Roma, 31 Marzo 2009
Privacy ed Intercettazioni Non solo telefonate (un giusto equilibrio tra norme e tecnica)
INTERCETTARE INTERCETTATI UN VECCHIO PROBLEMA SEGRETI DA TRASMETTERE: LEGITTIMI O NO UN ANTICO PROBLEMA Steganografia Erodoto (485 – 525 BC) il primo ad usare un sistema intelligente nella guerra con i Persiani dove era grande il bisogno di comunicare. I tempi non erano però così frenetici per “trasmettere” un messaggio. Si badava molto più alla sicurezza che alla velocità..
Una volta scelto un messaggero con una folta capigliatura, veniva rasato, si scriveva il messaggio sul cuoio capelluto, si aspettava la ricrescita dei capelli e a quel punto poteva partire verso la metà, attraversando linee nemiche. Una volta arrivato era sufficiente rasarlo per leggere il messaggio. Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
2
INTERCETTARE INTERCETTATI UN VECCHIO PROBLEMA Nell‟ultima Guerra Mondiale riuscirono ad intercettare i messaggi che Alan Turing aveva prodotto con la famosa macchina ENIGMA, ma furono costretti a rubarne una per Decrittare gli stessi, il film che molti di noi hanno visto U-571 (di J. Mostow, 2000)
Potrei continuare ancora, ma… la filosofia è: Importante non è solo intercettare ma capire! Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
3
INTERCETTARE INTERCETTATI UN VECCHIO PROBLEMA Per combattere il crimine organizzato globale bisogna che i Governi collaborino tra loro: intercettare telefonate non è la soluzione!
Qualcosa ha fatto il Consiglio d‟Europa con Convenzione sul Cybercrime del 2001 con l‟intento di:
la
Armonizzare le leggi nazionali. Migliorare le capacità investigative. Aumentare la cooperazione delle forze dell‟ordine. La convenzione è stata ratificata da altri Paesi tra cui USA, Canada, Giappone.
Un passo avanti per creare una struttura legale internazionale per rispondere al dilagare del problema.
Purtroppo, ad oggi, non se ne vedono ancora i risultati, se non buone intenzioni che non risolvono nulla. Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
4
UN MONDO DI SCONOSCIUTI
L‟identità digitale: alcuni principi da condividere
Contrariamente a quanto si pensa, la trasmissione dei dati non avviene direttamente tra due soggetti in sicurezza, come il vecchio gioco dei due barattoli ed il filo. (Non vorrei sollevare il problema delle Intercettazioni), ma chi crede che siano solo telefoni che possono essere intercettati sbaglia è la classica cima di un iceberg!
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
5
UN MONDO DI SCONOSCIUTI
L‟identità digitale Alcuni principi da condividere La trasmissione dei dati, dopo aver premuto il tasto INVIA o CONFERMA da un PC, o l’invio di un SMS è incontrollata ed incontrollabile. I dati vanno in rete e transitano in un numero imprecisato di Server/Computer, linee telefoniche, connessioni, etc. facilmente intercettabili, sottraibili, modificabili in tutto il loro percorso ed archiviazione, ma soprattutto se lanciati nel web sono indelebili! Hackers Intercettatori Infedeltà dipendenti
Hackers Intercettatori Infedeltà dipendenti
Hackers Intercettatori Infedeltà dipendenti
Nodo 2 ISP 3
Hackers Intercettatori Infedeltà dipendenti
INFO DATI SMS
ISP 1
Internet
Cellulari/wireless ISP 5 Azienda Sito WEB Destinatario DATI
Nodo 4 Hackers Intercettatori Infedeltà dipendenti
Hackers Intercettatori Infedeltà dipendenti
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
6
UN MONDO DI SCONOSCIUTI
L‟identità digitale Alcuni principi da condividere Il possesso o la proprietà di un apparato che viene usato per comunicare non dà la certezza e la prova di chi: – – – – – – –
– –
Lo usa Dove sia posizionato fisicamente Quando lo abbia usato temporalmente Quanto tempo lo abbia usato In sostanza non è possibile attribuire: la proprietà, possesso, l’uso, il luogo ad una specifica persona fisica Nessuna tecnologia è in grado di dare questa certezza Gli apparati digitali, Computer, cellulari ecc. hanno vita e personalità autonoma, indipendentemente da chi ne ha la proprietà, li possiede, li usa. I segnali che rilasciano,che registrano possono essere con certezza attribuiti all’apparato ma non alla persona associare apparato/persona è un altra complessa prova Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
7
UN MONDO DI SCONOSCIUTI L‟identità digitale L‟identità di colui che opera ad un computer/cellulare é nota solo a se stesso, ogni secondo lo sconosciuto comunica, inserisce e riceve dati, sottoscrive digitalmente contratti, accetta clausole ecc. Con un‟altra entità anch‟essa sconosciuta
? ?
?
? ? ?
Buona parte di tutto questo va oggi a costituire contratti, obbligazioni, dichiarazioni ecc. avente valore legale ma anche fonte di prova in investigazioni, procedimenti civili e penali. Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
8
UN MONDO DI SCONOSCIUTI L‟identità digitale Protezione è l‟identificazione dell‟identità personale I termini del problema Bruno invia un messaggio ad Anna che lascia il PC Incustodito Chiave simmetrica (nota solo a Bruno e Anna)
Intruso
Ciao Anna Ciao Anna
Anna
Bruno xpL98?
CIFRA
M: - 43
DECIFRA
M=D(C, K)
C=E(M, K)
D= Funzione di Decifratura
C=Testo Cifrato M=Messaggio (testo in chiaro) K= Chiave Segreta E= Funzione di cifratura Intruso
Al posto di Anna potrebbe esserci chiunque, malgrado la crittografia e la firma digitale, il certificato residente nel computer diviene il pericolo ancora più grave.
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
9 9
UN MONDO DI SCONOSCIUTI L‟identità digitale Analoga problematica si ripresenta se si usa una connessione sicura X509 (SSL) tipica dell‟Home Banking Anna lascia il PC Incustodito con il proprio certificato installato La Sessione SSL può essere immediatamente
aperta con semplice uso di Password
Intruso
connessione
accetta invia riceve/Informazioni
Anna
L‟Intruso accede al PC di Anna con l‟uso della password/ID della stessa.
Controlla l‟esistenza dell‟utente (password e del certificato) Intruso
Al posto di Anna potrebbe esserci chiunque malgrado il certificato digitale residente nel computer o nella smart card, sempre più lasciata attaccata al PC ininterrottamente diviene un pericolo ancora più grave. Tutti sono convinti che dietro al PC c‟era Anna. Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
10
UN MONDO DI SCONOSCIUTI L‟identità digitale Il fatto che arrivi un SMS od un e-mail da un numero di cellulare noto, non vuol dire che “il pollice” sia della persona che conoscete
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
11
IL RILASCIO DI INFORMAZIONI PERSONALI ONON-LINE Un altro sistema di comunicare è quello dei moduli detti anche Form-Online, spesso accompagnati da concorsi di vario genere atti ad invogliare chi accede al sito web, a rilasciare i propri dati personali. Una sorta di gratta e vinci al contrario, prima chiedono i tuoi dati e poi puoi controllare se hai vinto ??!! Questo però solo in Italia!!! come vedrete in uno dei molteplici esempi trovati ON-LINE. Questo, anche se è un modo di comunicare unidirezionale: il sito chiede, voi rispondete, è un altro sistema di estrema pericolosità ed è a forte rischio anche di intercettazione. Se la trasmissione dei dati non è protetta, nessuno garantisce poi, che il sito con il quale si sta comunicando sia quello vero … ed altro ancora. Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
12
IL RILASCIO DI INFORMAZIONI PERSONALI ONON-LINE ECCO UN ESEMPIO IN ITALIA CHE TUTTI VOI POTRETE VERIFICARE.
Questo caso, riferito al sito Italiano di Duracell, ha lo scopo di raccogliere i dati dell‟utente. Non si preoccupa di fare uso di misure di protezione dei dati (infatti il protocollo utilizzato è HTTP). I dati richiesti, inoltre, sono di natura non propriamente legata ad un concorso. Sembrano più essere raccolti per una vera e propria profilazione del soggetto che li rilascia.
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
13
IL RILASCIO DI INFORMAZIONI PERSONALI ONON-LINE
Duracell In Svezia
Cosa succede negli altri Paesi da parte del medesimo soggetto
In questo caso si può vedere come il sito richiede un codice che deve corrispondere ad una confezione di prodotto acquistato, onde verificare se abbia vinto o meno. Coerente e molto simile al nostro gratta e vinci, chi ha vinto deciderà poi come ritirare il premio e se comunicare i propri dati.
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
14
Duracell In America
IL RILASCIO DI INFORMAZIONI PERSONALI ONON-LINE Negli Stati Uniti i dati vengono rigidamente trasmessi in modo sicuro cioè attraverso il protocollo SSL: Nel caso Americano vediamo come viene fatto uso di HTTPS per dare il via all‟inserimento nel form dei dati degli utenti, in modo da poter trasmettere in totale sicurezza gli stessi, ma anche per dare modo all‟utente di verificare, tramite il certificato digitale, chi è realmente il sito che ci sta richiedendo i dati.
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
15
IL RILASCIO DI INFORMAZIONI PERSONALI ONON-LINE
Duracell In Inghilterra
Anche l‟esempio riferito al sito Inglese è del tutto simile al precedente:
Anche in questo caso si può vedere come il sito richiede un codice che deve corrispondere ad una confezione di prodotto acquistato onde verificare se abbiamo vinto o meno.
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
16
IL RILASCIO DI INFORMAZIONI PERSONALI ONON-LINE Un minimo di attenzione
Come si fa a vedere se un sito trasmette i dati in modo sicuro? Due accortezze molto semplici garantiscono che il sito a cui si accede sta trattando i dati in modo sicuro…
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
17
IL RILASCIO DI INFORMAZIONI PERSONALI ONON-LINE
Segnalare per prevenire
Cittadini di Internet ha segnalato al Garante oltre 1200 siti web come quello che avete visto con il progetto WWW:COMUNICARESICURI.ORG Chiunque potrà segnalare, in totale anonimato, un sito non sicuro semplicemente copiando ed incollando l‟URL dello stesso in questa pagina Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
18
UN MONDO DI SCONOSCIUTI L‟identità digitale • Nessuna Tecnologia o Legge permette la sicura identificazione a distanza del soggetto: l’identità digitale ! • Come si è visto neanche tecnologie avanzate permettono di avere la certezza di chi veramente ci sia dall‟altra parte del “filo”. • Come si può quindi immaginare di far sottoscrivere digitalmente, con il classico click del mouse, ad un soggetto sconosciuto, una normativa come ad esempio quella che viene comunemente definita ”Informativa sulla privacy”? • Questo vale anche per un‟infinità di altre cose, contratti onerosi e non, auto-dichiarazioni ecc. tutto quello che insomma la nostra pesante burocrazia richiede. Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
19
LA LUNGA LISTA DEI PROBLEMI I TERMINI DEL PROBLEMA: - Rilasciare i propri dati compilando un questionario su Internet, che trasmette in chiaro gli stessi, privo dei requisiti minimi previsti, non solo dalla legge italiana, codice della privacy, ma da tutte le normative internazionali in materia, oltre a violare la legge, provoca: 1. La sottrazione dei dati - inseriti nel modulo da parte di chiunque e conseguentemente il furto della Privacy ed il furto di identità. 2. La sostituzione, cancellazione, falsificazione di parte o tutti i dati. 3. La vendita/acquisto, da parte di vere a proprie bande criminali dei dati stessi, con la conseguenza di farne l‟uso delittuoso che vogliono.
4. Il fenomeno dello spamming, che arriva ad intasare/saturare le caselle postali elettroniche (E-mail) inviando messaggi di grandi dimensioni rendendole inservibili, provocando così l‟interruzione se non il mancato utilizzo di un servizio che ormai può definirsi pubblico. 5. Il fenomeno delle telefonate indesiderate, offerte di vario genere, pubblicità al proprio cellulare ed al proprio telefono fisso oltre a comunicazioni indesiderate al proprio numero di fax. Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
20
LA LUNGA LISTA DEI PROBLEMI 6.
Ricezione massiva di posta indesiderata al proprio indirizzo di abitazione od ufficio;
7.
In base alle informazioni date sesso, età, abitudini, etc. redazione di veri e propri schedari che opportunamente elaborati danno luogo a truffe di ogni genere;
8.
Invio di messaggi, „impersonificazione”;
9.
Truffe on-line di ogni genere;
usufruendo
del
proprio
indirizzo
di
posta
elettronica
10. Nessuna possibilità di risalire all‟autore di uno dei su richiamati eventi in quanto il titolare del sito web, in qualsiasi caso, potrà sempre trincerarsi dietro al fatto che chiunque, una volta compilato il modulo ed inviato on-line, può essersi appropriato dei dati di coloro che “imprudentemente” lo hanno compilato; 11. Non perseguibilità obbiettiva - essendo ON-Line ormai oltre 3 miliardi di individui ed organizzazioni di tutto il mondo, sarebbe impossibile stabilire il colpevole, che anche se individuato, rimarrebbe comunque impunito, perché il reato o l‟illecito sarebbe al di fuori della nostra giurisdizione; 12. Intasamento dei nostri sistemi di Polizia delle comunicazioni e degli altri Paesi - ci sarebbero milioni di denunce da fare ed il sistema non reggerebbe all‟ “urto” e non si arriverebbe comunque a nulla di tangibile.
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
21
UNA DELLE CONSEGUENZE DELL‟INTERCETTAZIONE DI DATI PERSONALI IL FURTO D‟ IDENTITA‟
Per esaminare tutte le conseguenze che possono derivare dall‟intercettazione di dati personali occorrerebbe un convegno a parte, parlerò brevemente di una delle problematiche più pericolose e con impatti molto forti sul singolo individuo e sulla comunità:
IL FURTO DI IDENTITA’ Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
22
UNA DELLE CONSEGUENZE DELLE INTERCETTAZIONI IL FURTO D‟ IDENTITA
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
23
NON SOLO INTERCETTAZIONI AD Alta tecnologia Chi crede che le intercettazioni sono solo quelle sofisticate High-tech: Sbaglia!
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
24
LA COMPLESSITA‟ DEL MONDO IT COME CERCARE L‟AGO NEL PAGLIAIO
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
25
Sei dei più comuni furti di identità
I
Falsificazione Sostituzione Reati Furto e Cancellazione/sosti Codice Furto Documenti sostituzione tuzione d’identità finanziari Fiscale corrispondenza Attenti al di dati clinici di criminali Ristorante!
Il Furto di identità non è solo commesso attraverso Internet e non riguarda solo le Carte di Credito Il furto di identità è un crimine Globale con forti problematiche internazionali di competenza legislativa Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
26
NON SOLO INTERCETTAZIONI AD Alta tecnologia Chi crede che le intercettazioni sono solo quelle sofisticate High-tech: Sbaglia! I PIU‟ COMUNI SISTEMI DI INTERCETTAZIONE FISICA DEI DATI PERSONALI: Cercare tra la spazzatura, es. nei cestini dello studio Fotocopia della carta di credito al pagamento di un conto es. ristorante Sottrazione dalla cassetta della posta di corrispondenza es. Estratto conto banca/carta di credito/bollette varie Infedeltà di colleghi in ufficio es. Ufficio del personale Furto del portatile/VOSTRO CELLULARE O AD ES. QUELLO DEL VS MEDICO, AVVOCATO, COMMERCIALISTA. Qualsiasi altro abbia i vostri dati Cartella clinica dell‟ospedale o di qualunque altro ufficio pubblico che conserva i vostri dati Distribuzione pubblica di dati anagrafici, lo sapevate che??!! Elenchi telefonici Acquisto Tramite Internet
In Internet ormai l‟offerta di dati personali è variegata ed a portata di tutti con un vero e proprio listino prezzi come quello qui a fianco Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
27
NON SOLO INTERCETTAZIONI AD Alta tecnologia
Altri tipi di furti d’identità 25%
Furto di Documenti 6%
Finanziamenti Falsi mancato pagamento 5%
Frodi su carte di Credito26%
Elenchi Telefonici 18%
Falsificazione di documenti/titoli di studio 9% Infedeltà dei dipendenti 12%
Frodi bancarie 17%
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
28
NELLA RETE IL CRIMINE SULLA COMMECIALIZZAZIONE DEI DATI E‟ ORGANIZZATO
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
29
TUTTO QUESTO SI PUO‟ RISOLVERE HO E‟ UN ALTRO GRAN MAL DI TESTA
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
30
IL TEST DELLA RAGGIONEVOLEZZA E l‟ESAME DI COSCIENZA Lasci la porta di casa/dell‟auto con la chiave inserita o sotto lo zerbino
NO
Lasci il Pc acceso Incustodito
?
Scrivi il PIN del Bancomat sul retro dello stesso
NO
Scrivi la password del PC sotto la tastiera o su un post-it
?
Metti l‟allarme alla tua auto
SI
Metti la password nel PC/Cellulare
?
Scrivi il n° cellulare od altri tuoi dati in una cartolina e la spedisci
NO
Mandi un e-mail in chiaro
?
Dai i tuoi dati a chiunque incontri per strada
NO
Compili un modulo on-line senza accertarti se sia protetto o di chi veramente sia il sito web
?
Spedisci un plico importante aperto per posta ordinaria
NO
Mandi un e-mail con allegati senza proteggerla
?
Butti i documenti in un cestino senza distruggerli
?
Usi un distruggi documenti
?
SI
Fai una copia di backup dei tuoi files e dei tuoi dati importanti li proteggi con password, nel cellulare (immagini numeri telefonici ecc.)
?
Conservi in luogo protetto i tuoi documenti importanti
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
31
CONSIDERAZIONI FINALI Giusto Equilibrio tra Privacy e sicurezza La Privacy è la base della dichiarazione dei diritti umani “Articolo 12” …Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza..,
La Privacy in una rete globale è importante e va difesa!
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
32
CONSIDERAZIONI FINALI Limiti della legge sulle investigazioni su Computer Crimes ed Intercettazione di dati
Quale è il giusto compromesso? E‟ una domanda che rimarrà purtroppo senza una risposta, come tutti sanno, special modo per le intercettazioni il dibattito, è tuttora aperto, ancora una volta, anche in questo caso come abbiamo visto vale il mio detto: “L'attività umana deve essere guidata dal senso comune dei singoli individui” Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
33
Privacy: oltre le intercettazioni telefoniche --- © by M. Penco ---
34