cyberterrorism [Was: Re: [Discussioni] [Fwd: Virus/ Sarà Linux il prossimo bersaglio?]]

[Marco Ermini]

Ho messo un bel subject di quelli che piacciono ad Echelon e a Carnivor ;-)


On Thu, 03 Jan 2002 15:51:01 +0100, "Marco A. Calamari"
<marco a freenetproject.org> wrote:

[...]
> >Se proprio la cosa ti interessa posso chiamare un amico sociologo che abita
> >a New York e la cui moglie e' avvocato. Sono sicuramente informati di
> >queste cose e sicuramente possono darmi dettagli realistici...
> 
> Questo sarebbe veramente interessante, purche' l'avvocato sia del
>   settore; gli avvocati americani sono anche piu' specializzati
>   di quelli italiani, e su soggetti perticolari possono non essere
>   abbastanza informati

Non credo che manchino per lo meno nel suo studio legale. Sempre che ne esista
ancora uno, visto che era di fronte alle Twin Tower


> E per finire, questa non e' fantapolitica, forse e' il tuo mondo ad essere
>   il fantamondo in cui vorresti vivere, piuttosto che questo.

Marco, ben lungi da me denigrare l'importanza delle cose che dici o la
gravita' di certe leggi per la liberta' individuale, ma non serve un avvocato
specialista di alcun settore per capire che non si possono fare leggi che
obblighino qualcuno di stare indefinitivamente in carcere senza un processo,
ne' in USA ne' in Europa.

Restiamo alle cose che hai detto: i *fatti* sono, che tu mi hai consigliato di
non andare negli USA perche' in una sconosciuta ML mi sono vantato di aver
scritto una decade fa qualcosa che poteva essere forse paragonato ad un virus:

"Ti consiglierei vivamente di scegliere un posto diverso dagli Stati Uniti per
la tua prossima vacanza"

Questa e' o 1) una battuta ironica che vuole evidenziare il tuo dissenso verso
il PATRIOT ACT, che e' condividibilissima, o 2) una visione paranoica assai
distante dalla realta' (tanto che tu stesso hai "scommesso" che non mi sarebbe
mai accaduto nulla: "Beh, dovessi scommettere sarei d'accordo con te").

Quindi, ho capito bene cosa dici, ma insistere sul fatto che io non mi debba
"sentire sicuro", a questo punto, significa solo instillare, possibilmente, in
qualcuno che potrebbe leggere cio' che scrivi, del panico che nella pratica e'
irrazionale ed infondato. Puoi star certo che continuero' ad entrare ed uscire
dagli USA come chiunque altro, sia per motivi di lavoro che turistici.

Queste leggi saranno liberticide, ma a maggior ragione e' stupido instillare
delle paure che non hanno luogo - altrimenti per il tuo ragionamento si
dovrebbero arrestare i programmatori ed i dirigenti di AIM nonche' quelli di
Microsoft, e chiedere l'estradizione di quelli di ICQ, che hanno fatto molto
peggio di me (e non lo hanno detto in privato, sono cose note pubblicamente).
Credo che tutta questa gente si senta piuttosto (relativamente) al sicuro come
mi sento io.

E se poi mi dovessero tenere in carcere per 6 mesi, diventerei ricco grazie ai
danni che gli chiederei ;-)

Se vuoi, poi, possiamo davvero andare a vedere la legge. Ho fatto come dici.

Innanzitutto, il documento che mi suggerisci tu e' illeggibile. Piu' che di
una nuova legge, si tratta di una modifica a 15 leggi esistenti, la piu'
importante delle quali e' quella del 1998 che conoscevo gia'. Ho fatto nel
documento le ricerche che dicevi, ma sono 382 pagine, quindi ho provato pure a
cercare dall'indice i topic significativi.

Innanzitutto, il "cyberterrorism" e' davvero una goccia in questo oceano di
legge, e' solo la sezione 814, in una legge che parla di attacchi ai sistemi
di trasporto, supporto materiale al terrorismo, restrizioni sui conti bancari
offshore ecc. Tutte cose su cui ritengo leggittimissimo legiferare,
personalmente.

La sezione importante, la 814, "Deterrence and prevention of cyberterrorism"
e' principalmente un inasprimento delle pene (non ci sono i sei mesi che
dicevi, ma 5, 10 e 20 anni di pena massima) e contiene una serie di
chiarificazioni ("CLARIFICATION OF PROTECTION OF PROTECTED COMPUTERS"). Poi
nell'816 parla dei requisiti richiesti ai computer degli uomini/donne di
legge, e fa capire chiaramente che il termine "cyberterrorism" e' da ritenersi
una sottocategoria di "criminal activity". Alla 1016 poi parla della
protezione delle infrastrutture informatiche critiche.

Quindi dove mi hai suggerito di cercare tu non ho visto nulla di
sostanzialmente diverso dalla legge del 1998. Una cosa che ho trovato da
questa veloce scansione e' stata la sezione 105 (a parte la 802 di cui parlo
sotto):

"SEC. 105. EXPANSION OF NATIONAL ELECTRONIC CRIME TASK FORCE INITIATIVE.

The Director of the United States Secret Service shall take appropriate
actions to develop a national network of electronic crime task forces, based
on the New York Electronic Crimes Task Force model, throughout the United
States, for the purpose of preventing, detecting, and investigating various
forms of electronic crimes, including potential terrorist attacks against
critical infrastructure and financial payment systems."

Non mi sembra nulla che il mio programma del 1990 possa fare...

Inoltre, ho avuto la netta sensazione che si parlasse di attacchi deliberati
ai sistemi informatici. Quindi, assolutamente nulla che mi riguardi: il mio
"virus" non sa nemmeno cos'e' la rete, manco c'era nell'MS-DOS all'epoca.

L'unica cosa che ho trovato, come dicevo, e' la 802, ovviamente essendo una
modifica di altre leggi e' un casino leggerla cosi' com'e'. Allora ho provato
a cercare la fonte che fosse la piu' possibile partigiana verso quello che
dicevi tu, ovvero l'interpretazione della EFF.

Sul sito della eff (
http://www.eff.org/Privacy/Surveillance/Terrorism_militias/20011031_eff_usa_patriot_analysis.html
), a parte tutte le cose sulle restrizioni ai provider ecc. (che come ho detto
non riguardano certo il mio "pseudo-virus") ho trovato una spiegazione della
definizione del "domestic terrorism" definito dalla sezione 802, ed
effettivamente sembra che abbiano abolito delle limitazioni ai tutori della
legge per gli atti che possono andare a "spiare" l'attivita' di un presunto
terrorista informatico. Nella sezione 217 si elimina la necessita' del
permesso della corte per poter spiare il computer di un presunto terrorista.
Ho ritrovato in questo commento l'aumento delle pene per i "computer fraud"
che avevo visto anche io (ed avevo visto bene, non si parla di 6 mesi ma di 5,
10 e 20 anni). Oltre alla galera, si alzano anche le multe. Pero' (e qui e' il
nodo centrale) non c'e' assolutamente nulla che lasci intendere che i miei
programmi possano essere intesi come "computer fraud". Anzi, si parla di
"ensuring that violators only need to intend to cause damage", ed
evidentemente i miei due "para-virus" fanno molto meno danno dei driver MSCDEX
che sono erroneamente rimasti nel CONFIG.SYS di qualche utente di Windows 95
(occupano meno RAM...).

Intercettare e registrare su nastro le transazioni di rete, sorvegliare le
attivita' domestiche, registrare i numeri di telefono, schedare il DNA dei
sospetti sono tutte cose deplorevoli e sono d'accordo, ma ripeto: non
c'entrano *nulla* col mio discorso iniziale. Al piu', possono spiarmi o
schedarmi, o prendermi il DNA, personalmente sono molto meno preoccupato di te
di queste cose, non ho mai fatto nulla di cui temere, penso che abbiano ben
altre persone da spiare e che io non gli interessi.

Oltretutto, si parla chiaramente di "mechanisms for surveillance on people
living in the United States", a cui sicuramente io non appartengo. Anche se si
parla di attacchi a sistemi esteri che interessano il governo USA, i miei
virus non viaggiano in rete. *Al limite*, sarebbe punibile chi infilasse un
dischetto da 5 1/4 col mio "virus" (ammesso che esistano ancora) in un
computer del governo USA compatibile MS-DOS 3.3 (cosa improbabile visto dal
governo USA sono richiesti certi standard POSIX e un certo di livello di
certificazione) e facesse il reboot. Questo sicuramente e' un "attacco", ma e'
commesso da chi fisicamente lo conduce, *sicuramente* *non* da chi ha scritto
il "virus" (sarebbe piu' corretto dire "software").

Dal commento della EFF, sembra che quello che possano fare una volta che metto
piede negli USA sia mettere delle cimici nel mio telefono od ispezionarmi il
portatile, ma non ci troveranno nemmeno un software pirata, figurati un
"virus". *Al limite*, anche qui, se invece che ricadere nel caso della
"domestic suirvellance" rientrassi nella "Foreign Intelligence Surveillance"
potrebbero sorvegliarmi per un periodo tra 90 giorni ed 1 anno, ma *non*
*tenermi in galera senza avvocato*, come hai detto tu, *sorvegliarmi*.

Direi quindi che le cose, pur gravi, stanno decisamente in modo molto diverso
da come me le hai dette tu, sia da una veloce lettura della legge che
dall'analisi della EFF.

Con questo non sminuisco di una sola virgola i tuoi timori per le liberta'
individuali di chi vive negli USA (anzi, leggere queste cose mi ha
spaventato), ma da quello che ho capito non c'e' nulla che mi riguardi - non
solo, non ho trovato alcuna corrispondenza con quello che dicevi tu ne' circa
la definizione di "cyberterrorismo" ne' corrispondenze con le pene o con
l'essere arrestato o il rimanere senza avvocato... sono inasprite le pene, ma
non cambiato il modus. Per il resto, ti ringrazio, sono letture molto
istruttive e mi hai dato l'occasione di farle (ho approfittato dell'influenza
;-).


ciao

-- 
Marco Ermini
http://www.markoer.org
Never attribute to malice that which is adequately explained
by stupidity. (a sig from Slashdot postings)