Genova, Linux Day 2014 IL DIRITTO ALL’OBLIO E LA NAVIGAZIONE ANONIMA Avv. Elena Bassoli Docente di diritto della comunicazione elettronica Università di Genova Presidente ANGIF e CSIG-Genova
Genova, Linux Day 2014 Parte I Il diritto all’oblio
Genova, Linux Day 2014 Fondamenti Art. 2 Cost. Art. 21 Cost Diritto di cronaca Decalogo del giornalista (Cass. civ. 18 ottobre 1984, n. 5259)
Genova, Linux Day 2014 Il Decalogo del giornalista Verità della notizia Forma “civile” Interesse alla notizia
Genova, Linux Day 2014 I 4 casi Killer del Messaggero Il caso Milena Sutter Eva Mikula nella Uno Bianca Il Politico Lombardo (Cass. 5525/2012 )
Genova, Linux Day 2014 La sentenza del Tribunale di Ortona del 2013 ha condannato una testata online al pagamento di una multa di oltre 17 mila euro, comprensiva di risarcimento danni e spese legali, per un fatto di cronaca giudiziaria avvenuto nel 2008 che aveva coinvolto due ristoratori. Nel 2010 uno dei due esercenti, appellandosi al diritto all'oblio, aveva richiesto al direttore del quotidiano di rimuovere l'articolo che lo riguardava, ma la richiesta era stata rifiutata. Nel 2011 il pezzo era stato cancellato dai motori di ricerca a titolo meramente transattivo. Nel 2013, a seguito della condanna del tribunale, l'articolo è stato rimosso anche dall'archivio della testata.
Genova, Linux Day 2014 Il Garante per la protezione dei dati personali Caso 2004: XT contro AGCOM per delibera su pubblicità ingannevole. Il Garante prescrive la rintracciabilità solo sul sito interno e non tramite motori di ricerca generalisti
Genova, Linux Day 2014 L’Europa 2012 vs. USA Direttiva (dati giudiziari) Regolamento (Web)
Genova, Linux Day 2014 Diritti Maggiore trasparenza Controllo sui dati Segnalazioni di data loss Eccezioni Sanzioni (1% del fatturato)
Genova, Linux Day 2014 Facebook … Facebook: onere di provare che la conservazione di una certa informazione è necessaria e non all'utente dimostrare il contrario. Stefano Rodotà, che da tempo sottolinea l'importanza del diritto ad essere dimenticati, saluta con favore la novità introdotta. “L'affermazione dell'oblio come diritto della persona è un elemento importante per quella che la nostra Costituzione definisce libera costruzione della personalità: essere prigionieri di informazioni del passato, magari secondarie può essere un ostacolo alla libertà”. Ma i problemi, aggiunge il giurista, non mancano. “In primo luogo bisogna garantire che questo diritto non diventi uno strumento di censura, anche se mi sembra che la proposta sia molto attenta in questo senso. In secondo luogo c'è la difficoltà dell'applicazione pratica: una volta che un'informazione entra in rete diventa difficile seguire il suo percorso”.
Genova, Linux Day 2014 …e Google Dal marzo 2012 ha combinato le informazioni provenienti da tutti i servizi della sua galassia a cui l'utente è iscritto (prima le informazioni erano tenute separate). Questo aiuta a migliorare le ricerche e, per esempio, permette alla società di osservare gli appuntamenti sulla nostra agenda (Google Calendar), di valutare la nostra posizione (per esempio se abbiamo uno smartphone Android), incrociare questi dati con le condizioni del traffico in zona per avvertirci via (Gmail) che siamo in ritardo per un appuntamento. L'annuncio non ha mancato di suscitare le perplessità di alcuni osservatori. “Terrorizzante”, l'ha definito James Steyer dell'associazione Common Sense Media.
Genova, Linux Day 2014 Sentenza Corte di Giustizia UE 13 maggio 2014, C-131/12 Dopo la sentenza sul diritto all'oblio della Corte di Giustizia dell'UE del maggio 2014 nel caso Gonzales in Spagna sul rovescio finanziario del 1998, che ha riconosciuto il diritto ad essere "de- indicizzati" dal motore di ricerca e ha imposto a Google di provvedere alle richieste degli utenti, le Autorità Ue Garanti della privacy hanno deciso di elaborare criteri comuni per gestire i ricorsi e i reclami presentati da utenti che si sono visti opporre un rifiuto da Mountain View.
Genova, Linux Day 2014 Google e diritto all’oblio 2014 Dal maggio 2014 è disponibile on line il modulo per la rimozione dei contenuti da Google.
Genova, Linux Day 2014 Parte II La navigazione anonima
Genova, Linux Day 2014 Premessa Da sempre il controllo dei mezzi di informazione costituisce per “alcuni” un fondamentale strumento di controllo e dominio. Alcuni = Governi, Multinazionali, Lobbies, ecc.... Finalità = Controllo, Profilazione, Ricatto, Denaro, Destabilizzazione, ecc....
Genova, Linux Day 2014 In Cina In Cina, il governo controlla l'accesso ai contenuti di Internet e le pubblicazioni online attraverso una combinazione di strumenti di filtraggio e regolazione. Il filtraggio si applica prima di tutto a livello delle dorsali nazionali, filtrando le informazioni in base alla direzione degli indirizzi dei protocolli Internet e ad alcune parole chiave. Il sistema cinese di filtraggio dei contenuti è centralizzato e nonostante sia a volte poco efficace, assicura, in tutto il paese, un blocco uniforme che non permette di accedere a siti web di diritti umani, movimenti di oppositori politici, siti di indipendenza taiwanese e tibetana, notizie internazionali ed altro ancora.
Genova, Linux Day 2014 Iran Le pratiche di filtraggio del contenuto di Internet variano sensibilmente da paese a paese. In Iran non esiste un sistema uniforme di filtraggio su scala nazionale. In questo caso sono gli Internet Service Provider (ISP) che implementano la censura seguendo precise indicazioni governative. I Provider decidono poi autonomamente come effettuare il filtraggio. Alcuni utilizzano software di filtraggio statunitensi mentre altri scelgono metodi manuali. Gli utenti che accedono ad Internet con provider diversi possono verificare una variazione significativa nell'accessibilità ai siti web. L'Iran utilizza questo sistema per filtrare contenuti in lingua farsi critici verso il regime, inclusi siti politicamente sensibili, i contenuti che riguardano gli omosessuali, siti per i diritti delle donne, siti di streaming e blog.
Genova, Linux Day 2014 USA Negli Stati Uniti, le istituzioni pubbliche (come scuole e biblioteche) sono obbligate per legge (dal Children’s Internet Protection Act - CIPA) ad implementare software di filtraggio per bloccare l'accesso a materiale osceno, pornografico e comunque legato allo sfruttamento sessuale dei bambini. La maggior parte implementa la politica di filtraggio utilizzando strumenti commerciali di filtraggio che spesso effettuano classificazioni scorrette ed erronee. I ricercatori hanno infatti scoperto che i software commerciali di filtraggio bloccano, sbagliando, l'accesso a contenuti che riguardano la salute delle donne, gruppi per i diritti degli omosessuali e siti di educazione sessuale per adolescenti.
Genova, Linux Day 2014 Anonimato e Privacy due termini abusati e molto fumosi. Ma dietro a questi termini si celano alcuni assiomi della rete come la conoscevamo; questi assiomi sono ancora validi? Anonimato Lo stato di non identificabilità in un insieme Privacy Diritto di poter scegliere cosa della nostra vita privata può essere divulgato
Genova, Linux Day 2014 Finalità Persone che vogliono aggirare la censura statale Persone che vogliono partecipare in modo anonimo a discussioni e argomenti sensibili; Persone che non vogliono essere oggetto di profiling commerciale Persone che vogliono offrire servizi senza poter esser localizzati Autorità giudiziarie che non vogliono essere identificate come tali durante attività investigative
Genova, Linux Day 2014 O ancora… Persone che vogliono organizzare truffe online e rimanere impuniti Persone che visitano siti dai contenuti illegali, ad esempio pedopornografici Criminali che devono comunicare con altri criminali Criminalità organizzata che vede nuove frontiere di business Tutte le tecnologie possono esser usate per scopi criminali, ma questo non è un problema tecnico....
Genova, Linux Day 2014 Ciò che ognuno vuole: La mia privacy sia rispettata –Possa essere anonimo se lo decido –Essere tecnicamente certo che i miei dati siano visibili solo a chi li concedo con il mio consenso I criminali siano catturati –Gli organi di Pubblica Sicurezza abbiano strumenti per identificare i criminali –Abbiano strumenti per rilevare e produrre prove di reati criminosi
Genova, Linux Day 2014 Un esempio quotidiano di minaccia alla privacy Profiling: ovvero tenere traccia delle abitudini e costruire un profilo dei consumatori: –politico –religioso –commerciale –Sessuale Agenzie che registrano l'attività e le preferenze di un utente per produrre pubblicità personalizzata Esiste un mercato di vendita di dati personali Utilizzo della tecnologia per raggiungere questi scopi (vedi spider, cookies, malware,..)
Genova, Linux Day 2014 Cifratura di flussi Secure Sockets Layer (SSL / TLS) Trasparente all'applicazione Autenticazione a chiave pubblica (di server e client) Cifratura della sessione Integrità dei dati Protegge i dati solo nella comunicazione (ma se uno ha accesso all'host..) https, pops, imaps, smtps, sftp, tunnel vari
Genova, Linux Day 2014 I rischi dell’SSL Protegge i dati solo nella comunicazione (ma se uno ha accesso all'host..) Quindi viaggiano in rete crittati ma poi probabilmente a destinazione vengono memorizzati in chiaro su disco Compromettere il server e procurasi la chiave privata relativa al certificato permette di decifrare comunicazioni passate e future Vulnerabilità dei browser
Genova, Linux Day 2014 R er Sistemi conosciuti che gestiscono l'anonimato della messaggistica Tipologie: –Tipo 0: “Penet” –Tipo 1: “Cyberpunk” –Tipo 2: “Mixmaster” –Tipo 3: “Mixminion
Genova, Linux Day 2014 R er tipo 0 Ricevono posta oppurtunamente formattata Inviano la posta che ricevono al destinatario togliendo le informazioni relative al mittente E' stata la prima implementazione Facilmente attaccabili: –violazione del server –tecniche di analisi temporale del traffico –azione legale che richiede i file di log all'amministratore
Genova, Linux Day 2014 R er tipo 1 R er usati in catene di almeno 3 elementi Utilizzo di metodi crittografici a chiave pubblica Crittografa il messaggio in successione per ogni r er specificato La compromissione di n-1 elementi della catena non è sufficiente Comunque attaccabile con tecniche di analisi temporale del traffico
Genova, Linux Day 2014 R er tipo 2 I messaggi vengono resi di dimensione uniforme: vengono spezzettati e frammenti sono di dimensione uguale I messaggi sono spediti con un ritardo casuale: sono mantenuti in una coda che viene svuotata casualmente Generazione di traffico casuale: vengono generati e scambiati falsi messaggi che l'ultimo r er della catena poi scarterà Ma utilizzano ancora SMTP e una rete separata per la distribuzione delle chiavi crittografiche Suscettibili ad attacchi DoS
Genova, Linux Day 2014 R er tipo 3 Utilizzano un proprio protocollo client-server Sono flessibili e permettono l'interfacciamento con altre reti di tipo diverso (Mixmaster, MMS) Directory distribuita gestita automaticamente dai r er per la gestione delle chiavi crittografiche Rete in fase di sviluppo ma comunque già utilizzabile
Genova, Linux Day 2014 I rischi dei R er (Hacking r er) Gli attacchi per scoprire l'origine di un messaggio variano in base al tipo di r er: Analisi statistica del traffico Analisi temporale del traffico in ingresso e uscita Violazione logica o fisica del server Generazione di Denial of Service... violazione del client Non è detto che un utente usi reti di tipo 3 per spedire mail, le vecchie reti sono ancora in utilizzo!
Genova, Linux Day 2014 Onion Routing Tecnica di tunneling del traffico su circuiti virtuali Incapsulamento dei pacchetti in strutture dati cifrate Instradamento attraverso vari nodi della rete Resistente a tecniche di analisi del traffico Bassa latenza
Genova, Linux Day 2014 TOR Relaying di stream TCP (indipendenza del protocollo applicativo) Interfacciamento tramite il protocollo SOCKS Possibilità di instradare più stream TCP nello stesso circuito virtuale (riduzione delle latenze) Utilizzo di TLS nelle comunicazioni tra nodi Controllo di integrità dei dati end-to-end Controllo di congestione Hidden services (possibilità di pubblicare servizi) Rete di centinaia di nodi Software libero
Genova, Linux Day 2014 Che cosa è TOR La rete di TOR ©, acronimo di The Onion Routers, si basa su una serie di nodi, chiamati relay, costituiti da server intermediari attraverso i quali transitano i nostri dati prima di arrivare a destinazione. Quindi Tor rende ANONIMA la nostra navigazione Questi nodi possono essere costituiti dai nostri stessi computer, collegati al network di TOR e funzionanti da server.
Genova, Linux Day 2014 Che cosa è TOR I nostri dati prima di arrivare al server del sito web richiesto, passano in questi nodi in maniera casuale ed utilizzando sempre un percorso differente. Arrivati ad un nodo, è selezionato immediatamente il successivo e così via. La rete è strutturata in modo tale da modificare il percorso dei nostri dati ogni dieci minuti ed automaticamente. Dopodiché i nostri dati sono fatti passare attraverso un altro circuito.
Genova, Linux Day 2014 Come funziona TOR Questi tipi di server, chiamati anche Onion routers, non sono altro che proxy SOCKS4. Il protocollo di trasmissione è il Socks4, o meglio Socks4A. TOR funziona solo con i flussi TCP e con applicazioni che supportano il protocollo SOCKS. Ne consegue che i siti web non capiscono da dove ricevono la richiesta. Per aumentare la sicurezza, tutti i dati scambiati tra i server sono crittografati in modo tale da impedirne la lettura.
Genova, Linux Day 2014 Server SOCKS Un server SOCKS è un particolare tipo di proxy trasparente che permette di effettuare connessioni TCP dirette (e, dalla versione 5, di veicolare traffico UDP) tra computer su due reti ip differenti nei casi in cui un instradamento diretto (routing) non sia disponibile. È l'abbreviazione di "SOCKetS". I punti di forza del protocollo SOCKS sono l'estrema semplicità di implementazione (sia dal lato client che dal lato server) e la completa indipendenza dal protocollo da veicolare attraverso di esso. Storicamente SOCKS è stato usato come punto di contatto tra due LAN oppure tra una LAN e una WAN (come ad esempio internet). Recentemente è più comune incontrare reti direttamente connesse ad internet o connesse attraverso un proxy HTTP.
Genova, Linux Day 2014 Come installare TOR Normalmente e per motivi di sicurezza, l'installazione di TOR prevede un pacchetto comprendente: - TOR - Vidalia (interfaccia grafica di TOR) - Privoxy (proxy locale che supporta il protocollo Socks) - Torbutton (estensione per la gestione dei proxy per TOR, che è installata da Vidalia se il vostro browser è Firefox) Il pacchetto d'installazione in bundle con Tor+Privoxy+Vidalia, con le tre applicazioni pronte all'uso e preconfigurate per funzionare assieme, disponibili per Windows, Linux e Mac, è scaricabile gratuitamente a questo link: tor.eff.org/download
Genova, Linux Day 2014 Relay Tor Configurare Tor come relay La rete Tor si fonda sulla banda donata da volontari. Più persone aprono un relay, più veloce sarà la rete Tor. Se avete almeno 20 kilobyte/s sia up che down, per favore aiutate la rete Tor e configurate il vostro Tor relay.
Genova, Linux Day 2014 I vantaggi di TOR… L'host ospitante il servizio non viene rivelato Servizi di rete di cui non si conosce la collocazione fisica Servizi resistenti alla censura (filtraggio del traffico, filtraggio DNS) Resistenza alla violazione fisica (se non si sa dove sia il server..) Impossibilità di risalire a chi pubblica e a chi fruisce il servizio
Genova, Linux Day 2014 …e i rischi di Tor Exit node maliziosi che monitorano il traffico Il contenuto fornito dall'exit node non è validato, può essere modificato dall'exit node Tor assicura anonimizzazione layer 3.. e il resto? Application layer –javascript –ActiveX –plug-in vari (Shockwave) –vulnerabilità del browser
Genova, Linux Day 2014 Conclusioni Esistono sistemi anonimi di comunicazione e per la difesa della privacy dei dati e sono pienamente utilizzabili Manca una loro diffusione e conoscenza Probabilmente alcuni sistemi possono essere manomessi o aggirati La sensibilizzazione sul problema privacy è fondamentale..per far in modo che Internet rimanga libera per le generazioni future
Genova, Linux Day 2014 Grazie dell’attenzione!