L' UE imporrà alle aziende di scansionare foto e messaggi alla ricerca di CSAM

Marco25 · 2022-05-11T16:31:43+00:00

Se le autorità designate di ogni paese membro rileveranno che il servizio online è a rischio di abuso per la diffusione di CSAM (contenuti pedopornografici),...

Marco25

[cancellato] L'alternativa altrimenti è che poi si dotino di spyware stile Pegasus che sono anche più pericolosi.

Gli spyware vengono già impiegati (non solo da noi ovviamente), ecco un esempio. In Italia li chiamiamo captatori informatici.

[cancellato]

Marco25

Esatto, e sono molto più invasivi.

Giann

[cancellato] si ma disciplinati molto più rigidamente su cosa dovrebbero e non dovrebbero registrare. Infatti tantissime cose anche se registrate dal captatore informatico non posso essere ammesse in contraddittorio

[cancellato]

Giann si ma disciplinati molto più rigidamente su cosa dovrebbero e non dovrebbero registrare.

Legalmente sì, ma tecnologicamente si installano sfruttando vulnerabilità e alterando il funzionamento del dispositivo, è un po' diverso da un'app modificata apposta da chi la produce e installata sul dispositivo - almeno per questo tipo di indagine. Certo, ci vuole la collaborazione del provider del servizio e degli store.

handymenny "Cerca su tutte le chat Whatsapp la foto XXX"

E questa è la pesca a strascico che è il sogno degli investigatori pigri e che finiranno per non ottenere. e anche se ottengono qualcosa finiranno per essere sommersi da dati da analizzare, e falsi allarmi, specialmente se analizzano i testi. Se poi in tribunale le pene sono irrisorie non funziona nemmeno da deterrente.

Ci sarebbe casomai da discutere sui servizi che ignorano bellamente le leggi riguardanti l'accesso dei minori perché sono anche quelli numeri da vendere agli azionisti e investitori, così come i finti profili.

MaxBarbero

MentalBreach Il lasciare l'implementazione libera ai fornitori di servizi mi fa temere non poco, avrei preferito quantomeno delle linee-guida comuni.

Non è la stessa cosa odierna con le intercettazioni telefoniche? La tecnologia viene implementata da ogni singolo provider e viene attivata su mandato della magistratura.

handymenny

MaxBarbero La tecnologia viene implementata da ogni singolo provider e viene attivata su mandato della magistratura.

il problema è che il mandato potrebbe dire "Cerca su tutte le chat Whatsapp la foto XXX"

MentalBreach

MaxBarbero L'intercettazione telefonica riguarda solo la voce di una determinata linea, specificata dal mandato. Le risorse sarebbero allocate su quella singola linea.

Con l'implementazione delle potenzialità di ricerca sulle singole app, ognuno avrebbe una porta aperta a terzi.

Può essere che EveryMyText (nome di fantasia) implementi la ricerca in maniera ferrea, e quindi l'accesso ai messaggi dell'utente sia limitato a quel singolo utente secondo le modalità decise dal mandato; può essere che HolaWrite (altro nome di fantasia) implementi la ricerca in maniera "debole" e che sia possibile inviare richieste di ricerca ai telefoni degli utenti anche da chi non lavora per il servizio o dalle FFOO.

Basta vedere come l'exploit EternalBlue, associato in maniera ufficiosa all'NSA e pubblicato sul mercato nero, abbia consentito al ransomware WannaCry di diffondersi in tutto il mondo e creare danni per 4 miliardi di dollari.
Tutti gli utenti Windows erano vulnerabili a quell'exploit di SMB, senza saperlo.

MaxBarbero

handymenny
Non sarebbe come avviene già adesso dove vengono monitorati i canali telegram per contenuti pirata? Cambia il contenuto, ma la metodologia è simile

handymenny

MaxBarbero la DMCA e affini funzionano su base segnalazione, non a tappeto.
Controlli automatici ci sono ad esempio su youtube e twitch o anche facebook per le sole tracce audio (credo)

Marco25

[cancellato] Legalmente sì, ma tecnologicamente si installano sfruttando vulnerabilità e alterando il funzionamento del dispositivo, è un po' diverso da un'app modificata apposta da chi la produce e installata sul dispositivo - almeno per questo tipo di indagine. Certo, ci vuole la collaborazione del provider del servizio e degli store.

La sorveglianza mirata tramite vulnerabilità perlomeno ha un costo tecnico (più o meno elevato in base al dispositivo o app presi di mira), non è scalabile, e si rischia di essere scoperti, creando un naturale ostacolo che costringe le autorità a servirsene solo quando necessario, come già previsto dalla legge cioè in caso di gravi indizi di reato.

La soluzione che descrivi tramite app modificata costituirebbe una backdoor, che per quanto limitata nel raggio di azione secondo il pezzo di carta vicino, sarebbe tecnicamente scalabile all’infinito e senza rischi, rendendo la sorveglianza banale.

[cancellato]

Marco25 non è scalabile,

Mah, la quantità di sistemi compromessi e botnet in circolazione indica che è scalabile. Nè la Cina ha grossi problemi a controllare miliardi di persone. Né Facebook e Google hanno problemi a raccogliere dati di un paio di miliardi di utenti e analizzarli. 60 milioni in Italia sono un niente. Il problema è casomail il costo delle licenze e degli exploit zero day "click and run", se non fai in casa.

Marco25 sarebbe tecnicamente scalabile all’infinito e senza rischi, rendendo la sorveglianza banale.

Difatti poi ci vogliono i controlli legali. Come accade oggi con le intercettazioni telefoniche - il sistema è lì e pronto ad essere usato. E poi anche i sistemi operativi ormai sono backdoor, solo che sono controllati da Apple, Google e Microsoft. Che per di più agiscono senza alcun controllo.

Marco25

[cancellato] Mah, la quantità di sistemi compromessi e botnet in circolazione indica che è scalabile. Nè la Cina ha grossi problemi a controllare miliardi di persone. Né Facebook e Google hanno problemi a raccogliere dati di un paio di miliardi di utenti e analizzarli.

Facile se controlli il sistema operativo da cima in fondo. In caso contrario se volessi infettare oggi 1 milione di smartphone come faresti? Hai una vulnerabilità che funziona su tutti i modelli di smartphone, con microversioni diverse, revisioni, personalizzazioni del produttore, configurazioni?

[cancellato] Difatti poi ci vogliono i controlli legali. Come accade oggi con le intercettazioni telefoniche - il sistema è lì e pronto ad essere usato.

Se venisse fornita la possibilità di infettare uno smartphone senza sforzo, è plausibile che altri paesi dove lo stato di diritto non esiste chiedano di avere la stessa possibilità, e perché no, usarla anche contro di noi adducendo come giustificazione una minaccia alla sicurezza nazionale.

Inoltre, sapendo che i produttori dei sistemi operativi mainstream hanno un accordo di questo tipo con le forze dell'ordine, cosa mi impedisce di creare una versione modificata dell'OS senza backdoor?

[cancellato]

Marco25 In caso contrario se volessi infettare oggi 1 milione di smartphone come faresti?

Non mi pare che i venditori di spyware abbiano problemi. Io la vulnerabilità non ce l'ho, loro a quanto pare sì. Ben più di una, probabilmente. Poi non è detto che una vulnerabilità non si in grado di violare diverse versioni dell'OS - e le personalizzazioni dei produttori non cambiano molte cose. Comunque gli OS sono già spyware - Google è stata beccata a loggare le telefonate e fare hash dei messaggi "per motivi diagnostici" (https://www.theregister.com/2022/03/21/google_messages_gdpr/). Quindi di cosa ci stupiamo? Se lo fa Google o Apple va bene? Ah già, c'è sempre la scusa del "rogue developer", i "motivi diagnostici", "un errore di configurazione".... tutto bene, tutto senza controlli - fatto su scala enorme.

Marco25 plausibile che altri paesi dove lo stato di diritto non esiste chiedano di avere la stessa possibilità,

Perché non lo fanno già? Vedi che obbligano ad installare le loro app, e a mettere i dati degli utenti in datacenter accessibili dal governo, e Appe e Google per fare più soldi chinano la testa e lo fanno, così come bloccano le app non gradite. Di fatto, ora ottengono di più gli stati autoritari che quelli democratici.

Marco25 cosa mi impedisce di creare una versione modificata dell'OS senza backdoor?

Auguri a farlo con iOS, ma anche con Android non è così facile - ad esempio come ottieni il "blob" Google? È ovvio che utenti estremamente esperti possono provare a bypassare certe misure, ma la gran parte degli utenti non è esperta, compresi i criminali - come sanno perfettamente di poter essere intercettati ma continuano a usare il telefono. Perché non tutti hanno voglia di mettere insieme un sistema di "pizzini" cartacei, è scomodo...
Certo, come è già accaduto ci sarà anche chi prova a vendere telefoni specifici, ma anche il criminale vuole mettersi in mostra con l'ultimo iPhone... e già il fatto che qualcuno usi telefoni modificati costituisce già un indizio su cosa andare a osservare.

Marco25

Sempre in merito a questa proposta di legge, Europol ha richiesto accesso completo, non filtrato, a tutti i dati prodotti da questi sistemi di scansione, inclusi falsi positivi, in quanto anche dati di innocenti potranno rivelarsi utili per attività investigative o addestramento di AI. Sostanzialmente pre-crime. Meno accurati sarebbero questi sistemi, più dati di innocenti verrebbero trasmessi. L'iniziativa di Apple per la scansione sul dispositivo, ora abbandonata, si è rivelata fallata entro pochi giorni dall'annuncio. L'agenzia non è nuova a manifestare una bulimia di dati.

Marco25

La precedente proposta non è passata ma ora si sta facendo strada un'altra, stile cookie-consent: accetta che le foto siano scansionate oppure puoi inviare unicamente messaggi di testo: https://www.patrick-breyer.de/en/majority-for-chat-control-possible-users-who-refuse-scanning-to-be-prevented-from-sharing-photos-and-links/

attackment

Marco25 basta semplicemente dire di no e usare il vecchio sistema, Bluetooth oppure si stampano le foto e le si portano, comunque che lo facciano alla luce del sole o all' ombra della notte il caso datagete del 2013 insegna...la privacy è un ricordo lontano almeno online.

walt

Ma io uso IRC e me ne frego!

(👀)

EnIgMa

forse mi allargo un po', e non è detto che in gran segreto già accada, diventa una specie di caso Snowden.

Per curiosità, se una connessione p2p è crittografata non dovrebbe esserlo anche per i provider e tutti quelli in mezzo?

giusto per fare un esempio banale, un messaggio su whatsapp/telegram o una telefonata sulle stesse app, che pubblicizzano la cifratura, non è realmente tale?

escludendo ovviamente che il telefono/dispositivo non sia stato manomesso e si spii direttamente lì.

Claudio7890

EnIgMa Per curiosità, se una connessione p2p è crittografata non dovrebbe esserlo anche per i provider e tutti quelli in mezzo?

Infatti la maggior parte di queste proposte sono per implementare una scansione lato client.

Questo perché molti servizi di messaggistica obbligano ad usare il client ufficiale

Marco25

EnIgMa Signal non scansiona le chat per rilevale CSAM, Whatsapp nemmeno (è closed source come sappiamo ma non c’è alcuna evidenza che lo faccia), Telegram scansiona le chat lato server per finalità antispam e naturalmente non è possibile sapere se fanno altro. Connessione peer-to-peer non ha nulla a che fare con la crittografia end-to-end, puoi avere l’una e l’altra o nessuna. Whatsapp utilizza protocollo Signal quindi è criptato end-to-end, è closed source ma tramite reverse engineering ad oggi non sono state trovate backdoor. In Telegram la cifratura e2e si applica solo per le chat segrete, le chat cloud sono protette solo client-server ergo accessibili a Telegram stessa.

Claudio7890

Marco25 Whatsapp utilizza protocollo Signal quindi è criptato end-to-end, è closed source ma tramite reverse engineering ad oggi non sono state trovate backdoor

Sì, alla fine a FB bastano i metadati delle chat, ma se la legge passasse non gli ci vorrebbe troppo per implementare una scansione locale...

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile