Nel pieno della corsa agli armamenti innescata dai venti di Terrore che hanno spinto la politica ad iniziative di tecnocontrollo, la Germania ha scelto di dotarsi nuovamente dei trojan di stato.
A fronte di una schiera di governi che agiscono nell'ombra, come dimostrano le relazioni commerciali intrattenute con aziende di settore quali Hacking Team e Gamma , la Germania era stato il primo fra i paesi europei a legalizzare il cracking di stato al servizio della giustizia, dopo che il lander del Nord-Reno Westfalia aveva portato avanti le proprie sperimentazioni. Era altresì stato il primo paese europeo a dubitare della liceità di strumenti che permettevano non solo l'intercettazione delle comunicazioni in transito sulle macchine dei cittadini, ma aprivano la strada a perquisizioni estensive che permettevano di accedere ai documenti conservati sui dispositivi elettronici. Nel 2008 la Corte Costituzionale tedesca aveva decretato che le backdoor di stato rappresentassero una violazione dei diritti civili , capaci di attentare alla spontaneità del cittadino che si sarebbe percepito schiacciato da un controllo onnipresente. Il raggio d'azione dei trojan di stato era così stato limitato ai casi straordinari, su regolare mandato.
Le autorità non avevano ceduto , come hanno dimostrato nel 2011 le rivelazioni degli hacker del Chaos Computer Club (CCC) e le successive ammissioni da parte del mondo politico. Una operazione di trasparenza da parte del governo aveva fatto luce sui contratti stipulati con Digitask, azienda incaricata dello sviluppo dei sistemi di sorveglianza, ma non aveva di fatto chiarito le modalità di azione e l'effettiva liceità del tecnocontrollo a mezzo malware.
Ormai sopite, le polemiche sulle attività di sorveglianza tedesche si sono riaccese in queste ore, quando il Ministro degli Interni ha annunciato l' approvazione di un nuovo trojan di stato : “Ora abbiamo le competenze che prima non avevamo”, ha riferito un portavoce del Ministero.
Sviluppato internamente e pronto dall'autunno scorso, si configura come uno strumento di sola intercettazione delle comunicazioni in corso, così da schivare il problematico nodo delle perquisizioni degli hard disk, assimilabili alle perquisizioni fisiche per cui la legge prevede la presenza del soggetto sotto indagine. Secondo i media si tratterebbe in sostanza di un software che consente di controllare le periferiche di input della macchina del soggetto, un keylogger combinato con soluzioni per intercettare i flussi audio e video che scorrono attraverso il dispositivo del sospetto.
Il Chaos Computer Club ha già espresso le propria critiche: sistemi di intercettazione come quelli che sembrano poter imbracciare ora le autorità tedesche possono facilmente essere piegati a scopi più estensivi, sconfinando nell'illegalità . Un software capace di intercettare le comunicazioni che passano dal microfono può prestarsi all'intercettazione ambientale; un keylogger rastrella le password, oltre alle chat; un trojan che si insinua nelle macchine degli utenti occultando le proprie attività potrebbe facilmente esplorare gli hard disk senza che nessuno se ne accorga.
Ma le autorità tedesche assicurano che il trojan di stato sarà impiegato solo nelle contingenze previste dalla legge , vale a dire nel momento in cui siano a serio rischio la vita delle persone o la sicurezza dello stato: sarà un giudice a delimitare questi contesti sulla base di concrete prove a sostegno dei sospetti e ad accordare l'eventuale dispiegamento del malware di stato. In ogni caso, l'azione del software si limiterà all'intercettazione delle comunicazioni.
Memore delle disfatte del passato, nonostante il clima favorevole all'introduzione di captatori e analoghe misure tecnologiche di sorveglianza, la Germania accompagna le proprie soluzioni di tecnocontrollo con rassicurazioni sulla proporzionalità del loro dispiegamento, come imposto dall'Europa. A non prevedere alcuna premura, invece, è l'Italia, che di recente ha riaccolto nella propria agenda politica una proposta per dotare le forze dell'ordine di “strumenti o di programmi informatici per l'acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico”, per conoscere presente e passato del cittadino attraverso i dati archiviati o in transito sui propri dispositivi.
Gaia Bottà
-
__________
Eddai Apple, dagliela! non fare l'ipocrita sostenitrice dei diritti umani, tanto non ci crede nessuno. E poi usare i dati dei clienti per fini pubblicitari non è che poi è tanto meglioRe: __________
- Scritto da: LinkZ> Eddai Apple, dagliela! non fare l'ipocrital'ipocrisia non c'entra.. qui si rischia che a furia di dinieghi FBI ottenga nuove leggi ad hoc che peggiorerebbero sol ole cose.Apple dia quello che chieono e nel contempo metta a posto il punto debole della catena di sicurezza, ovvero permettere PIN corti ed insicuri.Re: __________
I commenti stan diventando sempre piú allucinanti !!Se lo apre espone TUTTI i suoi clienti ed é complice del governo ... quindi di NSA , CIA, FBI , ISIS ed al Qaeda ; se non lo apre faranno leggi ad hoc che colpiranno tutti......Qualsiasi cosa faccia é colpa di Apple, é colpa di Apple se il terrorista aveva un iPhone (Apple non avrebbe dovuto venderglielo).Mai come in questo caso sta venendo fuori l'ipocrisia dei detrattori della mela, sotto tutti i punti di vista.Re: __________
- Scritto da: aphex_twin> I commenti stan diventando sempre piú> allucinantiBasta che leggi solo quelli sensati e vedrai che tutto tornerà sereno come nella miglior giornata primaverile di festa al villaggio dei Puffi.> Se lo apre espone TUTTI i suoi clienti ed é> complice del governo ... quindi di NSA , CIA, FBI> , ISIS ed al Qaeda No, è falso.Punto uno perché il firmware di Apple deve essere firmato dalle chiavi private di Apple quindi non può essere modificato da terzi. Apple può fare un firmware ad hoc per quel device mettendo una bella IF sui vari ID univoci e nessuno potrà usarlo per altri device in quanto non potrebbe firmare una variante. Inoltre Apple può chiedere come compromesso che il device venga portato presso le sue sedi davanti agli omini dell'FBI ed una volta trovato il PIN, venga rimesso il vecchio firmware e consegnato il tutto agli agenti, poco prima di distruggere sorgenti e file del firmware ad hoc.Punto due, BEN PIU' RILEVANTE, il sistema di Apple è GIA' fallato che ti piaccia o meno perché Apple è in grado di creare il firmware per il brute force.Che esista o meno, non importa, il fatto che lo possa fare rende la crittografia del file system inefficace in quanto qualcuno può violarla al posto del reale utente in pochi minuti/ore>; se non lo apre faranno leggi> ad hoc che colpiranno> tutti......questo lo vedrai nei prossimi mesi, puoi giurarci.E se vince Trump ne vedrai delle belle a prescindere da quello che fa e vuole Apple.> Qualsiasi cosa faccia é colpa di Apple, é colpa> di Apple se il terrorista aveva un iPhone (Apple> non avrebbe dovuto> venderglielo).l'unica colpa di Apple è aver permesso un PIN troppo corto.Se avesse obbligato gli utenti a usare passphrase ad alta entropia (rendendo il device meno comodo, lo sai benissimo che è questo il motivo per cui non l'hanno fatto) tutta questa diatriba non sarebbe nata.> Mai come in questo caso sta venendo fuori> l'ipocrisia dei detrattori della mela, sotto> tutti i punti di> vista.non so cosa tu abbia mangiato o bevuto, ma qui si sta accusando gli omini dell'FBI, non AppleRe: __________
Ciccio bello chi gli ha ordinato di crittografare i terminali di cani e porci? Di gente che non ha mai sentito parlare di crittografia?Hanno fatto una terribile razzata. PUNTO! Se disgraziatamente un domani ci dovessero essere solo devices bucati per legge, molto del merito sarà anche di papple. Tutto questo senza scomodare la già discussa teoria dell' "assist volontario".Re: __________
- Scritto da: LinkZ> Eddai Apple, dagliela! non fare l'ipocrita> sostenitrice dei diritti umani, tanto non ci> crede nessuno. E poi usare i dati dei clienti per> fini pubblicitari non è che poi è tanto> meglioQuesto lo fa Google, non Apple.Apple difende solo la sua clientela
Chi ha il mac oppure iphone ha il meglio e pretendende il meglio e apple difende la sua clientela che strapaga la roba onestamente ma che non la lascia in balia del mare.Il famoso errore 53 inoltre la dice molto sulla sua clientela che di sicuro non si e' fatta mettere i piedi in testa come per i clienti android che non vedranno mai un aggiornamento oppure una riparazione, un "usa e getta phone" Tutti gli altri che hanno telefoni da poco e vanno in giro a dire che tanto e' uguale che strapaghi il marchio, tutti classici discorsi sentiti trilioni di volte con tanti altri prodotti, roba del contentino imposto dal propio io per non sentirsi inferiore a chi non lo possiede, una autodifesa interna che scatta automaticamenteRe: Apple difende solo la sua clientela
- Scritto da: mac user> Chi ha il mac oppure iphone ha il meglio e> pretendende il meglio e apple difende la sua> clientela che strapaga la roba onestamente ma che> non la lascia in balia del> mare.> Il famoso errore 53 inoltre la dice molto sulla> sua clientela che di sicuro non si e' fatta> mettere i piedi in testa come per i clienti> android che non vedranno mai un aggiornamento> oppure una riparazione, un "usa e getta phone"> > Tutti gli altri che hanno telefoni da poco e> vanno in giro a dire che tanto e' uguale che> strapaghi il marchio, tutti classici discorsi> sentiti trilioni di volte con tanti altri> prodotti, roba del contentino imposto dal propio> io per non sentirsi inferiore a chi non lo> possiede, una autodifesa interna che scatta> automaticamenteCosa fai, del razzismo tecnologico? Bravo!Sicuramente se pApple era già antipatica di suo per i suoi atteggiamenti di produttrice di gingilli di culto, ora è diventata più nauseante della stessa M$ per non parlare di Intel.Re: Apple difende solo la sua clientela
- Scritto da: mac user> Tutti gli altri che hanno telefoni da poco e> vanno in giro a dire che tanto e' uguale che> strapaghi il marchio, tutti classici discorsi> sentiti trilioni di volte con tanti altri> prodotti, roba del contentino imposto dal propio> io per non sentirsi inferiore a chi non lo> possiede, una autodifesa interna che scatta> automaticamenteVeramente e' esattamente l'opposto.Sono i diversamente informatici a dire: "Io non voglio sapere niente. Io pago e pretendo!"In tutti gli altri ambiti, dove la conoscenza tecnologica e' prevalente, si sente dire: "Ma che ce ne facciamo di questa roba, che costa il doppio e vale la meta'?"non ho capito una cosa
ma i tizi dell'FBI non possono portare il cellulare da apple?- si fumano una sigaretta fuori- dopo un'ora esce un tizio che consegna una chiavetta usb con il dump della memoria del telefono- il cellulare viene riconsegnato- i tizi se ne vanno- fine.mi sembra un algoritmo cosi' sempliceRe: non ho capito una cosa
- Scritto da: nelRossoDipinto> ma i tizi dell'FBI non possono portare il> cellulare da apple?Non hai capito: Apple non vuole assistere l'FBI nel recupero dei dati criptati.Re: non ho capito una cosa
No, non può.La memoria non credo si può dumpare, la chiave per decrittarla è derivata da una combinazione del PIN e di un codice univoco SALDATO nella circuiteria del telefono.Anche se si potesse dumpare la memoria, il codice univoco del device non lo si estrae. Quindi la crittografia sarebba a 256bit e non a 4 cifre decimalihttps://thehackernews.com/2016/02/unlock-iphone-device.htmliPhones intentionally encrypt its device's data in such a way that one attempt takes about 80 milliseconds, according to Apple.Re: non ho capito una cosa
- Scritto da: djechelon> No, non può.in realta' si puo'. ma (come hai spiegato dopo) e' inutile.Re: non ho capito una cosa
- Scritto da: djechelon> No, non può.Il paper della EEF spiega cosa può fare e che "può" farlo, ma non vuole farlo.E' molto lungo e tecnico, ti consiglio di leggerlo per farti un'idea.Re: non ho capito una cosa
- Scritto da: nelRossoDipinto> mi sembra un algoritmo cosi' semplicesì, ma poi come fanno ad avere una scusa per chiedere nuove leggi?Re: non ho capito una cosa
- Scritto da: .o0O0o.> - Scritto da: nelRossoDipinto> > > mi sembra un algoritmo cosi' semplice> > sì, ma poi come fanno ad avere una scusa per> chiedere nuove> leggi?e il bello e' che qua non ne viene chiesta nessuna :) anzi si fa' ricorso a una legge ANTICA.... il paradosso e' che proprio la vittoria di apple attirerebbe (c'e' gia' movimento) nuove leggi restrittive (il dormiente CALEA II ?)forse un'argomentazione robusta x Apple
prendendo spunto dal 5° emendamento"Just as the government cant make a journalist write a story on its behalf, according to this view, it cant force Apple to write an operating system with weaker security."iphone vs Apple
anche il buon(*) zdziarski dice che apple dovrebbe mettere nel threat model se stessa (uauau. ma pero', si, un po' lo sta facendo sul serio).Da' una serie di suggerimenti tecnic... ma nel fulgore della lotta, ho paura che si sia dimenticato che anche l'utente (che incidentalmente sarebbe anche il proprietario) verrebbe trattato come tale... se si scorda la pw, addio dati (o gingillo addirittura), necessita' di ricordarsi PIU' password, rotture di palle per i backup/restore/aggiornamenti..... (*)zdz e' un bel personaggio, avendo(avuto) il piede in svariate scarpe, e quindi facendo contemporaneamente piu' parti in commedia...Re: iphone vs Apple
- Scritto da: bubba> Da' una serie di suggerimenti tecnic... ma nel> fulgore della lotta, ho paura che si sia> dimenticato che anche l'utente (che> incidentalmente sarebbe anche il proprietario)> verrebbe trattato come tale... se si scorda la> pw, addio dati (o gingillo addirittura),> necessita' di ricordarsi PIU' password, rotture> di palle per i backup/restore/aggiornamenti.....beh, è semplice, basta far scegliere all'utente il livello di privacy/rottura che preferisce.ah no, ho detto 'scegliere' e stiamo parlando di Apple.ritiro tutto, scusate.Re: iphone vs Apple
- Scritto da: .o0O0o.> - Scritto da: bubba> > > Da' una serie di suggerimenti tecnic... ma> nel> > fulgore della lotta, ho paura che si sia> > dimenticato che anche l'utente (che> > incidentalmente sarebbe anche il> proprietario)> > verrebbe trattato come tale... se si scorda> la> > pw, addio dati (o gingillo addirittura),> > necessita' di ricordarsi PIU' password,> rotture> > di palle per i> backup/restore/aggiornamenti.....> > > beh, è semplice, basta far scegliere all'utente> il livello di privacy/rottura che> preferisce.ehehhe ma scatterebbe una specie di "catch22".. cioe' se non e' il telefono che autonomamente "decide/si protegge" aka non lascia che alcuno sovrascriva certe aree, ma lo decide l'utente, ALLORA lo puo' fare anche l'evil guy... l'argomento e' complesso...> ah no, ho detto 'scegliere' e stiamo parlando di> Apple.> ritiro tutto, scusate.io ci scommetterei che se papple non avesse messo DI DEFAULT la crittazione del filesystem, non staremmo a parlare di questa roba.Re: iphone vs Apple
- Scritto da: bubba.> io ci scommetterei che se papple non avesse messo> DI DEFAULT la crittazione del filesystem, non> staremmo a parlare di questa> roba.questo lo concedo ad Apple.Come concedo il fatto che tecnicamente abbia fatto le cose in modo molto buono (sempre che sia tutto così e non un teatrino come dicono sotto).i faciloni...
...che dicono che Apple potrebbe fare il tutto in sede e dare un dump dei dati... ma secondo voi al momento esiste UNA persona in Apple in grado di scrivere una versione modificata dell'OS?Penso proprio di no! Penso che sia un gruppo di sviluppatori con porzioni di acXXXXX al codice, ma nessuno ha TUTTA la conoscenza necessaria per sviluppare qualcosa simile.Un po' come nei film dove devono usare 3 chiavi o 3 codici diversi per lanciare una testata nucleare.Non dai quel poter ad UNA persona.Ma se l'FBI porta l'iPhone e un team sviluppa il software "insicuro"... quelle persone saranno poi in grado di replicare la performance... e che succede se vengono corrotti? ricattati? assunti dall'FBI con uno stipendio milionario etc... ?Re: i faciloni...
- Scritto da: MeX> ...che dicono che Apple potrebbe fare il tutto in> sede e dare un dump dei dati... ma secondo voi al> momento esiste UNA persona in Apple in grado di> scrivere una versione modificata> dell'OS?la apple stessa (che pero' dice parecchie panzane) dice che gli servono al max 10 ingegneri e 4 settimane> Ma se l'FBI porta l'iPhone e un team sviluppa il> software "insicuro"... quelle persone saranno poi> in grado di replicare la performance... e che> succede se vengono corrotti? ricattati? assunti> dall'FBI con uno stipendio milionario etc...> ?e che succede se la nsa si compra la foxconn? o se scendono i rettiliani e prendono il controllo della mente di Cook?Re: i faciloni...
- Scritto da: bubba> la apple stessa (che pero' dice parecchie> panzane) dice che gli servono al max 10 ingegneri> e 4> settimanee solo perché c'è da implementare la terza richiesta, la più complessa, ovvero interfacciare il device e rendere possibile i 'tap automatici' da un programma esterno (che Apple si è offerta a sua volta di scrivere).comunque si configura la 'mia' soluzione: creazione del 'govOs', ma cracking in casa Apple...Re: i faciloni...
- Scritto da: .o0O0o.> - Scritto da: bubba> > > la apple stessa (che pero' dice parecchie> > panzane) dice che gli servono al max 10> ingegneri> > e 4> > settimane> > > e solo perché c'è da implementare la terza> richiesta, la più complessa, ovvero interfacciare> il device e rendere possibile i 'tap automatici' > da un programma esterno (che Apple si è offerta a> sua volta di> scrivere).si e' quel che penso anch'io... cioe cavare l'erase e il delay sara' roba di piazzare un /* */ qua e la :P per le routine del passcode, invece, normalmente richiamate dalla gui, sara' + o - complesso, a seconda di come son fatte le API & co. fare uno straccio di server TCP per consentire ai feds di bruteforzare, di per se, invece e' roba di poco conto. 10 ing. per 4 settimane mi sembra un po' tantino... ma puo' darsi. Poi fatto la prima volta, le altre vengono facili :P> comunque si configura la 'mia' soluzione:> creazione del 'govOs', ma cracking in casa> Apple...il cracking e' suggerito rimanga in mano feds... penso per questioni legali (contenuti sotto segreto istruttorio ecc). A pag51 Apple lo chiama proprio 'govtos' :P ... le iperboli, i salti di palo in frasca e co non mancano certo nel papiro di risposta di Apple :)Re: i faciloni...
- Scritto da: MeX> ...che dicono che Apple potrebbe fare il tutto in> sede e dare un dump dei dati... ma secondo voi al> momento esiste UNA persona in Apple in grado di> scrivere una versione modificata> dell'OS?> > Penso proprio di no! Penso che sia un gruppo di> sviluppatori con porzioni di acXXXXX al codice,> ma nessuno ha TUTTA la conoscenza necessaria per> sviluppare qualcosa> simile.>ma tu hai mai programmato in vita tua?secondo te per cambiare l'importo di un delay ci vuole un team di 1000 ingegneri?Per trovare il punto di cui si attiva la procedura di wipe e commentarlo ci vuole un team di 1000 ingegneri?Ma sei serio?fanno in branch del codice, cambiano due righe di codice e hanno finito.Re: i faciloni...
non parlo del passcode, parlo di fornire un sistema che garantisca la de-criptazione di iPhone con passcode complessi o password alfanumericheRe: i faciloni...
- Scritto da: MeX> non parlo del passcode, parlo di fornire un> sistema che garantisca la de-criptazione di> iPhone con passcode complessi o password> alfanumerichee perche vorresti la decrittazione? lavori alla nsa? :) gli omini in nero chiedevano solo una patch per bruteforzare meglio il passcode. niente sul decrypt, weak crypto o affini.Re: i faciloni...
- Scritto da: .o0O0o.> ma tu hai mai programmato in vita tua?> secondo te per cambiare l'importo di un delay ci> vuole un team di 1000> ingegneri?> Per trovare il punto di cui si attiva la> procedura di wipe e commentarlo ci vuole un team> di 1000> ingegneri?> Ma sei serio?> > fanno in branch del codice, cambiano due righe di> codice e hanno> finito.Ma si , che ci vuole , una riga la commenti , due le modifiche ed il gioco é fatto . :| :| :| :|Spero vivamente che stavi scherzando !Re: i faciloni...
- Scritto da: aphex_twin> Ma si , che ci vuole , una riga la commenti , due> le modifiche ed il gioco é fatto . :| :| :|> :|> > Spero vivamente che stavi scherzando !per le due cose che ho detto sì.E lo sa chiunque sappia programmare.Per la terza ho già detto che è più complesso.Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti25 02 2016
Link copiato negli appuntiTi potrebbe interessare
![Gaia Bottà]()
25 02 2016Link copiato negli appunti
