Blackjack, se vuoi girarmi le informazioni in tuo possesso sul caso tedesco, le leggerò con attenzione. Per il resto hai allargato molto il campo degli argomenti e mi è difficile, per mancanza di tempo invero, seguirli tutti al di là di un generico piacere della conversazione. Non condivido molte delle tue affermazioni, credo che ciò dipenda dall’impostazione discorsiva che gli dai e dagli espedienti retorici usati. Il che va benissimo, specie in una colonna come questa, di commento a una trasmissione TV (sic!). Puoi scrivermi all’indirizzo di nazione indiana (pagina Contatti) mettendo il mio nome e cognome nell’oggetto.

Per quanto riguarda la Polizia tedesca, conosco abbastanza bene (per motivi professionali) il lavoro svolto in quel caso e, indipendentemente da come lo presentò la stampa o un post su un blog (lettere come quella sono state inviate praticamente a tutti i ‘gestori’ di relay Tor tedeschi), l’attività di ‘forzatura’ della rete Tor restituì buoni risultati. Non mi pare il caso di illustrare, qui, ulteriori dettagli che, tra l’altro, sono stati pubblicati in versione da qualche parte (con le quintalate di informazioni che mi arrivano e visto l’orario, ora non ricordo, ma proverò a rintracciare le comunicazioni ufficiali, che sicuramente ho e, se di interesse, non ho alcun problema a girartele).

Jan, come ben sai il software di sicurezza assoluto NON ESISTE e assoluto non lo è nemmeno Tor che è fallace come tutte le realizzazioni umane. Molti dissidenti cinesi sono stati identificati nonostante Tor (spesso basta un piccolo dettaglio dimenticato nella configurazione del browser per lasciare tracce), purtroppo, esattamente come è successo a dissidenti di altri Paesi sottoposti a regimi non propriamente ‘libertari’.

Ti aggiungo un pezzo al poco confortante al quadro d’insieme: con 3.500 Euro al mese ti intercettano anche Skype e, non ridere, costa molto meno, 2.500 Euro al mese, intercettare e decrittare una connessione SSL, anche se utilizzi certificati X509 sia lato server, sia lato client (anche in questo caso, se ti interessa, posso farti avere documenti in merito; il tedesco, mi pare di capire, lo conosci bene e quindi non avrai problemi). La morale? Semplicissima: cautelare la propria privacy è e sarà sempre di più un ‘obbligo’ per ogni utente, ma purtroppo, come scrivi giustamente nel tuo commento, non esiste lo strumento magico che risolve ogni problema e, dovesse anche esistere, non sarebbe certamente accessibile agli ‘umani’. :-)
Considera ad esempio che AES, ad oggi lo stato dell’arte nella crittografia, è già considerato ‘poco sicuro’ dalla NSA che ha ‘invitato’, ancora nel 2007, i suoi fornitori ad implementare ECC (Elliptic Curve Cryptography) come algoritmo di riferimento. Inizialmente come replace del DH standard (Diffie-Helman) e, recentemente, anche come algoritmo di cifratura a chiave simmetrica in sostituzione di quell’AES ancora indicato come algoritmo di elezione e unico certificato dagli standard internazionali (FIPS – Common Criteria) che garantiscono i livelli di sicurezza per la cifratura degli applicativi commerciali. Anche qui, se ti interessa, posso farti avere la documentazione specifica.

Rilancio solo un ultimo punto: approfondite le tecniche di Social Engineering. Conoscerle consente livelli di ‘difesa’ molto più alti che non l’utilizzo di uno strumento di cifratura che, tutt’ora, ha dei seri limiti di usabilità: in primis le prestazioni decisamente pessime.

Blackjack.

PS: comunque ottimi questi articoli e, da parte mia, anche se a volte mi lascio trascinare, nessun intento polemico; anzi: plauso incondizionato alla vostra scelta editoriale di trattarli.

Mi fa piacere che la trasmissione sia stata vista e che l’argomento susciti interesse. Come è immaginabile, suscita anche controversie e questo è segno di vivacità.

Soltanto, voglio smentire due affermazioni generiche di Blackjack:
“praticamente quasi tutte le reti di pedofili, e non solo, si appoggiano su Tor e/o altre ‘diavolerie’ simili ” che è appunto un’affermazione estremamente vaga e per se stessa indimostrabile (lo stesso si potrebbe dire del tcp/ip e ben diverso sarebbe se si portassero fonti verificabili pubblicamente).
“la Polizia tedesca, l’anno scorso, è riuscita a ‘forzare’ la rete Tor e individuare un gruppo estremista con intenti bellicosi ” è una affermazione mal formulata ed infondata. Sono sequestratistati fatti dei sequestri di relay Tor nell’ambito di indagini nel 2006, e non risulta che ciò abbia influito direttamente sui risultati. Vedi questo articolo ed i link citati (il primo che mi è capitato sottomano,): http://itnomad.wordpress.com/2007/01/04/tor-the-feds-and-me/

Mi perdonerà per la puntigliosità Blackjack, di cui del resto apprezzo le molte considerazioni, ad esempio su Google e Facebook (sulle luci ed ombre di Google abbiamo parlato del lavoro di Ippolita.net https://www.nazioneindiana.com/2008/04/03/luci-e-ombre-di-google-in-francia/ ), sulla sicurezza come processo complessivo e sul non affidarsi a singoli strumenti “magici”.

Personalmente ritengo molto più pericoloso il tracking che Google fa delle nostre ricerche e del nostro navigare su internet, o l’utilizzo di “Fakebook” e altri sistemi simili che la protezione in quanto tale del dato che gestiamo: a chi interessa sapere, prima che sia pubblicato, il commento che sto scrivendo ora? Diverso se trasmetto dati di lavoro riservati, ma in quel caso non utilizzo certamente Tor (sempre per i motivi che riportavo precedentemente).

E’ un discorso complesso che dovrebbe coinvolgere, a mio personale parere, l’utilizzo che gli Stati fanno delle nostre informazioni personali rispetto agli strumenti elettronici che ci mettono a disposizione, oppure i livelli di protezione che grandi strutture (vedi le Banche) utilizzano per preservare i nostri dati personali. L’anno scorso, ad esempio, sono stati trafugati quasi 60 milioni di dati di carte di credito: in Italia nessun giornale si è preso nemmeno la briga di dedicare più di 4 righe al tema.

Ecco, è questa carenza di informazione non sensazionalistica che manca: si parla dell’hacker e della privacy come di un riempitivo in mancanza di altre notizie e non come un argomento che DEVE essere trattato con attenzione perché ci coinvolge direttamente. Una serie di articoli legati al ‘Social Engineering’ (come ricostruire informazioni riservate partendo da dati pubblici apparentemente innoqui) potrebbe essere, sempre a mio parere, molto più utile di una sessione tecnica legata al singolo strumento e restituirebbe un’idea più comprensibile del livello di pericolosità che l’utilizzo di uno strumento come internet, può generare.
Non dimentichiamo mai, comunque, i tanti vantaggi di internet :-)

Blackjack.

Blackjack.

Fra i vari interventi quoto quello di Calamari, anche se vendere PGP come il primo sistema a chiave pubblica è quanto meno impreciso. Gli interventi degli universitari, sono la solita pastetta ricotta e non dicono nulla di nuovo, magari la prossima volta provate a intervistare qualcuno di BlackHat o Zone-H; corriamo il rischio che ci dicano qualcosa di nuovo e di interessante :-)

Jan, una domanda te la devo proprio fare: ma dove hai visto militari o polizia o persone dei servizi che utilizzano Tor per comunicare? Qual è il film? Quelli hanno le loro reti dedicate e satelliti piazzati da tutte le parti e l’internet degli ‘umani’ mica la usano e nemmeno le nostre linee telefoniche.

Blackjack.