British firm offered spy software to Egypt
Caro Paolo, On 4/26/2011 12:50 PM, Paolo Brini wrote:
Egyptian anti-regime activists found a startling document last month during a raid inside the headquarters of the country’s state security service: A British company offered to sell a program that security experts say could infect dissidents’ computers and gain access to their email and other communications.
Grazie, molto interessante (o "very interesting", come direbbero i britannici :). Sull'argomento consiglio anche questo rapporto di OpenNet Initiative, "West Censoring East": http://opennet.net/west-censoring-east-the-use-western-technologies-middle-e... Sarei interessato alle vostre opinioni su come evitare / diminuire questo genere di comportamenti da parte delle aziende europee. Ciao, Andrea
On 4/26/2011 2:14 PM, Paolo Brini wrote:
Il 26/04/2011 13:48, Andrea Glorioso ha scritto:
Sarei interessato alle vostre opinioni su come evitare / diminuire questo genere di comportamenti da parte delle aziende europee.
Buona giornata Andrea,
credo che esporre al massimo simili comportamenti possa essere un (blando) deterrente, come pubblicità negativa, almeno per quelle aziende che si rivolgono anche al mercato consumer.
"Naming and shaming", ok. Non sono certissimo che al consumatore medio gliene freghi granché se l'azienda X vende questo tipo di materiale in Egitto, Cina o dove sia, ma male non può fare. Il rischio è però di semplificare situazioni complicate - non mi pare il caso che riferisci tu, posto che quanto riferisce il WSJ sia vero. Ma ci sono situazione oggettivamente più complesse, come le aziende di telecomunicazione che *devono* progettare i loro apparati in maniera che siano pronte per la "lawful interception".
Per quanto riguarda quello che possono fare le istituzioni, immagino, pur non essendone sicuro al 100%, che la percorribilità di due strade possa essere valutata: la prima concerne reprimere quei prodotti in quanto (almeno alcuni di essi) sono catalogabili precisamente come virus e/o spyware e valutare eventuali sanzioni.
Teniamo però presente che, tanto per fare l'esempio della Germania, c'è voluta la sentenza di una corte di un Lander per decidere che la polizia non poteva utilizzare spyware durante le attività investigative. Inoltre, sono abbastanza dubbioso sulla possibilità di catalogare questi programmi in maniera così netta, ma sarei curioso di sapere se sono stati fatti dei tentativi per definire dei criteri.
C'è anche da dire che la vendita di virus e spyware sofisticati a governi potenzialmente ostili all'Unione Europea potrebbe essere vista come una minaccia alla sicurezza degli Stati Membri, in quanto nulla impedisce al governo che li acquista di inocularli anche nei computer di cittadini e di rappresentanti governativi e di sicurezza dell'Unione e dei Paesi Membri.
Se per quello, nulla impedisce ai governi dell'Unione Europea di inocularli nei computer dei propri cittadini.. ma mi fermo qui per carità di patria. :)
La seconda strada è considerare questi strumenti come "armi" utilizzate esclusivamente per violare i diritti fondamentali dei cittadini (per es. privacy, segretezza delle corrispondenza e libertà di espressione) e per mettere a repentaglio l'incolumità personale e la vita stessa.
E una volta considerati come "armi", quale sarebbe il passo successivo? Ciao, grazie, Andrea
E Budapest? Per non parlare della CEDU! Article 2 –Illegal access Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system. Article 3 –Illegal interception Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the interception without right, made by technical means, of non-public transmissions of computer data to, from or within a computer system, including electromagnetic emissions from a computer system carrying such computer data. A Party may require that the offence be committed with dishonest intent, or in relation to a computer system that is connected to another computer system. Article 6 –Misuse of devices 1Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right: athe production, sale, procurement for use, import, distribution or otherwise making available of: ia device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with the above Articles 2 through 5; iia computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5; and bthe possession of an item referred to in paragraphs a.i or ii above, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5. A Party may require by law that a number of such items be possessed before criminal liability attaches. Article 15 –Conditions and safeguards 1Each Party shall ensure that the establishment, implementation and application of the powers and procedures provided for in this Section are subject to conditions and safeguards provided for under its domestic law, which shall provide for the adequate protection of human rights and liberties, including rights arising pursuant to obligations it has undertaken under the 1950 Council of Europe Convention for the Protection of Human Rights and Fundamental Freedoms, the 1966 United Nations International Covenant on Civil and Political Rights, and other applicable international human rights instruments, and which shall incorporate the principle of proportionality Why Not? C. Inviato da iPad2 Il giorno 26/apr/2011, alle ore 19:00, Andrea Glorioso <andrea@digitalpolicy.it> ha scritto:
On 4/26/2011 2:14 PM, Paolo Brini wrote:
Il 26/04/2011 13:48, Andrea Glorioso ha scritto:
Sarei interessato alle vostre opinioni su come evitare / diminuire questo genere di comportamenti da parte delle aziende europee.
Buona giornata Andrea,
credo che esporre al massimo simili comportamenti possa essere un (blando) deterrente, come pubblicità negativa, almeno per quelle aziende che si rivolgono anche al mercato consumer.
"Naming and shaming", ok. Non sono certissimo che al consumatore medio gliene freghi granché se l'azienda X vende questo tipo di materiale in Egitto, Cina o dove sia, ma male non può fare. Il rischio è però di semplificare situazioni complicate - non mi pare il caso che riferisci tu, posto che quanto riferisce il WSJ sia vero. Ma ci sono situazione oggettivamente più complesse, come le aziende di telecomunicazione che *devono* progettare i loro apparati in maniera che siano pronte per la "lawful interception".
Per quanto riguarda quello che possono fare le istituzioni, immagino, pur non essendone sicuro al 100%, che la percorribilità di due strade possa essere valutata: la prima concerne reprimere quei prodotti in quanto (almeno alcuni di essi) sono catalogabili precisamente come virus e/o spyware e valutare eventuali sanzioni.
Teniamo però presente che, tanto per fare l'esempio della Germania, c'è voluta la sentenza di una corte di un Lander per decidere che la polizia non poteva utilizzare spyware durante le attività investigative. Inoltre, sono abbastanza dubbioso sulla possibilità di catalogare questi programmi in maniera così netta, ma sarei curioso di sapere se sono stati fatti dei tentativi per definire dei criteri.
C'è anche da dire che la vendita di virus e spyware sofisticati a governi potenzialmente ostili all'Unione Europea potrebbe essere vista come una minaccia alla sicurezza degli Stati Membri, in quanto nulla impedisce al governo che li acquista di inocularli anche nei computer di cittadini e di rappresentanti governativi e di sicurezza dell'Unione e dei Paesi Membri.
Se per quello, nulla impedisce ai governi dell'Unione Europea di inocularli nei computer dei propri cittadini.. ma mi fermo qui per carità di patria. :)
La seconda strada è considerare questi strumenti come "armi" utilizzate esclusivamente per violare i diritti fondamentali dei cittadini (per es. privacy, segretezza delle corrispondenza e libertà di espressione) e per mettere a repentaglio l'incolumità personale e la vita stessa.
E una volta considerati come "armi", quale sarebbe il passo successivo?
Ciao, grazie,
Andrea
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Il 26/04/2011 19:00, Andrea Glorioso ha scritto:
Teniamo però presente che, tanto per fare l'esempio della Germania, c'è voluta la sentenza di una corte di un Lander per decidere che la polizia non poteva utilizzare spyware durante le attività investigative. Inoltre, sono abbastanza dubbioso sulla possibilità di catalogare questi programmi in maniera così netta, ma sarei curioso di sapere se sono stati fatti dei tentativi per definire dei criteri.
Mi sembra che il comportamento dei software descritti nell'articolo (se utilizzati contro cittadini europei) configuri in pieno l'accesso abusivo ad un sistema informatico descritto dalla legge italiana (547/93), o dal Computer Misuse Act britannico. La catalogazione quindi non dovrebbe essere il più grosso dei problemi. Questo è un problema un po' diverso da quello dell'esportazione di apparati DPI o DPC e altri apparati fisici di intercettazione/censura; come dici giustamente le telcos devono prevedere la possibilità di "lawful interception", ma non c'è nulla che obblighi chicchessia alla creazione e/o alla diffusione di virus e spyware.
Se per quello, nulla impedisce ai governi dell'Unione Europea di inocularli nei computer dei propri cittadini.. ma mi fermo qui per carità di patria. :)
Ah certo, anche il segretario delle Nazioni Unite era intercettato illegalmente, tutto è possibile. Magari potrebbe essere un incentivo per i policy maker europei per affrontare con maggior vigore il problema. :)
E una volta considerati come "armi", quale sarebbe il passo successivo?
[UTOPIA MODE ON] Proibirne l'esportazione e la vendita. E' una misura certo poco efficace (se è possibile esportare illegalmente mine anti-uomo, esportare software illegale è come bere un bicchier d'acqua) ma sottoporrebbe le corporation a pressioni dissuasive: non è detto che i guadagni provenienti da spyware e virus compensino i rischi legati a dover mantenere segretezza e andare nell'illegalità. Infatti, se da un lato sarebbe immediato consegnare il software ai clienti (per questo non credo proprio ci siano soluzioni legislative e/o tecniche - il fallimento del copyright enforcement docet), dall'altro qualche problema potrebbe nascere nella riscossione e da tutto l'apparato necessario per mantenere segretezza e prevenire catastrofici (per le aziende) leaks. Chiaramente occorrerebbe mirare ad un quadro regolatorio di ampio respiro, che nasca da accordi internazionali, altrimenti si rischierebbe di avere un controproducente incentivo per far spostare questo business al di fuori degli stati che lo proibiscono; dovremmo inoltre avere uno scenario in cui tutti i policy maker fossero indipendenti dagli interessi corporativi e in cui qualsiasi decisione non fosse pensata per prestarsi a limitazioni delle libertà individuali. [UTOPIA MODE OFF] Mah, non ci credo nemmeno io... sogno a occhi aperti. Sono curioso di leggere le eventuali opinioni di altri partecipanti alla lista. Ciao, Paolo
participants (3)
-
Andrea Glorioso -
Blengino -
Paolo Brini