Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu? Photo by on Unsplash
1762 parole - Lo leggerai in 9 minuti

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si parla della carta dei diritti di Internet.

In pratica, l’ennesimo tentativo del solerte legislatore italiano, di regolamentare con leggi, articoli e commi, un qualcosa, Internet appunto, che per il suo design è anarchica. La parola anarchica usata in questo contesto, non deve essere letta con l’accezione negativa che di solito viene data quando i media la usano. L’anarchia della rete è legata al caos di un mondo, con i suoi ecosistemi in un placido equilibrio instabile.

La stessa anarchia che hanno le particelle d’acqua quando la pentola è sul fuoco e state per buttare la pasta. La #billOfRights è un po’ come dire a queste particelle di bollire tutte in fila indiana, pena una sanzione.

Mentre l’Italia, con il suo ministro della difesa, non ha ancora dichiarato conclusa la campagna in Abissinia, tanto che paghiamo ancora le accise sul carburante per finanziare le nostre truppe in africa, sembra che la priorità sia buttar giù 14 punti che puntualizzano l’ovvio.

Cercando di evitare accuratamente il problema principale: chiunque in questo paese può mettere in linea una web application senza l’obbligo di test di security e senza uno straccio di responsabilità nel caso di intrusione informatica. Non solo, contrariamente agli USA, non esiste per legge l’obbligo da parte di un’azienda di dichiarare un attacco informatico andato a buon fine.

Quindi i dati così tanto cari al digital champion e agli altri promotori della se magna carta possono essere in mano a chiunque nel deep web (o al primo script kiddie, visto alcuni siti anche istituzionali), in barba all’effort speso per scrivere questa dichiarazione piena di #fuffaware.

La carta dei diritti dell’uomo 2.0. #Antani e #Sha7

Io cito i pezzi presi dal Corriere. Dovrebbe essere il virgolettato della se magna carta de noartri.

Preambolo

Amo i preamboli. Sono la #fuffa #banfosa all’ennesima potenza. Si mettono parole a tasso elevato di pomposità per stordire il lettore medio e fargli passare poi una sfilza di concetti astrusi e arzigogolati.

“Questa Dichiarazione dei diritti in Internet è fondata sul pieno riconoscimento di libertà, eguaglianza, dignità e diversità di ogni persona.” Aggiungerei in rete, perché questo è già regolamentato dalla carta dei diritti universali dell’uomo. Benissimo, il legislatore italiano mi riconosce libertà e altri ammenicoli in rete. Perfetto, lo stato italiano fa fatica a garantire queste libertà nel mondo reale però in Internet come per magia, tutto appare più delineato, in uno scenario alla brave new world. Siamo tutti liberi in Rete, #antani e #sha7.

“La garanzia di questi diritti è condizione necessaria perché sia assicurato il funzionamento democratico delle Istituzioni”. Qui mi domando perché si parla delle Istituzioni e mi chiedo anche quanto era buono il prosecco bevuto da chi l’ha scritto. La mia libertà in Rete, perché stiamo parlando di questo, è condizione necessaria e sufficiente affinché la Repubblica Italiana funzioni in modo democratico? Ma siamo scemi?

“Una Dichiarazione dei diritti di Internet è strumento indispensabile per dare fondamento costituzionale a principi e diritti nella dimensione sovranazionale.” Cioè, noi con il nostro sistema tributario e la nostra burocrazia folle non siamo in grado di attirare i giganti del web a creare oppurtunità di lavoro importanti nel nostro Paese, ci lamentiamo e rosichiamo perché lo fanno altrove e pensiamo anche di aver voce sovranazione in capitolo. Poi? Ripartiamo col colonialismo?

Riconoscimento e garanzia dei diritti

“Sono garantiti in Internet i diritti fondamentali di ogni persona riconosciuti dai documenti internazionali, dalla Carta dei diritti fondamentali dell’Unione Europea, dalle costituzioni e dalle leggi.” Un po’ come dire… ragazzi tranquilli, il mondo virtuale, cyber, cloud alla fine è sempre governato da noi. Voi siete liberissimi di scrivere quello che volete e io di chiedere alle autorità il takedown della macchina nel caso ci fosse… massì dai, una diffamazione.

Diritto di accesso

“Ogni persona ha eguale diritto di accedere a Internet in condizioni di parità, con modalità tecnologicamente adeguate e aggiornate che rimuovano ogni ostacolo di ordine economico e sociale” Quindi cara Telecom, smetti di rompere le palle mandandomi l’ADSL invece che ai 7 Mega promessi a 4 Mega quando va bene.

“L’accesso comprende la libertà di scelta per quanto riguarda sistemi operativi, software e applicazioni.” Ma alla Microsoft l’avete detto quindi che deve smettere di farmi pagare il costo di licenza del SO nelle macchine che compro ai centri commerciali?

“L’effettiva tutela del diritto di accesso esige adeguati interventi pubblici per il superamento di ogni forma di divario digitale – culturale, infrastrutturale, economico – con particolare riferimento all’accessibilità delle persone con disabilita.” Che l’Italia voglia sconfiggere il digital divide è sacrosanto. Che lo debba scrivere in una legge quando sono decenni che, non dico la fibra, ma manco l’ADSL arriva in certe zone a 20Km da Milano perché sono esaurite le bocchette nelle centraline Telecom, a me sembra ridicolo.

Neutralità della rete

“Ogni persona ha il diritto che i dati che trasmette e riceve in Internet non subiscano discriminazioni, restrizioni o interferenze in relazione al mittente, ricevente, tipo o contenuto dei dati, dispositivo utilizzato, applicazioni o, in generale, legittime scelte delle persone” Io mi sento molto discriminato ogni volta che un’applicazione respinge i miei tentativi di SQL Injection. Questo viola la neutralità della rete! :)

Scherzi ed ironie a parte… la rete è neutrale per lo stesso concetto di rete. Un po’ come dire che per legge la natura è neutrale, la società è neutrale. La rete è composta da eleboratori connessi tra di loro nel mondo, elaboratori governati da software scritto e comandato da esseri umani. Appare spero chiaro come il concetto di neutralità trasudi da questo fatto.

Tutela dei dati personali

“Ogni persona ha diritto alla protezione dei dati che la riguardano, per garantire il rispetto della sua dignità, identità e riservatezza.” Oh perfetto, quindi per legge state dicendo basta ai siti, anche istituzionali, che hanno password salvate in chiaro nel DB? State dicendo basta ad applicazioni web con sistemi di password recovery deboli, dove io ho la possibilità di rubare l’account di una persona?

No, tra le righe questo vuole calmare l’opinione pubblica spaventata che Google e l’NSA stia spiando le nostre conversazioni peccaminose, quando magari parliamo al collega della nuova stagista via gtalk o quando diamo del cretino al nostro capo con un amico.

La tutela del dato personale deve obbligatoriamente passare attraverso meccanismi di autenticazione implementati come iddio comanda. Basta paroloni… quando una pagina di login non ha neanche un certificato SSL di cosa vogliamo parlare?

Diritto all’autodeterminazione informativa

“Ogni persona ha diritto di accedere ai propri dati, quale che sia il soggetto che li detiene e il luogo dove sono conservati, per chiederne l’integrazione, la rettifica, la cancellazione secondo le modalità previste dalla legge”

Fantastico, ma pragmaticamente… come? Se l’applicazione che sto usando risiede fisicamente in un datacenter a Kuala Lumpur, chi si prende l’onere di garantirmi l’accesso ai miei dati? La polizia postale con un mandato internazionale? Praticamente li mettiamo a fare escalation con i loro pari grado in giro per il mondo H24 non appena uno dei 60 milioni di italioti si accorge che ha pubblicato la proprio foto con l’amante su fessbuc?

Perché se è una cosa che deve essere piena di paroloni, bene, è scritta bene, pomposa quanto basta… ma se deve essere realizzata, buona fortuna. Ho già problemi ad accedere ai miei dati sanitari quando cambio il medico di base…

Inviolabilità dei sistemi e domicili informatici

“Senza l’autorizzazione dell’autorità giudiziaria, nei soli casi e modi previsti dalla legge, è vietato l’accesso ai dati della persona che si trovino su dispositivi personali, su elaboratori remoti accessibili tramite credenziali da qualsiasi elaboratore connesso a Internet o simultaneamente su dispositivi personali e, in copia, su elaboratori remoti, nonché l’intercettazione di qualsiasi forma di comunicazione elettronica.

In pratica, è vietato bucare un sistema se non sei autorizzato.

ESTICAZZI, il reato di violazione di domicilio informatico che ci sta a fare? Serve @GuidoScorza che pomposamente mi parla di questa se magna carta de noartri che puntualizza non solo l’ovvio, ma continua a ripetere cambiando le parole 3 o 4 concetti teorici senza preoccuparsi dei reali rischi legati al trattamento del dato in rete.

Off by one

Sinceramente sarei potuto andare avanti per tutti e 14 i punti di questo #fuffaware. Vogliamo proporre questo, per impressionare i nostri partner mondiali e darci un tono così moderno. La realtà è che le nostre infrastrutture hanno le pezze ed in giro ci sono troppi, ma veramente troppi se si pensa che stiamo parlando della punta dell’icerberg web, siti che sono vulnerabili ad un attacco informatico. Sono troppi.

Quello che manca realmente è ad esempio l’obbligo dell’utilizzo di linee guida di sviluppo sicuro emanate da Owasp, dal Nist o da altri. Quello che manca realmente è ad esempio l’obbligo di eseguire regolarmente penetration test applicativi per garantire che il dato di cui tanto si parla sia protetto e al sicuro. Quello che manca realmente è ad esempio l’obbligo da parte di chi subisce un’intrusione informatica di dichiararlo, come avviene negli States. Perché se questa carta protegge il dato, ma poi l’applicazione viene bucata mille volte ed il mio dato è in giro per il mondo c’è ben poco da proteggere. E non sarà certamente un rimando alla violazione di domicilio informatico ad impedire che l’applicazione venga bucata. Questo è un campo dove le chiacchiere e gli esercizi di scrittura in legalese stanno a zero.

Per legge puoi anche avere tutte le buone intenzioni e farcire tomi e tomi di lemmi e commi… ma se all’atto pratico le chiacchiere non si traducono in qualcosa di concreto stiamo punto e a capo.

Per proteggere l’identità ed i dati dei cittadini che navigano, non ci serve una carta dei diritti… ci serve awareness per gli utenti. Ci serve che lo sviluppo sicuro sia materia nelle scuole, che quindi si parli di sicurezza informatica e si dica come scrivere codice sicuro e robusto.

Perché essere al sicuro, perché chi tratta il mio dato è responsabile e consapevole, questo sì che è un diritto.

  1. sì, solo noi consideriamo il web una nuova tecnologia. Che il protocollo TCP/IP nata negli anni ‘60 e che il protocollo HTTP abbia ormai anche lui una trentina d’anni poco importa, sono nuove tecnologie per un popolo ancora alle prese con le istruzioni del videoregistratore. 

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list