Classe 5^ A
T.I.C. (sezione informatica) A.S.
2004 / 2005
Capitolo 1)
- LEGISLAZIONI:
Parte prima
(Ramasco-Trivellato)
-I cookie Pag.
3-7
-Leggi sui diritti d’autore Pag.
8-12
-Reti
peer to peer Pag.
12-14
Parte seconda
(Botta-Greco)
-E-commerce Pag.
15-17
-Firma digitale Pag.
18-20
-Domain name Pag.
21-22
-Tutela software Pag.
22-23
Capitolo 2)
- HACKER
(Sacco-Trabucco)
-Storia degli Hacker Pag.
23-24
-Classificazione,vita e
filosofia Hacker Pag.
24-25
-Raoul Chiesa Pag.
26-27
-Kevin Mitmck Pag.
28-29
Capitolo 3)
·
STEGANOGRAFIA
(Motta-Reppucci)
-Introduzione alla
steganografia Pag.
30-31
-Storia della steganografia Pag.
31-36
-Cos’è la steganografia Pag.
36-38
-Tecniche di steganografia Pag.
38-42
-Esempi di steganografia Pag.
42-44
-Esempio pratico Pag.
44-50
Referenze Pag. 51
I COOKIE
Che cos’è un cookie
Cookie, in inglese
"biscotto", sono dei piccoli file di testo che vengono salvati sul
computer dell'utente quando visita un sito. Vengono utilizzati per memorizzare
piccole quantità di informazioni che devono essere mantenute per un periodo più
o meno lungo. In questo modo l’utente viene riconosciuto ogni volta che torna
sul sito.
Quando ci colleghiamo con un sito Internet, il browser preleva automaticamente tutti gli elementi che compongono le pagine visualizzate e li salva in una cartella temporanea denominata cache. Il quantitativo di spazio occupato su disco viene giustificato dalla maggiore velocità di caricamento dei siti su cui si accede frequentemente.
Molti di questi file, anche se vengono utilizzati una sola volta, tendono ad accumularsi sul proprio disco fisso occupando spazio prezioso.
Oltre alla cache, il browser Internet memorizza, sul disco fisso, anche i cosiddetti cookie, quali sono piccoli file testuali che, generalmente, vengono sfruttati dai vari siti Internet ad uso statistico.
I siti Internet che li sfruttano, ne fanno uso, oltre che per controllare quante volte uno stesso utente accede al sito web, anche per memorizzare informazioni che possano rendere migliore la navigazione di una persona all'interno di uno sito.
Un cookie creato da un sito al quale si accede frequentemente e che prevede il controllo delle informazioni personali dell'utente, questo cookie conterrà una password o un codice per la verifica dell'identità dell'utente stesso. Tali cookie non dovrebbero essere eliminati, bisogna aver cura di identificare eventuali cookie d’utilità. Altri cookie possono essere utilizzati per la memorizzazione delle preferenze e delle impostazioni personali per l'accesso a determinati siti Web, tali preferenze ed impostazioni possono essere ripristinate facilmente accedendo nuovamente ai siti web dai quali sono stati generati, quindi è utile conservarli.
Gran parte dei siti, utilizzano i cookie per ottenere informazioni sulle precedenti visite all'interno del sito oppure per salvare, sul computer, informazioni relative all'accesso ad aree del sito che necessitino l'inserimento di un nome utente e di una password. In questo modo l'utente non sarà costretto a reinserire nuovamente il nome utente e la password scelti. Il sito Internet provvederà a verificare l'esistenza del cookie e a recuperare il contenuto.
Per evitare problemi è opportuno accettare cookie solo dai siti Internet "fidati" evitando di scaricare quelli provenienti da siti di dubbio contenuto oppure quelli sfruttati da aziende pubblicitarie - generalmente straniere che in modo poco rispettoso utilizzano i cookie per visualizzare banner pubblicitari "ad hoc", sempre diversi, oppure noiose finestre "pop-up".
Il pulsante Elimina cookie di Internet Explorer, permette di cancellare gran parte dei cookie ma alcune tracce non vengono eliminate. Il file index.dat rimane ed esso contiene informazioni sui siti visitati e può assumere con il passare del tempo dimensioni molto elevate (ben più dei 32 KB standard). Tale file non risulta eliminabile perché è bloccato da parte del sistema operativo.
Essendo apribile con un normale editor di testo, index.dat può rappresentare una minaccia per la nostra privacy perché permette di ottenere informazioni su alcuni siti web da noi visitati, rendendo così possibile carpire informazioni sulle nostre preferenze.
Per sbarazzarsi del file index.dat e di tutti i cookie si può usare un programma gratuito, Empty Temp Folders.
Empty Temp Folders
E’ un piccolo programma gratuito che
permette di eliminare, dal proprio personal computer, una gran quantità di file
temporanei e "file-spazzatura" che occupano inutilmente spazio su
disco.
Il programma consente di cancellare la
"Cronologia" di Internet Explorer, i cookie, la cache e tanto altro
ancora.
I cookie vengono memorizzati in cartelle
diverse a seconda della versione di Windows utilizzata.
Il vantaggio principale di questo programma è
quello di saper riconoscere dove i cookie sono posizionati e di essere in grado
di eliminarli. Il programma è anche in grado di recuperare le informazioni
relative ai cookie che sono memorizzate nel file index.dat, un file che non è
direttamente eliminabile dalla shell di Windows poiché è bloccato. Per
sbarazzarsi di tale file bisognerebbe riavviare il sistema in modalità MS DOS
ed eliminarlo manualmente, esso è un problema non da poco soprattutto sui
sistemi Windows 2000/XP.
Empty Temp Folders visualizza, quindi,
in un'unica finestra tutti i cookie trovati sul personal computer.
Questo programma supporta Internet Explorer
5 e altre versioni successive.
Per eliminare i cookie, preservando così
la propria privacy e la riservatezza della propria navigazione è sufficiente
cliccare sulla scheda Cookies, History, URLs, quindi sul pulsante Show cookies.
Il pulsante delete all listed items permette di eliminare tutti i cookie.
Tra le sue funzionalità, Empty Temp
Folders ha una funzione per cercare ed eliminare tutti gli altri tipi di file
temporanei diversi dalla cache Internet
che sono memorizzati sul disco fisso. Quando il sistema si blocca, o
quando vi è un riavvio inatteso, è possibile che tali file temporanei rimangano
memorizzati sul disco fisso occupando inutilmente dello spazio.
Un'altra funzione di questo programma è quella che consente di ricercare e di eliminare i collegamenti (shortcuts) a file e risorse ormai non più presenti.
Internet Explorer 6.0 ha introdotto una più efficiente gestione dei cookie.
Cliccando sul menù Strumenti quindi scegliendo la voce Opzioni Internet ed,
infine, la scheda Privacy, si può scegliere tra sei differenti approcci per il
trattamento dei cookie.
Il livello predefinito è quello medio che permette di bloccare, in modo automatico, i cookie di terze parti cioè provenienti da siti diversi rispetto a quello che si sta visitando, che siano privi di una dettagliata informativa sulla privacy e di applicare restrizioni ai cookie che siano congeniati per recuperare informazioni sulla identità degli utenti.
Il pulsante Modifica permette di bloccare o consentire la ricezione dei cookie provenienti da siti web specifici.
I cookie sono probabilmente il metodo più diffuso a livello mondiale per la "tracciatura" di un utente. La maggior parte dei cookie sono "benigni" cioè che sono utilizzati per dispensare l'utente dal fastidio di dover, ad esempio, inserire più volte username e password per l'accesso ad un particolare servizio online; alcuni cookie, soprattutto quelli usati da agenzie pubblicitarie spesso poco rispettose della privacy, possono essere invece adottati con lo scopo di "registrare" le azioni compiute da parte dell'utente durante l'uso del browser Internet.
I cookie sono programmi che alcuni siti Internet memorizzano sul vostro disco fisso, essi restano salvati sul personal computer e sono in grado di raccogliere informazioni sulla vostra identità e su qualunque elaborazione che eseguiamo in Rete. Il sito Internet che ha generato il cookie può in qualunque momento recuperare tutte le informazioni che il cookie stesso ha raccolto.
Descrizioni dei cookie simili a questa sono profondamente eratte poiché i cookie non sono programmi ma semplici file testuali, e non possono assolutamente raccogliere informazioni in modo autonomo.
In particolare, i cookie non possono in alcun modo prendere informazioni su di voi, all'interno del vostro personal computer. Essi possono essere utilizzati esclusivamente per memorizzare dei dati che avete inserito, in qualche circostanza, all'interno di uno o più siti web.
I cookie possono essere comunque utilizzati con scopi meno "nobili". Ogni accesso ad uno specifico sito Internet lascia, grazie all'utilizzo dei cookie, informazioni sul vostro passaggio.
Alcune società pubblicitarie hanno creato dei sistemi, basati sull'utilizzo di cookie, per effettuare una "profilazione" dettagliata degli utenti che "navigano" in Rete.
I cookie, creati secondo specifiche standard, vengono distribuiti tra i vari siti web costituenti il network pubblicitario. In questo modo ogni volta che lo stesso utente visita uno dei siti web appartenenti al network, gli vengono proposti esclusivamente banner pubblicitari che possono potenzialmente essere più vicini ai suoi interessi.
Dal punto di vista grafico, i banner pubblicitari che compaiono sui siti web che utilizzano il sistema dei cookie, sono esattamente uguali a tutti gli altri. Quando un utente si connette per la prima volta al server pubblicitario questo crea sul suo computer un cookie, all'interno del quale viene memorizzato un numero identificativo.
Dopo un certo periodo di tempo, il
server pubblicitario stila un elenco di tutti i siti web facenti parte del
network pubblicitario che quello stesso utente ha visitato utilizzando così
queste informazioni per creare un dettagliato profilo dell'utente con lo scopo
di proporgli, successivamente, banner che possano attrarre maggiormente la sua
attenzione.
Solitamente nomi e cognomi e/o indirizzi
e-mail non fanno parte delle informazioni che le aziende pubblicitarie che
fanno uso di questi sistemi gestiscono, tuttavia, altre informazioni che il
browser fornisce, possono essere sufficienti per identificare uno stesso
utente. Chi effettua "spamming" ossia che invia e-mail pubblicitarie
indesiderate ai quattro cantoni, solitamente fa uso di speciali programmi che
provvedono a scandagliare periodicamente la rete alla ricerca di indirizzi
e-mail comparsi nelle comuni pagine web oppure nei newsgroup di tutto il mondo.
Gli spammers fanno spesso uso dei cosiddetti
web bugs; essi sono dei cookie intelligenti che vengono inseriti, all'interno
di e-mail formattate in HTML, sotto forma di immagini di dimensioni
praticamente nulle (1x1 pixel). La loro identificazione è quindi pressoché
impossibile. Non appena apriamo l'e-mail - formattata in html, mentre siamo
collegati ad Internet viene immediatamente attivata una connessione con un
server remoto in grado di dialogare con tutti i cookie della stessa società
pubblicitaria memorizzati sul vostro disco fisso, contemporaneamente viene
recuperato il vostro indirizzo e-mail.
Svantaggi dei cookie
Non è sempre auspicabile essere riconosciuti sul
Web, in effetti se qualcuno riuscisse a leggere i cookie del mio computer
saprebbe esattamente quali siti ho visitato e così sarebbe in grado di mappare
correttamente la mia navigazione sul Web e la cosa potrebbe non essere gradita,
soprattutto se, come a volte succede, tali informazioni servono per inviarci mail indesiderate (spamming) o
peggio ancora vendute ad altre società di pubblicità. In questi casi, la privacy è certamente violata.
Per abilitare
e/o disabilitare i cookies occorre intervenire nella
finestra Opzioni del browser in modo diverso a seconda del browser che si
utilizza per la navigazione.
Internet Explorer 6:
scegliere, dal menu Strumenti, la voce Opzioni
Internet.
Nella finestra che appare scegliere la scheda
Privacy e impostare il livello di protezione desiderato.
Internet Explorer 5:
scegliere, dal menu Strumenti, la voce Opzioni
Internet.
Selezionare la scheda "Protezione" e dopo
aver cliccato su Personalizza livello scegliere "Accetta sempre i
cookie" se si vuole abilitare, oppure "Disattiva l’utilizzo di tutti
i cookie" se si vuole disabilitare mentre con Netscape 4x selezionare dal menu
"Edit" la voce "Preferences", scegliere
"Advanced" e selezionare la voce "Accept all cookies" se si
desidera abilitare l’utilizzo dei cookies, oppure, in caso contrario,
"Disabile cookies".
·
Il seguente esempio ci permette di capire il funzionamento
dei cookie.
LEGGI
SUI DIRITTI D’AUTORE
Il diritto d’autore: analisi storica.
Il diritto d'autore, giuridicamente parlando, è molto giovane. Solo in tempi recenti, rispetto alla normale evoluzione del nostro diritto che comincia a formarsi più di duemila anni fa, si sente l'esigenza di un riconoscimento di un diritto a favore dell'autore.
Questa esigenza coincide con l'invenzione della stampa e quindi con la complicità della nascita dell'attività editoriale, produttiva di forti interessi economici, che mette in circolazione un rilevante numero di esemplari stampati.
Per comprendere in pieno il diritto d'autore e la sua storia bisogna tenere in considerazione la distinzione che si crea tra l'esistenza di un diritto di proprietà immateriale, ossia tra il diritto dell'autore di un brano musicale, di un manoscritto, di un quadro o di una statua, e il diritto di chi possiede materialmente questi beni.
Nell'antichità, non essendo possibile una produzione di un numero rilevante di copie tratte dall'originale, non si poneva un problema di tutela economica: l'autore traeva i mezzi di sostentamento direttamente dai committenti dell'opera, o dalla città stessa che lo ospitava, o dai principi.
Dal punto di vista di tutela della paternità dell'opera, troviamo in alcuni classici il racconto di episodi di "plagio", che, scoperti, portano all'allontanamento dell'autore colpevole.
Il termine plagio nel
linguaggio giuridico, è il reato commesso da chi sottopone una persona ai suoi
voleri in modo da annullarne completamente la personalità autonoma, nel diritto
romano, è un reato commesso da chi riduceva in schiavitù una persona libera o
si appropriava di uno schiavo altrui
con l’appropriazione di opere letterarie e artistiche, di scoperte
scientifiche, frutto del lavoro di altre persone, trasformandole in opere
proprie.
Un minimo di tutela viene
quindi a svilupparsi grazie all'invenzione della stampa solo nella tarda metà
del quindicesimo secolo a Venezia, sotto la forma di privilegio (di stampa),
concesso dapprima agli editori e agli stampatori, successivamente, in
considerazione del lavoro creativo, dello studio che comporta la genesi di
un'opera, anche all'autore. A quest’ultimo venne infatti riconosciuta la
facoltà di prestare il consenso per la pubblicazione della propria opera.
La legge italiana negli ultimi anni ha subito notevoli modifiche, per adeguarsi
ai nuovi mezzi di comunicazione dell'opera dell'ingegno e al contesto
tecnologico. In questo senso molto dobbiamo al reperimento delle Direttive CE
in materia.
Per cercare di porre fine alla pirateria si sono inasprite le pene per coloro che possiedono o commerciano opere dell'ingegno contraffatte.
Il diritto d’autore secondo l’unione Europea comprende 3 punti di notevole importanza:
Diritto di riproduzione
L’evoluzione tecnologica ha reso possibili nuove
forme di riproduzione come l'acquisizione tramite scanner di opere stampate o
di downloading di materiale
digitale. Lo scopo di questa proposta è quello di individuare esattamente quali
sono le opere protette ed i soggetti titolari del diritto d’autore e dei
diritti connessi.
Un secondo articolo attribuisce agli autori, artisti
interpreti o esecutori, produttori di fonogrammi o film ed organismi di
diffusione radiotelevisiva il diritto di autorizzare o vietare qualsiasi tipo
di riproduzione sia essa compiuta in rete o al di fuori della rete, sotto forma
diretta od indiretta, la quale può essere temporanea o permanente.
Per riproduzione diretta si intende il fatto di
riprodurre direttamente un’opera od un altro oggetto protetto su un supporto
identico o differente; mentre la riproduzione indiretta è quella eseguita in
più tappe (come ad esempio la registrazione di un suono).
La protezione riguarda non solo le copie materiali
permanenti ma anche le copie temporanee contenute nella memoria di un
elaboratore. La liceità del downloading,
e cioè la memorizzazione permanente dell’opera, senza un’autorizzazione dei
soggetti titolari del diritto, può dipendere da diversi fattori concreti:
- accesso al sito subordinato al pagamento di un
compenso;
- visualizzazione del sito impone necessariamente la
copia di informazioni;
- la natura dell’opera (freeware e shareware
per poter essere usati devono essere caricati nelle memorie di massa
dell’elaboratore ed eseguiti dall’utente).
Le associazioni che rappresentano il mondo industriale hanno chiesto che i diritti di riproduzione vengano tutelati a prescindere dalle tecnologie e dai mezzi utilizzati in vista dei possibili sviluppi della società dell’informazione.
Diritto di comunicazione al pubblico
Molto importante dal punto di vista legislativo è
l'articolo che attribuisce agli autori il diritto esclusivo di autorizzare o
vietare tutte le comunicazioni al pubblico comprese quelle del mondo virtuale.
Il fenomeno prende il nome di “uploading” e
consiste nell’immissione in rete di creazioni. Questa operazione, anche se
compiuta senza scopo di lucro, costituisce un’utilizzazione economicamente
rilevante dell’opera e quindi deve essere autorizzata dal titolare del diritto
d’autore.
La proposta di direttiva comprende anche la messa a
disposizione al pubblico in maniera tale che ciscuno possa avervi accesso dal
luogo e nel momento scelti individualmente. Chiaro è il riferimento alla rete,
dove l’accesso è interattivo, fatto cioè su domanda ma in ogni caso è presente
una protezione.
La possibilità per l’utente di acquisire
direttamente brani musicali, audiovisivi e prodotti multimediali attraverso
elaboratori domestici sviluppa un nuovo metodo di vendita che, con il tempo, è
destinato a rimpiazzare quella diretta di copie materiali. Per evitare il
rischio di sfruttamento delle opere protette e di pirateria, i titolari dei
diritti connessi a quello d’autore devono beneficiare contemporaneamente dei
diritti esclusivi di riproduzione e di messa a disposizione al pubblico. Questi
diritti verranno riconosciuti a prescindere dal numero di volte che l’opera
viene trasmessa on-line su domanda.
Eccezioni
Le eccezioni hanno carattere facoltativo (per esempio quando la riproduzione o la messa a disposizione viene fatta per finalità didattiche o di ricerca scientifica) e mostrano la volontà della Commissione di raggiungere un grado di armonizzazione tale da soddisfare sia il buon funzionamento del mercato interno, sia il principio di sussidiarietà e le obbligazioni derivanti dai trattati internazionali OMPI.
Gli stati membri non sono autorizzati ad introdurre
nuove ipotesi rispetto a quelle previste espressamente. Inoltre
nell’applicazione delle eccezioni gli stati dovranno tenere presente il
"test delle tre tappe": applicazione a casi specifici e determinati
tenedo conto degli interessi economici dei titolari del diritto.
L’IFPI (International Federation of the Phonografic Industry) che rappresenta più di 1300 produttori e distributori nell’ambito del mondo discografico, è intervenuta chiedendo alla Commissione di riconoscere che le copie digitali siano equiparate alle copie materiali senza quindi la previsione di eccezioni per le prime.
L’introduzione di eccezioni facoltative fallisce l’obbiettivo poiché permette agli stati di introdurre nei loro ordinamenti quelle eccezioni che ritengono più corrette, così facendo accentuano i diversi livelli di protezione nei diversi paesi.
Il diritto d’autore in internet
Lo sviluppo rapido e la diffusione di
Internet hanno prodotto una serie di interrogativi relativamente ai limiti di
applicazione della normativa esistente ai sistemi di trasmissione in forma
telematica di opere letterarie, artistiche, musicali ed in altri campi.
L’obiettivo da raggiungere è quello di garantire il libero uso delle opere
protette in ambiente digitale. Ma il diritto "arranca" dietro gli
sviluppi della tecnologia.
La protezione offerta dalla legge sul
diritto d’autore, nota come copyright (diritto di copia), sta acquistando un’importanza
crescente con l’evoluzione delle nuove tecnologie ed in particolare di
Internet. Essa consente di proteggere alcune categorie di opere creative, quali
i libri, i dischi, le fotografie ed attribuisce all’autore il diritto di
riprodurle e distribuirle in esclusiva. Questa stessa normativa protegge anche
i software e, presso la SIAE (Società Italiana degli Autori ed Editori), esiste
un apposito registro in cui vengono iscritti i nuovi programmi. Il copyright
trova applicazione anche al lavoro pubblicato sul Web.
Il copyright è il diritto che appartiene al possessore della proprietà intellettuale di un oggetto, il quale ne controlla la riproduzione e la diffusione, con qualsiasi mezzo esse vengano effettuate. La proprietà intellettuale spetta, all’atto della creazione di un oggetto, all’autore, ossia a colui che, sfruttando le proprie capacità, lo ha realizzato. Tale opera dell’ingegno è quindi protetta sin dal momento della sua creazione, senza che sia necessario alcun deposito formale, come accade per i marchi e per i brevetti. L’autore acquista sulla propria opera il diritto esclusivo di riproduzione, di esecuzione, di diffusione, di distribuzione, di noleggio, di prestito, di elaborazione e trasformazione, che può eventualmente cedere, in tutto o in parte, ad altri facendosi ricompensare per questo. Può, vendere i suoi diritti, ad esempio, per i testi, ad un editore, perdendo da quel momento il possesso del copyright. Il possessore del copyright ha sempre e comunque il diritto di impedire la diffusione del proprio prodotto.
Oggetto della tutela del copyright è
qualsiasi "prodotto intellettuale" che abbia richiesto abilità
intellettive ed artistiche per essere realizzato. Ogni singolo documento del
www, ogni singola immagine reperibile in rete (o su un quotidiano o su un libro
) è protetta dal copyright. E’ importante sapere che ogni volta che, con il
computer si effettua la copia di qualcosa, si è soggetti al rispetto del
diritto d’autore e, quindi alle condizioni imposte dal singolo autore. In assenza
di una esplicita autorizzazione del possessore del copyright, che si evidenzia,
come tra breve vedremo, con le condizioni di licenza, che accompagnano i vari
programmi disponibili in rete, "copiare" costituisce violazione del
diritto d’autore. E’ pur vero che l’applicazione rigorosa della normativa
esistente in materia ad Internet, ne bloccherebbe completamente le
funzionalità. Lo spirito, infatti della connessione mondiale in rete è quello
di favorire gratuitamente lo scambio reciproco di informazioni. Proprio per
questi motivi, nel dicembre del 1996, gli Stati membri dell’O.M.P.I.,
Organizzazione Mondiale della Proprietà Intellettuale, in una conferenza
diplomatica hanno proceduto alla redazione di un trattato sul diritto d’autore,
che permette di introdurre un regime apposito per le libere utilizzazioni
on-line e impone l’adozione di rimedi di natura tecnologica per impedire
l’illecita copiatura delle opere (come il criptaggio).
A questo proposito, è opportuno chiarire
che il fatto di poter prelevare da Internet qualcosa gratuitamente non
significa che si possa usare gratuitamente. Ciascun programma disponibile in
rete viene distribuito, come già accennato sopra, insieme ad opportune
condizioni di licenza. La maggior parte del software che si trova sul www è
commercializzato secondo la formula detta shareware, che permette il gratuito
prelevamento del prodotto e la possibilità di testarlo per un certo periodo di
tempo, prima di decidere se acquistarlo o meno. L’acquisto avviene tramite come
utente autorizzato versando una somma di danaro all’autore. Tuttavia, una parte
considerevole dei programmi rinvenuti sul web, comprese le immagini, le FAQ, e
gli ipertesti possono essere prelevati ed utilizzati gratuitamente.
Per quanto concerne la relazione fra
politica e internet, tesa a favorire la libera circolazione delle informazioni,
c’è la possibilità di copiare non solo programmi, ma anche ogni ipertesto che
si legge, soprattutto per uso personale ed in assenza di espliciti divieti. Ma
tale possibilità materiale non implica quella legale. L’autore delle pagine,
infatti, possiede i diritti di autore su di esse che si possono esprimere
attraverso un’indicazione di copyright: ©, che sottindende la volontà di
mantenere sotto controllo la diffusione dell’oggetto in questione.
Se l’intenzione è quella di copiare
l’ipertesto non per uso personale, ma per inserirlo in proprie pagine in rete
(per farne un libro su Internet o un CD-ROM), in questo caso è sempre
necessario chiederne l’autorizzazione all’autore, a meno che lo stesso non
abbia comunicato per iscritto che si possa fare. Le stesse regole valgono per i
libri elettronici o per altri testi.
A questo proposito è necessario far
riferimento all’articolo 2 della legge sul diritto d’autore (n.633/41) che
include nell’elenco delle opere protette quelle letterarie, drammatiche,
scientifiche, didattiche, religiose, sia in forma scritta che orale. Una opera
originale, quindi che abbia i requisiti minimi di creatività è protetta senza
ulteriori adempimenti. Come è risaputo, oggi è possibile, per quanto riguarda
opere letterarie o testi, ricondurli dalla carta alla forma digitale. Se ciò
viene realizzato si può incorrere, se scoperto, oltre che alla rimozione dei
testi, alle sanzioni penali previste dai vari articoli. E’ però, legittimo
effettuare tale riproduzione allorchè siano trascorsi settant’anni dalla morte
dell’autore.
Per quanto riguarda articoli di
attualità, di carattere economico, politico, religioso, pubblicati in riviste o
giornali, essi possono essere liberamente riprodotti in altre riviste e/o
giornali, a meno che non vi sia stata esplicita riserva ed è fatto obbligo,
però, di indicare la rivista o il giornale da cui sono tratti, la data, il
numero della rivista o giornale ed il nome dell’autore se l’articolo è firmato.
Tale norma è molto importante se si considera che in rete esistono molti siti
di informazione che, senza articoli propri, raccolgono una serie di articoli
altrui, riuscendo ad offrire un’informazione varia e completa. Nel caso di
utilizzazione sistematica da parte di tali siti di articoli di un medesimo
giornale o rivista possono sorgere problemi sotto il profilo della concorrenza
sleale ai sensi dell’art. 102 (LDA) e dell’art. 2598 codice civile.
Relativamente all’e-mail, esse possono
rientrare nella tutela prevista dalla LDA (legge diritto d’autore) se la loro
paternità è certa e se hanno carattere epistolare-confidenziale, in questo caso
è necessario per la loro pubblicazione e/o riproduzione, il consenso sia
dell’autore che del destinatario.
Infine, con riferimento ai contenuti dei
messaggi dei newgroups, che possono contenere scritti, novelle, racconti, che
gli iscritti possono inviare ad altri utenti, la pubblicazione e/o riproduzione
di tali contenuti è lecita se autorizzata dall’autore, in caso contrario egli
potrà invocare per la violazione dei suoi diritti la tutela che la legge gli
accorda.
Un altro quesito molto importante in
relazione al www è se sia lecito diffondere musica e permetterne il prelievo.
Nel momento in cui taluno "diffonde" della musica via Internet, la
rende ascoltabile on-line da un sito e ciò incide sullo specifico diritto di
diffusione che è uno dei diritti di utilizzazione economica che la legge
assegna all’autore del brano o all’avente causa dei suoi diritti. Per diffusione
si intende far ascoltare musica da un sito a chi è connesso allo stesso,
diverso è invece consentire il prelievo di musica dal proprio sito. Pertanto,
si può affermare che se viene costruito un sito dal quale è possibile scaricare
della musica senza autorizzazione degli autori, si può incorrere nelle sanzioni
civili e penali. In via ancora sperimentale, va ricordata l’introduzione da
parte della SIAE di una licenza multimediale. Coloro che la sottoscrivono,
dietro la corresponsione di una somma di denaro secondo varie modalità, hanno
diritto a "riprodurre" nella banca dati del provider le opere del
repertorio musicale tutelato dalla SIAE, hanno diritto a "diffondere"
tali opere tra gli utenti di Internet ed infine hanno diritto di utilizzare le
opere musicali, oggetto della licenza, concedendone il prelievo a chi intende
scaricarle. Sono fatti salvi i diritti morali spettanti agli autori dei brani,
in quanto il titolare del sito (che ha sottoscritto la suddetta licenza) deve
indicare il titolo, gli autori, gli editori e gli artisti interpreti o
esecutori di ogni opera musicale utilizzata.
Anche le fotografie rientrano nella
tutela della LDA. Ai fini della loro utilizzazione su Internet, bisogna
indicare il nome del fotografo o dei datori di lavoro o del committente (cioè
chi detiene i diritti di utilizzazione economica), la data dell’anno di
produzione della fotografia, il nome dell’autore dell’opera d’arte fotografata.
Nel caso in cui manchino tali informazioni, la riproduzione è abusiva se il
fotografo riesce a provare la malafede del riproduttore. Per quanto riguarda,
invece, l’utilizzazione su Internet di fotografie trovate su altri siti, se
contengono le informazioni suddette è possibile la loro utilizzazione in siti
diversi in cui si sia ottenuta l’autorizzazione alla riproduzione da parte dei
soggetti suindicati. Se mancano le informazioni, invece, non sussiste l’obbligo
dell’autorizzazione e la riproduzione può avvenire senza problemi. Inoltre, se
le foto pubblicate concernino persone, fatti d’attualità o aventi comunque
pubblico interesse, la riproduzione è lecita dietro il pagamento al fotografo,
se noto, e se la foto contiene le suindicate informazioni.
Analogamente in rete si trovano una
grande quantità di immagini. Molte di queste sono digitalizzazioni di opere
esplicitamente protette da copyright e, quindi non potrebbero essere copiate.
Come per gli ipertesti, se il copyright è indicato espressamente, le immagini
non possono essere copiate senza l’autorizzazione del possessore di diritti e
questo è il caso, per esempio dei fumetti, in assenza di autorizzazione,
quindi, si violano i diritti d’autore.
I siti e le pagine Web, dunque, possono
essere considerati come un grande prodotto multimediale, poiché contengono più
elementi, da quelli grafici ai testi alle musiche alle immagini. Di solito le
opere multimediali riuniscono più opere originarie, nonché un software che deve
gestire le diverse parti organizzandole e coordinandole tra loro.
Pertanto, ricopiare una pagina Web e
riprodurla altrove sotto altro domain name senza il permesso del titolare del
sito, del o dei redattori dei testi, dell’autore dell’impostazione grafica, (se
ancora titolari dei diritti), dei creatori materiali del sito, configura
violazione dei diritti di proprietà intellettuale di questi soggetti.
L’autorizzazione andrà, quindi, richiesta a ciascuno e non semplicemente al
titolare del sito.
Relativamente alla questione della
responsabilità delle azioni commesse tramite un sistema informatico, è ovvio
che ogni persona risponde delle proprie azioni, ma il proprietario di un
sistema informatico in assenza di un direttore responsabile o insieme a
quest’ultimo, è responsabile di tutte le azioni e affermazioni compiute dai
suoi utenti e memorizzate sul software, ad esempio aree di discussione o pagine
Web e di tutto il software.
Un cenno, infine, a conclusione dell’argomento, è da farsi alla S.I.A.E. ed al ruolo svolto dalla stessa in relazione al diritto d’autore.
La S.I.A.E ovvero società italiana degli autori ed editori tutela i diritti di sfruttamento economico dell’opera degli autori che le abbiano affidato mandato, cioè concede licenze ed autorizzazioni per l’utilizzazione delle opere tutelate, riscuote i relativi compensi e li ripartisce agli aventi diritto (autori, editori, eredi ecc.). Per aver tutelati questi diritti, gli autori devono depositare l’opera presso la predetta società. Si distinguono due tipi di deposito: quello di opera inedita, che si effettua prima della pubblicazione dell’opera, alla SIAE sezione opere inedite, e quello di opera pubblicata che invece si effettua presso la Presidenza del Consiglio dei Ministri. Tale società, però, non tutela la paternità dell’opera, infatti il deposito presso di essa non ha valore di prova assoluta di paternità dell’opera, ma è superabile da altra prova certa e assoluta. Nella prova della paternità assume rilevanza la prova del momento temporale della creazione. Per esempio, il sig. Rossi deposita un proprio brano in SIAE nel maggio del 2000. Il sig. Verdi ritiene che il sig. Rossi abbia copiato il brano da una sua canzone non depositata. Se il sig. Verdi riesce a dimostrare in qualunque modo che la sua canzone è stata composta precedentemente a quella del Rossi e, comunque prima di maggio 2000, otterrà il riconoscimento della paternità dell’opera a prescindere dal deposito in SIAE.
La società
dell'informazione
Una svolta epocale nello sviluppo delle opere
dell'ingegno, che può essere pari a quella
dell'invenzione della stampa, è determinata dalla
digitalizzazione.
L'opera, scomposta dal supporto fisico tradizionale,
è trasformata in un flusso di numeri (sequenze di 0 e di 1) che sono trasmessi
in qualsiasi modo e in qualsiasi luogo, e permettono di ricostruirla in maniera
identica all'originale.
Si verifica così una trasmissione di massa
dell'opera a costi bassissimi, se non nulli senza perdita di qualità. La
trasmissione può avere luogo non solo da punto a massa, come succede per
esempio con la trasmissione dei programmi televisivi via etere, ma anche da
punto a punto.
Le reti peer to peer dunque, sono costituite da un gruppo ridotto di calcolatori, i quali non sono quasi mai più di dieci, generalmente non molto potenti, i quali devono condividere dati e periferiche.
In questo tipo di rete non troviamo un unico elaboratore centrale per tutti, ma si hanno calcolatori tutti sullo stesso piano, i quali operano come client e come server.
Per quando riguarda il lato della amministrazione
non esiste una vera figura amministrativa che gestisce gli utenti, le password
e tutte le varie impostazioni della rete, ma ogni calcolatore ha un proprio
amministratore locale, il quale decide quali possono essere le risorse da poter
mettere a disposizione degli altri.
Le reti peer to peer vengono ad avere dei vantaggi,
poiché hanno un installazione con costi minori, non bisogna acquistare un
sistema operativo di tipo server per la gestione della rete perché si può
lavorare sistemi operativi non costosi come ad esempio Windows 98. Hanno una
facilità nella gestione dell’amministrazione, la gestione di un sistema
operativo è molto più complessa e viene a richiedere delle competenze molto
specifiche e una personalità tecnica molto preparata.
Queste reti hanno però uno svantaggio, cioè non sono
adatte alle reti di grandi dimensioni.
Le reti Peer to Peer internazionali sono sempre più
sotto osservazione
Dalle leggi
nazionali agli assalti delle major cinematografiche e musicali, il modello di
condivisione di materiale digitale protetto sembra essere sempre più in crisi.
Aumentano gli utenti e con essi aumentano anche i tentativi di repressione.
Aumenta la secerità della legge le decine di diversi
provvedimenti che il nuovo Congresso degli Stati Uniti dovrà emanare nei
prossimi mesi; aumentano le denunce delle major discografiche e
cinematografiche: le prime azioni della Recording Industry Association of
America (RIAA) hanno fatto scuola in Europa e anche tra i grandi dell'MPAA.
Quasi ogni mese i detentori di diritti d'autore
sfornano cifre sulle richieste di risarcimento.
Nascono tecnologie e idee per rendere salvi da
ritorsioni i milioni di utenti che ogni giorno affollano le reti di scambio
file. Dalla proposta di una tassa per rimborsare i detentori dei diritti
d'autore, allo sviluppo di reti peer to peer anonime ,
che dovrebbero garantire la privacy di chi scarica materiale digitale.
Negli ultimi mesi altre proposte aspettano solamente la prova degli utenti. Reti fidate, tecnologie di gestione dei diritti digitali, distribuzione legalizzata della musica. Proposte che percorrono le strade dell'inventiva facendo largo tra il muro contro muro che sino ad ora ha caratterizzato la sfida fra chi scarica e chi vende musica.
Per molti è il futuro del Peer to Peer. Il Peer to
peer fidato si basa su software e
servizi che mettono in contatto utenti che si conoscono tra loro. Le principali
reti di scambio file sono basate su un modello che mette in contatto in modo
casuale gli utenti che condividono musica e film; secondo il modello TP2P, lo
scaricamento dei file può avvenire solamente attraverso utenti che si conoscono,
sfruttando le reti di Instant Messaging e riproducendone le modalità di
funzionamento.
La rete peer to peer è essenzialmente una struttura
di comunicazione nella quale ogni individuo
interagisce generalmente senza passare da un server centrale o sottostare
ad una gerarchia.
L’utente può condividere l’informazione, contribuire a progetti condivisi o trasferire file.
E-COMMERCE
È il commercio elettronico.
Grazie a questo sistema è possibile
acquistare prodotti e servizi direttamente in rete.
I pagamenti vengono in genere effettuati con
sistemi molto sicuri e protetti tramite carte di
credito.
Nel giro di pochissimi anni il fenomeno Internet si
è espanso e sviluppato in scala internazionale, ci sono state molte novità
nell’infrastruttura informatica dal punto di vista delle transazioni economiche
che sono state ottimizzate, rese più rapide ed efficienti.
E’ così che si è creato un nuovo tipo di mercato,
che è in grado di far comunicare in tempo reale tutti i computer esistenti sul
pianeta. Grazie a questa globalizzazione del fenomeno Internet che ha messo più
persone in comunicazione è inevitabile che si creasse una forma di business:
e-commerce.
E-commerce detto più comunemente commercio
elettronico, racchiude al suo interno tutte quelle attività che possono essere
svolte tramite le infrastrutture informatiche, che variano fino alla produzione
di un bene o alla diffusione di un servizio.
La rete diventa un vero e proprio canale di vendita,
in cui le promozioni e la pubblicità sono fatti direttamente dell’azienda,
mentre precedentemente il marketing era un compito delle catene di vendita,
tutto ciò porta ad una riduzione dei costi e all’aumento del territorio in cui
operare facendo sì che il commercio si espanda notevolmente.
• Le norme
applicabili.
Un mercato cosi sviluppato ha bisogno di norme che
lo rendano affidabile in diversi campi. Le particolarità dello scambio di rete
sono le seguenti:
-la struttura di Internet non permette interventi
normativi di tipo municipale.
-la velocità dello scambio, che caratterizza ogni
intervento non in grado di porre attenzione agli aspetti negativi del fenomeno.
-la non fisicità, che rende lo scambio assolutamente
privo di ogni forma di contatto, dal momento della negoziazione a quello della
conclusione ed esecuzione.
Una dei punti fondamentali è la tutela del
consumatore e delle imprese che sono considerati contraenti deboli confronto al
venditore.
La vendita via Internet deve seguire il principio di
buona fede ossia inserire le caratteristiche essenziali del bene e del
servizio, il prezzo, le spese di consegna, l’identità del fornitore e infine le
modalità di pagamento.
Uno dei problemi che sorge tra scambi commerciali
non è quello di stipulare un contratto tradizionale, ma fornire la prova
dell’avvenuta accettazione delle parti che avviene tramite un e-mail,
successivamente per concludere il contratto è sufficiente una conferma da parte
del venditore all’utente.
I mezzi di pagamento on-line tradizionali applicati
alla rete consentono di effettuare pagamenti a favore del beneficiario con
forme ordinarie: bonifico bancario, c/c postale, contrassegno. Garantiscono un
elevato grado di sicurezza, ma fanno perdere al commercio elettronico una delle
caratteristiche fondamentali, che ne costituisce un
vantaggio, la velocità e l’immediatezza della transazione.
Oltre al pagamento ordinario si sono formati con
l’avanguardia tecnologica diverse forme di moneta elettronica:
-assegni elettronici, dove il cliente dopo aver
stipulato un contratto con l’emittente usa la firma digitale (di cui parleremo
in seguito) per sottoscrivere questo particolare assegno presentato dopo la
firma alla banca per l’incasso.
-borsellino elettronico ossia una carta prepagata e
ricaricabile, chiamata smart card, che all’utilizzo scala la somma spesa dal
cliente.
-e-cash (moneta elettronica in senso stretto) dove
una società emette “crediti” spendibili in rete, a fronte del pagamento di una
somma equivalente da parte dell’acquirente. Questo sistema rappresenta un mezzo
ideale per garantire l’anonimato dei compratori, (poiché è basato sulla stessa
logica del denaro contante) e consente anche micro-pagamenti.
Una volta accertate le modalità di conclusione del
contratto telematico, ed analizzati i possibili mezzi di pagamento, resta da
risolvere il problema dell’individuazione della legge applicabile ad uno
scambio concluso tra interlocutori situati fisicamente in stati diversi.
Nel caso di vendita di beni mobili materiali o
servizi, se vi è stata una forma di pubblicità nel paese dei consumatore e
questi ha compiuto nel proprio paese gli atti necessari alla conclusione del
contratto, si devono rispettare le norme imperative e la giurisdizione del
paese di residenza abituale del consumatore. Si comprende subito come un sito
Internet realizzi una forma di comunicazione pubblicitaria, di conseguenza non
si possono eludere le norme imperative e di giurisdizione dello stato di
residenza del consumatore. In questo senso si è indirizzata l’Unione europea
con la direttiva 97/7/CE che con riferimento a contratti di commercio
elettronico dispone che debba applicarsi la legge dello stato di destinazione,
ossia quello del consumatore.
Il problema principale, sorge quando la vendita
telematica, avviene al di fuori dell’Unione europea perché non trova poi
applicazione la disciplina a tutela del consumatore, essendo entrambi i
contraenti sullo stesso piano, si tratta quindi di scegliere se applicare la
legge del paese di origine o quella del paese di destinazione che significherebbe
garantire la protezione completa al consumatore e contemporaneamente creare
problemi alle aziende che operano commercio in Rete che devono sottostare alle
tante normative dei clienti non situati nel loro paese.
Un’altra soluzione sarebbe quell’adottata dell’e-commerce
statunitense che ha stabilito delle norme a carattere internazionale (self —
regulation) oppure di dover predispone diversi siti Web, ciascuno conforme alle
disposizioni del paese dell’accettante.
Un’altra problematica individuata è quella di
introdurre dei contenuti capaci di tutelare adeguatamente le parti coinvolte
perché lo scambio avviene senza contatti, senza guardare in faccia il
contraente e senza poter toccare con mano il bene venduto, dove l’unica
protezione efficace è l’affidamento che gioca un ruolo primario nello sviluppo
dell’e-commerce. Il problema di tutelare l’affidamento delle parti si pone a
livello precontrattuale, si deve cercare di evitare il coinvolgimento in
negoziazioni che possono risultare invalide, inefficaci o insoddisfacenti.
La questione, immaginando che si possa risolvere
indirettamente attraverso il marchio di qualità del prodotto o del servizio
offerto, non viene eliminata, ma si sposta semplicemente su di un piano
diverso. Si devono individuare strumenti capaci di promuovere la trasparenza e
tutelare l’affidamento, ma non si può ricorrere a misure costose o complesse
che la piccola e media impresa non può permettersi.
La soluzione che si profila appare essere quella
della certificazione dei siti dove subentra una terza parte in modo che il
contraente, sia esso un consumatore o un’impresa, riceva un segnale sulla
qualità del sito. Tale soluzione non è ufficialmente praticata.
Nel campo legislativo una medesima norma non può
valere per lo stesso tipo di transazioni, perché si deve rivolgere a due
realtà: i consumatori e le aziende. Si deve iniziare a pensare all’esigenza che
nel commercio in rete una sola normativa non soddisfa entrambe le realtà.
E' una necessità imprescindibile e che deve essere
fatta indistintamente per tutte le forme di negoziazione.
Si può affermare da statistiche ufficiali degli
organi internazionali di controllo, che la soluzione al problema della
sicurezza delle transazioni in Internet non è stata ancora trovata, anche se
con cautele minime è già possibile acquistare merci e compiere pagamenti in
Rete con rischi non superiori a quelli in cui s’incorre nel commercio
tradizionale.
Per quanto riguarda il contratto ci sono delle
specifiche clausole delle vessatorie che riguardano il contraente, comportano
uno squilibrio a carico del consumatore, aggravando i propri obblighi o
diminuendo i suoi diritti derivanti dal contratto.
Un’altra questione è la necessità di una specifica
approvazione che renda efficace la clausola verso l’aderente. Tecnicamente ciò
sarebbe possibile con un clic specifico per la clausola vessatoria, ma sarebbe
assolutamente difficoltoso fornire la prova di un’approvazione attuata con
questi mezzi. Emergono i quesiti che caratterizzano ogni documento informatico:
prova, imputazione, integrità e sicurezza. Una soluzione più sensata al
confronto con l’attuale normativa, sarebbe quella di ritenere dell’invio in due
copie identiche del documento elettronico firmato digitalmente.
Il consumatore ha il diritto di recesso da qualunque
contratto a distanza e per quelli stipulati fuori dei locali commerciali, senza
alcuna penalità e senza specificarne il motivo, entro il termine di dieci
giorni lavorativi e questo è applicabile sia per i beni sia per i servizi alla
conclusione del contratto fino a tre mesi.
Questa normativa non può essere applicata nei
seguenti casi:
a) per la fornitura di servizi
la cui esecuzione sia iniziata, con l’accordo del consumatore, prima della
scadenza del termine di sette giorni.
b) per la fornitura di beni o
servizi, il cui prezzo è legato a movimenti dei tassi del mercato finanziario
che il fornitore non è in grado di controllare.
c) per la fornitura di beni
confezionati su misura o chiaramente personalizzati o che, per loro natura, non
possono essere rispediti o rischiano di deteriorarsi o alterarsi rapidamente.
d) per la fornitura di prodotti
audiovisivi o di software informatici sigillati, aperti dal consumatore.
e) per la fornitura di
giornali, periodici e riviste.
f)
per i servizi di scommesse e lotterie.
L’acquirente che esercita il diritto di recesso, ha
diritto alla restituzione dell’intera somma del venditore, ha tempo 30 giorni
per rimborsare l’acquirente e sono obbligati ad attenersi a tale normativa e a
citarla in ogni operazione di vendita.
Il diritto di recesso è sempre esercitabile salvo
diverso accordo tra le parti. Per esercitare il diritto, il consumatore deve
inviare entro i termini di legge una comunicazione scritta all’indirizzo
geografico della sede del fornitore per mezzo di una lettera raccomandata con
avviso di ritorno.
Firma
digitale.
La firma digitale, viene da molti considerata uno
dei migliori mezzi possibili per ridurre drasticamente i problemi di sicurezza
relativi alla trasmissione di documenti per via telematica.
Tale sistema permetterebbe di semplificare sia i
rapporti tra imprese e/o privati che quelli tra cittadini e pubblica
amministrazione.
Nell’ambito del commercio elettronico la firma
digitale potrebbe rendere più sicuri i rapporti tra consumatori che
comunicherebbero in modo sicuro i propri dati personali, compresi quelli
relativi a coordinate bancarie o carte di credito e i venditori che sarebbero
maggiormente tutelati nei propri interessi in quanto, una volta apposta la
propria firma digitale sull’ordine, il consumatore non potrebbe più ritenere
tale documento come proprio. Dall’altro, però, comporta costi ed oneri, anche
in termini di tempo, che potrebbero scoraggiare molti dal voler utilizzare tale
mezzo.
Nella procedura informatica la firma digitale può
essere vista come un elemento crittografico con chiavi asimmetriche, che serve
per identificare il reale mittente di un documento informatico verificandone
l’autenticità.
Per quanto riguarda la sicurezza in questo ambito,
possiamo affermare che le evidenze crittografiche che costituiscono una firma
digitale fino ad ora si sono dimostrate non falsificabili, neppure con enormi
risorse elaborate e resistente agli attacchi garantendo così la sicurezza dei
sistemi di firme elettroniche accettati dalla legge nel nostro paese e in tutta
Europa. E' possibile pensare ad un attacco portato ai computer utilizzati per
apporre le firme digitali, specialmente-se si fa riferimento a sistemi
operativi configurati senza opportuni accorgimenti di protezione e si può
ipotizzare che la “vittima” designata possa ricevere per esempio programmi
allegati a messaggi di posta, cosa impedita dalla gran parte dei sistemi
aziendali, e li esegua, contravvenendo alle più elementari norme di sicurezza.
Per quanto riguarda i sistemi utilizzati per apporre
le firme digitali, è sicuramente utile pubblicizzare tutte le misure
organizzative e gli strumenti di protezione necessari a garantire agli utenti
un livello di protezione adeguato.
Il documento digitale firmato si compone di una
“busta elettronica” in cui sono presenti vari elementi:
- il documento informatico;
- l’impronta del documento (hash) cifrata con la
chiave privata del sottoscrittore;
- il certificato emesso che garantisce la relazione
tra l’allegata chiave pubblica del sottoscrittore e la sua identità.
Il documento sottoscritto con firma digitale ha
l’esigenza che la verifica della sottoscrizione sia accessibile a chiunque, ma
ciò non avviene per molteplici motivi.
Per effettuare una verifica, è necessario che il
programma sia in grado di aprire la busta elettronica e oltre ad utilizzare la
chiave pubblica del sottoscrittore, al fine di poter decifrare l’impronta
cifrata del documento e confrontare quest’ultima con il documento stesso, dovrà
anche verificare la validità del certificato rilasciato dal certificatore.Vediamo
con un semplice schema come avviene in realtà il processo di firma digitale:
Questo passaggio è il più delicato perché a
differenza di quanto molti pensano, non è sufficiente che il programma
verifichi che sia stata utilizzata una chiave pubblica rilasciata da un
certificatore abilitato ma occorre che il certificato non sia stato revocato o
sospeso o scaduto, quando il documento è stato sottoscritto perché
comporterebbe a una mancata sottoscrizione.
Una necessità è che il programma di verifica, sia in
grado di accedere alla lista dei certificati, scaduti, revocati o sospesi in
modo da informare subito l’utente che il certificato emesso non è più valido.
In tal caso le soluzioni sono almeno due:
il documento è stato sottoscritto con certificato
che al momento della sottoscrizione era già stato revocato e quindi la firma si
ha per non apposta;
il documento è stato sottoscritto con certificato
valido al momento della sottoscrizione, ma poi successivamente invalidato. In
tal caso chi vuol utilizzare il documento ha l’onere di provare che il
documento è stato sottoscritto prima dell’evento di scadenza, revoca,
sospensione.
Affinché la diffusione della firma digitale possa
avvenire in modo efficace, occorre che i documenti firmati da un soggetto mittente
che utilizza i servizi offerti da un certificatore, possano essere letti e
gestiti da un soggetto destinatario che invece utilizza i servizi offerti da un
altro certificatore. Se ciò non fosse possibile, lo scambio di documenti
elettronici potrebbe avvenire solo fra soggetti che utilizzano uno stesso
certificatore.
La verifica della firma
digitale presuppone che il certificatore abbia verificato “con certezza”
l’identità dell’utente.Infatti, per "accertamento con certezza" viene
intesa semplicemente una verifica delle generalità dell’utente sulla base della
carta d’identità e della tessera del codice fiscale.
Il certificatore certifica la corrispondenza univoca
del certificato dell’utente con la sua identità e la relazione biunivoca chiave
pubblica e identità dell’utente. La certificazione operata dall’ente non può
considerarsi esaustiva ai fini dell’accertamento della identità del soggetto
che ha sottoscritto il documento informatico.
Il documento informatico, una volta sottoscritto con
firma digitale, diventa a tutti gli effetti un documento sottoscritto con la
stessa efficacia di una firma autografa ai sensi dell’art. 2702 cc.. Non vi è
limite al contenuto del documento informatico, che potrà contenere
dichiarazioni di scienza, oppure negoziali, come per esempio un contratto di
locazione o di vendita immobiliare. Con l’apposizione della firma digitale si
realizza il primo scopo di determinare in modo vincolante la paternità ed
integrità del documento stesso, ma rimane un problema che anche dopo molti anni
il documento informatico sottoscritto può essere rilevante per la tutela di
propri o altrui diritti, ed è quindi fondamentale capire come la validità nel
tempo sia stato affrontato dalle normative.
Il documento informatico sottoscritto con firma digitale
si presenta con una caratteristica che lo contrappone al documento autografo.
Mentre la sottoscrizione autografa una volta opposta non necessita di ulteriori
attività, se non quella della conservazione del supporto cartaceo, viceversa il
documento informatico ha un’efficacia provvisoria.
Il certificato rilasciato dal certificatore ha una
durata temporale prefissata che viene indicata nello stesso certificato,
comunque non superiore a tre anni con conseguente cessazione della sua
validità.
Chi vuole far valere l’efficacia del documento deve
provare, che questo è stato sottoscritto quando il certificato era valido,
prima quindi dell’evento che ne ha determinato la caduta. Il problema si
concentra sulle modalità di tale dimostrazione.
Comunque sia, per estendere gli effetti nel tempo
del documento informatico è necessario associarvi una marca temporale o time stamping che è la procedura
informatica che si realizza quando l’utente invia al certificatore l’impronta (hash) del documento informatico
sottoscritto, sul quale verrà apposta la marca, che contiene alcune
informazioni tra cui la data e l’ora di sua creazione, il tutto sottoscritto
con la chiave di marcatura temporale del certificatore, che verrà restituito
all’utente, la quale a sua volta sarà limitata nel tempo.
Più precisamente si prevede che prima della scadenza
della marca temporale, si possa estendere il periodo di validità associando una
nuova marca temporale, sul documento iniziale, sulla firma e sulle marche già
associate. La marcatura temporale assume quindi un’importanza primaria ai fini
della conservazione del documento informatico, e la sua mancanza pone seri
pericoli per la sicurezza dei traffici giuridici che siano compiuti con la
firma digitale.
E’ chiaro che l’utente che vuole avvalersi della
firma digitale per gestire parte dei propri rapporti giuridici, deve poter
accedere con facilità a tale servizio, senza troppe complicazioni tecniche,
potendo firmare documenti informatici nella consapevolezza che la loro
conservazione sia non solo facilmente garantita nel tempo, ma anche
economicamente conveniente.
Tuttavia vi sono poi altri due problemi: uno
riguarda la gestione delle marche temporali prodotte nel tempo, l’altro
l’incompatibilità dei sistemi di verifica della marcatura temporale.
Per il primo punto non si comprende per quale motivo
si utilizzino solo chiavi di marcatura temporale di 1024 bit, con una durata
limitata della marca. Una durata così breve rende il sistema poco pratico, con
necessità di continue applicazione nel tempo. Dall’altra parte i sistemi di
verifica della marcatura temporale sono tra loro incompatibili, dovendosi per
forza utilizzare il servizio del certificatore che l’ha apposta, rendendo anche
in questo caso difficile per l’utente procedere alla verifica della marca.
E’ da segnalare che di recente sono state emanate
nuove norme sulla conservazione documentale che sembrano dare una certa
garanzia circa la possibilità di avvalersi di un idoneo sistema di
conservazione documentale, che peraltro verrà applicato soprattutto dalla
pubblica amministrazione e dalle organizzazioni private di un certo livello,
mentre per il semplice privato, sarà più utile il sistema precedente.
L’impressione generale, nonostante i progressi
compiuti fino a oggi, è che ci sia ancora molto lavoro da fare prima che le
firma elettroniche possano diventare di uso comune a livello globale, il
problema non è tanto quello degli standard tecnologici, quanto quello del
“recepimento” della tecnologia nell’ambito del diritto.
Domain name.
Il dominio è una specie di
testo che permette al navigatore di accedere ad un determinato sito in maniera
semplice e veloce. Per accedere ai vari siti web (tramite il protocollo HTTP)
vi sono due metodi:
1) digitare l'IP address (es. 176.123.123.123);
2) digitare il testo che reindirizza tramite DNS al
sito desiderato.
L’Internet Domain Name System (DNS) è una directory, organizzata gerarchicamente,
che collega tutti i nomi a dominio con i relativi numeri IP dei server
registrati. Al momento della registrazione, il dominio viene associato al
server indicato dall’utente durante la procedura.
La modalità più diffusa di gestione dei domini di
primo livello (TLD top level domain) nel mondo consiste nella delega da parte
del paese o dell’organismo della valutazione delle domande e della
registrazione ad associazioni senza scopo di lucro.
Vi sono altri livelli di domini: di secondo livello,
di terzo livello e di quarto.
La maggior parte dei sistemi di assegnazione
esistenti è automatizzata, e prevede che l'interessato proponga il nome che
desidera, ottenendo una risposta immediata sulla possibilità della
registrazione. A quel punto, è possibile "acquistare" il dominio, in
base a procedure diverse a seconda dei paesi e la spesa annuale per ciascuno di
loro varia a seconda del tipo di TLD.
Il problema che sorge è il cosiddetto “regime di circolazione” organizzato in modo che il richiedente riceva in "uso" il nome prescelto, mentre la "proprietà" rimane della Registration Authority. Il titolare di un segno distintivo ha il diritto di "spenderlo" senza alcuna limitazione ma
con l’atto della registrazione del nome a dominio si
trasforma in un qualcosa appartenente a terzi.
La Naming
Authority (NA) non può fare norme che abbiano efficacia obbligatoria nei
confronti di terzi, perché non c'è una legge che le dia questa facoltà. Essa
può indicare delle clausole che possono essere inserite in un contratto di
diritto privato, se non sono in contrasto con la legge e se le parti
acconsentono; la storia di Internet e gli standard tecnici non hanno rilevanza
obbligatoria nel campo del diritto. Per di più la norma
ISO 6523
che costituisce il "presupposto" dell'esistenza della NA contiene
solo prescrizioni di ordine tecnico. Quindi non c'è alcuna legittimazione della
NA ad emanare disposizioni che non siano appunto di natura tecnica.
In internet le persone (fisiche, giuridiche, enti
collettivi, ecc.) comunicano, e nella comunicazione la Naming Authority non
esiste come autorità.
NA ha dalla sua parte il dominio della tecnica ossia
le regole che assicurano il funzionamento delle macchine, mentre il dominio del
diritto, che determina i rapporti tra i soggetti giuridici, non coincide con le
funzioni della NA.
Il dominio del diritto costituisce un insieme di
informazioni che possono essere riferite a un marchio registrato dunque si
devono applicare le regole sui marchi registrati.
Abbiamo esaminato i motivi per cui le regole scritte
dalla cosiddetta Naming Authority sulla
tenuta del registro dei nomi a dominio da parte dell'ente preposto (Registration Authority) non possono
avere alcuna rilevanza su questioni disciplinate dalle leggi dello Stato. Ora
dobbiamo capire quale funzione e quale valore possa avere un regolamento
"interno" per le procedure del registro nei confronti di situazioni
tutelate dalla legge.
Il problema è capire se e su quali basi l'ente di
registrazione possa rifiutare un'iscrizione o compiere una cancellazione,
quindi è necessario stabilire se e quali verifiche possano o debbano essere
effettuate da parte dell'ente stesso prima di compiere l'iscrizione o la
cancellazione.
Un aspetto riguarda i cosiddetti "nomi
riservati", cioè i nomi che non possono essere registrati o che sono
destinati esclusivamente a determinati soggetti ed inoltre le procedure
extragiudiziali per le contestazioni. Come si vede, non c'è materia di ordine
legale che possa essere regolata dall'associazione denominata Naming Authority.
Il settore dei domain name è in continuo movimento,
e ogni sviluppo nella materia ha ripercussioni immediate sul piano del diritto
della proprietà intellettuale e industriale.
In definitiva, manca ai domain name la limitatezza
territoriale, settoriale e manca una disciplina uniforme da far valere per
proteggere altre designazioni.
Tutela del
software.
Il problema della tutela del software è piuttosto
recente ed è collegato alla vertiginosa espansione e applicazione delle nuove
tecnologie informatiche a praticamente tutti i settori della organizzazione
sociale.
La crescita dell'industria del software e la sua
autonomia rispetto alla crescita dell'industria dell'hardware, l'enorme
dimensione economico-sociale degli interessi coinvolti e la notevole entità di
investimenti destinati al settore della ricerca e della formulazione dei
programmi, sono tutti elementi che giustificano di per sé la necessità di un
adeguato inquadramento giuridico del software nonché di un'adeguata tutela.
Le stesse aziende produttrici (software house)
per tutelarsi contro utilizzazioni e riproduzioni non autorizzate, e quindi
contro gli inevitabili danni economici che ne conseguono, hanno escogitato
delle difese tecniche all'interno degli stessi programmi che ne limitassero o
escludessero la riproduzione abusiva.
Ma le difese di ordine tecnico di misure difensive
di carattere elettronico o sistemi di protezione fisica del programma si sono
subito rivelati insufficienti.
L'espandersi del mercato dell'informatica e gli
enormi interessi economici connessi agli alti profitti derivanti dalla
commercializzazione di massa del software, la facilità con la quale è possibile
riprodurre un programma, la presa di coscienza, da parte delle case produttrici
di software, degli incalcolabili danni economici derivanti dalla circolazione
abusiva di programmi copiati, sono tutti elementi che hanno fatto pressione sul
futuro intervento del legislatore.
I principi teorici hanno ritenuto che il software
fosse ricondotto al concetto di "bene immateriale" tradizionalmente
utilizzato per indicare quelle creazioni che si presentano come beni autonomi
in grado di assicurare tanto il diritto ad essere riconosciuti autori dell'atto
di creazione che quello di utilizzazione o di sfruttamento economico dell'opera
stessa.
Finalmente, nel 1987, il problema della protezione
giuridica del software giunge ad esame. La sentenza scioglie in positivo
l'interrogativo della tutela del software, scegliendo la via del diritto
d'autore. Nella motivazione della sentenza si legge che i requisiti perché il
risultato di un’attività intellettiva possa essere protetta a norma dell'art.
2575 c.c. e della legge n. 633/1941 e successive modificazioni, possono essere
così identificati:
a) che si tratti di un'opera
dell'ingegno, quale espressione particolare di lavoro intellettuale applicato;
b) che l'entità prodotta sopravviva
all'attività necessaria a produrla ed abbia individualità, utilità, idoneità ad
essere goduta da altri;
c) che l'opera abbia un merito,
sia pure modesto, perché altrimenti non avrebbe il valore creativo che
giustifica la protezione e che dà all'opera stessa la necessaria originalità;
d) che, infine, l'apporto nuovo
riguardi i campi dell'arte e della cultura indicati dalla legge.
In
conclusione possiamo affermare che in ambito informatico, che è un campo in
continua evoluzione, ci sarebbe bisogno di produrre un testo unico per tutelare
giuridicamente il presente e il futuro dell’informatica.
L’approfondimento riguardante la tutela dei diritti
d’autore, peer to peer e i cookie sono stati trattati nel capitolo precedente.
GLI HACKER
La nascita degli
hacker
Gli Hacker fanno parte di una comunità, di esperti programmatori e di maghi della rete per trovare le origini della quale si deve andare a ritroso nel tempo per molti anni, fino all’epoca dei primi computer o degli iniziali esperimenti con ARPAnet (“Advanced Research Project Architecture NETwork”, fu costruito dal Dipartimento della Difesa Americano per permettere, in caso di guerra, lo scambio delle informazioni tra elaboratori anche in caso di bombardamento di qualcuno di essi).
La pratica del hacking alla fine degli anni ‘50 presso il Massachutes Istitute of Technology, ed è stata posta in esseri da una serie di studenti che avevano particolari capacità tecniche e tecnologiche e che al momento dell’introduzione dei primi grossi calcolatori all’interno dell’Istituto universitario hanno avuto la pensata di “metterci le mani sopra”.
Bisogna tenere presente che questo termine “metterci le mani sopra” è diventato un po’ tutta la filosofia degli hackers e consiste nello slancio che ci sarebbe da parte di questi soggetti di prendere una macchina, il più delle volte una macchina che sia coinvolta nel processo informativo, di smontarla, di vedere come è fatta dentro, di farla funzionare direttamente senza bisogno di mediazioni e in taluni casi anche di reindirizzarne l’uso per cui questa macchina è stata data.
Gli hackers del M.I.T., alla
fine degli anni ‘50, si trovano di fronte a queste macchine gigantesche che
occupavano stanze intere (erano molto diverse rispetto ai nostri personal
computer che stanno su un tavolo) e che fino ad allora erano state utilizzate
esclusivamente a scopi militari.
All’interno dell’istituto
universitario, l’utilizzo di queste macchine era esclusivamente affidato a dei
tecnici o ai docenti, ed era impedito l’uso agli studenti.
Proprio per evitare questo
tipo di cosa, questi studenti cercarono di “forzarle” il più possibile. Ad
esempio, si introducevano di notte in queste stanze, accendevano i computer,
scrissero i loro primi programmi (come il programma per giocare a scacchi, oppure
il programma per far suonare il computer, per fargli produrre musica) e
incominciarono a far circolare le prime idee riguardo alla socializzazione dei
saperi, che un altro dei punti cardine per quanto riguarda la cultura degli
hackers.
Quindi, la prima cosa che
fecero fu quella di duplicare i manuali di funzionamento per i computer e di
distribuirgli agli altri studenti, andando avanti nel tempo, furono coloro che
per primi incominciarono a duplicare i programmi.
La costruzione dei primi
personal computer è avvenuta sempre ad opera di hackers i quali avevano
immaginato come fine del loro percorso che queste macchine di proporzioni
gigantesche potessero ridursi a stare sul nostro tavolo ed essere ‘veramente’
gestite ed operate da parte di chiunque.
Riguardo a ciò bisogna anche
tenere presente che le grosse compagnie dell’epoca, quale ad esempio
l’IBM, avevano sempre rifiutato di
costruire personal computer, avevano sempre rifiutato i progetti che questi
hackers andarono a presentare.
Questi hackers quando sul
mercato venne presentato il microprocessore, decisero di fare la grossa
svolta e in assenza di grosse compagnie,
di costruire direttamente loro i primi personal computer.
E infatti così successe. I
tre più famosi costruttori di personal computer furono da una parte il duo Jobs
Wozniac (che costruirono “l’Apple”) e dall’altra parte avevano Lee Felsenstein,
che è una figura poco conosciuta, ma importantissima, perché fu quello che
costruì forse il primo PC, che si chiamava “Altair” e che veniva venduto, come
l’Apple, in una scatola di montaggio.
La cosa interessante, oltre all’hardware, era che il software veniva dato gratuitamente insieme alla macchina.
Questo software, non solo veniva regalato insieme
all’hardware, ma veniva anche distribuito a tutti coloro che ne facevano
richiesta, oppure che partecipavano a queste riunioni; il primo che lo mise
sotto copyright fu Bill Gates. con una versione del software “Basic” per la
macchina Altair e questa cosa produsse una notevole riprovazione da parte della
comunità.
Negli anni 80’ l’hacker era un individuo appassionato d’informatica: profondo conoscitore dei sistemi operativi e del Web (che ha contribuito a sviluppare in maniera considerabile), aveva per scopo primario quello di affinare le proprie conoscenze e di divulgare il suo sapere agli altri, senza riguardo ai soldi, ai segreti delle aziende, o alle cospirazioni del governo. Essi cercano di costruire un sistema che accetti ogni persona, senza chiedergli da dove viene.
Classificazione: Hacker, Cracker, Lamer.
Gli hacker si definiscono in
vari modi, ad esempio: “hacker” persona che si diverte ad esplorare i dettagli
dei sistemi di programmazione e come espandere le loro capacità, a differenza
di molti utenti, che preferiscono imparare solamente il minimo necessario,
oppure “hacker”, persona che fa hacking seguendo un’etica precisa, una sorta di
codice cavalleresco: mai fare danni, mai rubare, mai farsi scoprire solo una
sfida pratica di intelligenza, nessun intento criminale.
Essi considerano l’accesso illimitato all’informazione un diritto umano basilare e inalienabile e ritengono i computer e le reti telematiche gli strumenti più adatti per realizzare quest’orizzonte di libertà.
Il vero hacker infrange le
leggi entrando in sistemi riservati e protetti.
Sfortunatamente bisogna
temere non tanto gli hacker, ma quelli che si credono tali, coloro che hanno le
conoscenze informatiche e le usano a sproposito creando confusione,
distruggendo sistemi, diffondendo virus e rendendo la vita impossibile agli
ignari naviganti!!!
Questi individui, Lamer
molto spesso non sono neanche molto esperti, utilizzano infatti programmini
facilissimi da usare (che li rendono padroni di un sapere che non gli
appartiene e che non sono degni di avere!!!)
Quindi queste persone
utilizzano le conoscenze e le scoperte dei veri Hacher e le usano per creare
danni agli utenti della rete.
I Crackers sono di fatto
tutti quegli individui che cercano di forzare una macchina per rubare delle
informazioni o, più semplicemente, per creare dei danni. Contrariamente a
quanto si pensa, i Crackers possiedono raramente un buon livello tecnico: la
maggior parte di essi si accontenta di eseguire degli scripts scritti da altri,
per sfruttare dei buchi di sicurezza noti.
Come Opera un
Pirata
Vediamo “i metodi di lavoro”
adottati da hackers e crackers e gli strumenti a loro disposizione.
· Lo Scanning.
La prima cosa che un pirata deve fare é quella di trovare indirizzi IP
disponibili per l’attacco. A
questo scopo attiva il suo programma di scanning (Legion from Rhino9,
per citarne uno, vaglia 254 blocchi di IP’s insieme, ovvero 64.516 computers
alla volta) che gli consente di identificare i computer interessanti.
Mentre lo scanner continua a lavorare, il pirata comincia a visitare le
singole macchine, al fine di trovare quello che sta cercando ardentemente: per
esempio dei files bancari o riservati.
Altro scanner famoso é Winhackgold di Rootshell che lavora sotto Unix. Grazie alla sua rapidità di esecuzione, é uno dei programmi preferiti dai crackers: é in grado di vagliare in pochi secondi un’intera classe di blocchi C.
· La connessione:
Una volta trovati gli indirizzi IP, il pirata si collegherà con le macchine di suo interesse, utilizzando diversi metodi di connessione. Uno dei metodi é quello di utilizzare semplicemente lo Start>Run di Windows, scrivendo il numero dell’IP preceduto da \\ (es:\\209.238.154.25).
Un’altro metodo, é quello di eseguire il .Bat file nella linea di
comando del programma Winhackergold che connetterà tutti i computers in
un’unica tornata e li porterà nel piano di lavoro degli hacker o cracker.
·
Entrare nei Drives:
A questo punto il pirata cliccherà sul drive che vuole visitare ed
apparirà l’esploratore di Windows con tutti i files e directories contenuti nel
drive prescelto. Il cracker sarà adesso in grado di operare su ogni comando di
explorer: copiare e trasferire, cancellare, rinominare, editare, cercare,
creare nuovi files e directories, leggere files, ecc.
Dopo aver copiato e trasferito ogni dato di suo interesse nel proprio
computer, l’hacker o cracker potrà poi dedicare tutto il tempo che vorrà per
analizzane il contenuto.
·
Altri Modi di Trovare Computers da Attaccare:
Esistono altri metodi a disposizione degli hackers e crackers per
trovare computers da attaccare. Uno di questi e l’utilizzo del plugin per le chat contenuto m Winhackgold: se il
pirata si trova nella stanza di
discussione, tenterà di connettersi simultaneamente con tutti i computers
presenti nella stanza, per mezzo del comando Exploit all.
In tal modo, il pirata discuterà con i presenti per tenerli occupati
mentre, in realtà, sarà intento a copiare i loro files!
La Filosofia di un
Hacker
Anche gli hacker hanno un
etica, una filosofia che accomuna tutti una filofofia in cui credono e alla
quale si ispirano. Le convinzioni infuse nella società che gli hacker siano
solo dannosi non e del tutto giusto, poiché solo essi sono in grado di
risolvere problemi legati alla sicurezza delle base di dati e in grado di
costruire altrettante inaccessibili. Per quanto essi agiscono al di sopra delle
legge i loro valori ispiratrici sono quelli della libertà e del aiuto reciproco
tra persone che puntano ad una stessa meta.
I principali valori di
riferimento degli hacker sono: l’uguaglianza, la libertà, la cooperazione, la
fratellanza, il rispetto, la lealtà e la pace.
Essere un hacker se da un
punto di vista disattento può sembrare divertente, peccato che si tralascia la
grande fatica, il lavoro lungo e puntiglioso e la grande motivazione che
caratterizza un hacker di primo livello. É una sfida continua con se stesso, il
continuo mettersi alla prova con problemi che per essere risolti, o meglio
studia i problemi alla ricerca del sapere, affinando la sua tecnica la sua
intelligenza e i suoi attrezzi dei mestiere.
Così, l’atteggiamento autoritario
deve essere combattuto ovunque si trovi, affinché non soffochi gli altri
hacker. Questa considerazione non significa che si debbano combattere tutte le
forme d’autorità: i bambini hanno bisogno di essere guidati e i criminali
devono essere fermati. Un hacker potrebbe essere d’accordo nell’accettare
qualche tipo d’autorità allo scopo di ottenere qualcosa alla quale tiene di più
che al tempo speso ad eseguire ordini. La libertà di navigare nella rete
gratuitamente.
Questo è però un caso
limitato e consapevole; il tipo di resa personale che gli autoritari invece
vorrebbero, non è in discussione.
Gli autoritari agli occhi
degli Hacker prosperano sulla censura e sulla segretezza, distruggono la
cooperazione volontaria e lo scambio di informazioni; l’unica “cooperazione”
che desiderano è quella di cui hanno il controllo.
Raoul Chiesa
Raoul Chiesa nasce a Torino
il 03/07/73: e’ uno dei primi hacker d’Italia.
All’età di 13 anni comincia
il suo pellegrinaggio attraverso le reti informatiche e dopo una serie di
eclatanti intrusioni in grossi Enti ed Istituzioni - tra le quali la Banca
d’Italia e l’IBM - la sua fama, già vasta nella comunità hacker europea, e’
riconosciuta e suggellata dalle autorità’ internazionali. Nel 1997 fonda la
MediaService ed oggi, a capo del Gruppo @ MediaService.net, si occupa oramai da
anni di sicurezza informatica ad alto livello, insieme ad un selezionato team
di tecnici ed esperti, con collaborazioni internazionali.
Istituti di Ricerca e
Multinazionali si avvalgono della sua collaborazione, senza contare il suo
riconosciuto e singolare impegno in un’opera di diplomazia tecnologica, con la
quale mira a promuovere una seria coesistenza tra il più genuino spirito hacker
e l’IT Security nel nostro Paese.
Oggi il Gruppo @
MediaService.net di Raoul Chiesa si preoccupa del perfezionamento continuo
della sicurezza informatica.
Il suo modello è l’hacker
“etico” (ethical hacker) nelle interviste lui si dichiara fedele allo spirito e
agli obblighi morali dell’”hacking”, difendendo la sete di conoscenza e la
curiosità e non l’attacco gratuito e dannoso ai sistemi informatici.
In quest’ottica è
intervenuto come relatore a svariati convegni, confermando il suo costante
impegno mirato all’evoluzione continua ed allo sviluppo della I.C.T. (Information
& Communication Technology) Security nella sua più naturale applicazione:
la protezione dei dati “sensibili” delle imprese.
Scrive articoli sul
controllo e lo sviluppo di Internet, convinto dell’importanza di diffondere
cultura sulla Rete, tramite una continua informazione su tutto quello che
gravita intorno ad essa, con un occhio di riguardo alla vulnerabilità dei
sistemi informatici ed alle continue evoluzioni tecnologiche, anche segno di
cambiamenti dei tempi.
Le epoche telematiche secondo Raoul Chiesa
Secondo Raoul Chiesa al
giorno d’oggi sono stati scritti molti libri e, in genere, gli autori sono
riusciti a rendere chiara l’idea dell’hacking e le motivazioni degli hacker
stessi.
L’ultima frontiera era
riuscire a fare un quadro del mondo hacker in Italia: chi sono, quanti sono,
cosa fanno.
Sono però cambiate molte
cose in questi ultimi anni, dal tipo di reti agli stessi sistemi operativi
vittime di “attacchi”: sono cambiate le persone, gli interessi, la diffusione
della telematica in Italia.
Anni ‘80
Mentre Negli anni ‘80 vi
erano alcuni appassionati i quali - a proprie spese - “tiravano” su e gestivano
le cosiddette BBS (Bulletin Board System): c’era la rete FIDO e non c’era
Internet.
Il massimo era poter parlare
con qualcuno di un’altra città italiana, quando comunque ci si accontentava di
“un qualcuno” della stessa città.
1998
Cos’è cambiato in questo
decennio? Tutto e niente, e’ la risposta. Alcune delle persone, probabilmente,
non avranno più nulla a che fare con la Rete o, quantomeno, con l’hacking.
Altri continuano a fare hacking, avendolo scelto come stile di vita. Altri sono
passati all’hacking “di lavoro”.
Oggi Raoul Chiesa si occupa
di sicurezza informatica. Protegge i sistemi. Crea prodotti di I.T. Security,
lo chiamano come relatore in convention e workshop del settore.
Perché?
È stato il primo caso
eclatante di hacking in Italia. In un periodo particolare della sua vita, a
nemmeno 20 anni, decise di fare un “raid”. Quasi 50 sistemi informatici,
collegati a reti ed Internet, furono violati.
Nomi famosi, tra questi
sistemi: Ente Nazionale Energia Alternativa, Consiglio Nazionale delle
Ricerche, case farmaceutiche
di fama mondiale, compagnie telefoniche americane ed europee, la Banca
d’Italia.
Oggi:
Back to the roots?
Quando si è avvicinato
all’hacking per la prima volta vedeva questo mondo come un luogo sacro, una
religione, uno stile di vita, un modo di pensare e agire. La pensa ancora così.
Ha rifiutato spesso di procedere o partecipare all’identificazione di hacker
responsabili di violazioni di sistemi, ma non di danni. Perché hacking, per
lui, continua a voler dire libertà, sfida, essere più bravi. Gli dicono di
essere passato “dall’altra parte”, perché oggi si occupa di sicurezza. Non condivide le idee comuni
dei responsabili o esperidi sicurezza informatica. Continua a sentirsi hacker
dentro trova spesso difficile, nel suo lavoro, far capire i suoi punti di
vista; è però convinto che tante cose stiano cambiando.
Quattro anni fa dei ragazzi
scrissero un messaggio, il quale apparve su tutta una serie di monitor e
terminali, sparsi per l’Italia. Il messaggio recitava: “Ieri il potere erano le
armi nucleari, era la potenza economica; oggi il potere e’ rappresentato
dall’informazione. Milioni di dati, dati economici e personali, che transitano
su centinaia di reti, attraverso migliaia di computer. Abbiamo l’informazione,
abbiamo il potere: guardatevi intorno, i vostri nuovi nemici saranno i
monitor”. Forse quei ragazzini non si sbagliavano poi di molto.
L’ethical hacking secondo Raoul Chiesa
Fare ethical hacking
significa prima di tutto continuare a fare quello che si faceva prima, cioè
violare sistemi, ma con un altro concetto: operare un’analisi del livello di
sicurezza che c’è in un sistema, andare a vedere nel profondo se le applicazioni,
i sistemi informatici di difesa che ci sono nel nostro paese sono
effettivamente sicuri o no.
Lui si ritiene un hacker
etico. Quello che fa come servizio principale sono i “security probe”.
Significa, fare quello che faceva anni fa: il cliente autorizza l’attacco al
suo sistema, che viene fatto esattamente come farebbe un hacker. Alla fine si
consegna al cliente un rapporto completo dove elenchiamo le insicurezze e le
falle trovate.
Kevin Mitmck: gli inizi
Kevin nasce in California. I
suoi genitori divorziano quando lui ha appena tre anni. Nella sua adolescenza
rispecchia lo stereotipo classico dell’hacker: a tredici anni è un ragazzino
solitario e vagabonda per i negozi di elettronica della sua città, prende pezzi
usati, li ricicla, costruisce, assembla tecnologia trasmissiva tutto solo nella
sua stanzetta, mentre i coetanei giocano a basket. Diventa cliente assiduo di
alcuni negozi, fa amicizia con i proprietari, inizia a fare qualche lavoretto,
ricevendo come paga dell’hardware usato.
Il ragazzino cresce, scopre
i PC. Va oltre, fin da subito, scoprendo i modem: a tredici anni viene cacciato
da scuola dal preside, perché entrava negli archivi degli altri istituti.
Si battezza “il Condor “ e
questo nickname che descrive chiaramente il suo carattere: il Condor è
solitario, lavora da solo, non si fida di nessuno, vive con la solitudine.
A diciassette anni viene
arrestato per la prima volta: furto di manuali informatici. A questo seguono
altri arresti negli anni ‘83 e ‘87 e nell’88 , tutti in seguito a reati
informatici. Nell’88 il giudice che lo arresta è la signora Mariana Pfaelzer
che decide di dargli una pena superiore a quella richiesta dal Pubblico
Ministero.
Una vita da condor
Anni ‘90. Kevin è cresciuto.
É sempre più Condor. E’ un fantasma, come scrissero in seguito. Non esiste.
Vive dirottando i conti sulle altre
utenze. Gira gli Stati Uniti d’America, con il cellulare modificato. Pone molta
attenzione durante le connessioni, cambia spesso numeri telefonici,
appartamento. Si sposta di continuo.
É molto interessato dai
sistemi VAX della Digital: sono i soli a non avere bug, e per lui diventa quasi
una sfida con se stesso violare questi sistemi.
Dalla prima metà degli anni
‘90, sino al suo arresto, Kevin cresce ancora.
Il Condor appena uscito di
prigione verso la fine del 1990 si trasferisce con il padre fuori da Los
Angeles e lì lavora nella società di costruzioni familiare perché deve scontare
la pena di tre mesi.
Nel novembre 1992 la pena
del giudice Pfaelzer sta per estinguersi e Kevin inizia a lavorare presso una
società di investigazioni
Il Condor agisce,
silenzioso. Utilizza una tecnica hacking per carpire telefonicamente
informazioni spacciandosi per un’altra persona, un collega di una filiale.
Kevin Mitnick ha sperimentato tutte le tecniche di hackeraggio, sfrutta tutti
gli errori dei sistemi che conosce a perfezione, modifica le chiamate con cui
compie gli atti, inizia la guerra alle grandi compagnie.
L’arresto
L’FBI è sui suoi passi. Lui
lo sa. Spia le comunicazioni tra la sede centrale dell’ FBI e gli agenti
dislocati, i quali lo stanno cercando per mezza America. Appena capisce che
stanno per prenderlo, lui sparisce. E falsifica le comunicazioni.
Inizia una vera guerra tra
il condor e un super esperto di sicurezza consulente del governo USA che viene
aiutato dall’FBI e cercano di braccare Mitnick e per questo il condor viene
trattato come un criminale.
Il condor vuole comunque
dire la sua, non accetta giudizi senza poter ribattere e da questo momento in
poi comincia a compiere degli errori e a non avere più lucidità. L’unica
persona di cui si era fidato Mitnick, Littman sbaglia e si confida con un
amico. Il luogo dove si trovava il condor arriva a breve a Shimomura e inizia
così la fine del condor.
Così il 14 febbraio 1995
Mitnick viene arrestato e starà in carcere fino al 21/01/2000.
Nel 1999, il giudice Mariana
Pfaelzer che l’arrestò nel 1988, dovette decidere se le richieste di
risarcimento di ottanta milioni di dollari da parte di grandi multinazionali
che avevano subito gli attacchi di Mitnick dovesse essere accettata o no.
Durante questo periodo ha
passato 8 mesi in isolamento, non è mai stato processato e non ha avuto la
possibilità di utilizzare apparecchi elettronici (telefoni, Walkman).
La libertà
Kevin Mitnick viene
rilasciato il 22/01/2000 ma solamente il 21/01/2003 ha terminato di scontare la
sua pena che gli proibiva di utilizzare qualsiasi telefono cellulare o computer
collegato ad internet. Kevin voleva rendere Internet un mondo libero, gratuito
ed accessibile a tutti, voleva far diventare i sistemi delle multinazionali più
sicuri e soprattutto voleva che l’informazione diventasse un diritto innegabile
dell’uomo, l’informazione gratuita, vera e totale.
L’evento del suo ritorno nel
Web è stato trasmesso dalla TV di S. Francisco. Accanto a Mitnick erano
presenti Steve Wozniak, co-fondatore di Apple, e Emanuel Goldstein, editore del
periodico hacker 2600.
L’anello debole
“É la gente e non le
macchine che costituiscono l’anello debole del sistema”. Questo è ciò che ha
affermato Mitnick ad un audizione voluta dai senatori americani per saperne di
più sul tema della sicurezza informatica. Ad essi ha spiegato come sia facile
introdursi nei sistemi delle multinazionali.
Kevin Mitnick ha
sottolineato il fatto che, il più delle volte, le grandi aziende spendono dei
milioni per la sicurezza informatica dei loro sistemi, solamente perché i loro
impiegati divulgano le chiavi per accedere ad alcune informazioni preziose.
Mitnick ha affermato che, non bisogna essere il miglior hacker del mondo per ottenere delle informazioni sulle multinazionali ma soltanto essere una persona determinata.
STEGANOGRAFIA
INTRODUZIONE ALLA STEGANOGRAFIA
ROMA - Occhio non vede, terrorista comunica. Si chiama "steganografia" la scienza più amata dai Bin Laden di tutto il mondo e, come già indica l'etimologia (dal greco "stèganos", nascosto, e "grafèin", scrivere), nella sua versione tecnologica consente di nascondere all'interno di file digitali, immagini o suoni che siano, ogni tipo di messaggio segreto. Invisibili a occhio (od orecchio) nudo ma decodificabili senza troppi problemi a chi sa dove andarli a cercare.
Si tratta di una tecnica millenaria, che a Sparta ed Atene usava tavolette di
legno incise e poi ricoperte di cera: a prima vista sembrava non ci fosse
scritto niente ma poi, una volta rimossa la copertura, il messaggio veniva alla
luce. Dopo essere stata utilizzata anche durante la seconda guerra mondiale
oggi - come rivela il New York Times in un lungo servizio - conosce una fortuna
perlomeno sospetta. "Negli ultimi due anni il numero di programmi per la
steganografia disponibili su Internet - dà l'allarme Neil F. Johnson, un
esperto che insegna alla George Mason University - è raddoppiato, arrivando a
140 e oltre".
E se questo dato non bastasse, inquieta di più il
boom di scaricamenti che hanno conosciuto: "Facendo un rapido censimento
tra i produttori di queste applicazioni - racconta Chet Hosmer, presidente
della newyorkese WetStone - pare che i download abbiano superato un milione di
unità". In molti possono anche aver voluto questi programmi solo per fare
degli scherzi o per comunicare in maniera cifrata con l'amata, ma la crescita
assieme alla recente recrudescenza del terrorismo internazionale mettono comunque
sull'avviso.
E non si tratta solo di supposizioni. C'è la pista di Jamal Beghal, il leader
del commando che stava preparando un attentato all'ambasciata americana di
Parigi, che suggerisce indizi inquietanti: l'uomo, addestrato in Afghanistan
dove aveva incontrato un luogotenente di Bin Laden, aveva istruito il suo
gruppo affinché tutte le comunicazioni interne fossero fatte attraverso
immagini "ritoccate" pubblicate sulla Rete.
Perché proprio in questo consiste la tecnica moderna: si prende un'immagine (o
un file audio) e si "tolgono" alcuni pixel (le unità grafiche minime
che la compongono) riempendo quel "buco" con dei dati (lettere di
testo) che comporranno il messaggio che si vuol far passare.
Dal momento che certe immagini sono composte da milioni di pixel, la sostituzione di alcuni soltanto di essi non sarà apprezzabile a occhio nudo. E per leggere il messaggio servirà uno dei tanti programmi reperibili online.
Molti sono i siti che consentono di pubblicare immagini sul web in maniera
anonima, tra cui la maggior parte di quelli pornografici e quello di aste eBay.
"Stiamo cominciando ad ottenere risultati - dice Hosmer, a proposito della
ricerca, per conto dell'Aeronautica militare americana, di file manipolati - lo
0,6 per cento dei milioni di immagini online passate in rassegna risultava
contenente messaggi nascosti". Sulla cui natura gli esperti non si
dilungano. Quello che dicono, però, è che è particolarmente difficile risalire
al messaggio quando questo è incapsulato in file jpg (i più diffusi in rete)
dal momento che la compressione usata per alleggerirli rende più complicato
capire se ci sono state distorsioni di altro tipo.
Il metodo migliore per individuare messaggi nascosti in questo tipo di
documenti è quello inventato da tal Niels Provos, studente di informatica
all'università del Michigan, che ha a lungo riflettuto se fosse il caso di
rendere noto in Rete le specifiche da lui utilizzate: "Quando ho iniziato
la mia ricerca, due anni fa, il contesto era completamente diverso". Oggi
spiegare al mondo come si fa a scoprire i messaggi significa anche offrire a
chi li mette dettagli preziosi su come diventare più invisibili. Un
ragionamento ripetuto e fatto proprio dalla maggior parte degli esperti:
"Credo che sia folle dire in giro su cosa stiamo lavorando, in che modo e
se stiamo trovando qualcosa" ha dichiarato l'accademico Johnson,
"sarebbe come dare una mano al nemico".
http://www.repubblica.it/online/tecnologie_internet/steganografia/steganografia/steganografia.html
Questo articolo di giornale, apparso sulla
Repubblica del 30 ottobre 2001, sembra esprimere al meglio ciò che ai nostri
giorni è la steganografia, una scienza ancora abbastanza occulta che Markus Kuhn, docente di informatica
presso la Cambridge University e vero e proprio esperto del settore, descrive
come:
"[…] l'arte di comunicare in modo tale
da nascondere l'esistenza stessa della comunicazione. Al contrario della
crittografia, in cui il nemico può rilevare, intercettare e modificare dei
messaggi senza però riuscire a violare determinati livelli di sicurezza
garantiti da un criptosistema, il fine della steganografia è di nascondere dei
messaggi all'interno di altri messaggi innocui in modo tale da non permettere
nemmeno al nemico di rilevare la presenza di un secondo messaggio
segreto".
La steganografia è dunque "la scrittura nascosta", o meglio ancora l'insieme delle tecniche che consente a due o più persone di comunicare in modo tale da nascondere non tanto il contenuto (come nel caso della crittografia), ma la stessa esistenza della comunicazione agli occhi di un eventuale osservatore, tradizionalmente denominato "nemico". Nel corso dei secoli sono stati escogitati numerosi metodi steganografici, tutti molto diversi tra loro, Ma per poter meglio comprendere e approfondire ulteriormente questo tema occorre fare un salto indietro nel passato, fino alle origini della steganografia.
STORIA DELLA
STEGANOGRAFIA
Al contrario di quello che chiunque potrebbe pensare, la steganografia affonda le sue radici molto indietro nel tempo, addirittura ai tempi dell’impero persiano, più di trecento anni prima della venuta di Cristo.
Le prime testimonianze a riguardo sono leggende,
trascritte e giunte a noi grazie allo storico greco Erodoto, il quale narra di
un nobile persiano che fece tagliare a zero i capelli di uno schiavo fidato al
fine di poter tatuare un messaggio sul suo cranio; una volta che i capelli
furono ricresciuti, inviò lo schiavo alla sua destinazione, con la sola
istruzione di tagliarseli nuovamente.
I romani invece solevano incidere i loro messaggi segreti su tavolette di legno che venivano poi ricoperte di cera: apparentemente innocue, queste tavolette facevano sovente parte della “cancelleria”, pertanto esse passavano assolutamente inosservate, ma una volta rimosso il superficiale strato di cera appariva il testo nascosto.
L’evoluzione delle tecniche steganografiche, nel
corso dei secoli, è passata poi attraverso diverse tecniche, dalle più banali
alle più tecnologicamente avanzate.
Ecco qui di seguito una breve carrellata delle
tecniche steganografiche usate nel passato, ma anche nel presente.
Un acrostico, anche detto metodo delle cifre nulle, è un testo di qualsiasi tipo composto intenzionalmente in modo tale che, unendo le prime lettere di ogni capoverso, o con altre tecniche, si ottiene un messaggio di senso compiuto. per comunicare la frase "scappa dal rifugio" dovremo scrivere, ad esempio,
stiamo
cercando
amici
per
poter
andare
domani
al
lago,
restando
insieme
forse
un
giorno
intero
ostinatamente.
Quella delle cifre nulle
era, quindi, una tecnica steganografica che consisteva nell'inserire il
messaggio nascosto in un altro messaggio di testo. Fu usata nella seconda
guerra mondiale, in particolare per comunicazioni via radio. I messaggi
trasmessi venivano registrati e poi filtrati in modo opportuno per ricavare il
messaggio nascosto. Il seguente, ad esempio, è un
testo realmente inviato da una spia tedesca durante la seconda guerra mondiale:
Apparently
neutral's protest is thoroughly discounted and ignored.
Isman
hard hit. Blockade issue affects pretext for embargo on by products, ejecting
suets and vegetable oils.
Considerando
in sequenza la seconda lettera di ogni parola, si ottiene il messaggio:
Pershing sails from NY June 1 ( Tuttavia in realtà c'è una
"r" di troppo. )
Le griglie di Cardano erano invece fogli di
materiale rigido nei quali venivano ritagliati fori rettangolari ad intervalli
irregolari. Questa griglia veniva appoggiata su un foglio di carta bianca, il
messaggio segreto veniva scritto nei buchi (ciascun buco poteva contenere una o
più lettere), dopodiché si toglieva la griglia e si cercava di completare la
scrittura del resto del foglio in modo da ottenere un messaggio di senso
compiuto, il quale poi veniva inviato a destinazione. Per poter leggere il
testo nascosto si doveva applicare sul messaggio ricevuto una copia esatta
della griglia originaria.
Gli inchiostri
invisibili
(o inchiostri simpatici) sono sostanze che, in condizioni normali, non lasciano
tracce visibili se usate per scrivere su un foglio di carta, ma diventano
visibili se il foglio viene sottoposto a una fonte di calore.
Gli inchiostri usati vanno da sostanze di uso comune
come succo di limone, aceto, latte, fino a sostanze più complicate come
l'inchiostro a cobalto, utilizzato durante la seconda guerra mondiale, che può
essere reso visibile solo mediante l'uso di particolari reagenti chimici.
Con l'utilizzo di queste sostanze è possibile
scrivere il messaggio segreto negli spazi compresi tra le righe di un messaggio
dall'aspetto "innocuo", quest'ultimo scritto con un inchiostro
normale. (Per accedere al messaggio segreto occorre letteralmente "saper leggere
tra le righe"...).
La tecnica dei
micropunti fotografici fu inventata dal direttore del F.B.I. durante la seconda guerra
mondiale, si tratta di fotografie della dimensione di un punto dattiloscritto
che, una volta sviluppate e ingrandite, possono diventare pagine stampate di
buona qualità.
Tuttavia, anche se a quanto detto finora l’evoluzione della steganografia sembra essere stata costante e regolare, un importantissimo balzo in avanti fu fatto, nel corso del Medioevo, da quella che si può indubbiamente considerare una figura chiave nello studio e nello sviluppo di questa tecnica: l’Abate Tritemio, autore di un testo cinquecentesco, intitolato Sreganografia, dedicato ai codici cifrati, ma che, in una versione bruciata dalla Chiesa, avrebbe contenuto il segreto per comunicare a qualunque distanza senza l’ausilio di lettere o di messaggeri.
Si chiamava Johann Heidenberg ed era nato a Tritenheim, nella contea di Treviri, il 1° febbraio 1462, da Jean ed Elsbeth von Longwi, cavaliere lui, nobile e ricca lei.
Il padre, probabilmente uomo
d'arme, morì quando il piccolo Johann non aveva ancora due anni; la madre,
proprietaria di fertili vigneti, dopo sette anni di vedovanza si risposò,
dicono i biografi, con una specie di energumeno che non permise al ragazzo di
studiare. A quindici anni, quando si allontanò, o fuggì, dalla casa materna,
Johann sapeva appena leggere e scrivere, e anche questo grazie a certe scappate
notturne per andare clandestinamente «a scuola» in casa di una vicino.
Prima si fermò a Treviri, poi a Würzburg e finalmente nella «città-faro» della
cultura di allora, Heidelberg. Vi giunse nel 1479, frequentò tutti i corsi a
lui più congeniali, studiò giorno e notte per recuperare il tempo perduto. La
volontà e la memoria gli facilitarono il compito; imparò alla perfezione
l'ebraico, il greco e il latino, si orientò senza difficoltà nel mondo del
pensiero antico e medievale, si documentò sulla storia passata e presente,
incontrò un «Maestro» - di cui non fece mai il nome - che lo iniziò ai misteri
della Rosa+Croce e gli insegnò l'arte di Ermete: e fu allora che l'adepto
Johann Heidenberg assunse, anche nel ricordo del paese natale, il nome
iniziatico di Trithemius.
Nel 1483 decise di tornare a casa, forse per rivedere la madre, o per una necessaria pausa di riflessione dopo quattro anni vissuti così intensamente.
La chiave della tua vita - gli disse l'amico e Maestro quando si salutarono - la troverai strada facendo, e sarà quella giusta.
A Spanheim un'improvvisa e
violenta tempesta di neve costrinse il giovane a fermarsi e chiedere asilo. La
porta a cui bussò era quella di un monastero benedettino; ed appena varcata la
soglia - confessò più tardi Tritemio - avvertì che il suo destino si stava
compiendo. Difatti non proseguì il viaggio e l'asilo diventò ospitalità; poi
chiese di essere accolto nell'Ordine e diventò novizio; trascorsi due anni
pronunciò i voti solenni e giurò fedelta alla Regola. Poco tempo dopo, per la
morte del vecchio Abate mitrato, fu chiamato lui, l'ultimo venuto, a reggere l'abbazia
ed a governare un comunità di oltre duecento monaci. Non aveva che ventidue
anni, ma «conosceva l'Arte», come si usava dire allora; era un «predestinato»
che l'ignoto Maestro di Heidelberg aveva riconosciuto all'aura e probabilmente
aiutato, anche da lontano, a diventare la guida e il vertice di quell'antica
abbazia.
Il neo-eletto si accorse subito che la comunità era sull'orlo del tracollo:
cadevano i muri sotto il peso degli anni e le ultime riserve sotto quello dei
debiti; i monaci avevano dimenticato la Regola per far posto all'ozio,
all'arroganza e all'arbitrio. Ora et labora: l'imperativo di Benedetto da
Norcia era sempre valido, ma bisognava renderlo attuale ed operante. Se sei un
monaco fedele alla Regola, lavorerai per il bene e al servizio della comunità e
della civiltà; se sei un iniziato lavorerai anche alla trasmutazione del piombo
interiore in oro sapienziale.
Nel volgere di pochi anni il nuovo e dinamico Abate rimise in sesto i muri, il bilancio e le coscienze; scosse i suoi confratelli dalla pigrizia e dall'ignoranza trasformandoli in operai della cultura, ossia in abili trascrittori di codici antichi.
Il monastero di Spanheim diventò presto famoso non solo in Germania, ma in tutta l'Europa; la sia biblioteca, ricca di oltre duemila volumi, poteva onorevolmente competere con quella del Papa, o del duca di Borgogna, o del re d'Ungheria. La fama dell'Abate mitrato si sparse nel mondo: i giovani Paracelso ed Agrippa si recarono da lui per consultarlo e stargli vicino, al solo fine di ascoltare la sua parola e mettere in pratica i suoi suggerimenti.
È un santo - diceva la gente; - È un mago - pensavano i saggi.
La notizia delle straordinarie virtù dell'Abate e dei prodigi da lui compiuti giunse fino all'imperatore Massimiliano; il quale, rimasto prematuramente vedovo, mandò a chiamare Tritemio per chiedergli un responso sulla necessità di risposarsi, come volevano i suoi consiglieri e la ragion di Stato, o di restare fedele al ricordo dell'amata consorte come avrebbe voluto il suo cuore.
Sire - disse l'Abate -
domandiamolo insieme all'imperatrice Maria.
Ma è morta! - esclamò l'Imperatore.
E noi la richiameremo dal regno dei morti - rispose Tritemio.
Così dicendo, segnò con la mano verso terra un ampio cerchio, ed in esso, ad una speciale invocazione, apparve la defunta Imperatrice, in un alone di luce, più bella di quando era viva. Ella disse all'augusto consorte che avrebbe sposato una fanciulla di Milano, ma l'Imperatore, a quella visione, era già caduto a terra privo di sensi. In seguito, egli ricordò vagamente quell'immagine dolce e terrificante, poi sposò la figlia del defunto Galeazzo Sforza, duca di Milano, affidata alla tutela dello zio Lodovico il Moro.
Ma col passare degli anni i monaci di Spanheim sopportavano sempre meno la disciplina imposta dall'Abate; e una volta che lui era lontano per una missione si ribellarono perchè «pretendeva troppo da loro»; lo deposero dalla carica di Abate ed elessero un altro.
Era il 1506.Venuto a conoscenza della sediziosa contestazione, Tritemio non tornò al monastero, ma restò dov'era, a Würzburg, nell'abbazia di San Giacomo; e lì rimase per altri dieci annni, in volontaria solitudine, meditando e scrivendo, fino alla morte, avvenuta il 15 dicembre 1516.
Ma in cosa consisteva di preciso l'idea di Tritemio?
Supponiamo per un istante di voler mandare un
messaggio ad un nostro amico Tizio, avvertendolo di non fidarsi di un certo
Caio. Abbiamo però paura che Caio legga tutta la nostra corrispondenza e
quindi, usando la Steganografia, scriviamo il seguente testo: "Nelle ore notturne feroci
illusioni di antichi riti tramandati in
dimenticate isole ci assalgono, ivi ora..."
ecc. ecc... Tizio, per leggere il messaggio originale che noi gli volevamo
mandare, non dovrà far altro che leggere tutte le iniziali delle parole e
comporre il testo nascosto: "Non
fidarti di Caio...".
Questo è l'esempio più semplice di tutti gli schemi
proposti da Tritemio, che elaborò 40 sistemi principali e 10 sotto-sistemi
secondari, sfruttando non solo varie combinazioni di acronimi, ma anche usando
dei dischi rotanti (come quello riportato qui a fianco) basati sulla
sostituzione mono-alfabetica di Cesare. In questa cifratura il posto di ogni
lettera del messaggio è preso dalla lettera che si trova ad una distanza di x
posti nell'alfabeto ordinario, dove x, nel caso dell'alfabeto completo di 26
lettere, è un numero compreso tra 1 e 25.
Il messaggio "Mio zio è andato a Zurigo non per
incontrare Silvia e nemmeno le Kromanev, quindi domani
si farà il solito giretto nel centro storico.
Dovrebbe mandarmi un kimono per sabato, e allora...",
prendendo una parola si e una no, nasconde la stringa, a prima vista
illeggibile, "zazpsnkdfsnsmksa".
Usando però la trasposizione del disco riportato qui sopra, che quindi tramuta
le 'a' in 'o', le 'b' in 'p', le 'c' in 'q' ecc..., ecco
che riusciamo ad ottenere il solito "nonfidartidicaio".
L'idea fondamentale di Tritemio era quindi quella di nascondere un testo
segreto dentro un messaggio che funzionasse come copertura, senza quindi
ricorrere a brutali sistemi fisici come ad esempio la rasatura di capelli ma
sfruttando invece abili artifizi matematici e letterari. A meno di non sapere
il sistema usato per nascondere il testo, era dunque praticamente impossibile
riuscire a estrarre il significato reale del messaggio.
Unico inconveniente: il mittente ed il destinatario dovevano avere entrambi il libro di Tritemio per poter conoscere il sistema steganografico usato...
L’intenzione di Tritemio, in conclusione, era quella
di insegnare un modo per comunicare celando in un testo, a prima vista normale
e quasi insignificante, un secondo messaggio ben più importante ed occulto; non
tutti però abbracciano questa ipotesi e molti vedono in questo libro un codice
completo, ma irrimediabilmente mutilato dalle censure ecclesiastiche, per
accedere a conoscenze ultraterrene. Il testo Steganografia si compone di tre
libri, i primi due riportano le invocazioni agli spiriti nelle varie ore del
giorno, il terzo, invece, è ricco di tabelle numeriche per calcoli astronomici;
ciascuna invocazione comincia con il nome dello spirito da invocare seguita da
parole apparentemente senza senso, che probabilmente celano il vero testo
lasciato da Tritemio.
Forse l’intenzione dell’Abate era effettivamente
quella di insegnare e spiegare un sistema di crittografia, forse non lo era
affatto, le domande ancora rimangono e le risposte da entrambe le chiavi di
lettura non soddisfano pienamente il mistero che circonda la Steganografia.
COS’È LA STEGANOGRAFIA
Dopo aver ripercorso tutto l’iter storico della steganografia, dalle origini ai giorni d’oggi, penso possa sorgere spontanea la domanda: “Ma che cos’è tecnicamente la steganografia??”.
Qui di seguito proverò a spiegarlo con alcuni
esempi.
A causa dell'interesse crescente circa la protezione della
proprietà su Internet e anche nell'eventualità che le tecnologie crittografiche
siano dichiarate fuorilegge, l'interesse nelle tecniche per nascondere
informazioni è aumentato notevolmente negli ultimi anni.
Oggi si possono quindi distinguere due principali diramazioni nell'attuale
scenario steganografico:
1. la protezione contro una
semplice individuazione del messaggio da parte di un avversario passivo.
2. l'abilità di nascondere un
messaggio in modo tale che nemmeno un avversario
attivo possa rimuoverlo.
La Steganografia con
un avversario passivo può essere
illustrata con il "Problema dei
Prigionieri" di Simmons: Alice e Bob sono in prigione ed intendono
progettare un piano di fuga. Tutte le loro comunicazioni sono osservate da un
avversario (la guardia Eva), che ostacolerà il loro piano trasferendoli in una
prigione ad alta sicurezza non appena individuerà anche il minimo messaggio
nascosto. Alice e Bob riusciranno nel loro intento se Alice riuscirà a mandare
messaggi a Bob senza che Eva si accorga di nulla e possa insospettirsi.
Lo
schema qui sopra mostra come funziona lo scambio di messaggi con un avversario
passivo. E è il testo segreto che Alice e Bob si vogliono scambiare, C è il testo di copertura, R è
un'eventuale variabile random di
Alice, K è la chiave segreta condivisa in modo sicuro da Alice e Bob, S è il messaggio steganografato che Bob riceve.
Quando Alice vuole mandare un messaggio a Bob, sa che deve passare sotto il
controllo della guardia, e quindi nasconde il messaggio E dentro di C,
eventualmente utilizzando R, ottenendo così il risultato S. Eva vede che Alice
sta comunicando con Bob, ma non sa se quello che sta trasmettendo sia C o S,
anche perchè non ha modo dato S di tornare ad E. Bob invece, quando riceve un
messaggio di Alice, prova a decifrarlo con la chiave K, e scopre se vi era
nascosto un testo segreto. In questo modo Alice e Bob riescono ad aggirare la
sicurezza di Eva, comunicando tranquillamente grazie alla chiave K. Va sottolineato
il fatto che il messaggio S dovrebbe essere insospettabile, e avere un suo
senso più o meno compiuto.
Nascondere un messaggio in modo tale che nemmeno un avversario attivo possa rimuoverlo è un problema leggermente
differente, e più complesso. Se nello schema sopra Eva non si limita a guardare
i messaggi che si scambiano Alice e Bob, ma ne altera anche alcune parti senza
modificarne il significato, ecco che Bob non sarà più in grado di risalire al
testo segreto originale di Alice. Eva però non può sapere dove sia nascosto il
segreto, quindi può solo cambiare una parte del messaggio dove pensa che vi sia
nascosto qualcosa. È proprio su questa insicurezza di Eva che deve basarsi
Alice, quando nasconde il testo segreto.
La terminologia che rispetta gli schemi di attacco e rottura della
steganografia è simile alla terminologia crittografica; vi sono comunque alcune
sostanziali differenze. Mentre un crittanalista applica la crittanalisi per
cercare di decodificare o rompere messaggi criptati, lo steganalista è colui che applica la steganalisi cercando di
determinare l'esistenza di eventuali informazioni nascoste. In crittografia si
poteva partire dal confronto di porzioni di testo in chiaro e parti di testo
cifrato. Con la steganografia invece, il confronto può essere fatto tra il
testo di copertura, il messaggio steganografato ed eventuali porzioni di testo
segreto. Il messaggio finale steganografato inoltre può anche essere criptato,
e in questo caso una volta scoperto esse deve ancora venir decriptato.
Quali sono gli attacchi possibili alla steganografia? Diciamo che possiamo
distinguere i seguenti casi:
1. Solo steganografico
2. Copertura conosciuta
3. Testo conosciuto
4. Steganografia usata
5. Messaggio scelto
Nell'attacco solo
steganografico abbiamo a disposizione solo il messaggio steganografato S
per le nostre analisi. Questo è probabilmente il caso peggiore che ci si possa
presentare. Se invece siamo a conoscenza sia di C sia di S, possiamo parlare di
attacco con copertura conosciuta. La
steganalisi può sfruttare anche il testo
conosciuto quando il testo nascosto viene rivelato qualche tempo dopo, e
quindi l'attaccante può cercare di analizzare il messaggio S per attacchi
futuri. Anche conoscendo il testo segreto E può essere comunque molto difficile
risalire al metodo steganografico usato, e quindi questo caso può essere
paragonato al primo caso solo steganografico. L'attacco a steganografia usata è quando lo steganalista conosce l'algoritmo
usato per nascondere il testo. Infine l'attacco del messaggio scelto si ha quando lo steganalista genera il messaggio
steganografato S usando qualche algoritmo e partendo da un testo segreto
conosciuto. Lo scopo di questo attacco è determinare parti corrispondenti nel
messaggio steganografato S che possano rivelare quale algoritmo o programma è
stato usato.
Il testo segreto può essere nascosto in vari tipi di
file, e i più usati al giorno d'oggi sono le immagini e i file audio o video.
Ø
Preghiera di Tritemio
Prima di adderntrarmi più approfonditamente nella giungla delle tecniche steganografiche vere e proprie, volevo concludere questa lunga introduzione al tema inserendo qui di seguito la preghiera lasciata ai posteri da Tritemio prima di lasciare questo Mondo.
O Lettore,
chiunque tu sia, ti prego e scongiuro, nel Santo nome di Iahwè, per il Sangue
di Nostro Signore Gesù Cristo, Salvatore delle nostre anime, che il segreto di
questa scrittura non sia rivelato a persone ignoranti perfide spudorate lascive
e maligne, che la usino indegnamente. Se fosse scoperto il senso riposto, molti
mali ne deriverebbero: adulteri, fornicazioni, cospirazioni, omicidi e
tradimenti.
L'uomo probo
ed onesto può e deve servirsene per esprimere, in modo sicuro ed
insospettabile, il suo segreto volere, quando lo ritiene necessario per l'utile
pubblico o privato; invece il disonesto ed impudico, accecato da passione
carnale, se ne servirebbe solo per comunicare con l'amante, travolta dalla
stessa infame passione, e fissare i luoghi, la data ed i termini dei loro
convegni, attraverso parole innocenti, pudiche e sante.
Non esisterà
più rispetto e lealtà tra i coniugi se la donna, impudica, potrà facilmente,
senza destare alcun sospetto, leggere attraverso sante e nobilissime parole,
lodate dallo stesso marito, il turpe capriccio del suo drudo e l'amante, con
linguaggio simulato, potrà comunicare alla donna, ciò che brama, al cospetto
del marito, anzi tramite lui stesso.
Questa
scrittura crittografica, divulgata poi in campo politico, sconvolgerebbe ogni
ordine: lo Stato perderebbe ogni garanzia e credito; tutto: documenti, carte,
scritture, le parole stesse sarebbero gravate da sospetto.
Nessuno
crederebbe più agli scritti anche se nobili e santi né avrebbe più fiducia
alcuna nelle lettere, le parole, anche le più innocue e sante, sarebbero
sospettate e tutti diverrebbero timidi e perplessi nel conversare e nello
scrivere.
Se qualcuno mi
obiettasse: dicendomi: "se volevi che codesta tua scrittura rimanesse
segreta, perché l'hai scritta?", ecco la risposta: "non ho né voluto,
né potuto tenerla celata ad un ottimo principe, che, ad ogni occasione, potrà
liberare i suoi devoti (anche io mi annovero tra questi) da molti pericoli e
potrà far conoscere la sua volontà, in modo segreto, senza il timore che il suo
nemico possa decifrarla".
Joanne Trithemius.
TECNICHE DI STEGANOGRAFIA
Ø
Introduzione:
La prima classificazione riguarda
l’origine del file contenitore, in quanto si possono distinguere due grossi
insiemi: Steganografia Inietiva e Steganografia Generativa.
-
Steganografia
Inietiva:
La tecnica sicuramente più
usata. I software che adottano questo sistema consentono di
"iniettare" il messaggio segreto all'interno di un messaggio
contenitore già esistente modificandolo in modo tale sia da contenere il
messaggio, sia da risultare, al livello al quale viene percepito dai sensi
umani, praticamente indistinguibile dall'originale.
-
Steganografia
Generativa:
Tecnica meno diffusa, I software di questo tipo partono dal messaggio segreto per produrre un opportuno “contenitore” adatto a nascondere nel migliore dei modi quel determinato messaggio segreto.
Secondo un sistema di classificazione diverso, le
tecniche steganografiche possono essere ripartite in tre classi: steganografia
sostitutiva, steganografia selettiva e steganografia costruttiva. Vediamo di cosa si tratta.
Ø
Tipi di tecniche
steganografiche:
-
La steganografia sostitutiva
Le tecniche di questo tipo
sono di gran lunga le più diffuse, tanto che in genere con il termine
steganografia ci si riferisce implicitamente a esse. Tali tecniche si basano
sulla seguente osservazione: la maggior parte dei canali di comunicazione
(linee telefoniche, trasmissioni radio, ecc.) trasmettono segnali che sono
sempre accompagnati da qualche tipo di rumore. Questo rumore può essere
sostituito da un segnale ovvero il messaggio segreto, che è stato trasformato
in modo tale che, a meno di conoscere una chiave segreta, è indistinguibile dal
rumore vero e proprio, e quindi può essere trasmesso senza destare sospetti.
Quasi tutti i programmi che
sono facilmente reperibili si basano su questa idea, sfruttando la grande
diffusione di file contenenti una codifica digitale di immagini, animazioni e
suoni; Spesso questi file sono ottenuti da un processo di conversione
analogico/digitale e contengono qualche tipo di rumore. Per esempio, uno scanner
può essere visto come uno strumento di misura più o meno preciso. Un'immagine
prodotta da uno scanner, da questo punto di vista, è il risultato di una
specifica misura e come tale è soggetta a essere affetta da errore.
La tecnica base impiegata dalla maggior parte dei programmi, consiste semplicemente nel sostituire i "bit meno significativi" delle immagini digitalizzate con i bit che costituiscono il file segreto (i bit meno significativi sono assimilabili ai valori meno significativi di una misura, cioè quelli che tendono a essere affetti da errori.) Spesso l'immagine che ne risulta non è distinguibile a occhio nudo da quella originale ed è comunque difficile dire se eventuali perdite di qualità siano dovute alla presenza di informazioni nascoste oppure all'errore causato dall'impiego di uno scanner poco preciso, o ancora alla effettiva qualità dell'immagine originale prima di essere digitalizzata.
Discutiamo ora i problemi
relativi alla sicurezza di queste tecniche. Innanzitutto premettiamo che le norme
che valgono generalmente per i programmi di crittografia dovrebbero essere
osservate anche per l'utilizzo dei programmi steganografici. Per ciò che
riguarda le specifiche caratteristiche della steganografia, si tengano presente
i seguenti principi: in primo luogo si eviti di usare come contenitori file
prelevati da siti pubblici o comunque noti (per esempio, immagini incluse in
pacchetti software, ecc.); in secondo luogo si eviti di usare più di una volta
lo stesso file contenitore (l'ideale sarebbe quello di generarne ogni volta di
nuovi, mediante scanner e convertitori da analogico a digitale, e distruggere
gli originali dopo averli usati).
Come si è visto, queste
tecniche consistono nel sostituire un elemento di scarsa importanza (in certi
casi di importanza nulla) da file di vario tipo, con il messaggio segreto che
vogliamo nascondere. Quello che viene ritenuto il principale difetto di queste
tecniche è che in genere la sostituzione operata può alterare le
caratteristiche statistiche del rumore presente nel media utilizzato. Lo
scenario è il seguente: si suppone che il “nemico” disponga di un modello del
rumore e che utilizzi tale modello per controllare i file che riesce a
intercettare. Se il rumore presente in un file non è conforme al modello, allora
il file è da considerarsi sospetto. Si può osservare che questo tipo di attacco
non è per niente facile da realizzare, data l'impossibilità pratica di
costruire un modello che tenga conto di tutte le possibili sorgenti di errori/
rumori, tuttavia in proposito esistono degli studi che in casi molto specifici
hanno avuto qualche successo.
La steganografia selettiva e
quella costruttiva hanno proprio lo scopo di eliminare questo difetto della
steganografia sostitutiva. Vediamo di cosa si tratta.
-
Steganografia selettiva
La steganografia selettiva ha valore puramente teorico e, per quanto se ne sappia, non viene realmente utilizzata nella pratica. L'idea su cui si basa è quella di procedere per tentativi, ripetendo una stessa misura fintanto che il risultato non soddisfa una certa condizione. Facciamo un esempio per chiarire meglio. Si fissi una funzione “hash” (una funzione hash è una qualsiasi funzione definita in modo da dare risultati ben distribuiti nell'insieme dei valori possibili; tipicamente questo si ottiene decomponendo e mescolando in qualche modo le componenti dell'argomento) semplice da applicare a un'immagine in forma digitale; per semplificare al massimo, diciamo che la funzione vale 1 se il numero di bit uguali a 1 del file che rappresenta l'immagine è pari, altrimenti vale 0 (si tratta di un esempio poco realistico ma, come dicevamo, questa discussione ha valore esclusivamente teorico). Così, se vogliamo codificare il bit 0 procediamo a generare un'immagine con uno scanner; se il numero di bit dell'immagine uguali a 1 è dispari ripetiamo di nuovo la generazione, e continuiamo così finché non si verifica la condizione opposta. Il punto cruciale è che l'immagine ottenuta con questo metodo contiene effettivamente l'informazione segreta, ma si tratta di un'immagine "naturale", cioè generata dallo scanner senza essere rimanipolata successivamente. L'immagine è semplicemente sopravvissuta a un processo di selezione (da cui il nome della tecnica), quindi non si può dire in alcun modo che le caratteristiche statistiche del rumore presentano una distorsione rispetto a un modello di riferimento. Come è evidente, il problema di questa tecnica è che è troppo dispendiosa rispetto alla scarsa quantità di informazione che è possibile nascondere.
-
Steganografia costruttiva
La steganografia costruttiva affronta lo stesso problema nel modo più diretto, tentando di sostituire il rumore presente nel medium utilizzato con l'informazione segreta opportunamente modificata in modo da imitare le caratteristiche statistiche del rumore originale. Secondo questa concezione, un buon sistema steganografico dovrebbe basarsi su un modello del rumore e adattare i parametri dei suoi algoritmi di codifica in modo tale che il falso rumore contenente il messaggio segreto sia il più possibile conforme al modello. Questo approccio è senza dubbio valido, ma presenta anche alcuni svantaggi. Innanzitutto non è facile costruire un modello del rumore: la costruzione di un modello del genere richiede grossi sforzi ed è probabile che qualcuno, in grado di disporre di maggior tempo e di risorse migliori, riesca a costruire un modello più accurato, riuscendo ancora a distinguere tra il rumore originale e un sostituto. Inoltre, se il modello del rumore utilizzato dal metodo steganografico dovesse cadere nelle mani del nemico, egli lo potrebbe analizzare per cercarne possibili difetti e quindi utilizzare proprio il modello stesso per controllare che un messaggio sia conforme a esso. Così, il modello, che è parte integrante del sistema steganografico, fornirebbe involontariamente un metodo di attacco particolarmente efficace proprio contro lo stesso sistema.
- Steganografia ideale ? atteniamoci
al principio di Kerckhoff !
Se si hanno particolari
esigenze di sicurezza, esiste sempre una strategia molto semplice e allo stesso
tempo molto efficace: quella che consiste nell'utilizzare contenitori molto più
ampi rispetto alla quantità di informazioni da nascondere. Per esempio, invece
di utilizzare i bit meno significativi di tutti i pixel di un'immagine, si può
giocare sul sicuro utilizzando solo un pixel ogni 10, o anche più, fino a
rendere impossibile, a tutti gli effetti pratici, la rilevazione di una
distorsione delle caratteristiche statistiche del rumore.
Resta da affrontare
un'ultima questione molto importante. Abbiamo accennato all'eventualità che i
dettagli di funzionamento di un sistema steganografico possano cadere nelle
mani del nemico. In ambito crittografico si danno le definizioni di vari
livelli di robustezza di un sistema, a seconda della capacità che esso ha di
resistere ad attacchi basati su vari tipi di informazioni a proposito del
sistema stesso. In particolare, i sistemi più robusti sono quelli che
soddisfano i requisiti posti dal principio di Kerckhoff, che formulato
in ambito steganografico suona più o meno così: la sicurezza del sistema deve basarsi sull'ipotesi che il nemico abbia
piena conoscenza dei dettagli di progetto e implementazione del sistema stesso;
la sola informazione di cui il nemico non può disporre è una sequenza (corta)
di numeri casuali (la chiave segreta) senza la quale, osservando un canale di
comunicazione, non deve avere neanche la più piccola possibilità di verificare
che è in corso una comunicazione nascosta.
Se si vuole aderire a questo
principio, è evidente che le tecniche esposte fin qui non sono ancora
soddisfacenti per caratterizzare un sistema steganografico completo. Infatti,
se i dettagli di implementazione dell'algoritmo sono resi di dominio pubblico,
chiunque è in grado di accedere a eventuali informazioni nascoste,
semplicemente applicando il procedimento inverso (nell'esempio visto, ciò si
ottiene "riaggregando" i bit meno significativi dell'immagine). Per
affrontare questo problema, è necessario introdurre una fase di
pre-elaborazione del file segreto, che lo renda non riconoscibile da parte del
“nemico” come portatore di informazioni significative. La soluzione più ovvia è
quella di impiegare un sistema di crittografia convenzionale (per esempio, il
PGP), il quale garantisce appunto l'inaccessibilità da parte del nemico al
messaggio vero e proprio.
La storia purtroppo non è
finita qui, perché in questo meccanismo a due stadi il secondo processo è
reversibile; in altri termini, chiunque può estrarre il file costituito dalle
informazioni che fluiscono dal primo al secondo stadio. Poiché si presume che
un crittoanalista esperto possa facilmente riconoscere un file prodotto da un
programma di crittografia convenzionale, questo schema è ancora da considerarsi
incompleto. Questo punto è di importanza fondamentale, perché rende
definitivamente non valido il sistema steganografico, indipendentemente dal
fatto che il contenuto dell'informazione segreta resti inaccessibile. Mentre il
progettista di un algoritmo di crittografia presuppone che il nemico impiegherà
tutte le risorse possibili per decrittare il messaggio, il progettista di un
sistema steganografico deve supporre infatti che il nemico tenterà di rilevare
la sola esistenza del messaggio. In altre parole, la crittografia fallisce il
suo scopo quando il nemico legge il contenuto del messaggio: la steganografia
invece fallisce quando il nemico si rende semplicemente conto che esiste un
messaggio segreto dentro il file contenitore, pur non potendolo leggere.
È opportuno quindi che il
messaggio crittografato, prima di essere immerso nel contenitore, venga
"camuffato" in modo da diventare difficilmente distinguibile da
semplice rumore.
A questo scopo, sono stati
escogitati diversi metodi. Il più semplice è quello di eliminare dal file
crittato da PGP tutte le informazioni che lo identificano come tale: il PGP,
infatti, genera un file che rispetta un particolare formato, contenente, oltre
al blocco di dati cifrati vero e proprio, informazioni piuttosto ricorrenti che
facilitano la gestione del file da parte dello stesso PGP. Esistono dei
programmi come Stealth capaci di
togliere e di reinserire nella fase di ricostruzione tutte le informazioni
diverse dal blocco di dati cifrati. Il file che esce da questi programmi appare
come una sequenza di bit del tutto casuale, che è molto difficile distinguere
da semplice rumore. Naturalmente, chiunque può provare ad applicare il
procedimento inverso, ma solo disponendo della chiave giusta si potrà alla fine
accedere al messaggio in chiaro. In caso contrario non si potrà neppure capire
se il fallimento sia dovuto al fatto di non disporre della chiave giusta
oppure, verosimilmente, al fatto che l'immagine non contiene alcun messaggio
nascosto.
Un metodo alternativo
all'uso congiunto di PGP e Stealth è
dato dall'uso di programmi espressamente progettati per trasformare un file in
rumore apparente. Riassumendo, un sistema steganografico completo deve
comprendere le seguenti fasi:
Possiamo
quindi dire che una parte fondamentale della steganografia ad alta sicurezza è
l’uso della crittografia tradizionale.
ESEMPI DI STEGANOGRAFIA
-
Formato bmp:
Supponiamo di voler
utilizzare come contenitore un file di tipo bitmap (bmp) con una profondità di
colore a 24 bit (224=16777216 colori possibili).
Un immagine, dal punto di vista digitale, non è altro che una matrice MxN di piccoli punti colorati detti pixel. Un file grafico di tipo bitmap a 24 bit è codificato in modalità RGB, pixel per pixel. Questo significa che ogni singolo pixel viene codificato tramite 3 byte in sequenza, ognuno dei quali rappresenta i livelli (da 0 a 255) dei colori primari, cioè rosso (Red), verde (Green) e blu (Blue) che costituiscono il colore di quel determinato pixel. Questo significa che, per fare un esempio, un file bitmap a 24 bit di dimensioni 640x480 occuperà uno spazio di 640x480x3=921600 byte. Un'operazione di steganografia sostitutiva su questi tipi di file consiste nel sostituire i bit meno significativi dei singoli byte con quelli del messaggio segreto. Cioè, se ad esempio, abbiamo un pixel codificato in questo modo:
11100001 00000100 00010111
possiamo inserire tre bit
del messaggio segreto. Se ad esempio i bit del messaggio segreto sono 110 il
nostro pixel diventerà il seguente:
11100001 00000101 00010110
e operazioni che si fanno su
ogni singolo byte quindi possono essere tre:
1) Lo si lascia invariato
2) Gli si aggiunge 1
3) Gli si sottrae 1
Questo fa sì che ad occhio
nudo le variazioni di colore siano praticamente impercettibili.
Facendo qualche calcolo, per inserire un byte del messaggio segreto occorrono ovviamente 8 byte del messaggio contenitore. Generalizzando, volendo calcolare la massima dimensione di un messaggio segreto che può stare all'interno di un file grafico MxN si può usare la seguente formula:
Dimensione messaggio segreto (in byte) = (M x N x 3) / 8
Quindi, se si ha un file
bitmap 800 x 540, esso potrebbe contenere al massimo (800 x 540 x 3) / 8 =
162000 byte di dati. Un formato tipico, come il 640 x 480, potrà contenere
invece un messaggio segreto di (640 x 480 x 3) / 8 = 115200 byte.
Tuttavia è possibile
raddoppiare o addirittura triplicare o quadruplicare la possibile dimensione
del messaggio segreto utilizzando non più il singolo bit meno significativo di
ogni byte, ma i due, tre o quattro bit meno significativi. L’altra faccia della
medaglia sarà ovviamente una diminuzione della qualità dell’immagine e quindi
si può dire che più bit si usano, maggiore è la possibilità di destare
sospetti. Quindi quello che si può fare è controllare ogni volta il risultato e
decidere di conseguenza quanti bit utilizzare a seconda di quanto è visibile la
perdita di qualità.
-
Formato wav:
Questo formato si basa
anch'esso su sequenze di parole di 8 o 16 bit.
Un file wav mono, campionato
a 44100 Hz a 16 bit, per esempio, indica un file che è stato costruito
ottenendo 44100 stringhe di 16 bit al secondo nella fase di digitalizzazione
del suono, ossia è stata generata una stringa di 16 bit ogni 1/44100 di
secondo. Nel caso di un wav stereo, le stringhe di 16 bit ottenute sono due,
una per il canale destro ed una per il sinistro. E' facile capire che anche
qui, con la stessa logica del formato bmp, si possono sostituire i bit meno
significativi allo scopo di steganografare un messaggio. Tanto per avere
un'idea, un file wav stereo di un minuto è grande 16 bit x 44100 Hz x 60 sec =
42336000 bit = 5168 Kb ca. da raddoppiare perché il file è stereo, quindi 10336
Kb. Se decidessimo di utilizzare i 2 bit meno significativi per ogni stringa di
16 bit otterremmo una disponibilità di 84762000 bit / 16 bit x 2 = 10595250 bit
= 1293 Kb circa.
-
Formato JPEG e
MP3 (formati compressi):
In base a quanto si è detto, tutto sembra funzionare perfettamente, ma c'è un problema intrinseco nell'operare nel modo sopra esposto. Il problema risiede proprio nel formato del file contenitore utilizzato. I formati bitmap e wav, infatti, sono formati abbastanza pesanti ed ingombranti come si è visto e proprio per questo non sono molto popolari sulla rete Internet, quindi il solo fatto di scambiare un file bitmap o wav potrebbe destare sospetti. Ecco perché, sulla base del concetto originario, si sono escogitate altre tecniche steganografiche da attuare anche sui formati di file più comuni in Internet. Tuttavia si sono dovute trovare delle soluzioni alternative.
In particolare, non è
possibile operare come sinora descritto con i file compressi. Se iniettassimo
delle informazioni in un file bitmap e dopo lo convertissimo in JPEG, ad
esempio, le informazioni andrebbero inevitabilmente perse. La compressione
JPEG, infatti, ha la tendenza a preservare le caratteristiche visive
dell'immagine piuttosto che l'esatta informazione contenuta nella sequenza di
pixel, di conseguenza sarebbe impossibile risalire al file bitmap originario.
Quello che si fa in questi
casi è operare ad un livello di rappresentazione intermedio. Per poter
utilizzare anche le immagini JPEG come contenitori, è possibile iniettare le
informazioni nei coefficienti di Fourier ottenuti dalla prima fase di
compressione.
Un discorso analogo si può
fare col popolare formato audio MP3. Questo formato, al fine di comprimere,
durante la fase detta Inner loop allarga
gli intervalli di prelevamento del campione e testa se il livello di
distorsione introdotto è superiore ad un certo limite definito da un modello
psicoacustico. In questa fase, quindi, si individueranno i bit più importanti e
quelli meno importanti e quindi utilizzabili potenzialmente per nascondere
informazioni.
Il problema principale della steganografia che usa file compressi come contenitori è che, purtroppo, è facilmente attaccabile, nel senso che se un file compresso che fa da contenitore viene decompresso e compresso nuovamente, è facile capire che il messaggio nascosto andrà perso.
-
Formato GIF
(palette):
Esiste un altro caso
interessante che merita di essere discusso, ed è quello dei formati di immagini
che fanno uso di palette.
La palette (tavolozza) è un
sottoinsieme prestabilito di colori. Nei formati che ne fanno uso, i pixel
della bitmap sono vincolati ad assumere come valore uno dei colori presenti
nella palette: in questo modo è possibile rappresentare i pixel con dei
puntatori alla palette, invece che con la terna esplicita RGB (red, green and
blue). Ciò in genere permette di ottenere dimensioni inferiori della bitmap
Il caso più tipico è quello
delle immagini in formato GIF con palette di 256 colori, ma le palette possono
avere anche altre dimensioni. Come è facile immaginare, un'immagine appena
prodotta da uno scanner a colori sarà tipicamente costituita da più di 256
colori diversi, tuttavia esistono algoritmi capaci di ridurre il numero dei
colori utilizzati mantenendo il degrado della qualità entro limiti accettabili.
Si può osservare che, allo stesso modo in cui avviene con il formato JPEG, non
è possibile iniettare informazioni sui pixel prima di convertire l'immagine in
formato GIF, perché durante il processo di conversione c'è perdita di
informazione (osserviamo anche che questo non vale per le immagini a livelli di
grigi: tali immagini infatti sono particolarmente adatte per usi
steganografici.) La soluzione che viene di solito adottata per usare immagini
GIF come contenitori è dunque la seguente: si riduce il numero dei colori
utilizzati dall'immagine a un valore inferiore a 256 ma ancora sufficiente a
mantenere una certa qualità dell'immagine, dopodiché si finisce di riempire la
palette con colori molto simili a quelli rimasti. A questo punto, per ogni
pixel dell'immagine, la palette contiene più di un colore che lo possa
rappresentare (uno è il colore originale, gli altri sono quelli simili ad esso
che sono stati aggiunti in seguito), quindi abbiamo una possibilità di scelta.
Tutte le volte che abbiamo una possibilità di scelta fra più alternative,
abbiamo la possibilità di nascondere un'informazione: questo è uno dei principi
fondamentali della steganografia. Se le alternative sono due possiamo nascondere un bit (se il bit è 0, scegliamo la
prima, se è 1 la seconda); se le alternative sono quattro possiamo nascondere due bit (00 -> la prima, 01 -> la seconda, 10 ->
la terza, 11 -> la quarta) e così via.
La soluzione appena discussa dell'utilizzo di GIF come contenitori è molto ingegnosa ma purtroppo presenta un problema: è facile scrivere un programma che, presa una GIF in ingresso, analizzi i colori utilizzati e scopra le relazioni che esistono tra di essi; se il programma scopre che l'insieme dei colori utilizzati può essere ripartito in sottoinsiemi di colori simili, è molto probabile che la GIF contenga informazione steganografata. Di fatto, questo semplice metodo di attacco è stato portato avanti con pieno successo da diverse persone ai programmi che utilizzano immagini a palette come contenitori, tanto che qualcuno ha finito per sostenere che non è possibile fare steganografia con esse.
Accenniamo a un'altra
possibilità di nascondere informazioni dentro immagini GIF. Come abbiamo detto,
in questo formato viene prima memorizzata una palette e quindi la bitmap
(compressa con un algoritmo che preserva completamente le informazioni)
consistente di una sequenza di puntatori alla palette. Se scambiamo l'ordine di
due colori della palette e corrispondentemente tutti i puntatori ad essi,
otteniamo un file diverso che corrisponde però alla stessa immagine, dal punto
di vista dell'immagine il contenuto informativo dei due file è identico. La
rappresentazione di immagini con palette è quindi intrinsecamente ridondante,
dato che ci permette di scegliere un qualsiasi ordine dei colori della palette
(purché si riordinino corrispondentemente i puntatori a essi). Se i colori sono
256, esistono 256! modi diversi di scrivere la palette, quindi esistono 256!
file diversi che rappresentano la stessa immagine. Inoltre è abbastanza facile
trovare un metodo per numerare univocamente tutte le permutazioni di ogni data
palette (basta, per esempio, considerare l'ordinamento sulle componenti RGB dei
colori). Dato che abbiamo 256! possibilità di scelta, è possibile codificare
log(256!) = 1683 bit, cioè 210 byte. Si noti che questo numero è indipendente
dalle dimensioni dell'immagine, in altre parole è possibile iniettare 210 bytes
anche su piccole immagini del tipo icone 16x16 semplicemente permutando in modo
opportuno la palette.
ESEMPIO PRATICO DI STEGANOGRAFIA
Dopo aver condotto una
ricerca sulla steganografia e le sue tecniche, abbiamo pensato di provare a
realizzare noi stessi un semplice programmino che sia in grado di
steganografare.
Il software da noi
realizzato è molto primitivo e in grado di steganografare solo file di tipo
bitmap (.bmp), con messaggi di piccole dimensioni; il tutto è stato realizzato
in ambiente di programmazione lato server con il linguaggio PHP.
Il PHP non è propriamente un
linguaggio di programmazione ma è l'ambiente nel quale abbiamo lavorato di più
durante l'anno e per questo motivo abbiamo deciso di adottarlo per la nostra
creazione.
Premettiamo che il lavoro
non è stato semplice e in più occasioni abbiamo dovuto "rivolgerci"
alla rete (internet) per reperire istruzioni, funzioni PHP preconfezionate,
ecc.
Qui di seguito presentiamo
le due pagine grafiche di caricamento dell'immagine e di inserimento del
messaggio da codificare e le due pagine di codice per la codifica e la
decodifica vera e propria.
<html>
<head>
<title>Step3</title>
</head>
<body>
<?
$file=$HTTP_POST_VARS['file'];
list($x,$mom)=explode(".",
$file);
if
($mom=="bmp" || $mom=="Bmp"
|| $mom=="BMP"){ //controlla l’estensione del file
$newfilename=$x."_2.".$mom;
$f2 = fopen($newfilename,"w"); //Svuota il file, nel caso in cui esistesse. Se non esiste, lo crea.
fputs($f2,"");
fclose ($f2);
$mex=$_POST['mex'];
//echo " Il messaggio e' $mex<br>";//controllo ricezione messaggio
$mexbin="";
// Converte da decimale a binario la lunghezza della stringa, se non e' lunga 16 bit aggiunge degli zeri
$tot=substr( "0000000000000000".decbin(strlen($mex)),-16);
for ($i=0;$i<strlen($mex);$i++) //legge il messaggio da steganografare
{
$mexbin=decbin(ord($mex[$i])); // Converte ogni carattere prima in ASCII decimale e poi lo converte in binario
if (strlen($mexbin)<8){ //fa si che il carattere sia lungo 8 bit
$str="00000000".$mexbin;
$mexbin = substr($str,-8);
}
$tot=$tot.$mexbin; // Contiene la lunghezza totale in 16 bit + ogni carattere in bit (8 bit)
}
echo "Il nuovo file e' $newfilename<br>";//controllo nuovo nomefile
$f2=fopen($newfilename,"a");
$f=fopen($file,"r");
$contmex
= 0;
$a=0;
$cont=0;
if ($f)
{
while(!feof($f))
{
$linea=fgets($f,999999); // Prende ogni linea del file $f
$l=strlen($linea); // Ne calcola la lunghezza
for ($i=0;$i<$l;$i++)
{
$car = $linea[$i]; // Scandisce ogni carattere della linea
$asci = ord($car); // Converte ogni carattere in codice ASCII decimale
$bin = "".decbin($asci); // Converte il codice ASCII in binario e concatena i vari caratteri
$lungbin = strlen($bin); // Calcola la lunghezza del carattere binario
if ($lungbin < 8) //fa si che la stringa sia lunga 8 bit
{
$stringa="00000000".$bin;
$bin="".substr($stringa,-8);
}
$hex = dechex($asci); // Converte il carattere ASCII decimale in esadecimale
$cont=$cont+1;
// if ($cont>0) // Se dopo 54 caratteri...
// {
$carVelocity = ($linea[$i]); // Prende il 55esimo carattere...
$asciVelocity = ord($carVelocity); // Lo trasforma in asciiii
// Se ci sono ancora bit da inserire
if ( $contmex < strlen($tot) ) // Se contmex e' minore della lunghezza del minestrone ($tot)
{
$asciModif=$asciVelocity; //assegna a $asciModif il carattere selezionato.
if ( ($tot[$contmex] ==
"0") )
{
if ( $asciVelocity
% 2 ) // se e' pari
$asciModif--; // ti prende l'ascii prima
}
else
{
if ( !($asciVelocity % 2) ) // se e' dispari
$asciModif++; // pija quello dopo
}
$carModif = chr($asciModif); // Ritrasforma il carattere ASCII modificato in lettera
fputs($f2,$carModif);
$contmex ++;
}
else
{
fputs($f2,$car);
}
} // Chiudo il for
} // Chiudo il While
} //
Chiudo l'if
fclose
($f);
fclose
($f2);
echo
"<form name='form2' action='stega4.php' method='POST'>";
echo
"<input type='hidden' name='file' value='$newfilename'>";
echo
"<input type='submit' name='Submit' value='RIVELA'>";
echo "</form>";
}else{
echo " Il file inserito non e un bmp.";
}
?>
</body>
</html>
<html>
<head>
<title>Ecco
il messaggio</title>
</head>
<body
bgcolor="#FFFFFF">
<?
$file=$HTTP_POST_VARS['file'];
$flag="0";
$mexbin="";
$lungbin="";
$temp="0";
$boc="0";
$cont=0;
$f=fopen($file,"r");
while(!feof($f))
{
$linea=fgets($f,999999);
$l=strlen($linea);
for ($i=0;$i<$l;$i++)
{
$car = $linea[$i]; // Prelevo ogni carattere di $linea
$asci = ord($car); // Converte in Ascii
$cont = $cont+1;
// if
($cont>0)
// {
// if($i<$l)
// {
$carVelocity = ($linea[$i]);
$asciVelocity = ord($carVelocity); // Converto in ascii dal 55esimo carattere in poi
// }
// else
// {
// echo"<h2>messaggio troppo grande! impossibile ricostruirlo interamente</h2><br>";
// }
if ($asciVelocity % 2 == 0) // se e' pari allora $mexbin = 0
{
$mexbin = $mexbin."0";
}
else
{
$mexbin = $mexbin."1"; // se e' dispari allora mexbine e' = a 1
}
if ((strlen($mexbin) == 16) && ($flag == "0")) // Quando arrivo al 16 carattere del messaggio ricostruito e la flag vale 0 (la prima volta)
{
$lungbin = base_convert ($mexbin,2,10); // converte il messaggio $mexbin da base 2 a base 10
$mexbin="";
$flag = "1";
$mom=0;
$temp="1";
}
if
($temp=="1")
{
$mom=$mom+1;
if($mom > $lungbin*8)
//
{
$boc="1";
break;
}
}
// } //Kiudo l'if ($cont>54)
}
// Kiudo il for
if ($boc=="1")
{
break;
}
} //
Kiudo il while
fclose($f);
?>
<body
bgcolor="#FFFFFF">
<div
align="center">
<table width="600"
border="1">
<input type="hidden"
name="MAX_FILE_SIZE" value="100000">
<tr bgcolor="#333333">
<td colspan="2">
<div
align="center"><font
color="#FFFFFF"><b><font size="4">LOGO</font></b></font></div>
</td>
</tr>
<tr bgcolor="#333333">
<td colspan="2"
width="600">
<div align="center">
<font color="#FFFFFF"><b>Il testo in chiaro e':</b></font>
</div>
</td>
</tr>
<tr bgcolor="#333333">
<td colspan="2">
<div align="center">
<?
for ($h=0;
$h<strlen($mexbin); $h=$h+8)
{
$carbin = substr($mexbin,$h,8);
$carasci = base_convert($carbin,2,10);
echo "<font color='#FFFFFF'><b>".chr($carasci)."</b></font>";
}
?>
</div>
</td>
</tr>
</form>
</table>
</div>
<div
align="center">
<a href="index.htm">
RITORNA </a>
</div>
</body>
</body>
</html>
Referenze
Libri:
· "Steganographia", Giovanni Tritemio, 1606.
· "Clavis Steganographiae", Giovanni Tritemio, 1606.
· "Cryptomenityces", Gustavo Seleno, 1621.
· "Crittografia Invisibile", Peter Wayner, 1997.
· "Codici e Segreti", Simon Singh, 1999.
Articoli:
·
"The
Steganographic File System", Ross Anderson & Roger Needham & Adi
Shamir, 1997.
·
"Exploring
Steganography: Seeing the Unseen", Neil Johnson & Sushil Jajodia,
1998.
·
"Steganalysis
of Images Created Using Current Steganography Software", Neil Johnson
& Sushil Jajodia, 1998.
·
"An
Information-Theoretic Model for Steganography", Christian Cachin, 1998.
·
"On
The Limits of Steganography", Ross Anderson & Fabien Petitcolas, 1998.
·
"Attacks
on Steganographic Systems", Andreas Westfeld & Andreas Pfitzmann,
1998.
·
"Steganography
in a Video Conferencing System", Andreas Westfeld & Gritta Wolf, 1998.
· "Reliable Blind Information Hiding for Images", Lisa Marvel & Charles Boncelet & Charles Retter, 1998.
·
"An
Introduction to Watermark Recovery from Images", Neil Johnson, 1999.
Siti:
· http://www.robertolapaglia.com/steganografia.htm
· http://www.pazuzu.it/tritemio/default.asp
· http://www.repubblica.it/online/tecnologie_internet/steganografia/steganografia/steganografia.html
· http://www.ilfrontalino.com/sicurezza/steganografia.htm
· http://www.tonycrypt.com/Crittografia/Stegano.htm
· http://www.dia.unisa.it/professori/ads/corso-security/www/CORSO-0203/steganografia.pdf