jump to navigation

Trusted Computing: perdita di controllo e possibili soluzioni. January 27, 2006

Posted by laspinanelfianco in Trusted Computing.
1 comment so far

Si dice spesso che il Trusted Computing sottrae “controllo” al proprietario del computer ma, esattamente, questo come avviene? La perdita di controllo si ha sostanzialmente a causa delle seguenti due caratteristiche del Trusted Computing.

Endorsement Key

L’Endorsement Key (“chiave di approvazione” o qualcosa di simile) è una coppia di chiavi RSA (pubblica/privata) a 2048 bit che viene generata e memorizzata all’interno del TPM (il “Fritz Chip”) al momento della produzione. Questa coppia di chiavi identifica in maniera univoca il chip e, di conseguenza, il sistema su cui è installato. Questa coppia di chiavi non può essere cancellata, rimossa, modificata, sovrascritta, cambiata, copiata o trasferita all’esterno del chip. In pratica, è come se fosse fisicamente “incisa” nel silicio.

Le specifiche del Trusted Computing Group prevedono che questa coppia di chiavi non venga usata per identificare l’utente ma solo il chip. L’utente viene identificato da una delle infinite chiavi di attestazione che l’utente può generare grazie al chip e che può associare ad altrettante “identità virtuali”, una per ogni applicazione che richiede questo tipo di identificazione. In questo modo l’utente può avere una identità crittografica (cioè una “password”) per giocare a Doom in rete ed una per l’Home Banking.

Sfortunatamente, il software (scritto da altri e che può essere per voi assolutamente inaccessibile perchè cifrato) può accedere liberamente a questa coppia di chiavi e quindi può identificarvi liberamente (identificando il sistema e l’utente attivo). Questa è una delle specifiche del Trusted Computing Group, non un errore di implementazione: serve al software per sapere su quale sistema sta girando e quale utente sta usando il programma (e per gestire la licenza d’uso di conseguenza). Se esiste un modo di impedire al software di leggere la Endorsement Key ed usarla per identificarvi in modo univoco (trasferendo, se del caso, questa informazione ad un altro sistema in rete attraverso un canale cifrato), io non sono riuscito a trovarlo. David Safford stesso, nel suo famoso “Rebuttal“, ammette che a questa evidente violazione della privacy non c’è una vera soluzione (David Safford è un ricercatore dell’IBM ed uno dei più autorevoli sostenitori del Trusted Computing). Ecco cosa dice a pagina 4 del suo documento:

There is certainly a privacy aspect of access to the endorsement key, as it uniquely
identifies the platform, and the TCPA specification goes to great lengths to allow for anonymous certification. The best defense for privacy conscious users is simply to turn off the endorsement key.

Disabilitare la endorsement key equivale a mettere fuori uso il Fritz Chip (non in modo definitivo) ed a tagliare fuori l’utente dal mondo TC-compliant che si sta preparando all’orizzonte: niente accesso ai documenti TC prodotti da altri, niente accesso a musica e film protetti da sistemi TC e via dicendo.

Remote Attestation

La remote attestation (“attestazione remota”, cioè qualcosa come “certificazione remota”) è una funzionalità del Fritz Chip che permette ad un utente remoto (la vostra banca, un vostro amico che gioca con voi a Doom in rete, etc.) se il vostro sistema è stato modificato rispetto ad un momento iniziale noto in cui il vostro sistema è stato “fotografato” con un apposito hash digitale. Vi prego di notare due cose:

  • l’attestazione remota può essere usata da un altra persona o da un programma, anche attraverso la rete, per sapere se il vostro sistema è stato cambiato. In altri termini: è sotto la vostra gonna che stanno guardando.
  • questa funzionalità serve anche per sapere se voi avete cambiato il vostro sistema. In altri termini: non potete cambiare il vostro sistema di nascosto. Infatti, voi non potete interferire con questo processo in alcun modo: non potete nascondere informazioni al vostro interlocutore e non potete mentire.

Ovviamente, questa funzionalità serve per scoprire se state usando software od hardware diverso da quello che era presente al momento in cui il vostro sistema è stato “certificato”, in modo da impedirvi, ad esempio, di copiare abusivamente file da internet usando programmi “pirateschi” che si spacciano per “orginali”.

Sono questi i due elementi che producono la famigerata “perdita di controllo” del proprietario/utente sul suo sistema: l’utente è costretto a lasciarsi riconoscere (dal software) e l’utente è costretto a permettere che un estraneo (persona o software) verifichi con matematica certezza come è configurato il suo sistema.

Questa perdita di controllo avviene in un punto che coincide con la “radice logica” di qualunque possibile “albero degli elementi di controllo” che l’utente può avere a disposizione sul suo PC e quindi ha delle conseguenze devastanti. Senza poter (benevolmente) “mentire” o tacere sulla sua identità, l’utente è completamente espropriato della sua privacy. Senza poter decidere cosa un estraneo abbia il diritto di sapere sul conto della sua macchina, l’utente è nelle mani di questo estraneo per quanto riguarda le decisioni sul software da usare e quindi sulle operazioni che sarà possibile effettuare. Può fare solo ciò che sta bene al suo potentissimo sorvegliante remoto.

Owner override

Questa perdita di controllo non è certo sfuggita agli osservatori tecnici e quasi subito sono state proposte delle modifiche alle specifiche del Trusted Computing Group. In particolare Seth Schoen di EFF ha proposto una soluzione chiamata “Owner Override” (“Sovrascrittura del proprietario”, o qualcosa di simile). L’owner override consiste sostanzialmente nel concedere al proprietario del sistema (che può essere una persona diversa dall’utente momentaneo) di “sovrascrivere” il certificato che il Fritz Chip fornisce come risposta ad una richiesta di “remote attestation”. In pratica, questa tecnica consiste nel mentire scientemente al proprio interlocutore remoto facendogli credere che il proprio PC è configurato in modo diverso da quello reale.

L’owner override permette di decidere liberamente cosa un estraneo (persona o programma) possa scoprire riguardo alla struttura del nostro sistema informatico. In pratica, permette di dare a questo estraneo solo la certezza che il nostro sistema non sia stato modificato a nostra insaputa, ad esempio da un virus, impedendogli invece di sapere se il nostro sistema è stato modificato da noi, con nostra piena consapevolezza.

L’owner ovverride risolve solo il secondo dei due problemi elencati, cioè quello legato alla attestazione remota. La perdita di “anonimato” che consegue alla presenza delle Endorsement Key, rimane inalterata.

Oltre a questo, l’owner override è già stato esplicitamente rifiutato, tacciandolo di inapplicabilità, da autorevoli portavoce di IBM e del TCG, tra cui David Safford. Non verrà quindi utilizzato da nessuno dei produttori coinvolti nel progetto Trusted Computing.

Molti osservatori leggono in questo rifiuto di discutere di possibili, radicali cambiamenti delle specifiche del TC un evidente volontà delle aziende di imporre agli utenti una tecnologia lesiva dei loro diritti senza alcuna discussione democratica.

Il documento originale di Seth Schoen è disponibile qui:

TCPA: Promise and risks

La traduzione in italiano, in formato PDF ed a cura di VedoVa_NeRa di P2PForum è disponibile qui:

TCPA: Promesse e Rischi

Tecniche di Hacktivism 3: Outing January 27, 2006

Posted by laspinanelfianco in Hacktivism.
add a comment

“Outing” deriva da “to out”, “svelare”. La miglior traduzione possibile è probabilmente “sputtanatura”.

L’outing è una delle tecniche più aggressive e più pericolose dell’attivismo socio-politico in rete. Tecnicamente, consiste nel rivelare l’identità di persone legate ad attività molto controverse, o viceversa nel rivelare le attività controverse di persone note, in modo da esporre queste persone alla reazione dei loro simili. Si tratta di una delle tecniche che vivono negli angoli più oscuri ed inquietanti della Rete.

L’outing è diventato molto famoso nel 1998/99 a causa dell’uso letale che ne ha fatto un sito noto come “Nuremberg files”. Potete trovare il sito originale (in uno stato diverso da quello in cui si trovava al momento dei fatti) a questa URL:

http://www.christiangallery.com/atrocity/

Se avete problemi a trovarlo (per ragioni che capirete tra un attimo), qui c’è un mirror:

http://www.xs4all.nl/~kspaink/nuremberg/index.html

Su internet è disponibile una analisi molto dettagliata a questa URL:

http://cse.stanford.edu/classes/cs201/projects/nuremberg-files/

The Nuremberg Files era un sito antiabortista della Destra Cristiana americana (la stessa gente che è stata determinante per l’elezione di George W. Bush e che fa abitualmente una pesante azione di lobby sul governo federale per ottenere varie azioni a suo favore). Questo sito ha esposto per diverso tempo una lista di circa 250 medici americani noti per essere disponibili a praticare aborti. Grazie alla esposizione dei loro dati personali sul web, 4 di loro sono stati uccisi da fanatici militanti antiabortisti. Ecco come descrive la situazione Graham Meikle nel suo libro “Disobbedienza civile elettronica”, pubblicato nel 2004 da Apogeo (vedi Capitolo 1, pagina 22):

23 Ottobre 1998: l’ostetrico Barnett Slepian viene ucciso da un colpo di fucile sparato attraverso la finestra della sua cucina a Buffalo, New York. Poche ore dopo, sul suo nome, che era stato inserito in una lista di oltre 250 medici abortisti su un sito web, viene tirata una croce. La lista in questione era pubblicata da Nuremberg Files, un sito antiabortista che invitava i suoi sostenitori a mostrare il loro attaccamento alla causa sparando ai medici che accettavano di praticare l’aborto. Una legenda chiariva che i nomi segnati in nero stavano ancora lavorando, quelli segnati in grigio erano stati feriti e quelli su cui era stata tirata una croce erano morti.

Chi avesse visitato il sito quel giorno avrebbe scoperto che quello di Slepian era il quarto caso di omicidio. Il visitatore avrebbe anche trovato un esplicito invito ad inviare informazioni personali sui medici abortisti, informazioni che sarebbero state messe a disposizione di altri fanatici sullo stesso sito web.

Ecco, credo che ora sia chiaro a tutti cosa è l’outing, o cosa può facilmente diventare. In Italia (ed in praticamente tutto il mondo civile) l’outing è una tecnica che viene quasi sempre equiparata alla incitazione a delinquere. Di conseguenza, i siti di questo tipo vengono “chiusi” senza molti complimenti e la gente che li ha messi in piedi rischia (e di solito prende) diversi anni di galera. Ma il mondo non è tutto civilizzato ed, infatti, in USA le cose sono andate a finire in modo diverso. Dopo una battaglia legale durata 4 anni, The Nuremberg Files è tornato “online”. Ecco come descrive la situazione Meickle nel suo libro:

“Secondo il Primo Emendamento, Nuremberg Files non poteva essere ritenuto responsabile in quanto si incoraggiava l’azione di terroristi con cui tuttavia non aveva relazioni dirette. Il gestore del sito poteva così tornare al lavoro.”

Personalmente credo che gente come quella che si trova dietro The Nuremberg Files debba essere trattata alla stregua dei terroristi di Al Qaeda o delle (ormai estinte) Brigate Rosse. Tuttavia, ci sono versioni meno allucinanti di outing che possono essere effettivamente utilizzate nelle azioni di attivismo in Rete.

Le regole d’oro per usare l’outing in modo corretto (cioè “civile”) sono le seguenti.

  1. Prendetevela con l’operato di una persona o di un gruppo, non con le persone
  2. Non rivelate MAI informazioni che possano portare ad identificare con certezza le persone che additate, ad identificare la loro abitazione o la loro auto.
  3. Limitatevi a portare a conoscenza della situazione esistente la gente che ne subirà le conseguenze. In altri termini, limitatevi a fare informazione.
  4. Non incitate la gente all’azione e non date consigli
  5. Se vi trovate in contrasto con una delle regole precedenti, prendete un calmante o andate a fare una paseggiata
  6. Se vi trovate in contrasto con una delle regole precedenti e pensate che la vostra causa giustifichi le vostre azioni, rivolgetevi ad uno psichiatra.

Una volta rispettate queste regole, anche l’outing può probabilmente essere preso in esame come tecnica di “pressione” per le attività socio-politiche in rete. Una buona dose di senso critico e di (auto)ironia può essere d’aiuto.