Intercettare Skype e il VoIP

Press release di Eurojust (via Repubblica):

Eurojust is a new European Union body established in 2002 to enhance the effectiveness of the competent authorities within Member States when they are dealing with the investigation and prosecution of serious cross-border and organised crime.

At the request of Direzione Nazionale Antimafia in Rome, the Italian Desk at Eurojust will play a key role in the coordination and cooperation of the investigations on the use of internet telephony systems (VoIP), such as “Skype”. Eurojust will be available to assist all European law enforcement and prosecution authorities in the Member States. The purpose of Eurojust’s coordination role is to overcome the technical and judicial obstacles to the interception of internet telephony systems, taking into account the various data protection rules and civil rights.

… siamo d’accordo che è impossibile, vero?

UPDATE

Quello che voglio dire è che non è possibile intercettare alcuna comunicazione via internet, se cifrata. A meno che…

…a meno che non vogliano vietare per legge la crittografia. Un po’ come succede tuttora negli USA per chiavi crittografiche di lunghezza superiore a 64 bit (che richiedono una specifica approvazione):

Mass market encryption commodities and software employing a key length greater than 64 bits for the symmetric algorithm […] remain subject to the EAR and require review by BIS […]

To request authorization for your “mass market” encryption products[…], you must submit a complete review request to BIS and the ENC Encryption Request Coordinator. The following guidance is designed to help you prepare and submit your requests for 30-day “mass market” encryption revie […]

(fonte Bureau of Industry and Security US Department of Commerce)

UPDATE 2

… che poi, anche ammesso di voler percorrere una strada di questo tipo (limitare o bloccare specifiche applicazioni), non penseranno che la gente stia lì a guardare… oggi ne parla anche Stefano qui.

Il “Futuro del Social Networking”

Stavo scrivendo questo post e mi sono reso conto che capitava a fagiolo (che brutta espressione!) con il lancio di Google Latitude, il social network che promette di avere sempre sotto controllo la mappa (geografica) dei tuoi amici.

***

A Gennaio si è tenuto a Barcellona un Workshop sul Futuro del Social Networking sponsorizzato dal W3C e qualche giorno fa ne è uscito il report. È interessante leggere le considerazioni che sono state espresse a proposito della privacy nei social network (da notare che erano presenti molte aziende che operano nel settore):

“forcing users to create accounts and record their data across many of these networks was counter-productive…

A decentralized architecture… would allow the user to choose how many accounts and profiles she desires…

… social networking technologies needed to preserve the possibility for a user to fragment its identity across various profiles, and, in an increasingly context-sensitive setting, to hide, blur or lie about the user’s current context, as a minimal option to protect privacy…

the difficulty of getting users to recognize the privacy-implications of their behavior on social networks… was found to stand as a great obstacle to the deployment of any technical solution…”

In pratica, i produttori di social network si stanno lentamente accorgendo che gli utenti non sono “sterminate praterie di dati personali che aspettano solo di essere raccolti”. E si sono anche accorti resi conto che se gli utenti non comprendono le implicazioni delle loro azioni sulla privacy, questo, in ultima analisi, rischia di danneggiare l’azienda stessa, perché gli utenti potrebbero decidere di rigettarne l’applicazione (questa, in realtà, è una considerazione mia).

Naturalmente, non è che adesso tutti cominceranno ad andare nella direzione opposta, sia chiaro: in fondo, partecipare a un social network, “fare rete”, vuol dire, per definizione, rinunciare a parte della propria privacy. Però fa piacere che anche “là fuori” qualcuno stia cominciando a interessarsi a questo problema.

UK e consultazione pubblica sul P2P

(via Linx)

Qualche mese fa il BERR (ministero inglese per il commercio, più o meno) ha avviato una consultazione pubblica sul tema del copyright su reti P2P.

Oggi sono usciti i primi risultati, contenenti le risposte fornite da chi ha compilato il questionario. A questo seguirà la pubblicazione, a fine mese, di una prima versione del Digital Britain Report, che sarà completato in Primavera.

Quello che salta all’occhio è una generale contrarietà al coinvolgimento degli ISP nella selezione degli utenti (o dei contenuti) che infrangono le leggi. Le motivazioni sono varie: difficoltà tecniche, dubbi sulla legalità di tali soluzioni e rischi legati alla privacy e sicurezza dei dati.

Come dicevo, sono tutti contro, fuorché i soggetti detentori di copyright…

***

In attesa del rapporto del governo, vi copio e incollo le 4 possibili alternative di regolamentazione del traffico P2P che sono state individuate dal governo e su cui è stata aperta la consultazione (consultation on legislative options to address illicit peer-to-peer (P2P) file-sharing):

1. Option A1: Streamlining the existing process by requiring ISPs to provide
   personal data relating to a given IP address to rights holders on request without them needing to go to Court
2. Option A2: Requiring ISPs to take direct action against users who are
   identified by the rights holder as infringing copyright through P2P…
3. Option A3: Allocating a third party body to consider evidence provided by
   rights holders and to direct ISPs to take action against individual users as required, or to take action directly against individual users
4. Option A4: Requiring that ISPs allow the installation of filtering equipment
   that will block infringing content…

Se posso dare il mio modesto parere, l’unica fattibile, legalmente e tecnicamente, mi sembra la A3. Poi, naturalmente, fra il dire e il fare…

Piu’ di meta’ del traffico Internet e’ P2P

Il traffico P2P rappresenta piu’ del 50% del traffico complessivo di Internet.

La notizia, e’ particolarmente interessante perche’ discussa lunedi scorso al RIPE, la conferenza semestrale dei registry europei (quelli che gestiscono il DNS, per intenderci) e dei rappresentanti dei maggiori ISP. Durante questa conferenza si discute di Internet e della sua evoluzione, in termini di infrastruttura, a livello europeo.

Il nocciolo della presentazione e’: un ISP conosce la locazione fisica di un peer, la banda, etc. I peer, quando devono scegliere i propri “vicini” (neighbour), contattano l’ISP che, conoscendo lo stato della rete, puo’ scegliere quelli che, complessivamente, minimizzano la latenza, massimizzano la prossimita’ geografica, etc. Il risultato e’ una topologia non ottimale ma con prestazioni migliori di una completamente casuale…

A essere sincero, c’e’ qualcosa che non mi torna in questa proposta, e cito solo una delle conclusioni finali:

Benefits
ISPs: regain control of network traffic

Per carita’, io non sono contrario a un certo tipo di controllo operato dagli ISP, ma un conto e’ limitare il traffico, un altro scegliere i neighbour a cui un peer si collega (se vogliamo fare della filosofia, controllare la topologia di una rete P2P equivale a controllarne i flussi informativi).

A parte questo, credo che parlare di peer-to-peer fra un DNS e un IPv6 e’ indice che la tecnologia sta diventando matura e che si stanno cominciando a riconoscerne le potenzialita’. E questo non puo’ che essere positivo.

ale

ps: perche’ nel grafico della seconda slide gli autori distinguano fra P2P e VOIP?

Botnet in affitto

Una sintesi impeccabile a cura di Alberto Berretti sul proliferare delle botnet in Internet.

Le ragioni economiche e politiche che si nascondono dietro al fenomeno delle botnet e’ spiegato egregiamente nel post di Berretti. Qui voglio aggiungere solo una piccola considerazione su un fenomeno sorprendente, o forse inevitabile, osservato di recente: e cioe’, che esistono botnet in grado di attivare misure di autodifesa contro chi cerca di studiarne i meccanismi.

Se un ricercatore si collega a uno o piu’ bot per studiarne il comportamento si puo’ ritrovare a subire un Distributed Denial-of-Service, con decine di migliaia di messaggi provenienti dalla botnet che bloccano il suo computer e i server del suo service provider. In alcuni casi si parla anche di botnet in grado di rilevare altri tipi di “controlli esterni”: un tempo di risposta troppo lungo, ad esempio, puo’ indicare la presenza di una rete di controllo che filtra e analizza ogni comunicazione in entrata e uscita da un particolare pc. Il bot che lo controlla puo’, a questo punto, scatenare l’attacco e disattivarsi per evitare ogni futuro controllo (quest’ultima forma di auto-difesa, a dire il vero, mi e’ stata “raccontata” ma non sono riuscito a trovare nessun riferimento in Internet).

Se scarichi film ti meriti il 56K

Ci racconta Zambardino che in Inghilterra vorrebbero impedire l’accesso a Internet a chi scarica software illegalmente. E che questa misura dovrebbe essere attuata direttamente dagli Internet Service Provider.

Commento num. 1 (vedi anche Zambardino): ma non c’e’ un po’ troppo potere nelle mani di aziende private?

Commento num. 2: come si fa, in pratica? Contro ogni logica di protezione della privacy, si potrebbe usare una blacklist a cui tutti gli ISP d’Inghilterra accedono per controllare i loro utenti (penso sia meglio della “mail con la lista dei cattivi” recapitata ogni mattina). Bene. Che ci va nella lista? In Inghilterra non c’e’ la carta d’identita’, la patente non e’ obbligatoria, il “National Insurance Number”, che sarebbe meglio non usare, non e’ obbligatorio. L’indirizzo di casa? E se uno cambia casa? O va in uno Starbucks?

Mah, forse c’e’ qualcosa che mi sfugge, ma questa proposta, per ora, mi sembra abbastanza campata per aria.