rimane il 99% degli utenti, che in modo inconsapevole usa web censurato ed e-mail monitorate.
Quindi, l'obiettivo qual è realmente ?
Riferimenti:
[1] Software per l'attacco "point and click", Metasploit. Un altro, commerciale, Core Impact
[2] Newsletter del SANS, tra altre informazioni riporta statistiche sull'andamento dell'(in)sicurezza, http://www.sans.org/newsletters/newsbites/newsbites.php?vol=9&issue=10
[3] Post che descrive come un penetation test automatizzato può non dare nulla di utile alla sicurezza di un'infrastruttura: Automated penetration test, false sense of security
[4] GnuPG, software di cifratura a chiave pubblica: http://www.gnupg.org/. La variante di GnuPG per Windows http://www.gpg4win.org e l'archivio di software d'autodifesa digitale gestito da Isole nella Rete.
[5] Software basato su javascript per la crittografia simmetrica: http://www.fourmilab.ch/javascrypt/javascrypt.html

3.4 Profilazione e reali Poteri della rete
Durante l'intervista, in un momento di illuminazione, si nota che la raccolta di dati indiscriminata e a tempo illimitato può avere conseguenze inquietanti.
.. Se poi tali informazioni vengono conservate per lunghi periodi - come appunto le medesime tecnologie permettono a costi sempre inferiori - allora è possibile ricostruire l'intera rete delle relazioni sociali intrattenute da una persona nel tempo, arrivando in certi casi a ricordare di esse più di quanto gli stessi interessati siano a volte in grado di fare.
E' già stato dimostrato e potete provarlo voi stessi utilizzando il servizio "Search History" di Google[1]. Un'analisi ad ampio spettro del comportamento digitale può dare all'individuo visuale su certe tendenze che lui neppure nota di se stesso. L'analisi del profilo è un'arma estremamente rischiosa. La creazione di un profilo è possibile da parte di ogni sito al quale si fa riferimento con una certa costanza. un motore di ricerca, un sito di email gratuita, un sito di giochi online.
Fintanto una quantità limitata dei nostri dati sarà in possesso di un fornitore di servizio, quest'ultimo potrà ledere entro i suoi limiti. In un'ottica disfattista, una banca potrebbe farci azzerare il conto, ma dividendo il conto in due banche almeno la metà dei nostri averi rimarrebbero. Se il servizio di email dovesse essere compromesso noi perderemmo la riservatezza relativa le nostre email, ma manterremmo quella delle nostre chat, della nostra navigazione. In questo caso affidarsi a più servizi è d'aiuto, perchè divide la densità delle nostre informazioni[2].
Ma se lo stato, o il nostro provider, o un'altra nazione sulla quale transitano i nostri dati controllasse interamente le nostre connessioni avrebbe tutti i dati che stiamo suddividendo tra differenti servizi. Avrebbe la possibilità di sapere con precisione cos'abbiamo detto a chi, dove abbiamo preso un'informazione, come l'abbiamo assimilata. Il fatto che una cattura digitale possa avvenire nel totale silenzio per anni rappresenta un pericolo così raccapricciante per il diritto alla riservatezza da non dover essere permesso.
Riferimenti:
[1] La categoria online marketing di questo blog tratta vari aspetti della profilazione, della raccolta di informazioni e le pone in un contesto pubblicitario selezionato.
[2] The Media Freedom internet cookbook, libro che tratta la distribuzione dei dati per la loro protezione, distributo da OSCE. Distribuito da privacyinternational , libro per la resistenza della libertà di parola in internet, resistenza alla censura ed al controllo. unesco - politics of the information sociey - the bordering and restraining of global data flows.

3.4.1 Come viene "venduta" la profilazione ?
La profilazione, a tempi alterni, viene spacciata come la soluzione a tutti i mali investigativi. In linea teorica presuppone l'utilizzo di un enorme database nel quale vengono messi dei dati (qualunque forma e tipo di dati possono contribuire a creare un profilo). Ad esempio, la scena di un crimine. Quindi nel database ci sarà una colonna "luogo" con i campi "in casa" "cortile" "strada" "campagna". Si popola questo database di eventi e poi, quando ne avviene uno nuovo, ci si affida ai casi precedenti per essere facilitati nella risoluzione[1].
Quest'uso della profilazione va contro il concetto di profiling d'intelligence. Non si può mai fare un'operazione di analisi e di comparazione a partire da un profilo, un profilo è semplicemente la descrizione riassunta, parziale di una cosa (evento, persona, gruppo)[2].
Riferimenti:
[1] Slide di Arturo Di Corinto, convertite in un formato più comodo (pdf) tratte da http://www.dicorinto.it/ Presentano le innovazioni e gli errori della dataveglianza, tra i quali l'inutile abuso della profilazione.
[2] http://consulentiprivacy.org/articoli/un-database-biometrico-europeo-problemi-di-gestione-e- privacy.html e http://punto-informatico.it/p.aspx?id=1325510&r=PI
in contrapposizione con quello che viene spiegato sul libro di formazione CIA (psychology of intelligence analysis) (capitolo 10, Biases in Evalutation of Evidence):
Evaluation of evidence is a crucial step in analysis, but what evidence people rely on and how they interpret it are influenced by a variety of extraneous factors. Information presented in vivid and concrete detail often has unwarranted impact, and people tend to disregard abstract or statistical information that may have greater evidential value. We seldom take the absence of evidence into account. The human mind is also oversensitive to the consistency of the evidence, and insufficiently sensitive to the reliability of the evidence. Finally, impressions often remain even after the evidence on which they are based has been totally discredited.
Poichè, la profilazione viene ottenuta dai dati raccolti, l'errore che si può commettere è quello di focalizzarsi di più sui profili (lì riassunte in "statistical information"), e di usare quei dati per trovare le prove in casi futuri. L'errore che si deve evitare è considerare l'operazione bidirezionale. Dalle prove ottieni il profilo, ma dal profilo non ottieni le prove.

3.4.2 Cos'è realmente la profilazione
La profilazione è la creazione di un profilo di un aspetto sotto analisi a partire da una serie di dati. Noi ad esempio potremmo essere profilati in relazione ai libri che abbiamo preso in biblioteca negli ultimi 5 anni. Non sempre un singolo soggetto può essere obiettivo di profilazione. Si potrebbe profilare per classi scolastiche quali sono i libri presi negli ultimi 5 anni, al fine magari di analizzare le influenze di un professore piuttosto che di alcuni eventi.
L'operazione di profilazione è monodirezionale. Ovvero una volta in possesso dei dati si può generare il profilo dell'obiettivo, ma non si può avendo solo il profilo ottenere informazioni sull'obiettivo che non sono già in possesso dell'analista. Questo concetto è quello che maggiormente sfugge a chi parla dell'utilizzo della profilazione a fini investigativi. Il pericolo di un eccessiva fiducia sulla profilazione è quella di incappare in pregiudizi ed in preconcetti, due nemici letali dell'intelligence.
Questo tipo di analisi è un uso scorretto del profilo ai fini investigativi, ma ottimo ai fini del marketing [1].
Google sopra a tutti, molti sono i servizi online che effettuano la raccolta di dati degli utenti per effettuare una profilazione. La profilazione più è fine e dettagliata più è affidabile.
Riferimenti:
[1] Google utilizzerà (anche) le abitudini di gioco per profilare gli utenti: http://technology.guardian.co.uk/news/story/0,,2078061,00.html?gusrc=rss&feed=networkfront Ricordo il libro "Luci e ombre di Google", che illustra come un gigante di Internet possa sopravvivere offrendo servizi gratuiti.

3.5 Speculazioni e supposizioni
Se la strada sbagliata verrà perseguita, anzichè dare agli utenti una reale sicurezza si continuerà ad usare il sintomo come facciate per approvare leggi liberticide. Pisanu e Gentiloni hanno già messo il loro mattone. Facciamo ora delle supposizioni su come le cose potrebbero proseguire se si proseguirà sulla strada del divieto, del controllo e della censura.
Supponiamo che la crittografia venga criminalizzata come tecnologia utilizzata dai terroristi, e per questo motivo venga vietata. Già di persè è surreale come ipotesi, ma è già stata discussa da alcune parti. Nonostante quindi le informazioni sensibili che può possedere una persona sul proprio computer, il tipico amministratore delegato, il tipico medico godranno solo di tecnologie di "offuscamento" (si chiama così la crittografia per bambini, praticamente la fidanzata gelosa non potrà leggervi le e-mail e qualunque ladro di informazioni sì).
Inutile dire che, ancora una volta, se qualcuno vorrà ignorare questa legge lo farà. Quello che da Internet è la possibilità di comunicare, se due persone dovessero inventarsi una lingua propria, sarebbe un reato di crittografia ?
Sono quasi convinto che se la crittografia e la steganografia non sono ancora state criminalizzate è perchè hanno un uso così limitato e contestualizzato (via web nelle "transazioni sicure") da non aver ancora sollevato un problema. Naturalmente se i produttori dei mailer come thunderbird, outlook, the bat, avessero integrato nativamente ed automaticamente l'uso di chiavi PGP ... adesso qualcosa sarebbe diverso.
Cos'è la crittografia ?
La crittografia è un sistema di conversione dei propri dati. La trasformazione avviene tramite una chiave, in modo che solo chi l'ha possa riottenere il dato originario. Quando il nostro software di videoscrittura presenta la lettera 'a' a video, salverà sul file la lettera 'a'. Ma non è affatto detto sia così, è una convenzione che i file contentano i contenuti visualizzati, ma qualunque programmatore potrebbe prevedere qualcosa di differente.
Cos'è la steganografia ?
E' un'altra tecnologia facilmente criminalizzabile, è ancora meno nota, dove la crittografia consente di rendere illeggibile il dato a chi non è in possesso della giusta chiave per leggerlo, la steganografia presuppone di rendere un dato invisibile a chi non ha la chiave adatta per leggerlo. Si sta parlando di informatica, quindi i byte del dato non si possono rendere invisibili per magia, ma utilizzando un'adeguata "copertura" i dati possono essere celati. Ad esempio, se scrivessi la frase:
"Marco Indicami L'Azione Non Ordinaria"
Ad un osservatore esterno parrebbe una richiesta come tante altre, ma all'osservatore che ha la chiave corretta (in questo caso, estrarre le prime lettere di ogni parola) potrebbe estrapolare il contenuto steganografato: MILANO.
Ogni tipo di dato può stare all'interno di qualunque altra copertura. Normalmente l'esempio più affascinante, più figurativo ed evocativo è l'immagine innocente che contiene al suo interno un'altra immagine o un file di testo. La spiegazione a riguardo è: "modificando i colori dell'immagine in modo impercettibile, è possibile inserire dei dati all'interno senza che l'occhio umano lo percepisca". Ma le possibilità sono realmente infinite.
Crittografia e Steganografia sono campi di ricerca e di studio profondamente complicati, ma solo per quanto riguarda lo stato dell'arte e della protezione. Implementare tecniche blande per rendere più difficoltoso il controllo è di una facilità elementare. Non risolve il problema nè rende più sicuri, ma dimostra come questo divieto sia fallace.
Come si potrebbero vietare crittografia e steganografia, considerando che puo' non essere deterministica la loro individuazione ? L'unica possibilità che si ha è sperare che gli utenti non abbiano questi software, che non sappiano programmare. E' questa la sicurezza e la certezza che un organo di governo dovrebbe dare ? La speranza ?
Naturalmente no, c'è un metodo risolutivo, almeno per il 99% degli utenti. L'unico modo al quale solo la grande-massa è vulnerabile: la censura. Si chiude il sito che distribuisce software di protezione, così che gli utenti non possano goderne. Sarebbe bello i browser potessero navigare nella rete peer to peer come avviene sul web.
Ma il problema non erano i terroristi ? i pedofili ? pensate davvero che una persona che dedica la vita ad una guerra, o un'altra che sa di poter rischiare anni di galera per un vizio criminoso, abbia capacità pari alla "massa" quando si tratta di pensare alla sua protezione ? Sistemi di censura e divieto delle tecnologie di protezione servono, ancora una volta a limitare le libertà dei cittadini.
Ma per fortuna, questa è solo una mia speculazione, non si sta parlando di "nuovi reati informatici"[1], no, per fortuna.
Certo, se un governo deve temere un sistema di comunicazione[2] perchè non sa tenere i suoi segreti al sicuro, il problema è del sistema di comunicazione o del governo ?
Riferimenti:
[1] Nuovi reati informatici http://punto-informatico.it/p.aspx?i=58634&r=PI
[2] Come pensare che una tecnologia usata da chiunque possa diventare un rischio per la sicurezza nazionale per il semplice fatto che non sia centralizzata ? http://www.pidownload.it/p.aspx?id=1918669&r=PI

4. Sicurezza e percezione della sicurezza
Cos'è la sicurezza ?
E' la certezza che tutto prosegua senza sorprese. Quello che hai continui perchè tu lo vuoi, è in tuo controllo. I tuoi dati, i tuoi fondi ed i tuoi cari siano ancora lì, giorno dopo giorno.
Esistono varie definizioni, che prendono senso nel campo in cui vengono contestualizzate. Raramente esiste la sicurezza matematica (si parla "certezza" quando è così). Definirla senza ambiguità è molto difficile, ma volendo stilare una lista dei punti più applicabili:

* Non esiste la sicurezza al 100%
* L'obiettività è necessaria nel valutare una soluzione di sicurezza. Se l'obiettivo è "essere protetti dalle minacce esterne" la migliore soluzione è quella che ne elimina la maggior parte. La difficoltà nell'essere obiettivi sta nelle influenze che si riceve da mezzi esterni che alterano la nostra percezione alla sicurezza. (ad esempio, quando al TG parlano solo di stupri, chi si ritiene una potenziale vittima ha più paura degli stupri. Questo genere di influenze possono spostare l'analisi obiettiva del rischio rendendo accettabile compromessi altrimenti non accettabili)
* La sicurezza non è un obiettivo, è un "compagno di viaggio" con il quale possiamo raggiungere con più tranquillità l'obiettivo. Se ne può anche fare a meno in certi casi.
* Si può misurare con un valore obiettivo ? no. Ma si può attribuire alla sicurezza un valore relativo. Questo valore è pari alla parte più debole tra tutti i sistemi di protezione che hai a disposizione. Se qualcuno dovesse cercare di attaccarti sfrutterà il sistema più conveniente in termini di possibilità/impegno (un po' come la qualità/prezzo). Dove non si può diminuire la possibilità di successo dell'attacco si aumenta la difficoltà di realizzazione, così che aumenti la quantità di impegno (tempo, fondi, persone) che deve impiegare.
* L'obiettività di una scelta di sicurezza va valutata in relazione alla gravità del rischio rapportata alla possibilità di realizzazione. Già diventa difficile avere dei valori da attribuire (ad esempio, è peggio un blocco dei mezzi di trasporto di mezza giornata o prevenire i furti ?) e la probabilità di realizzazione dipende direttamente delle statistiche (per questo è importante, quando si valuta la probabilità di un evento, affidarsi al maggior numero di fonti possibile), purtroppo l'influenza emozionale che ha la paura sfalsa questo rapporto anche dove possibile. L'emissione di statistiche guidate porta alla persona la mancanza di dati realistici, rendendo così la valutazione solo una questione di distaccato buon senso.

A fronte di queste valutazione si può comprendere perchè, gli esperti di sicurezza, sono più preoccupati di un sistema di controllo totale piuttosto che di un atto terroristico. Non per questione masochistica, ma per il rapporto guadagno/beneficio.
Nessuno si opporrebbe a una scelta che non da nulla in termini di sicurezza, ma fa sentire meglio le persone che ne godono. Ma ci opponiamo a una scelta che arriva a nuocere alla libertà ed alla sicurezza dei cittadini nel fallato tentativo di proteggerli.
L'unico attentato sventato è stato quello a Londra, la parte divulgata spiega che l'intelligence inglese stava tenendo sotto controllo quella cellula perchè segnalata dagli organi internazionali. Non perchè ne ha profilato il comportamento, Non perchè ha tenuto sotto controllo le connessioni Internet cercando chi parlava di bombe. E' stato lo screening e l'analisi d'intelligence a realizzare con successo quell'operazione, e l'unico effetto ottenuto è stato di vietare il più possibile i liquidi a bordo, ancora una volta quello che ha avuto importanza è stata la percezione della sicurezza per l'opinione pubblica. (Perchè, forse è superfluo dirlo se siete arrivati qui, ma gli esplosivi possono esistere in ogni forma e stato. Appena è stato emesso questo divieto la comunità online dei chimici hanno dimostrato quanto sia banale[1]. )
Questo documento non ha la pretesa di cambiare l'opinione pubblica, ma almeno di fare informazione su queste tematiche, troppo spesso subite senza una reale conoscenza dell'argomento.
Tutte le critiche dirette ai sistemi di sicurezza attuali sono amplificate dal fatto che "la limitazione", "la repressione" e "la privazione delle possibilità" per i cittadini è il tipo di risposta stupida che ogni terrorista spera di ottenere! Il terrore e le reazioni al terrore sono la sua finalità, e ci stanno cascando tutti! [2].
Riferimenti:
[1] Spiegazione di come potrebbero evolvere le tecniche d'attacco sopra un aereo, perchè sia chiaro che non è la limitazione di un attacco noto ad essere la soluzione al problema: http://www.securityinfowatch.com/online/Detection-Systems/Experts--Planes-Vulnerable-to-Bombs- Built-on-Board/8942SIW481 E questo tratto dal blog di "Defense and National Security Nano, Nanomaterials, and Nanotechnologies" http://nanomat.blogspot.com/2006/08/alleged-terror-plot- involved-liquid.html
[2] Quello che vogliono i terroristi


Sono riportate esclusivamente idee e dell'autore e di nessun'altra organizzazione collegata ad esso

21/05/2007

Commenti

Opzioni visualizzazione commenti

Seleziona il tuo modo preferito per visualizzare i commenti e premi "Salva impostazioni" per attivare i cambiamenti.

เพาะกาย

Opzioni visualizzazione commenti

Seleziona il tuo modo preferito per visualizzare i commenti e premi "Salva impostazioni" per attivare i cambiamenti.

Invia nuovo commento

Il contenuto di questo campo è privato e non verrà mostrato pubblicamente.


Fatal error: Unknown: Cannot find save handler mm in Unknown on line 0