sicurezza vs privacy: ad esempio i dati del cellulare

[arulbero]

Ho letto appena adesso questa notizia riguardo al rifiuto di Apple di forzare il codice criptato dell'iPhone 5 di un attentatore:

http://www.corriere.it/tecnologia/economia-digitale/16_febbraio_17/strage-san-bernardino-apple-iphone-tim-cook-syed-farook-fbi-66f4ae62-d554-11e5-bbd0-dbbf7f226638.shtml

Mi raccomando: Non mi interessa assolutamente aprire una discussione su Apple, è solo un esempio su cui riflettere.

Il punto interessante è: fino a che punto la privacy dei dati personali rimane un diritto inviolabile?

È chiaro che nel caso specifico nessuno si dovrebbe far problemi a ledere il diritto di un attentatore, ma il rischio di creare precedenti e soprattutto certificare in questo modo che è sempre possibile tecnicamente accedere ai dati personali di un utente rende la questione complessa (a me il solo fatto che comunque un'azienda se vuole è in grado tecnicamente di accedere ai miei dati criptati mi da fastidio)

Fino a che punto lo Stato (che rappresenta in teoria gli interessi della comunità) può controllare i propri cittadini inducendo aziende private a creare software con backdoor per sfruttare quest'ultime in caso di "necessità"?

Fino a che punto viceversa una qualsiasi azienda privata può opporsi invece alla richiesta di uno Stato?

[1715066588]

1715066588

[1715066588]

1715066588

[1715066588]

1715066588

[1715066588]

1715066588

[sheriff7]

Beh, bisognerebbe addentrarsi nella giungla normativa che regolamenta diritti umani, aziendali, pubblici etc etc...
La difesa più efficace sta nel non farsi strangolare dai Big Data e cercare di pubblicare o informatizzare il minor numero possibile dei cazzi propri.
Impresa ardua ma non impossibile.

[Anon39]

Il punto interessante è: fino a che punto la privacy dei dati personali rimane un diritto inviolabile?

È chiaro che nel caso specifico nessuno si dovrebbe far problemi a ledere il diritto di un attentatore, ma il rischio di creare precedenti e soprattutto certificare in questo modo che è sempre possibile tecnicamente accedere ai dati personali di un utente rende la questione complessa (a me il solo fatto che comunque un'azienda se vuole è in grado tecnicamente di accedere ai miei dati criptati mi da fastidio)

nel caso di omicidio mi sembra logico che la privacy di un individuo diventi questione secondaria. la scelta di apple mi sembra di cattivo gusto
non ho capito cosa intendi con il fatto dell'azienda che può accedere ai tuoi dati: dipende come sono stati criptati presumo
utilizzando sistemi crittografici non proprietari e considerati very strong non c'è azienda che possa entrare

[ziomik]

OT ma non troppo:
Mi sono sempre chiesto sul perchè non esista un software per Android o iPhone che permetta la condivisione di una chiave tra due individui e che, tramite questa, riesca a criptare le comunicazioni delle loro chiamate. Att.ne non dico un software che funzioni tramite internet ma uno che utilizzi proprio la rete telefonica della compagnia telefonica.

[rodrigobitcoin]

per me non c'p niente da discutere, bisognerebbe creare una lista di reati, per i quali l'individuo perse qualsiasi diritto. Onestamente il diritto alla privacy non mi sembra una cosa così terribile da violare, soprattutto in casi simili

[HostFat]

OT ma non troppo:
Mi sono sempre chiesto sul perchè non esista un software per Android o iPhone che permetta la condivisione di una chiave tra due individui e che, tramite questa, riesca a criptare le comunicazioni delle loro chiamate. Att.ne non dico un software che funzioni tramite internet ma uno che utilizzi proprio la rete telefonica della compagnia telefonica.

Forse c'è una probabilità di errore troppo alta.

EDIT:
Per la verità credo che ora Signal supporti questa cosa ...

EDIT2:
Come non detto

[bittaitaliana]

Tipico comportamento americano, forte con i deboli, zerbino con i potenti.
volevo vedere se non fosse stata apple, ma una piccola software house ad avere la possibilità di sbloccare quel telefono, se il giorno dopo non si trovava invasa dai militari con accuse di complicità

[arulbero]

... ma il rischio di creare precedenti e soprattutto certificare in questo modo che è sempre possibile tecnicamente accedere ai dati personali di un utente rende la questione complessa (a me il solo fatto che comunque un'azienda se vuole è in grado tecnicamente di accedere ai miei dati criptati mi da fastidio)

non ho capito cosa intendi con il fatto dell'azienda che può accedere ai tuoi dati: dipende come sono stati criptati presumo
utilizzando sistemi crittografici non proprietari e considerati very strong non c'è azienda che possa entrare

Mi riferivo a questo passaggio:

I precedenti
Mentre Apple nelle parole del ceo specifica di «non avere simpatie per i terroristi» e di essere «scioccati e arrabbiati» per la strage dello scorso dicembre, si riapre e arriva a uno snodo forse definitivo una questione che è aperta da anni. È dal 2013 che i media americani parlano della lunga lista d’attesa in mano a Cupertino delle richiesta da parte delle forze dell’ordine di entrare nei dispositivi di sospettati. D’altro canto, a seguito dello scandalo Nsa, Apple aveva annunciato come dalla versione 8 di iOS l’azienda avrebbe dotato i propri smartphone di un sistema di criptaggio che non può essere aggirato nemmeno dall’azienda. L’amministrazione Obama e l’Fbi si erano subito mossi contro quella che era stata definita una «mossa di marketing», ma senza risultati.

Se un'azienda mi vende un sistema di criptaggio che non può essere aggirato e poi il governo le chiede di forzarlo, secondo me dovrebbe rispondere semplicemente: "è tecnicamente impossibile".
Se invece risponde "non voglio creare un precedente" ammette in pratica che qualora lo volesse sarebbe in grado di farlo.

È questo che non mi piace, anche se nel caso specifico sarei ben contento che violassero l'account dell'attentatore;  più in generale mi chiedo se è giusto che un'azienda privata si riservi la possibilità tecnica di accedere ai tuoi dati (sicuramente ci sarà scritto da qualche parte in quei contratti che nessuno legge). O è addirittura il governo che induce le aziende a scrivere dei software che siano aggirabili all'occorrenza?

In questo caso comunque proprio non capisco perchè prima tu azienda ti riservi la possibilità di violare un account e poi non lo fai in un caso di così evidente utilità generale.


EDIT:

per me non c'p niente da discutere, bisognerebbe creare una lista di reati, per i quali l'individuo perse qualsiasi diritto. Onestamente il diritto alla privacy non mi sembra una cosa così terribile da violare, soprattutto in casi simili

Non basta creare una lista di reati per i quali l'individuo perde qualsiasi diritto. Devi costruire dei software che consentano a posteriori di poter controllare i dati di qualsiasi cittadino nel caso questi commettesse uno di quei reati.

Quindi riguarda tutti, poichè tutti usiamo gli stessi software, e a me piacerebbe sapere se, almeno teoricamente, è possibile o meno violare i miei dati (se è possibile, bisogna poi avere fiducia sia nell'azienda che nella giustizia che non utilizzino questa possibilità in modo improprio)

[kronkodil]

Io mi chiedo invece, è mai possibile che il governo americano, che butta miliardi di dollari per la sicurezza, non riesca ad aggirare un software di criptaggio della apple ?

[Sonic1991]

Per me sinceramente creare un precedente di questo tipo é davvero pericoloso perché vorrebbe dire che ogni volta che un governo ritiene necessario :"saperne di più " su una persona potrebbe tranquillamente farlo e a me non sta bene come cosa

[superscommessebitcoin]

Per me sinceramente creare un precedente di questo tipo é davvero pericoloso perché vorrebbe dire che ogni volta che un governo ritiene necessario :"saperne di più " su una persona potrebbe tranquillamente farlo e a me non sta bene come cosa

dipende però dalla persona, questi son terroristi, non è che non hanno pagato le tasse. E se nel telefono ci sono i piani per un nuovo attentato che faranno altri ?

[bittaitaliana]

Per me sinceramente creare un precedente di questo tipo é davvero pericoloso perché vorrebbe dire che ogni volta che un governo ritiene necessario :"saperne di più " su una persona potrebbe tranquillamente farlo e a me non sta bene come cosa

sonic io posso capire sul non creare un precedente , ma se nel caso le persone coinvolte fossero solo "sospettate" . Qua siamo di frotne a una sicura colpevolezza, per certe cose, come terrorismo e pedofilia, non deve esistere la privacy.

[kronkodil]

Visto che quando compri un prodotto apple, sembra che stai comporando una casa per la dimensione del contratto che accetti, apple non pul salvarsi la faccia scrivendo a chiare lettere "il nostro software è inviolabile, ma se siete dichiarati compevoli di xx crimine collaboriamo con la giustizia"

[Bingo_bit]

ma nel 2001 come mai non hanno richiesto nulla anzi hanno insabiato quasi tutto subito . con spiegazioni elementari .

[blto83]

finche noi compriamo i ultimi gadget non siamo mai sicuri di niente, tutti lo hanno fatto e lo faranno a spiarci

[Sonic1991]

Per me sinceramente creare un precedente di questo tipo é davvero pericoloso perché vorrebbe dire che ogni volta che un governo ritiene necessario :"saperne di più " su una persona potrebbe tranquillamente farlo e a me non sta bene come cosa

sonic io posso capire sul non creare un precedente , ma se nel caso le persone coinvolte fossero solo "sospettate" . Qua siamo di frotne a una sicura colpevolezza, per certe cose, come terrorismo e pedofilia, non deve esistere la privacy.

Sono d'accordo con te Bitta terrorismo e pedofilia non devono essere protetti d privacy però per come agiscono i governi soprattutto quello americano creare un precedente é altrettanto pericoloso poi bisogna vedere se la Apple non gli ha passato i dati sottobanco che per me è una cosa probabile,la situazione è sicuramente spinosa

[rodrigobitcoin]

Ho letto vari articoli che riguardano la vicenda e non mi è chiara una cosa.

Come fa un software ad essere inviolabile, se cmq chi lo ha fatto può violarlo ? Nel senso, se apple può violare quel telefono, non ha senso la loro politica di sicurezza sui dati personali

[arulbero]

Ho letto vari articoli che riguardano la vicenda e non mi è chiara una cosa.

Come fa un software ad essere inviolabile, se cmq chi lo ha fatto può violarlo ? Nel senso, se apple può violare quel telefono, non ha senso la loro politica di sicurezza sui dati personali

Questo è esattamente anche il mio dubbio. O è inviolabile, o non lo è. Se dipende dalla volontà di qualcuno, non lo è.

Altra situazione riguardante la privacy del cellulare (ma contesto molto diverso): un padre che vorrebbe accedere ai dati del figlio minorenne morto:
http://www.repubblica.it/tecnologia/sicurezza/2016/02/19/news/_la_vita_di_mio_figlio_morto_e_ancora_nel_telefonino_ma_ora_cupertino_nega_il_mio_diritto_ai_ricordi_-133740418/?ref=HREC1-5

[alexrossi]

Ho letto vari articoli che riguardano la vicenda e non mi è chiara una cosa.

Come fa un software ad essere inviolabile, se cmq chi lo ha fatto può violarlo ? Nel senso, se apple può violare quel telefono, non ha senso la loro politica di sicurezza sui dati personali

Io forse ho capito: apple non starebbe violando la chiave crittografica del telefono in questione (in questo caso il pin a 4 cifre), dovrebbe divulgare in maniera "open" la parte che gestisce i vari step che inducono all'hardblock dopo n tentativi sbagliati...

[bittaitaliana]

Ho letto vari articoli che riguardano la vicenda e non mi è chiara una cosa.

Come fa un software ad essere inviolabile, se cmq chi lo ha fatto può violarlo ? Nel senso, se apple può violare quel telefono, non ha senso la loro politica di sicurezza sui dati personali

Io forse ho capito: apple non starebbe violando la chiave crittografica del telefono in questione (in questo caso il pin a 4 cifre), dovrebbe divulgare in maniera "open" la parte che gestisce i vari step che inducono all'hardblock dopo n tentativi sbagliati...

Azz alex è ancora vivo 
sembra anche a me che sia come dici tu, però cambia poco, nel senso che VOLENDO apple potrebbe avere accesso ai dati di tutti i telefoni, quindi la sostanza non cambia, i dati non saranno mai completamente al sicuro se chi crea il software può sempre cambiarlo

[alexrossi]

nel senso che VOLENDO apple potrebbe avere accesso ai dati di tutti i telefoni, quindi la sostanza non cambia, i dati non saranno mai completamente al sicuro se chi crea il software può sempre cambiarlo

Bisogna fidarsi di quello che apple dice... Sapendo che l'FBI o l'NSA ha chiesto ad apple di fornirgli il codice per procedere coi bruteforce, io non mi sentirei troppo al sicuro...

[redsn0w]

"Secondo il sito mic.com inoltre, l’Fbi non starebbe chiedendo nulla di diverso da quello che Apple fa ogni giorno in milioni di telefoni in tutto il mondo quando una delle app si aggiorna automaticamente.

Il sito americano, per spiegare bene la questione usa una metafora: immaginate l’iPhone incriminato come in una stanza di vetro antiproiettile, che rappresenta la crittografia.
L’Fbi non chiede un proiettile in grado di rompere il vetro, chiede a Apple di lasciarlo entrare attraverso la porta. E in particolare chiede di cambiare la serratura in quella precisa stanza di vetro, non in tutte le stanze del mondo. "

http://www.tpi.it/mondo/stati-uniti/apple-controllo-iphone-fbi

[arulbero]

"Secondo il sito mic.com inoltre, l’Fbi non starebbe chiedendo nulla di diverso da quello che Apple fa ogni giorno in milioni di telefoni in tutto il mondo quando una delle app si aggiorna automaticamente.

Il sito americano, per spiegare bene la questione usa una metafora: immaginate l’iPhone incriminato come in una stanza di vetro antiproiettile, che rappresenta la crittografia.
L’Fbi non chiede un proiettile in grado di rompere il vetro, chiede a Apple di lasciarlo entrare attraverso la porta. E in particolare chiede di cambiare la serratura in quella precisa stanza di vetro, non in tutte le stanze del mondo. "

http://www.tpi.it/mondo/stati-uniti/apple-controllo-iphone-fbi

Grazie della segnalazione. Immagine chiara.

Secondo me un sistema di crittografia dove qualcun altro (l'azienda) può cambiare la chiave o il tipo di blocco aggiornando il sistema (permettendo così il brute force per trovare questa chiave d'accesso, mentre se ho ben capito prima dell'eventuale aggiornamento erano consentiti solo 10 tentativi pena la cancellazione dei dati) non è un vero sistema di protezione.

A parte le ovvie considerazioni morali riguardo al caso specifico, se io cripto i dati cosicchè nessuno possa accedervi (in modo definitivo tra l'altro se non inserisco il codice esatto entro i 10 tentativi) che senso ha che dall'esterno qualcuno si riservi la possibilità di modificare il tipo di blocco che io ho impostato? Se poi bastano solo 10000 prove, sai che difficoltà per violare i dati...

Nella sostanza sono protezioni valide solo fino al momento in cui chi ti ha fornito il software non decida, per un suo qualche motivo privato o per pressioni esterne, che questa protezione debba essere scavalcata.

[redsn0w]

"Secondo il sito mic.com inoltre, l’Fbi non starebbe chiedendo nulla di diverso da quello che Apple fa ogni giorno in milioni di telefoni in tutto il mondo quando una delle app si aggiorna automaticamente.

Il sito americano, per spiegare bene la questione usa una metafora: immaginate l’iPhone incriminato come in una stanza di vetro antiproiettile, che rappresenta la crittografia.
L’Fbi non chiede un proiettile in grado di rompere il vetro, chiede a Apple di lasciarlo entrare attraverso la porta. E in particolare chiede di cambiare la serratura in quella precisa stanza di vetro, non in tutte le stanze del mondo. "

http://www.tpi.it/mondo/stati-uniti/apple-controllo-iphone-fbi

Grazie della segnalazione. Immagine chiara.

Secondo me un sistema di crittografia dove qualcun altro (l'azienda) può cambiare la chiave o il tipo di blocco aggiornando il sistema (permettendo così il brute force per trovare questa chiave d'accesso, mentre se ho ben capito prima dell'eventuale aggiornamento erano consentiti solo 10 tentativi pena la cancellazione dei dati) non è un vero sistema di protezione.

A parte le ovvie considerazioni morali riguardo al caso specifico, se io cripto i dati cosicchè nessuno possa accedervi (in modo definitivo tra l'altro se non inserisco il codice esatto entro i 10 tentativi) che senso ha che dall'esterno qualcuno si riservi la possibilità di modificare il tipo di blocco che io ho impostato? Se poi bastano solo 10000 prove, sai che difficoltà per violare i dati...

Nella sostanza sono protezioni valide solo fino al momento in cui chi ti ha fornito il software non decida, per un suo qualche motivo privato o per pressioni esterne, che questa protezione debba essere scavalcata.

Secondo me (ma un po tutti la pensano cosi) è proprio per questo motivo che Apple non muove un dito, renderebbe quel sistema di sicurezza insicuro.

[arulbero]

Secondo me (ma un po tutti la pensano cosi) è proprio per questo motivo che Apple non muove un dito, renderebbe quel sistema di sicurezza insicuro.

Ma il fatto che in questa circostanza (tra l'altro molto discutibile) non muova un dito non rende di per sè sicuro quel sistema di sicurezza. In sostanza sta chiedendo ai propri utenti che confidino nelle sue buone intenzioni e nella sua buona fede.

Ma l'unico vero modo di dimostrare la propria buona fede è di rinunciare completamente alla possibilità tecnica di violare i dati di un utente fornendo un software con questo tipo di caratteristiche.

[alexrossi]

Ma il fatto che in questa circostanza (tra l'altro molto discutibile) non muova un dito non rende di per sè sicuro quel sistema di sicurezza. In sostanza sta chiedendo ai propri utenti che confidino nelle sue buone intenzioni e nella sua buona fede.

Quoto! Non è assolutamente sicuro un sistema alternabile dalla casa madre... Ed è anche per questo che i veri sistemi di sicurezza non hanno nulla a che vedere con "10 tentativi max" ma si basano solo sulla protezione da bruteforce

[arulbero]

Io mi chiedo invece, è mai possibile che il governo americano, che butta miliardi di dollari per la sicurezza, non riesca ad aggirare un software di criptaggio della apple ?

John McAfee è d'accordo con te e ha dichiarato che violerà quel telefono in 3 settimane:

http://www.tomshw.it/news/john-mcafee-buco-la-crittografia-di-apple-in-3-settimane-74442

[bittaitaliana]

Io mi chiedo invece, è mai possibile che il governo americano, che butta miliardi di dollari per la sicurezza, non riesca ad aggirare un software di criptaggio della apple ?

John McAfee è d'accordo con te e ha dichiarato che violerà quel telefono in 3 settimane:

http://www.tomshw.it/news/john-mcafee-buco-la-crittografia-di-apple-in-3-settimane-74442

Mcafee è un grandissimo
"Mi mangerò una scarpa allo show televisivo di Neil Cavuto se non riusciamo a violare la crittografia del telefono di San Bernardino", ha scritto McAfee in un editoriale comparso su Business Insider.

nell'articolo, lo stesso che penso io, se l'fbi non è in grado di violare un cullalare apple, allora forse il governo usa sta mandando i soldi nella direzione sbagliata

[kronkodil]

Sembra che l'fbi sia riuscito da solo a sbloccare l'iphone

http://www.ansa.it/sito/notizie/mondo/2016/03/29/ansa-fbi-sblocca-iphone-san-bernardino-senza-aiuto-apple_1581c19e-25b0-408c-9412-99ec5b399b91.html

[BitNow]

Sembra che l'fbi sia riuscito da solo a sbloccare l'iphone

http://www.ansa.it/sito/notizie/mondo/2016/03/29/ansa-fbi-sblocca-iphone-san-bernardino-senza-aiuto-apple_1581c19e-25b0-408c-9412-99ec5b399b91.html

Sapere come hanno fatto sarebbe interessante da un punto di vista tecnologico.


Cordiali saluti.

[palandrine]

Ho letto un articolo stamattina che ora è apple a valutare azioni legali per chiedere all'fbi come ha fatto a sbloccare un suo dispositivo

[Sio34]

A me sembra uno dei soliti tentativi per limitare la nostra libertà. Vogliono arrivare a poter controllare chiunque dicendo che è sospettato e ovviamente ci devono arrivare passo dopo passo con la manipolazione dell'opinione pubblica. Ovviamente sono d'accordo a togliere ogni diritto ad una persona che è stata condannata di un crimine tanto grave ma ho paura che poi gli usa ci prendano la mano come hanno gia fatto in passato.

[massimodamassa]

Tipico comportamento americano, forte con i deboli, zerbino con i potenti.
volevo vedere se non fosse stata apple, ma una piccola software house ad avere la possibilità di sbloccare quel telefono, se il giorno dopo non si trovava invasa dai militari con accuse di complicità

concordo al 101%

[redsn0w]

<< The Federal Bureau of Investigation (FBI) announced Monday that it successfully hacked security features embedded in the iPhone’s iOS 9 operating system, and will therefore end its legal case against the tech giant Apple. In a short court filing, the FBI informed the court that it “no longer requires the assistance of Apple, Inc” in its efforts to compromise the phone’s data protection mechanisms. >>


Fonte: https://www.wsws.org/en/articles/2016/03/30/appl-m30.html

[BitNow]

<< The Federal Bureau of Investigation (FBI) announced Monday that it successfully hacked security features embedded in the iPhone’s iOS 9 operating system, and will therefore end its legal case against the tech giant Apple. In a short court filing, the FBI informed the court that it “no longer requires the assistance of Apple, Inc” in its efforts to compromise the phone’s data protection mechanisms. >>


Fonte: https://www.wsws.org/en/articles/2016/03/30/appl-m30.html

Qualcuno ha idea di come abbiano fatto?!?


Cordiali saluti.

[superscommessebitcoin]

bisogna anche capire se è vero che ci siano riusciti, magari lo hanno detto solo per non fare brutte figure.

[Anon39]

reverse engineering del software, NAND mirroring, modifiche hardware, chissà. non penso che sveleranno come l'hanno fatto (sempre che sia vero)

[redsn0w]

reverse engineering del software, NAND mirroring, modifiche hardware, chissà. non penso che sveleranno come l'hanno fatto (sempre che sia vero)

O forse social engineering  ... chi lo sa !

[arulbero]

reverse engineering del software, NAND mirroring, modifiche hardware, chissà. non penso che sveleranno come l'hanno fatto (sempre che sia vero)

O forse social engineering  ... chi lo sa !

Piccolo OT:

vi consiglio la visione del telefilm "Mr. Robot", indicata per smanettoni del computer - attacchi DDoS, hacker, ecc. - il tutto condito dalle solite teorie complottistiche.
Il protagonista fra l'altro fa ampio uso del social engineering per rubare le password su Facebook

[rodrigobitcoin]

L'Fbi doveva per forza annunciare di esserci riuscita, che sia vero o meno, non poteva certo far vedere di non saper violare un dispositivo apple. Non escludo che tra qualche gg esce la notizia che era pieno di importanti informazioni

[superscommessebitcoin]

Stamattina c'era questo articolo sulla questione

http://www.corriere.it/esteri/16_aprile_22/fbi-ha-pagato-piu-1-milione-violare-iphone-san-bernardino-a4224578-0859-11e6-bb7c-24926a577cc5.shtml