Questo interessantissimo thread mi fa venir voglia di intervenire....anche
se racchiuderò diversi punti in un solo mail
Per Joker:
> Beh se io crittografo con una chiave del tipo Cifrario di Cesare (sposto
di una le lettere) e poi mi dimostrano che il mio cifrario e'
una > pippa ... si la legge puo' dire che io ho ragione ma e'
un imporre la sicurezza (finta) per legge. Ovvero, non sono io che produco
un > prodotto di sicurezza ma tu che non devi bucarmi. A questo
punto a che servono i firewall? Tanto per legge e' veitato entrare nelle
reti > altrui. Una bella legge ad hoc ed ecco fatto il gioco.
Per quanto possa sembrare strano agli occhi di un "tecnico"...è esattamente
così. Ad esempio il codice penale, per riconoscere il reato di accesso
abusivo, richiede esclusivamente che siano state disposte delle misure di
sicurezza atte a dimostrare la vonoltà del responsabile del sistema di non
avere accessi non espressamente autorizzati da lui medesimo. Misure di
sicurezza che possono anche non essere proattive, per cui anche un semplice
"cartello elettronico" modello deposito di Zio Paperone in cui sia scritto
"Sciò" potrebbe essere sufficiente :-))
Tutto ciò è legato al fatto che il sistema di redazione ed approvazione
delle leggi è sicuramente più lento di quanto possa essere il progresso
tecnologico. Per questo motivo il legislatore non si impelaga mai a
descrivere minuziosamente misure di sicurezza, perchè nel momento stesso in
cui esce la legge magari quella det. misura ha un baco grosso quanto una
capanna.
L'unica soluzione sarebbe quella di correggere le leggi con una mailing
list tipo bugtraq (lawtraq...che ne dite? :-)) ).
> Inoltre se io decritto con un processo di reverse engineering non mi
sembra di commettere un crimine. Al massimo uno studio.
E così si sta muovendo anche il legislatore. Mentre negli USA il reverse
engineering è cmq vietato, nel nostro Paese a norma della L. 248/2000
tristemente nota per il bollino SIAE, si legge che il reverse engineering è
consentito "per migliorare l'interoperabilità tra i software".
Ovviamente si tratta di un espediente per evitare che si vengano a creare
posizioni dominanti all'interno del mercato software. Migliorare
l'interazione significa poter usare + programmi per uno stesso scopo.
Certo...finora il caso non si è mai verificato....ma vorrei vedere a
spiegare ad un giudice che quei MB di codice erano allo studio per studiare
come far interagire quel det. sw con un altro. Inapplicabilità pratica? Non
lo so...quando mi capiterà ve lo saprò dire :-))))
> Beh Socrate diceva che anche se una legge e' sbagliata va rispettata,
salvo cercare di cambiarlo. E' anche vero che e' morto avvelenato > con la
cicuta pero
Infatti ci si è sempre chiesto come mai quella che viene ancora additata
come la miglior forma di democrazia mai raggiunta da una comunità umana
abbia condannato a morte un filosofo. Per questi ed altri motivi rimando
alla lettura del libro di Stone "Il processo di Socrate" o, se vi tira
leggere il libro, al modico prezzo di una pinta di Guinness ve lo
illustrerò io :-)))
Per alberto-g:
> E lasciamo da parte il dettaglio
> che comunque il crimine sarebbe stato commesso in Russia, dove crimine non
> lo è nemmeno.
Non è rilevante. In quel caso risulta foro competente il foro ove si è
prodotto il danno...e quindi il foro dove ha sede la Adobe.
> Scusa un attimo, normalmente nella crittografia si mettono alla prova gli
> algoritmi cercando di farli bucare, oltre che con la peer review della
> comunità. Che consenso devi chiedere alla Adobe? La legge deve proteggerli
> perchè sono incompetenti?
Non mi risulta che le aziende mettano alla prova i loro algoritmi dandoli
in pasto alla comunità, salvo alle volte lanciare quegli specchietti per le
allodole quali le sfide "rompete questo codice cifrato e vincerete 10.000
$", che in realtà servono solo a determinare le conoscenze e gli strumenti
di crittanalisi attualmente disponibili per la comunità. Uno studio di
questo tipo, infatti, costerebbe ben più di 10.000 $.
Ribadisco il discorso dell'efficacia...che non significa robustezza estrema
contro ogni tipo di attacco (vedi punto 1 per Joker).
La legge inoltre protegge sempre gli incompetenti...i competenti sanno
benissimo proteggersi da se :-)))
> E poi lo hanno arrestato probabilmente perchè li
> ha sputtanati pubblicamente al Defcon, se fosse stato zitto non sarebbe
> successo niente.
Uno dei principi di Kerchoffs sulla crittografia diceva che la robustezza
di un algoritmo di cifratura non può basarsi sulla segretezza
dell'algoritmo stesso, bensì sulla lunghezza della chiave. Purtroppo questo
principio, che mi trova perfettamente d'accordo, resta spesso inascoltato.
Per questo motivo condivido pienamente la tua osservazione.
C'è anche da dire, comunque, che per un'azienda modificare interamente un
sistema di cifratura è un costo che si aggira intorno al miliardo. Per
questo motiva la RRIA ha preferito tirare questa battaglia giudiziaria (pur
sapendo che è abbastanza inutile chiudere la stralla quando i buoi sono
scappati) piuttosto che inibire il CSS a tutti i lettori e rilasciare un
nuovo sistema di cifratura.
> Poi ricorda che se non era la ditta di questo quà sarebbe stato
> qualcun'altro a bucarli. Altrimenti è nascondere la testa nella sabbia.
Primus dicas postremus tacias :-)))
Ovvero...lascia che siano gli altri che l'hanno bucato a parlare...e tu
fatti i fatti tuoi :-)))
Per Joker 2:
>> Tommaso d'Acquino diceva l'esatto contrario.
> E come e' morto? ;))
E' morto ospite di un'abbazia cistercense mentre si recava al Concilio di
Lione. Particolare simpatico è che, siccome era un omone alto e grosso, il
suo corpo venne bollito appena morto per facilitarne la conservazione.
Sul rapporto fra S. Tommaso e le leggi cmq, visto che ci troviamo a cavallo
del 200-300, preferirei non entrare. In quei tempi infatti tra potere
temporale e spirituale, papi ed antipapi e balle varie, scrivere una
dottrina coerente e non di parte non doveva essere impresa facile :-)))
Per Massimiliano Massarelli
> Tanto che tutto il caso del DeCSS
> si e` basato sul tentativo (riuscito, al momento) di dimostrare che un
> sorgente C e` un programma eseguibile.
Si, ma l'arma migliore della difesa è stata quella di affermare che non è
mica detto che il DeCSS serva a forza per copiare i DVD (reale
preoccupazione della RIIA), ma invece è solo un porting per Linux di un
qualcosa che al momento non c'era. E qua entrano in gioco i diritti di
libertà tanto cari agli americani (?), quali anche quelli della scelta di
un sistema operativo.
Per un inquadramento giuridico del codice cmq rinvio alla lettura di uno
scritto di Lawrence Lessig che si intitola "Open code, open Societies".
Per Joker 3:
> In linea di principio sarei d'accorodo. Ma se tu mi spacci un prodotto
per sicuro poi deve esserlo! Non come il caso della Mattel
Si ok...ma che cos'è "sicuro"??
Non vi preoccupate...tra un pò entreranno anche qua le certificazioni che,
oltre a far fare soldi agli ingengeri, ci diranno anche cos'è sicuro. Come
la certificazione sugli edifici...ma poi se c'è un terremoto vengono giù
uguale :-)))
> Il caso della Mattel e' differente. Loro avevano un nprodotto tipo
NetNanny. Un paio di ragazzi anno scoperto che la lista dei siti taboo
era > scritta direttamente sul pc della persona. E neppure crittato. Hanno
pubblicato la cosa e si sono trovati accusati e credo condannati per >
avere aggiratao la protezione (quale?). E questo non mi sembra un crimine
da parte dei ragazzi. Ma l'ottica dell'azienda e': non conta che > io ti
venda un prodotto come sicuro. E' tuo figlio che non deve metterci dentro
le mani per renderlo inadatto agli scopi. Cazzo!
Yop...esatto. E non hai idea cmq di quanti tuoi colleghi, caro Joker, siano
contenti del fatto che la legge la pensi così. Sennò ad un certo punto,
vista l'importanza che sta assumendo e la diffusione, fare il programmatore
di sw comporterebbe delle responsabilità superiori a quelle di un chirurgo.
Tu onestamente ci stai a prendertele sul groppone?? :-)))
Ciao
Pierluigi
|