Re:
Scritto da: @alex84@ 22/03/2004 10.09
Beh adesso anke overnet e la rete emule nn è più sicura come 1 volta, xò si trova cmq piu roba (ma x gli mp3 va benissimo winmx come per i XXX va bene kazaa lite)
leggi questo intervento preso da un altro forum
![[SM=x39860]](https://digilander.libero.it/doniuccia/faccine/redface.gif)
Premessa
Questo breve articolo vuole essere un'analisa oggettiva della situazione che si è venuta a creare, tenendo presente le motivazioni del decreto, le possibilità di attuazione e le caratteristiche tecniche dei server e dei client.
Un'analisi tecnica e di "convenienza" su cosa potrebbe accadere nel breve periodo e come comportarsi. Prima però ritengo utile riportare un'analisa dal punto di vista legale scritta dal dottor Rossato dottore di ricerca in diritto privato comparato. Assegnista del Dipartimento di Scienze giuridiche dell'Università di Trento e riportato da P.I. (la cui pubblicazione è consentita dallo stesso
Analisi Giuridica
di Andrea Rossato - Alcune delle misure previste dal decreto cozzano con le misure esistenti, ma importanti sono le modifiche rispetto ai testi precedenti. Tutto nasce da una mancata comprensione del peer-to-peer e del rapporto con il business delle major
Roma - Tanto piovve che tuonò, verrebbe da dire, rovesciando i termini del vecchio adagio.
Procediamo con ordine. Dopo che negli ultimi anni abbiamo assistito ad una costante estensione degli strumenti giuridici posti a difesa di ciò che ormai definiamo, con terminologia quanto meno tradizionalmente impropria, "proprietà intellettuale", cosa cambia con l'approvazione del decreto legge Urbani sul cinema e le relative misure contro la pirateria telematica? Assai poco invero.
Distribuire a scopo di lucro opere cinematografiche per via telematica, mediante siti web o programmi di file-sharing, costituisce un reato aggravato, equiparato alla duplicazione, distribuzione, ecc. di opere, protette dal diritto d'autore, in quantità superiore alle 50 copie.
Si può discutere sulla portata innovativa della disposizione. In verità la norma consente di non provare il numero di copie distribuite, ma tale prova, se prodotta, avrebbe, anche in assenza della nuova disposizione, consentito di far scattare l'aggravante prevista dal comma 2 dell'art. 171-ter. All'effetto pratico, quindi, non si tratta di una novità rilevante.
Per quanto concerne l'utente domestico, che non tragga guadagno dall'uso dei sistemi peer-to-peer, il decreto introduce, solo per le opere cinematografiche, una sanzione amministrativa di poco superiore a quella prevista per la diffusione, duplicazione, ecc. di opere musicali. Unitamente alla sanzione vi è l'odiosa previsione di una gogna mediatica, con la pubblicazione della sanzione comminata su di un giornale a diffusione nazionale o su di un periodico specializzato nel settore dello spettacolo. Vedremo come l'opinione pubblica reagirà se e quando il nome di un minorenne, magari non abbiente, apparirà sulla pagina di un giornale per il solo fatto di aver scaricato un'opera cinematografica, magari non pubblicata - o non piú pubblicata - nel nostro paese.
Abbiamo già visto accadere qualcosa del genere negli Stati Uniti, in quel caso la RIAA citò in giudizio per una cifra considerevole una dodicenne che aveva scaricato un migliaio di canzoni dei suoi idoli preferiti, canzoni che non avrebbe avuto i soldi per acquistare. Sappiamo che la causa dei discografici non ne uscí rafforzata...
Un altro punto che poteva destare preoccupazioni riguarda il ruolo svolto dai service provider nella prevenzione della "pirateria" telematica. Anche su questo versante il decreto non contiene novità rilevanti: le informazioni utili ad identificare l'autore della fattispecie sanzionata, anche in via amministrativa, sono comunicate alle forze dell'ordine solo a seguito di un provvedimento dell'Autorità giudiziaria (comma 4). Come sempre.
Il comma 6 prevede che, se il provider ha avuto "effettiva conoscenza" della presenza di contenuti protetti (opere cinematografiche), egli debba comunicarlo al Ministero dell'Interno. Sono salve però le norme che da un lato liberano il provider dal dovere di vigilare sulla condotta di chi utilizzi le sue infrastrutture telematiche (art. 17 D. Lgs. 70/2003), e dall'altro limitano la sua responsabilità per il contenuto delle informazioni che vengono trasmesse nella sua rete. In base al citato art. 17 un tale obbligo di comunicazione esiste già, ed esso è qui formulato in maniera piú chiara e stringente. Il comma 2 di questo articolo prescrive, infatti, che il provider è tenuto "a informare senza indugio l'Autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio.
Nulla di nuovo, quindi, anche per quest'aspetto.
La locuzione "effettiva conoscenza" desta però una qualche attenzione nel giurista. Essa è assai poco utilizzata dal legislatore (ricorre non piú di una quindicina di volte in tutto il corpus della legislazione vigente) e quasi sempre risulta essere sinonimo di "conoscenza diretta". Solitamente le norme che la contengono pongono obblighi aggravati di pubblicità, la quale deve condurre il soggetto cui è destinata ad avere, appunto, una conoscenza effettiva dell'atto pubblicato.
Il suo utilizzo in questo contesto mostra un certo disagio del legislatore nel formulare la norma, che si è voluta rendere piú ristretta, nella portata, rispetto alla disciplina sul commercio elettronico di cui al citato D. Lgs. 70/2003. D'altro canto la Costituzione, il codice di procedura penale e, da ultimo, la direttiva comunitaria 2002/58/CE, limitano la possibilità di intercettazione delle comunicazioni telematiche, e la subordinano comunque ad un provvedimento dell'Autorità giudiziaria. La normativa sulla privacy consente al provider di trattare i dati relativi al traffico degli utenti solo ai fini della fatturazione (art. 123 D.P.R. 196/2003).
Quando scatta, quindi, l'obbligo di informare le autorità competenti? Non certo con la segnalazione di un terzo, ad esempio il detentore dei diritti, il quale, in base al comma 3, deve rivolgersi al ministero dell'Interno. Ma nemmeno per via di un'autonoma attività di prevenzione posta in essere dal provider stesso: egli dovrebbe, nel caso del P2P, intercettare il contenuto delle comunicazioni degli utenti, dal momento che questi sistemi, non illegali di per sé, posso essere utilizzati con finalità perfettamente lecite.
Tale possibilità gli è però negata dalle norme vigenti. Sembra quindi che la disposizione che stiamo commentando descriva un'eventualità che, con riferimento al file-sharing, ben difficilmente può verificarsi.
Come si comprende, essa è infatti destinata alle violazioni poste in essere mediante siti web, ai quali il provider, come tutti, può accedere, anche per via di un eventuale servizio di hosting che può prevedere, magari per via contrattuale, una qualche forma di controllo sui contenuti ospitati.
Un commento, allora.
Per farsi un'idea generale del decreto può forse risultare utile ricostruire la storia del testo. Benché la prima versione non sia stata pubblicata, Giovanni Ziccardi, che ha svolto un ruolo di consulenza per il Ministero dei Beni culturali e vi ha quindi avuto accesso, conferma, sul suo blog, le indiscrezioni pubblicate anche da PI circa la presenza di sanzioni penali - e multa - anche per chi ponesse a disposizione del pubblico, con sistemi P2P, opere audiovisive.
La norma modificava l'art. 171 della legge sul diritto d'autore. Il testo pubblicato da PI era già molto diverso, prevedendo solamente la sanzione amministrativa, come confermato nella versione definitiva.
Rispetto al testo anticipato da PI, infine, sono state apportare modifiche interessanti: si è eliminato il richiamo all'uso della cifratura come aggravante della condotta sanzionata e si sono inseriti i richiami agli articoli del decreto sul commercio elettronico (D.Lgs.70/2003) che limitano, come visto, obblighi e responsabilità del provider.
L'impressione che se ne può trarre è che vi sia stato un tentativo di criminalizzare la condivisione di opere protette mediante sistemi P2P, rendendo reato tale condotta. Ma che il tentativo non sia riuscito.
La conferenza stampa del Ministro Urbani, sul punto, dimostra un fenomeno imbarazzante: l'uso della legge per campagne di sensibilizzazione, educazione, non diversamente per quanto succede con gli spot di Pubblicità Progresso. Se può far piacere a molti il fatto che nella sostanza non cambi alcunché, pur tuttavia dobbiamo riflettere su un tal modo di produrre diritto. Egli afferma che le sanzioni amministrative, dal carattere "simbolico", sono volte a "disincentivare ed educare"... Come lo sono quindi la maggior parte delle norme del codice della strada, che non vietano, ma disincentivano ed educano.
Le cose non dovrebbero stare cosí. Il file-sharing, se ha ad oggetto, senza fine di lucro, opere protette, è un'attività illecita. La sanzione lieve, ma pur presente da lungo tempo. D'altro canto essa è un'attività di massa. Lo spirito che la anima, per costituzione, è quello della condivisione della conoscenza e di esperienze estetiche che nessuno potrebbe ritenere meritevoli di biasimo. Le sue relazioni con le difficoltà dell'industria dell'intrattenimento non sono pienamente comprese. Sarebbe, pertanto, il caso di affrontare il problema generale. Dobbiamo impedirla definendola un "furto", e come tale sanzionarla, per preservare un modello di business forse in crisi per altre ragioni? Abbiamo forza ed argomenti convincenti per farlo sino a rendere il divieto socialmente accettato? O dobbiamo continuare a rifugiarci nell'ipocrisia di norme che paiono avere il solo scopo di dire tu questo non lo devi fare, ma io non posso e non voglio impedirtelo, minando cosí il fondamento di quel principio a garanzia della libertà di ciascuno rappresentato da ciò che intendiamo quando parliamo di stato di diritto?
Andrea Rossato (*)
Dipartimento di Scienze giuridiche - Università di Trento
NOTA: La copia letterale e la distribuzione di questo articolo nella sua integrità sono permesse con qualsiasi mezzo, a condizione che questa nota sia riprodotta.
(*) Andrea Rossato è dottore di ricerca in diritto privato comparato. Assegnista del Dipartimento di Scienze giuridiche dell'Università di Trento insegna, come professore a contratto, Introduzione al diritto nella Facoltà di Ingegneria della stessa Università. (email: andrea.rossato AT ing.unitn.it)
Analisi Tecnica
Come già letto in precedenza per l'utente domestico cambia poco, la tanto famigerata possibilità di controllo dei provider non ci sarà e l'unico caso in cui il nostro traffico sarà controllato è a seguito di una denuncia... allora in quale caso noi fruitori del p2p rischiamo di vederci spuntare la finanza a casa?
Beh, di certo la faccenda e controversa, leggendo il decreto e i commenti di illustri legislatori, solo in caso di denuncia diretta e di comprovata colpa.
Per noi vuol dire che in Italia non ci saranno più siti sul p2p, perchè ottenere un database da un sito gestito da un'italiano è diventato piu tosto facile (vi ricordo che noi legalmente non siamo un sito italiano).
Di certo ora che questo decreto è uscito qualcosa dovrà accadere, per far vedere che il braccio forte della legge è in grado di stroncare il male del mondo.
A questo punto le forze giudiziarie hanno diverse possibilità, dovranno di certo scegliere cosa e dove colpire e le strade più semplici sono:
1) requisire un server e tramite log indagare su 2000/3000 (anche +) utenti, i server + facilmente reperibili sono i server opennap, non me ne vogliano gli amici di WinMX, ma essere trovati li è tanto facile quanto bere un bicchiere d'acqua fresca d'estate.
2) considerando le vicende attuali (leggi qui, qui e qui essere rintracciati nella rete eDonkey è diventato abbastanza facile, i client open source consentono di modificare direttamente il codice sorgente con estrema facilità e certe "mod" permettono di loggare chi scarica cosa e di tracciare il loro ip con apposite funzioni in bella vista, fortunatamente questi client non sn entrati a loro tempo sul nostro network
Piccola precisazione, dicendo network edonkey comprendo edonkey-a/l/x/emule-shareaza-mldonkey-cdonkey e tutti i vari client che si appoggiano a quel network.
Seguendo le precedenti considerazioni ho stilato una classifica di categorie a rischio, da prendere con le molle naturalmente:
1) programmi server based (anche se decentrati)
i server loggano il traffico, se un server venisse sequestrato (gli opennap dove si trova roba italiana sono tutti in italia o quasi) i 2000/3000 fruitori di quel servizio sarebbero nei guai.
2) programmi p2p serverless open source
il lavoro da fare è leggermente + complicato, bisogna modificare un client per loggare il traffico, alcuni client modificati già offrono questo servizio, basta solo trovarli. Se viene messo in download un file coperto da copyright diventa facile trovare chi scarica quel file.
3) p2p serverless closed source
per loggare qualcosa su un client simile (a meno che non offra da se questo servizio) si dovrebbe crackare il network con client costruito da 0, per farlo dovrebbero essere stanziati soldi per la ricerca e creare un client perfettamente funzionante per evitare i meccanismi di "difesa" dei network (come il blacklist di overnet)
4) p2p serverless closed source criptati
dovrebbero, come nel caso precedente crackare il network e il loro compito diventa sempre + difficile (siamo quasi tranquilli).
La sicurezza assoluta non esiste, ma per una questione di stretta utilità e comodità è + facile sequestrare un server opennap e indagare a costo quasi 0 su 2000/3000 utenti che non crackare un network da 0.
Overnet
Overnet di certo non è sicuro al 100%, però trovare qualcuno da noi diventa + difficile che da altre parti.
Inizio col dire che overnet non è un network criptato, che le comunicazioni sono trasparenti e che quindi in qualche modo siamo comunque visibili, ma ogni comunicazione internet si basa sul protocollo tcp/ip, quindi per poter stabilire una connessione occorre conoscere gli ip della fonte e della destinazione, quindi vuoi o non vuoi grazie ad un netstat vedrete gli ip dei vostri contatti.
Su alcuni programmi questi contatti sn le fonti per il download ed upload, sui programmi serverless questo diventa + difficile, perchè i contatti sono le fonti per il download, l'upload, i nodi che indicizzano le key e i nodi che ci cercano per le key indicizzate da noi, quindi magari scaricando da 1 o 2 persone avremo 30/40 contatti, identificare l'effettiva source è sempre possibile, ma abbastanza difficile.
In più overnet comunica a livello di protocollo tramite id a 128 bit alfanumerici generati casualmente.
Per chiarire la questione faccio un esempio pratico:
Mettiamo il caso che qualche mal intenzionato voglia beccare tutti quelli che scaricano l'ultimo film uscito al cinema che per convenzione chiamo XYZ, il tipo in questione effettuerà una ricerca scrivendo "XYZ", troverà i suoi bei titoli (comprese le solite fake che conosciamo benissimo) e ne metterà in download uno. In questa fase l'unica comunicazione avvenuta è con il nodo responsabile (che ha id vicino all'hash del nome del file, quindi è presumibile che nn abbia il file) che gli fornirà le source per il download quando richieste.
A questo punto inizia l'avventura, si ritroverà centinaia di fonti e cui deve associare un ip, clickerà sul "+" per vedere le fonti, ne sceglierà uno a caso, clickerà con il destro e selezionerà "more info", a questo punto si ritroverà un ID alfa-numerico, generato casualmente e che non è legato numericamente all'indirizzo ip. Il malintenzionato allora pensa... facciamo un netstat e controlliamo gli ip delle fonti.
Altra sorpresa... il netstat gli fornirà una valanga di ip di cui pochissimi saranno quelli delle source, la maggior parte saranno quelli della gente che chiede informazioni sui nomi di file di cui quel nodo è responsabile, poi gli indirizzi dei nodi che il suo client interroga e quindi quelli della gente da cui scarica e verso cui uppa. mettiamo il caso che stia scaricando da 1 sola persona, avrà circa 30/40 ip da controllare, che di logica non potranno essere mappati 1:1 alle source di quel file.
Si presenta poi un'altro problema, nel decreto si parla di "effettiva conoscenza", quindi... o si scaricano tutto il file, e sapete quante volte cambiano le source per un file, poi lo decodificano se necessario e poi se lo guardano oppure nn possono fare nulla.
Se a tutto questo aggiungete le comunicazioni criptate... beh.... direi che il livello di difficoltà aumenta ancora e che per applicare alla lettera il decreto diventerebbe dispondioso e antieconomico.
Un chiarimento su MUTE
Mute è un programma di filesharing che dovrebbe assicurare l'assoluto anonimato in rete per lo scambio file.
Il meccanismo che usa mute è il seguente:
Un nodo random fa da tramite tra l'uploader e il downloader.
Il risultato tecnico che si nota a prima vista è il dimezzamento della banda sia in upload che in download, perchè un nodo oltre a comunicare, scaricare ed uppare dovranno fare da ponte (facendo transitare i file dalla propria macchina).
Legalmente questo sposta solo il problema dal downloader al client che fa da ponte, e non sarebbe bello essere accusati per pedofilia perchè si fa da ponte per un file pedofilo senza averne idea.
Altri trucchi usati da mute sono la visualizzazione dell'id (come su overnet) e la crittografia come kdrive.
Di sicuro MUTE garantisce un livello di sicurezza ancora superiore ad overnet e kdrive, ma penalizza di molto le prestazioni e sinceramente credo sia tutto molto fuori dalla portata degli attuali controlli, inoltre se ci fosse il log diretto dei provider (cosa non prevista) sia con mute che con kdrive dovrebbero decriptare le comunicazioni e tra kdrive e mute a quel punto ci sarebbero ben poche differenze eccetto che anziche 2 persone se ne beccherebbero 3 e che magari si potrebbe essere accusati per reati ben + gravi che scaricare un file o un mp3.