Gli USA discutono dei laptop sequestrati alle frontiere

Oggi è approdata al Congresso la spinosa questione dei sequestri di dispositivi digitali ai cittadini che rientrano dai viaggi all'estero. Perché vengono sequestrati quei dati? E chi li gestisce? E dove vanno a finire?

Roma – L’agenzia Customs and Border Protection (CBP) – asset del più vasto bureau del DSH – può anche giustificarsi con motivazioni di sicurezza nazionale, ma la verità è che la ben nota pratica del sequestro preventivo della componentistica hi-tech agli americani in rientro dall’estero è inutile per la suddetta sicurezza e pericolosa per l’idea che trasmette di una privacy da assoggettare sempre e comunque agli occhiuti controllori di stato.

portatile sotto controllo È quanto hanno espresso nella giornata di ieri le organizzazioni pro-diritti civili nell’ audizione al Senato USA , tenuta dal “Sottocomitato sulla Costituzione, i Diritti Civili e i Diritti di Proprietà” e avente per oggetto i poteri apparentemente illimitati dei funzionari preposti al controllo dei cittadini di ritorno negli USA, autorizzati a sequestrare, esaminare e ritenere smartphone, portatili, palmari e quant’altro senza la benché minima garanzia sul trattamento e la restituzione del maltolto ai legittimi proprietari.

Un potere illimitato confermato due mesi fa dalla Corte di Appello del Nono Circuito, secondo la cui sentenza gli ufficiali della CBP non hanno bisogno nemmeno di un “legittimo sospetto” per sequestrare il materiale, scaricarne i contenuti su supporti e sistemi diversi e passare al setaccio informazioni sensibili, siano esse di rilevanza personale o aziendale/industriale .

Un potere che la Electronic Frontier Foundation e la Association of Corporate Travel Executives considerano eccessivo, minaccioso, lesivo della privacy e in definitiva dell’intero sistema economico degli Stati Uniti . Le due organizzazioni hanno chiesto alla Corte di Appello di tornare sui propri passi e ribaltare la sentenza sulla legittimità di una condotta che a loro dire non ha fondamento giuridico o fattuale.

“La nostra opinione è che essenzialmente nel mondo di oggi ti porti in giro l’ufficio dentro i dispositivi elettronici come cellulari, laptop o BlackBerry” ha osservato il direttore esecutivo di ACTA Susan Gurley prima di testimoniare presso il Senato. In tempi precedenti al trionfo del digitale per perquisire un ufficio ci voleva un mandato, ha continuato Gurley, e la differenza è che adesso tale autorizzazione scritta del giudice non sembra sia più considerata necessaria .

Gli ha fatto eco Peter Swire, professore di legge presso la Ohio State University che ha servito per due anni come consigliere sulla privacy per la presidenza Clinton, e nel cui giudizio aprire una valigia non è esattamente lo stesso che violare la sacralità di un laptop personale o aziendale e fare una copia bit per bit di tutto il contenuto eventualmente presente.

Al Sottocomitato, Swire ha detto che l’attuale modalità di azione del CBP ricorda le fallimentari politiche sulla privacy degli anni ’90 . “La policy del governo viola le pratiche di buona sicurezza” ha dichiarato il professore prima ancora di apparire davanti al parlamento, dal momento che “richiede le password e le chiavi di cifratura, che alle persone si insegna di non rivelare mai. Il governo vìola la privacy, inibisce la libertà di parola e compromette i segreti industriali”.

Ma c’è anche chi, come Nathan Sales, professore di legge presso la George Mason University ascoltato dai parlamentari assieme agli altri testimoni, sostiene la legittimità dei controlli del CBP. Tanto più che, fa notare l’accademico, a lamentarsi della faccenda sono stati anche 11 pedofili schedati e condannati. Ci vorrebbero piuttosto regole precise sulla gestione e la memorizzazione delle informazioni , dice Sales, oltre che adeguate garanzie sulla distruzione e la discrezionalità di accesso per quanto riguarda i dati dei viaggiatori “normali” su cui non esiste alcun sospetto.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Ste scrive:
    Bhè era ora...
    e si spera che funzioni. Poichè questo tipo di attacchi sta diventanto sempre più frequente e riguarda anche siti ritenuti relativamente "affidabili". Cioè non sono siti "esotici" o farlocchi. Siti che inoltre hanno un bacino di utenza anche molto elevato (poichè addirittura alcuni sono "istituzionali").E non è semplice per l'utente poco esperto accorgersi di che cosa gli è entrato nel PC, visto che nel momento in cui ti connetti al sito incriminato tutto avviene "al buio". Ma anche per gli utenti più "scafati" non è facile: da certi siti non ci si aspettano "brutte sorprese" e quindi il livello di attenzione è basso....fino a che non si fa un bello scan e si scopre che qualcuno sta utilizzando il tuo indirizzo IP per fare dio solo da cosa.
  • Torakiki scrive:
    Sono 5 anni che leggo il giornale gratis
    Grazie al programmatore ciucco, che lascia questo genere di buchi, sono 5 anni che leggo i PDF il mio giornale di provincia gratis.Tecnologia usata PHP. Password ottenuta con uno dei metodi più banali e noti di SQL injection.Ah, il sito è stato rifatto 3-4 volte. Il buco è sempre lì.
    • pippo scrive:
      Re: Sono 5 anni che leggo il giornale gratis

      Grazie al programmatore ciucco, che lascia questo
      genere di buchi, sono 5 anni che leggo i PDF il
      mio giornale di provincia
      gratis.

      Tecnologia usata PHP. Password ottenuta con uno
      dei metodi più banali e noti di SQL
      injection.

      Ah, il sito è stato rifatto 3-4 volte. Il buco è
      sempre
      lì.Ma, sarà stato rifatto per aggiungere tanti colori in più :D
    • pentolino scrive:
      Re: Sono 5 anni che leggo il giornale gratis
      lascia stare, che una volta ero capitato sulla console di amministrazione di un sito di non mi ricordo quale provincia; non avevo nemmeno dovuto usare la sql injection, la password era quella di default.Ci riconduciamo sempre al discorso del "programmatore fai da te" di qualche thread sopra, con un sentito ringraziamento al fenomeno delle body rental cantinare
  • davidsual scrive:
    .Net
    Per quanto riguarda la piattarforma .Net microsoft oltre a far uscire decine e decine di issue e best pratices per il buon sviluppo, ha sollecitato l'utilizzo dei Parameters o come best pratices l'utilizzo di Store Procedure per le interrogazioni al db.In più a fatto uscire un controllo (net 1.1) per il LOGIN, che controlla in maniera nativa la possibilità di fare sql iniection, cosi gli sviluppatori piu modesti hanno già un controllo di login che li smarca da questo tipo di problemi.Per il resto come fatto risaltare nei vari post..la tecnologia che si utilizza, non ha nulla a che fare con la vulnerabilità a questo tipo di attacco, ma è la competenza di chi sviluppa che fà la differenza...In ogni caso ha ragione anche chi ha scritto che sono da circa 10 anni che si parla di sql iniection
    • pentolino scrive:
      Re: .Net
      quoto in pieno
    • Torakiki scrive:
      Re: .Net

      In più a fatto uscire un controllo (net 1.1) per
      il LOGIN, che controlla in maniera nativa la
      possibilità di fare sql iniection, cosi gli
      sviluppatori piu modesti hanno già un controllo
      di login che li smarca da questo tipo di
      problemi.WOW! L'ho sempre detto io che M$ è troppo avanti!
      • ecortese scrive:
        Re: .Net
        Già, del resto Microsoft ha rilasciato nei giorni scorsi anche un security bullettin che informa l'utente circa i rischi di usare Appl Safari per Windows, e figurati che Appl se ne era fregata per mesi.Hai ragione, è proprio avanti, tanto da preoccuparsi anche delle magagne di altri.
  • Fa Da Se scrive:
    Programmatori fai da te
    Sai quanti si improvvisano programmatori e lasciano aperti buchi grandi come crateri cosmici?Ma d'altra parte le aziende vogliono pagare le persone poco, così se hai 10 anni di esperienza vali come uno che ha sei mesi...comunque... ben venga l'informazione...
    • Uno scrive:
      Re: Programmatori fai da te
      Poi basta conoscere le tecnologie fiche e funziona tutto.... questo è il mercato che vuoi fare.
    • pentolino scrive:
      Re: Programmatori fai da te
      quoto, i risultati sono questi.Il problema però è che invece che spendere un po' di più all' inizio per prendere gente competente molte aziende preferiscono spendere dei gran soldi per intervenire a posteriori quando il danno è già fatto.Davvero un bel risparmio!
    • pollo scrive:
      Re: Programmatori fai da te
      Purtroppo questo è un problema molto presente in Italia...Oltre alle query create al volo senza nessuna prevenzione alla SQL injection ho anche visto siti dove per entrare nell'area riservata bastava scrivere nell'url http://.../admin.aspx e chiunque entrava serenamente... nella pagina non vi era nessun controllo sui privilegi dell'utente, ma semplicemente, nell'homepage del sito, venivano nascosti i link alla sezione amministrativa (se non eri admin)!!
      • pentolino scrive:
        Re: Programmatori fai da te
        vero! anche io ho lavorato ad un sito fatto così! però era scritto in java, quindi la pagina di admin era:...../admin.jsp :-)
    • HIHIHI scrive:
      Re: Programmatori fai da te
      Ahahahah!!!!IO HO BECCATO UN SITO LA CUI UTENZA DI AMMINISTRAZIONE È ADMIN ADMIN!!!!!Hihihi... Sono 3 anni che controllo se sistemano il buco, ma nulla!E gliel'ho pure sergnalato!!!!Hahaha....Un giorno o l'altro, gli inserisco una news nel sito... E gli scrivo... Siamo buscheri, perchè abbiamo pagato il sito un cifrone ed è pieno di buchi!HIHIHI!!!Scommetto che se scrivo utente = vero' OR '1'='1 e come passwd, giusto per essere sicuro, vero' OR '1'='1 Entro lo stesso, pure se cambiano la password di amministratore!!! HAHAHA!!!
      • mura scrive:
        Re: Programmatori fai da te
        azz nemmeno agli albori quando facevo web pippetta per il negozio del cioccolataio di sotto commettevo errori del genere. Poi basta così poco una semplice routine che ti porti avanti in tutte le paginemah e poi questi riescono ancora a vendere :
      • pentolino scrive:
        Re: Programmatori fai da te
        la sfiga è che se "buchi" un sito del genere e ti beccano, i guai li passi tu e non il *** che ha scritto il sito...Che mondo marcio! :-(
      • Mi scoccio di loggare scrive:
        Re: Programmatori fai da te
        :)Beh... su questo, penso che la colpa e' di chi dovrebbe gestire l'area admin e cambiare la password... no?Non penso che se un amministratore di un sito scelga come password "admin - admin" oppure "admin - pippo", la colpa sia del programmatore....Almeno penso...
  • Giambo scrive:
    Java Vs. ASP
    Non conosco ASP, ma so che con Java scrivere del codice che permetta SQL-injection e' quantomai "complesso", dato che il linguaggio offre strumenti per evitarlo (E per facilitare la scrittura di SQL).Altri linguaggi, molto piu' usati come per esempio PHP ?
    • ABC scrive:
      Re: Java Vs. ASP


      Altri linguaggi, molto piu' usati come per
      esempio PHP
      ?mai avuto problemi.Certamente se uno programma in PHP o in ASP.NET e non è un bravo programmatore, allora di buchi ne lascia aperti all'infinito (e oltre...)
    • Darshan scrive:
      Re: Java Vs. ASP
      In mano a un incompetente nessun linguaggio è sicuro.L'sql injection è trattato nei testi di programmazione da anni...se non se li leggono che vogliono?
    • Uno scrive:
      Re: Java Vs. ASP
      Visto la tua dichiarazione non comprerei mai e poi mai un programma da te realizzato, sql injection lo rischi con java con asp, asp.net,php e chi più ne ha più ne metta dipende da come scrivi il codice, posso dire che da come è strutturato asp.net, rispetto a java e asp, è più improbabile che il programmatore faccia queste'errore, per come sono strutturati i DataReader e i dataset, ma anche li nessuno vieta di creare un pericolossisima sql si fattaMySql = "Select * From Utente where nomeutenteo = '" + MiaVaribile + "'";...
      • Spv scrive:
        Re: Java Vs. ASP
        Ah perchè non si fa così?!?!? ^_^X asp.net la soluzione è semplice...query PA-RA-ME-TRI-CHE... come dice Kesty
        • Uno scrive:
          Re: Java Vs. ASP
          Appunto in .net si fa la query con i parametri... che garantisice più sicurezza....
        • Bool scrive:
          Re: Java Vs. ASP
          Anche in ASP classic si possono usare le Stored Procedures parametriche invece di sparare direttamente il comando SQL. Prepari le variabili, le tipizzi, passi la stringa e diventa impossibile subire una SQL Injection (a meno che nella Stroed Procedure non ci infili una EXEC di una stringa...).Diciamo la verità: JAVA è nettamente più lento di ASP (sia classic che NET), in coppia con Oracle molto meno scalabile della coppia ASP+MS SQL Server (oltre i 900 utenti le prestazioni decadono drammaticamente) e non ha molto senso usare JAVA per siti economici e/o di modesta importanza.PHP+MySql è il miglior compromesso per siti medio-piccoli, anche perché impedisce le queries multiple (niente iniezioni di ';DELETE FROM Utenti;--) ed aggiunge direttamente il backslash di escape prima degli apici per tutti gli input POST e GET. Con PHP+MySql bisogna davvero programmare male per farsi manipolare il DB.Però PHP ha un grave problema con il comando mail: essendo completamente manuale, si può manipolare praticamente tutto il messaggio direttamente dal solo indirizzo (esempio: dichiarandomi essere aaa@aa.com;to:bbb@bbb.com;subject:VjagraVsCjaljs...). Il mondo è pieno di spam incontrollabile per colpa di quel comando. Lo sanno gli utenti di Aruba... eh eh ehVabbè, vale sempre il principio che la tecnologia non potrà mai sconfiggere la stupidità umana.
          • advange scrive:
            Re: Java Vs. ASP

            Diciamo la verità: JAVA è nettamente più lento di
            ASP (sia classic che NET), in coppia con Oracle
            molto meno scalabile della coppia ASP+MS SQL
            Server (oltre i 900 utenti le prestazioni
            decadono drammaticamente) e non ha molto senso
            usare JAVA per siti economici e/o di modesta
            importanza.JAVA e ORACLE meno scalabili di ASP e MS SQL? Volevi dire il contrario?

            PHP+MySql è il miglior compromesso per siti
            medio-piccoli, anche perché impedisce le queries
            multiple (niente iniezioni di ';DELETE FROM
            Utenti;--) ed aggiunge direttamente il backslash
            di escape prima degli apici per tutti gli input
            POST e GET. Con PHP+MySql bisogna davvero
            programmare male per farsi manipolare il
            DB.Non ne sono sicuro, fino a qualche anno fa era invece facilissimo incorrere in questi errori; in generale PHP è un linguaggio per non esperti, anche se ovviamente può essere usato benissimo da chi di informatica ne capisce.

            Però PHP ha un grave problema con il comando
            mail: essendo completamente manuale, si può
            manipolare praticamente tutto il messaggio
            direttamente dal solo indirizzo (esempio:
            dichiarandomi essere
            aaa@aa.com;to:bbb@bbb.com;subject:VjagraVsCjaljs..

            Vabbè, vale sempre il principio che la tecnologia
            non potrà mai sconfiggere la stupidità
            umana.Quoto
      • taddeo scrive:
        Re: Java Vs. ASP
        - Scritto da: Uno
        Visto la tua dichiarazione non comprerei mai e
        poi mai un programma da te realizzato, Non sono interessato a vendere a te, ho il mio lavoro che mi fa guadagnre abbastanza ;)
        posso dire che da come
        è strutturato asp.net, rispetto a java e asp, è
        più improbabile che il programmatore faccia
        queste'errore, per come sono strutturati i
        DataReader e i dataset,Pure Java ha i suoi bei PreparedStatements, e scrivere una query passibile di SQL-injection risulta difficile.
    • pentolino scrive:
      Re: Java Vs. ASP
      sbagliato.In java è semplicissimo fare un qualcosa di vulnerabile alla sql injection, esempio:String empCode = request.getParameter("empCode");Connection conn = String query = "SELECT * FROM EMPLOYEE WHERE empCode = " + empCode;Statement stat = conn.createStatement();ResultSet res = stat.executeQuery(query);.... ecco fatto, in poche semplicissime righe sei già pronto alla tua bella SQL Injection.Il problema qui sono i programmatori, non il linguaggio
      • Uno scrive:
        Re: Java Vs. ASP
        Come quasi sempre direi...
      • Matteo scrive:
        Re: Java Vs. ASP
        In Java basterebbe usare dei preparedstatement invece degli statement semplici...
        • pentolino scrive:
          Re: Java Vs. ASP
          esattamente come in asp, php... etcPuoi scrivere porcherie in qualsiasi linguaggio, la differenza la fa il programmatore
          • pippo scrive:
            Re: Java Vs. ASP

            esattamente come in asp, php... etc
            Puoi scrivere porcherie in qualsiasi linguaggio,
            la differenza la fa il
            programmatoreHei siamo d'accordo!!!Dev'essere il caldo ;)
          • pentolino scrive:
            Re: Java Vs. ASP
            mi spieghi questa trollata?cosa c'è di strano nel fatto che siamo d' accordo? Io ho sempre difeso java dagli strali di chi dice che fa schifo, ma mi pare anche di avere spesso sostenuto che se un' applicazione che fa schifo in genere è colpa dei programmatori, non della piattaforma...Ovvero: su più o meno qualunque piattaforma si possono fare grandi cose e grandi boiate
          • pippo scrive:
            Re: Java Vs. ASP

            cosa c'è di strano nel fatto che siamo d'
            accordo? Io ho sempre difeso java dagli strali di
            chi dice che fa schifo, ma mi pare anche di avere
            spesso sostenuto che se un' applicazione che fa
            schifo in genere è colpa dei programmatori, non
            della
            piattaforma...Beh, certe cose non le puoi fare, e non sarai mai veloce come un'applicazione nativa, tutto qui :)
          • gerry scrive:
            Re: Java Vs. ASP
            - Scritto da: pippo
            Beh, certe cose non le puoi fare, e non sarai mai
            veloce come un'applicazione nativa, tutto qui
            :)Ma adesso non va di moda virtualizzare tutto? :)
          • pentolino scrive:
            Re: Java Vs. ASP
            e daje... lascio perdere
          • pippo scrive:
            Re: Java Vs. ASP

            e daje... lascio perderegià, quando non si hanno argomenti...
          • pentolino scrive:
            Re: Java Vs. ASP
            ma perchè devi continuare a trollare? oggi avevamo iniziato bene poi non so perchè sei andato offtopic e non sei più rientrato... mah
          • pippo scrive:
            Re: Java Vs. ASP

            ma perchè devi continuare a trollare? oggi
            avevamo iniziato bene poi non so perchè sei
            andato offtopic e non sei più rientrato...
            mahè la genialità associata a java che trovo irresistibile...per esempio questo:http://sourceforge.net/projects/vectorpascalcom :|
          • pentolino scrive:
            Re: Java Vs. ASP
            me la spieghi questa?1) Mi pare che insistere su java sia decisamente offtopic visto che l' argomento orginiario era la sql injection su asp2) Quale è il legame tra un progetto (che tu ritieni) bislacco ed il linguaggio in cui è implementato? In un linguaggio general puropose quindi puoi fare quello che vuoi, bello o brutto che sia
          • pippo scrive:
            Re: Java Vs. ASP

            me la spieghi questa?
            1) Mi pare che insistere su java sia decisamente
            offtopic visto che l' argomento orginiario era la
            sql injection su
            aspForse ti sei perso l'oggetto di questa discussione?
            2) Quale è il legame tra un progetto (che tu
            ritieni) bislacco ed il linguaggio in cui è
            implementato? In un linguaggio general puropose
            quindi puoi fare quello che vuoi, bello o brutto
            che
            siaSe non ci arrivi...
          • pentolino scrive:
            Re: Java Vs. ASP
            scusa se sono inferiore a te sua maestà (troll), ti lascio andare a rompere le scatole a qualcun altro.Piuttosto magari riesci a tenere a mente una password in maniera che queste interessantissime discussioni le possiamo fare via PM invece che ammorbare tutti i lettori di PI?Ah, se non l' hai capito non ti risponderò più, la reputo una perdita di tempo
    • davide73 scrive:
      Re: Java Vs. ASP
      Vedo che il marketing "java" ha fatto una vittima...- Scritto da: Giambo
      Non conosco ASP, ma so che con Java scrivere del
      codice che permetta SQL-injection e' quantomai
      "complesso", dato che il linguaggio offre
      strumenti per evitarlo (E per facilitare la
      scrittura di
      SQL).

      Altri linguaggi, molto piu' usati come per
      esempio PHP
      ?
    • gerry scrive:
      Re: Java Vs. ASP
      - Scritto da: Giambo
      Altri linguaggi, molto piu' usati come per
      esempio PHP
      ?In php è facilissimo. mysql_query("Select * from tabella where id='$get_var'");se $get_var la prendi direttamente dai dati postati dall'utente, l'injection è presto fatta: "un valore' OR '1' = '1"l'unica protezione è data da un limite strutturale che impedisce di eseguire più statement sql con la stessa istruzione.I tool per proteggersi ci sono, ma sta tutto al programmatore.
    • linux boy scrive:
      Re: Java Vs. ASP
      anche con java i rischi di SQL injection sono gli stessi... ci sono i soliti programmatori che hanno l'occhio solamente alla funzionalità e non per la sicurezza che concatenano i parametri delle GET direttamente nelle query SQL...forme per la limitazione di questi pericoli esistono sulla parte sistemistica come il magic quotes di phpInutile dire che M$ può dire e fare quello che vuole, ma il successo di una programmazione sicura è una buona cultura informatica dei programmatori... è pieno di programmatori improvvisati che non sanno neppure di quanta RAM ha bisogno i programmi che scrivono ..
    • Una cosa semplice scrive:
      Re: Java Vs. ASP
      La cosa più semplice e più efficace per proteggersi dalle sql injection che voi trattate è scrivere, invece di:"SELECT * FROM Utenti WHERE NomeUtente = '" & Parametro & "'"Una cosa molto carina, che somiglia a:"SELECT * FROM Utenti WHERE NomeUtente = '" & Replace(Parametro,"'","''") & "'"Peccato che i veri attacchi sql non funzionino così.Un attacco carino, è quando in Parametro, l'utente mette:Parametro = "un valore'; DELETE DATABASE;"Raddoppiando l'apice anche questo tipo di attacco è scongiurato! Perchè il parametro, in qualsiasi caso, viene considerato stringa per l'sql. Una stringa con un apice all'interno ma questa, ripeto, non è la soluzione ideale.Usate gli strumenti forniti dal sistema che state usando.Oppure comprate oggetti che vi piacciono.
    • ... scrive:
      Re: Java Vs. ASP
      veramente asp 3.0, alla pari di asp.net, permette benissimo di usare i command per le query. Tutti i linguaggi lo permettono. Tutto sta nel conoscere le problematiche e come affrontarle. Al limite potrei essere d'accordo sul fatto che asp 3.0 è più semplice rispetto a .net e quindi ci sono più incompetenti in giro che si improvvisano programmatori.
      • Kesti scrive:
        Re: Java Vs. ASP
        Si, puoi fare i command e usare parametri e stored procedure anche in ASP classic.Però non è un sistema piuttosto complesso da fare, e non è il massimo della vita da usare. In ASP classic filtrare i parametri è molto più comodo e veloce.ASP.NET rende l'utilizzo dei parametri per le variabili delle query SQL molto più semplice e veloce da usare.Tanto sappiamo tutti che quando si va dal capo progetto:velocià = risparmio








        sicurezza
    • Kesti scrive:
      Re: Java Vs. ASP
      Perfettamente d'accordo.Quando parlavo di SQL Server intendevo riguardo la "famigerata" SQl injection che tanto è andata di moda nell'ultimo periodo.Essendo quella stata scritta per SQL Server ê normale che la maggior parte dei siti colpiti fosse scritti in ASP o ASP.Net.Era giusto un'esempio per dire che non è ASP o Microsoft il problema, quanto i programmatori che non sanno/non vogliono preoccuparsi di mettere in sicurezza le applicazioni.
      • ecortese scrive:
        Re: Java Vs. ASP
        Scusami se ho frainteso, però questi luoghi pullulano di gente che usa commenti più per vangelizzare che per amore dell'IT.Ciao!
Chiudi i commenti