HOME Articoli

Editoriali Nasce “Logbox”, il Grande Fratello contro il crimine informatico – Intervista a Ghioni

Editoriali Pubblicato il 11 gennaio 2012

Articolo di




> Editoriali Pubblicato il 11 gennaio 2012

Nasce Logbox, un software che promette di stanare i crimini informatici, tramite il controllo di tutti i movimenti dell’utente. Ma la privacy che fine farà? Intervista a Fabio Ghioni.

Vale più del mercato nero della marijuana, della cocaina e dell’eroina messi insieme [1]: il costo dei crimini informatici (oggi stimato in 388 miliardi di dollari) è il primo business al mondo. Ogni giorno vengono commessi più di un milione di cyber reati, mentre il 69% della popolazione ha subito un attacco informatico nel corso della propria vita.

Fabio Ghioni è un ex hacker che ha fatto obiezione di coscienza, diventando capo della sicurezza informatica del gruppo Telecom Italia: uno degli esperti più accreditati in materia. Il suo nome è anche legato allo scandalo dei dossieraggi Telecom-Sismi e all’affaire Tronchetti-Provera. E ora è di nuovo sulla breccia dell’onda.

Dalla sua mente è nato Logbox, il “Grande Padre che veglierà su Internet”, una sorta di super testimone per combattere i crimini informatici. Si tratta di un software di ultima generazione che promette di essere una scatola nera per i nostri computer. Installato in ogni macchina, consentirà di conservare, in forma di tabulato e in modo criptato, le attività di un determinato computer eseguite dall’utente, come per esempio il tempo di connessione su determinati siti e tutte le altre informazioni sulla navigazione.

Al momento, l’unica targa di riconoscimento per i computer è l’indirizzo IP, che permette di risalire all’identità e alle attività del suo proprietario. Ma può essere falsificata. L’attuale stato della tecnologia non offre la certezza di attribuire all’utente una identità certa. Sono aggirabili anche i sistemi di autenticazione e protezione dell’ecommerce e dell’ebanking (i Secure Socket Layer). Nulla è davvero al sicuro e la rete consente uno pseudo anonimato con cui ciascuno può schivare le proprie responsabilità.

Ghioni, invece, ha progettato “Logbox” (scatola dei log), un sistema di monitoraggio costante che immagazzina – al pari di una scatola nera – tutte le attività degli utenti svolte su Internet, registrandole in modo indelebile, senza possibilità di falsificazioni. Una prova dell’innocenza degli innocenti e della colpevolezza dei colpevoli. Nello stesso tempo, un deterrente per chi ha intenzione di commettere crimini informatici, una sicurezza per le vittime dei reati, una garanzia per chi invece da sempre si muove nella legalità.

Logbox potrebbe svolgere un indiscutibile ruolo anche nella lotta contro la pedopornografia, impedendo ai criminali di tendere le loro reti ai minori, sotto l’indisturbata copertura di un computer anonimo.

Insomma, questo software promette finalità preventive e punitive, ma anche risarcitorie. Il che si riverserebbe in un mondo, quello virtuale, certamente più sicuro.

Ma a che costo?

La tracciabilità perenne dell’utente è un’idea che spaventa. È come un braccialetto elettronico sempre al polso, che controlla ogni nostro movimento, pur senza che vi sia un indice di pericolosità del soggetto.

Eppure, sebbene inconsciamente, siamo ormai tutti tracciati. Le telecamere sorvegliano le zone a rischio delle città, i GPS rendono visibili al satellite le traiettorie delle auto, i telefoni sono sotto minaccia di intercettazione; quando si fa un prelievo in banca il filmato viene conservato in un circuito chiuso per diversi giorni. Persino il cellulare della moglie può contenere una microspia per spiarne le telefonate segrete.

Ecco perché “La Legge per tutti” ha voluto incontrare e intervistare personalmente Fabio Ghioni, per dargli la possibilità di sfatare i luoghi comuni e tutte le paure che circolano sulla sua creatura.

La Legge per tutti (LLPT): “Ciao Fabio. È un piacere conoscerti.

Fabio Ghioni: Ciao Angelo. Un saluto anche ai lettori di “La Legge per tutti”.

LLPT: Parliamo di Logbox e di quale rivoluzione nel campo della sicurezza intende essere.

Qual è l’attuale stato della sicurezza dei nostri computer? Perché il sistema degli indirizzi IP, per tracciare l’attività degli utenti, non è certo, ragion per cui tu suggerisci di passare a Logbox?

F.G.: L’indirizzo IP, così come il numero di telefono di ognuno di noi (cosa quest’ultima che purtroppo nessuno sa e non viene propagandata), può essere soggetto a spoofing [2]: cioè, chiunque può navigare in rete e risultare con un indirizzo IP che non è il suo.

Del resto, chi esegue un’attività criminale non la fa certo utilizzando la propria linea.

LLPT: Come dire che il ladro non va a svaligiare una banca con la sua auto?

F.G.: Esatto. La stessa cosa succede per i criminali informatici. Essi usano un “ponte”, che sia un server proxy o un server fox o un computer di un’altra persona che hanno infettato.

Quindi, nel momento in cui il pubblico ministero ha, come unica prova sulla colpevolezza di un soggetto, un indirizzo IP, egli potrebbe risalire a un poveraccio la cui unica ingenuità è stata quella di navigare non protetto o di aprire un’email che non doveva aprire.

Invece Logbox conserva, all’interno del PC, una registrazione di ogni attività svolta dall’utente: essa può rivelare anche se qualcuno ha utilizzato l’altrui indirizzo IP per commettere un’attività criminale e “chi è” questo “qualcuno”. Una manna per gli inquirenti, che oggi invece si limitano al solo indirizzo IP.

LLPT: Non c’è pericolo che Logbox possa servire per spiare gli utenti che navigano in rete per poi ricattarli?

Assolutamente no. Può invece servire a escludere la responsabilità di un inquisito in un’indagine di reato informatico, risolvendosi in una garanzia per il cittadino. Senza contare che, grazie ad esso, le vittime dei reati potrebbero finalmente trovare soddisfazione e ricevere il risarcimento dei danni.

LLPT: La rete è spaventata. Si crede che Logbox possa violare la privacy degli utenti.

Lascia che ti dica qual è il convincimento più diffuso in merito e perdona questa lunga digressione.

I computer sanno del loro proprietario molto più di quanto ne sappiano i suoi genitori, la sua famiglia, gli amici stessi. I computer conoscono i suoi desideri, le debolezze, i progetti per il futuro (dalla vacanza estiva al prossimo posto di lavoro). Dentro i computer ci sono le idee, i lavori, le invenzioni, i libri scritti e quelli ancora in composizione. C’è molto di più di una persona.

Questi dati sono appetibili per due ragioni.

La prima è commerciale.

La pubblicità sa che, da qualche parte nel mondo, c’è un soggetto interessato ad acquistare il prodotto pubblicizzato. Il problema è sapere chi è tale soggetto e dove raggiungerlo con l’informazione. Per questo, le aziende si servono delle indagini di mercato e pagano bene per questo. I computer conoscono i desideri dei loro proprietari e possono dire tutto ciò. Accedere dentro un computer vuol dire spaccare in due l’uomo e scoprire ciò che forse neanche lui sa di sé stesso.

La seconda ragione è di tutela di alcune lobby.

La rete ha messo a disposizioni di chiunque le opere di milioni di autori. Questi, però, se un tempo pagavano profumatamente agenti e pubblicitari per farsi conoscere, oggi invece, che possono essere conosciuti gratuitamente in tutto il mondo grazie a internet, hanno deciso di farsi pagare ogni minima utilizzazione. Un controsenso: ma è così.

Dall’altro lato, la liquidità dei contenuti ha determinato una crisi senza precedenti nel settore industriale dei supporti fisici. Pur di recuperare il proprio mercato, major, case cinematografiche ed editrici stanno conducendo una battaglia senza esclusione di colpi. La nuova generazione viene catalogata in modo aprioristico come “pirata del web”.

Non pochi pensano che i Governi stiano cercando di favorire il gioco delle fabbriche di contenuti (vedi: regolamento dell’AgCom, il sistema Adopi in Francia o le sentenze che vorrebbero imporre i filtri agli ISP ).

Ebbene, in questo scenario apocalittico, siamo davvero sicuri che nessuno pagherà qualche burocrate affinché gli passi, sotto banco, i milioni di dati degli utenti raccolti da software come Logbox? Chi vivrà più tranquillo con la possibilità che queste informazioni passino nelle mani sbagliate? La nostra identità è ormai duplicata: oltre a quella reale ce n’è una digitale. Appropriarsi di queste informazioni sarebbe un po’ come perdere la carta di identità, il codice fiscale e la tessera bancomat.

Anche le intercettazioni erano nate per finalità preventive. Ma tutti sappiamo come la semplice potenzialità di essere intercettati abbia finito per influenzare anche le nostre conversazioni più innocenti.

Peraltro, le stesse intercettazioni non vengono mai fatte in modo preventivo e costante. Nessuno di noi ha un telefono sotto controllo notte e giorno. Logbox invece è questo: una microspia impiantata tanto nel computer dell’onesto cittadino, quanto in quello del cyber criminale.

F.G.: La gente è abituata nell’era dello zapping a leggere i titoli e a farsi un’idea preconcetta, un teorema, su tutti i temi, prima ancora di averli approfonditi.

Chiariamo una volta per tutte che Logbox serve solo come supporto certificato all’autorità giudiziaria per uso di indagini. Gli inquirenti non potranno accedere a questi dati autonomamente. Infatti, per garantire il rispetto della privacy, è bene affidare la conservazione e il trattamento dei dati salvati da Logbox a un’Authority. Ad essa gli inquirenti potrebbero rivolgersi per ottenere le informazioni necessarie alla lotta al cyber crime.

Inoltre, l’utente può utilizzare tutto quello che riguarda l’attività sua certificata dal computer anche per scagionarsi da eventuali accuse: per esempio, nel caso di intrusione informatica, se il suo PC viene usato come ponte per un traffico pedopornografico o per fare hacking.

Guarda il caso di Alberto Stasi: il suo alibi era il fatto che, all’ora dell’omicidio, stava lavorando alla tesi. Se il GUP non avesse ordinato una nuova perizia sul computer di Stasi, nessuno avrebbe mai scoperto che i documenti della tesi erano stati cancellati e lui sarebbe stato condannato.

Questa è una cosa che fa paura. Perché non ci si spaventa di questo piuttosto che della violazione della propria privacy? Se tu vieni incriminato ingiustamente, l’attività che hai svolto sul PC può scagionarti perché dimostra in modo certificato che eri lì in quel momento.

Io sarei il primo a chiedere che venga installato sul mio PC questo sistema.

Le persone normali che si preoccupano della privacy sono di due tipi: o sono persone che fanno attività borderline (e usano la scusa della violazione della privacy) oppure non capiscono l’utilità sociale di questo strumento.

La gente che legge senza informarsi mi ha fatto pensare a questo. Come sai, io pubblico articoli sul mio blog. Una volta volevo scrivere un bel titolo vistoso e inserire un testo in latino, scritto a caso, per vedere quante persone andavano a leggere non solo il titolo, ma anche l’articolo, e poi cliccavano “mi piace”.

È la cultura di oggi che purtroppo impedisce alle persone di comprendere quando una cosa è o non è utile

LLPT: Cosa succederebbe se i dati conservati da Logbox passassero nelle mani sbagliate?

F.G.: Non c’è questa possibilità se non viene rilasciata la chiave. Ci deve essere un garante che rilascia la chiave e la può rilasciare solo all’inquirente e solo per il periodo strettamente necessario.

LLPT: C’è un ultimo problema che mi preoccupa ed è la violazione del principio della responsabilità penale personale. Questo principio, in buona sostanza, stabilisce che, in materia di crimini, la responsabilità per una condotta può essere attribuita solo a chi ha commesso “materialmente” quella condotta e non anche ad altri soggetti (garanti, ecc.).

Logbox promette però di dirci ciò che ha fatto una specifica macchina, ma non “chi” era alla guida di quella macchina.

In altre parole, un computer che venga utilizzato da cinque persone diverse non potrà rivelare chi dei cinque ha commesso materialmente il crimine (a meno di contenere anche una webcam puntata contro chi è alla tastiera), ma potrà solo dire che “con quella macchina” è stato posto un determinato comportamento.

Come sarà possibile, dunque, attribuire la responsabilità della condotta all’effettivo criminale? Per dimostrare la propria innocenza, sarà sufficiente dimostrare che il PC è utilizzato da altre persone, non credi? Oppure si finirà per attribuire una responsabilità oggettiva a ogni proprietario di computer?

F.G.: Le credenziali della macchina sono personali e non cedibili. L’utente non può cedere le proprie password. Non c’è un altro modo di risolvere la questione. Non ci sono spazi per scuse come “il mio computer lo usano anche altre persone”. Il PC è una cosa seria: è come una pistola, perché con esso si possono commettere dei reati.

LLPT: Ma così si cambia il capo di imputazione del reato che, da un crimine per esempio di pedopornografia potrebbe trasformarsi in una omessa adozione di misure necessarie a tutelare i dati personali. C’è una bella differenza. Si passa da un reato molto grave ad uno meno grave. Il sistema si presta ad essere aggirato facilmente dagli avvocati. Un caso simile lo abbiamo visto in un precedente di questi ultimi mesi: https://www.laleggepertutti.it/mentre-la-rete-esulta-per-il-video-hard-di-belen-rodriguez-le-procure-tentennano/

F.G.: Sinceramente queste sono questioni giuridiche la cui soluzione voglio lasciare ai tecnici del diritto.

LLPT: Logbox è opera tua o c’è una società di dietro?

F.G.: La società che c’è dietro è una società che si ispirata ai principi di Hacker Republic (da cui il suo nome): è una società di persone che credono nel progetto. L’elaborazione di Logbox è stata realizzata da un network internazionale, mettendo insieme un po’ di teste.

L’obiettivo era di far spendere il meno possibile alla Comunità Europea e ai contribuenti, utilizzando per la maggior parte strumenti open source, senza bisogno di pagare licenze.

Gli utenti così possono entrare nel codice per vedere come funziona Logbox e rendersi conto se ci sono abusi o altro.

LLPT: Avete già venduto qualche copia?

F.G.: Stiamo aspettando febbraio, quando verrà approvato il regolamento comunitario sul roaming. E qui l’onorevole Motti si sta spendendo a favore dell’implementabilità di Logbox.

Il programma non potrà essere venduto privatamente. Sulla implementazione di Logbox io non ci guadagno niente.

LLPT: Grazie Fabio. So che presto sarai dalle nostre parti…

F.G.: Grazie a “La Legge per tutti”.

La foto del presente articolo è un’opera artistica di Dantemanuele De Santis, DS Photostudio, ©. Ogni riproduzione riservata.

 

 

note

[1] Tutti e tre uniti arrivano a 288 miliardi di dollari di fatturato.

[2] Lo spoofing è un tipo di attacco informatico dove viene impiegata in qualche maniera la falsificazione dell’identità (spoof).


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:
Informativa sulla privacy

ARTICOLI CORRELATI

3 Commenti

  1. Articolo molto interessante,spero di farne un hashtag su Twitter #Logbox.Per raccoglierne poi i commenti!!

  2. Si tratta di un plagio del quale ha già dato ampio risalto l’informazione. La Log Box non esiste e non può funzionare, l’originale funzionante e coperto da deposito di Brevetto Europeo esiste da 2 anni. E’ statao approvato dall’Ispettorato del lavoro di Milano in quanto capace di catturare e conservare in modalità criptata le informazioni relative alle navigazioni web che sorveglia senza offrire ad alcuno la possibilità di accedere alle informazioni che racchiude a tutela della privacy dei soggetti interessati. Solo le Forze dell’Ordine ne avranno accesso. Info su : http://www.garantedelfile.it/Web%20Box%202011new.pdf
    La prego di dare il corretto risalto a questa informazione

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI