[FoLUG] Protesta contro il decreto "Grande Fratello"

Davide Giunchi davidegiunchi@libero.it
Dom 28 Dic 2003 17:15:00 CET 

On Sun, 2003-12-28 at 15:50, Alessandro Ronchi wrote:
> Ecco una brutta notizia di Natale:
> http://www.quintostato.it/archives/000534.html

Alcuni dati per permettere a tutti di proteggere meglio la propria
privacy:

Attualmente non c'e' una legislazione chiara, gli isp sono tenuti a
mantenere i log ma non si sa' per quanto, quindi ognuno fa' un po' come
gli pare, i provider appartenenti all'Associazione Italiana Internet
Provider (aiip) hanno adottato come policy interna di mantenerli per 3
anni (mi pare), altri li mantengono per 3 mesi e cosi' via....

Qualche settimana fa', con la legge sulla privacy (stilata anche da
Rodota', reperibile all'indirizzo
http://www.garanteprivacy.it/garante/doc.jsp?ID=228213 ), e' stato dato
un limite ben preciso: ogni isp DEVE mantenere i log per 30 mesi.
Purtroppo qualche giorno fa' il Ministro della Giustizia e quello
dell'Innovazione Tecnologica hanno innalzato tale limite a 5 anni
scavalcando letteralmente le decisioni del garante della privacy,
adducendo motivazioni di sicurezza e lotta al terrorismo.


I log che un Internet Service Provider/Hosting service e' tenuto a
mantenere sono:

x la posta:
ora,email ed ip del mittente,email del destinatario (naturalmente
envelope sender e recipient), di ogni email inviata ricevuta (SMTP).
Ora,indirizzo ip, casella controllata (in pratica i dati
dell'autenticazione POP3)

x i server web che offrono hosting:
log completo delle transazioni FTP, quindi ora, utente collegato, file
trasferito/scaricato.

x le telefonate (quindi ISP, generalmente attraverso Radius):
ora, numero di telefono, utente autenticato.
Su Radius non ho riscontri diretti, ma da cio' che dice il garante
sembra che debba essere tenuto anche il log della connessione, quindi 
ora,numero di telefono, utente, indirizzo ip visitato (non e' un proxy,
quindi non DOVREBBE loggare l'url).

Vorrei puntializzare che l'isp NON logga il contenuto delle email e 
delle transazioni HTTP (lato server web che riceve la connessione),
altrimenti difianco alla webfarm di ogni provider bisognerebbe
costruirne un'altra, piena di dischi, con l'insegna "LOG".

Naturalmente la polizia, previa autorizzazione dell'autorita'
giudiziaria, puo' richiedere che venga messo sotto controllo un
particolare indirizzo email loggando tutto il contenuto delle email
inviate (naturalmente a patto che  l'utente utilizzi l'smtp del proprio
provider come server di posta in uscita) e ricevute. Chiaramente l'ISP
e' OBBLIGATO a fornire tali strumenti.



Alcuni link utili per chi vuole proteggere la propria privacy:

http://www.ecn.org/kriptonite/ 
"Kriptonite", un libro online in italiano che spiega in modo semplice
gli strumenti tecnologici a disposizione per la tutela della privacy.
http://e-privacy.firenze.linux.it/pws/  
"Progetto Winston Smith"
http://www.gnupg.org 
GnuPG, versione libera delle specifiche OpenPGP, per criptazione ed
autenticazione delle email (apt-get install gnupg).


Nella parte "collaborativa" dei corsi linux che terremo il prossimo anno
direi di aggiungere alcune lezioni sulla tutela della privacy con Linux,
e' aperto il "CALL FOR DOCENTI" (io posso dare una mano per alcune
parti).

Saluti.

-- 
Davide Giunchi

Maggiori informazioni sulla lista FoLUG