Category: Press

Most telecommunication operators doing CGNAT (Carrier Grade Network Address Translation), in order to comply with data retention regulation, end-up logging each and all of our internet activity.

On 13th October 2017, Europol and the Presidency of Council of European Union,  organized a workshop with 35 policy-makers e Law Enforcement officials from all around europe, in order to discuss about the “increasing problem of non-crime attribution associated with the widespread use of Carrier Grade Network Address Translation (CGN) technologies by companies that provide access to the internet”.

In Italy we’ve appealed to the Data Protection Authority asking for inspection across all telecommunication operators in order to verify in great details which are the exact information elements logged to comply with data retention laws.

Below we publish in full the Europol answer including all the attachment obtained as a way to foster public debate, research and investigation on the topic by the data protection community.

 

Dear Mr Coluccini,

Europol has assessed your request and has identified the following 17 documents as falling into its scope:

1) Invitation Letter

2) Agenda

3) Press Release

4) Concept paper for the workshop on 13 October 2017

5) Supporting material 1

6) Supporting material 2

7) Introductory presentation – “Workshop on CGN and Online Crime Attribution”

8) Presentation by the Data Protection Function

9) Presentation “CGN cases in Estonia”

10) Presentation “Why CGNs are a temporary fix used by Service Providers?”

11) Presentation “Why Massive CGN is not needed: Better ways to deploy IPv6”

12) Presentation “CGN and identification of cyber-attackers – the case of Belgium”

13) Presentation “CGN and Source Port Logging”

14) Presentation “IPv6 in Slovenia and RIPE-554”

15) Presentation “CGN: about IPv4 prolonging misery”

16) Presentation “Project SIRIUS” by EC3

17) Video on logging source ports by MEGA

We are pleased to inform you that full access to Documents 1 and 16 is granted, herewith enclosed, as the disclosure of the information in them would not undermine any of the interests protected in Article 4 of the Management Board Decision laying down the rules for applying Regulation 1049/2001 with regard to Europol documents. Documents 3, 5 and 6 are publicly available documents, so please find them also attached.

We are also pleased to inform you that partial access to Documents 2, 4, 7, 8, 10, 11, 13, 14, and 15 can be granted, herewith enclosed as well. Redactions have been made to a minor extent in Documents 4, 7, 8 and 10 (indicated throughout the text in the four documents in black shapes ‘[…]’) by deleting the sensitive information, the disclosure of which would undermine the protection of the public interest as regards public security, such as the proper fulfilment of Europol’s tasks pursuant to Article 4(1)(a) of the abovementioned Management Board Decision. The redacted information relates to certain technical solutions to the CGN online crime attribution problem, specific case examples of law enforcement investigations affected by the use of CGN and internal analyses of recent case law relating to data retention possibilities. The disclosure of such information would hinder Europol’s ability to effectively perform its tasks by undermining Europol partners’ trust and mutual cooperation. Redactions have also been applied in the same manner in Documents 2, 8, 10, 11, 13, 14, and 15 by deleting the personal data and private information to protect the privacy and integrity of the individuals therein mentioned, pursuant to Article 4(1)(b) of the Management Board Decision.

We regret to inform you that Europol has decided to refuse access to Documents 9, 12, and 17 on the basis of Article 4(1)(a) of the Management Board Decision as their disclosure would undermine the protection of the public interest as regards public security, such as the proper fulfilment of Europol’s tasks. The documents contain among others specific case details and operational information, as well as examples of technical solutions and tools in relation to CGN, the disclosure of which would undermine Europol partners’ trust and endanger their mutual cooperation, which is essential to Europol’s activities, and would consequently hinder Europol’s ability to effectively perform its tasks in this domain.

You may make a confirmatory application asking Europol to reconsider its position within 15 working days of receiving Europol’s reply, in accordance with Article 5(4) of the Management Board Decision.

Kind Regards,

G24 – EU & International Law

 

The documents are available here: https://www.documentcloud.org/search/projectid:37909-Carrier-Grade-NAT-workshop-by-EUROPOL

Con le operazioni di traduzione (NAT) si registrano tutte le connessioni dei vari indirizzi IP alla rete internet.

La legge italiana sulla data retention ha recentemente esteso la conservazione dei dati da parte delle compagnie di telecomunicazioni fino a 6 anni. Questi dati riguardano sia il traffico telefonico che quello legato ai collegamenti a internet e sono chiaramente in disaccordo con quanto previsto dai principi europei in materia di conservazione dei dati.

Oggi vengono registrati per 6 anni tutti i siti internet visitati dai cittadini italiani, portando una profilazione di massa paragonabile a quella praticata nelle più feroci dittature, ovviamente non realizzata in modo esplicito.

Già perché tramite i cosiddetti “metadati” di traffico telematico relativa alle operazioni di NAT (meglio spiegati in seguito) raccolti dagli operatori mobili e fissi, con una semplice analisi dati è possibile ricostruire tutta la vita digitale di ogni cittadino italiano. Fino a 6 anni indietro.

Persino il Garante italiano per la protezione dei dati personali, Antonello Soro, aveva sottolineato che c’è il rischio di mettere in atto una sorveglianza generalizzata e massiva, quando invece deve “fondarsi su requisiti individualizzanti, rivolgendosi cioè nei confronti di soggetti coinvolti, in qualche misura, in attività criminose.”

Il Centro Hermes richiede che il Garante per la Protezione dei Dati Personali effettui una puntuale verifica ed ispezione presso tutti i principali operatori mobili e fissi in relazione alle pratiche di raccolta dei dati di traffico telematico, rendicontando pubblicamente i risultati, per verificare quali siano gli effettivi elementi informativi raccolti ai fini dell’erogazione delle prestazioni obbligatorie di giustizia.

Per capire meglio di cosa si sta parlando dobbiamo prima guardare, da un punto di vista tecnico, il funzionamento e l’allocazione degli indirizzi IP da parte delle aziende di telecomunicazioni. In particolare dobbiamo fare riferimento alla pratica del Carrier-Grade NAT (CGN), un approccio utilizzato da tutte le aziende di telecomunicazioni — ed in particolar modo da quelle mobili — per gestire l’allocazione degli indirizzi IPv4.

A causa dello scarso numero di indirizzi IPv4 disponibili, infatti, si è reso necessario ricorrere alla assegnazione di indirizzi IP privati ai clienti che vengono poi tradotti in indirizzi IP pubblici attraverso una procedura di NAT (Network Address Translation) svolta da dispositivi connessi alla rete dell’operatore internet.

In questo modo, dietro ad un singolo indirizzo IP pubblico possono trovarsi svariati indirizzi IP privati, venendo quindi a mancare la diretta identificazione dell’intestatario univoco di chi in “quel giorno e a quell’ora” era assegnatario di quell’identificativo internet (in modo analogo ai numeri di telefono).

Questa pratica, però, secondo le dichiarazioni delle forze dell’ordine, complica le operazioni di identificazione dei soggetti che commettono reati, poiché dato un indirizzo IP pubblico possono esservi anche decine di diverse anagrafiche co-intestatarie.

Una pratica ampiamente utilizzata dagli operatori telefonici per far fronte alle richieste di identificazione da parte dell’autorità giudiziaria è quella della registrazione e la conservazione di tutte le operazioni di traduzione (NAT) fra indirizzi IP privati (dei suoi clienti) e indirizzi IP pubblici: in questo modo si registrano tutte le connessioni dei vari indirizzi IP alla rete internet.

Consapevoli della insostenibilità di questo approccio di conservazione massiva, la stessa Polizia Postale ha proposto molteplici soluzioni: dal passaggio al protocollo IPv6 che permetterebbe di avere per ogni singolo dispositivo connesso alla rete un indirizzo univoco alla riduzione del numero di utenti dietro NAT (il Belgio ha imposto l’obbligo del rapporto da 1:8 a 1:16).

Il 13 ottobre 2017, la Presidenza del Consiglio dell’Unione Europea e l’Europol hanno organizzato un workshop in cui hanno partecipato 35 policy-makers e ufficiali delle forze dell’ordine europee per parlare del “crescente problema relativo alla difficoltà di identificare i crimini a causa della diffusione delle tecnologie per la Carrier Grade Network Address Translation (CGN) impiegate dalle aziende che forniscono accesso ad internet.”

Abbiamo ottenuto tramite una richiesta FOIA all’Europol tutti i documenti e slide utilizzati in occasione del workshop, pubblicati sul nostro sito “Europol’s FOIA response on Data Retention with Carrier Grade NAT” .

Ci troviamo di fronte quindi ad una conservazione generalizzata e massiva di metadati di traffico e chiediamo che il Garante per la protezione dei dati personali avvii delle ispezioni presso le aziende di telecomunicazioni per analizzare i loro sistemi di conservazione dei dati.

Summary
In Italy the first european “Device Neutrality” law has been approved by the Chamber of Deputies but then, after Apple started lobbying against it, the Government is willingful delaying the Senate Vote.

This is our public statement and contribution to EU Commission TRIS.

About Device Neutrality
In Italy, first country in Europe, a proposed law already approved by the Chamber, gives citizens the right to use the software they want on their own devices and to remove the software they don’t want.

Device Neutrality law ensures the users have a right of non discrimination of the services/apps they use based on platform control by hardware companies, likewise Net neutrality ensures the users have a right of non discrimination of their communications based on network control by telcos.

This is a fundamental civil rights issue as it ensures that the user have the right and possibility to use, for example, the information and communication security tools they prefer on their devices.

Android based devices let end-user install software outside of Google play app store with documented procedure, while Apple forbids it.

The proposed law is not a technical measure but a consumer protection rule which enables citizens to turn to the market protection authority to assess whether a limitation of their right to use the app they want is an aggressive or deceptive commercial practice under currently existing laws.

The good
The Chamber of Deputies approved with unanimity the bill proposal, that then reached the Senate where it was approved by all committees with no amendments, so it moved to the Senate assembly floor to be voted in June and was delayed ever since.

The European Consumer Organisation (BEUC) issued a public support of the Device Neutrality bill proposal, as a natural extension of Net Neutrality rights.

The Chamber of Deputy Commission invited all stakeholder possibly impacted by this proposal for a public hearing.

Most of the biggest technology international companies come and gave their favourable opinions:

• Google Italy hearing
• Microsoft Italy hearing
• Booking.com hearing
• All Italian Consumer Protection Associations ( Acu, Adiconsum, Altroconsumo, Codacons e Federconsumatori) hearing

While all others major tech giants participated to the public hearing, Apple didn’t participated neither filed a written position, but went silently lobbying.

The bad
Device manufacturers, like Apple, don’t like Device Neutrality.

Specifically Apple, after the bill proposal has been unanimously approved at the Chamber of Deputies, started lobbying hard in order to stop it, deploying a large amount of economic and political resources.

A fact: the Italian Government always declared itself in favour of that bill proposal, like the Chamber’s Commission voted for it and Senators are ready to vote it.

But on the week of 21th June 2017, the Apple’s EU registered Lobbyist Miss. Elisa Molino went to Rome and, in just 2 days, the Government and notably Hon. Sergio Boccadutri, head of innovation of the majority political party, completely changed their idea (from strong supporters of the bill to a major opponent).

So the Government, first delayed the Senate votes multiple times, then, as a justification for further delaying the vote, invoked Brussels sending the bill for EU TRIS evaluation (Technical Regulation Information System), even though it is a consumer protection measure and not a technical regulation.

The deadline for EU TRIS Contributions is 25/01/2018, obviously the Italian Government in the meantime melt-down.

The fight is hard, the opponents of the bill proposal also started spreading misinformation (Italian media saying “iPhone will be declared Illegal in Italy”), refusing to correct deceptive articles in the press, informant reported large quantities of Macbook, iPhone, iPad being made available to political influencers, industry lobbyist went challenging it with discourses going against the national interests.

The opportunity
It’s unbelievable to observe how such big companies can subvert the democratic order by influencing so much the policy makers in order to challenge Device Neutrality.

That’s an opportunity to inspire an EU policy, first applying it in Italy, to provide Device Neutrality rights to citizens and consumers.

We ask the Italian Government to immediately schedule the Senate voting of this Bill Proposal, without further delay, clearly influenced by Apple political interference.

We ask the EU Commission to:

• reject TRIS evaluation, not being a technical regulation (our opinioni is that TRIS evaluation is results of lobbying the Italian Government to delay the proposed law)
• appreciate the bill proposal, like most technology stakeholders are doing

Future Accountability Actions

We will issues FOIA to EU Commission in order to acquire and publish each and all Contributions that has been sent for the case number 498 (that have as deadline 25/01/2018) but that has not been published.

About the Law

The Law approved at the Chamber of Deputy waiting to be voted in Senate is named “S.2484 Disposizioni in materia di fornitura dei servizi della rete internet per la tutela della concorrenza e della libertà di accesso degli utenti” .

Article 4 is about Device Neutrality rights

Art. 4. (Free access to software, contents and services)

1. Users have the right to find online, in a format suitable to the desidered technology platform, and to use in fair and non-discriminatory ways software, proprietary or open source, contents and legitimate services of their choice. Users have the right to uninstall software and remove content that is not in their interest from their devices, unless such software is required by mandatory standards or essential for device operation or for the security of the device, of the public communication networks to which it is connected or of the data managed by the device. However, any uninstallation that allows the device to operate in violation of imperative norms is forbidden.

2. The rights referred to in comma 1 may not be limited or restricted to the purchase or use of certain software, content, or services, by platform managers through contractual, technological, economic or user-experience related tools, unless they are not covered by the cases mentioned in comma 1.

In tutta Europa, quasi chiunque sembra concordare sul fatto che le normative europee sul copyright debbano essere aggiornate e adeguate al XXI secolo. Tuttavia, alcune delle misure proposte sembrano essere dei flashback dei tempi più bui del nostro passato o persino dei metodi delle dittature autoritarie. Questo è particolarmente vero per i filtri di caricamento previsti dall’articolo 13 della proposta della Commissione Europea. Obbligare le piattaforme ad esaminare ogni bit di contenuto che è stato caricato online alla ricerca di possibili violazioni del copyright richiede un sistema di censura che metterebbe in pericolo la libertà e l’apertura di Internet e con essa la nostra stessa democrazia. Il 20 novembre 2017, la commissione Civil Liberties, Justice and Home Affairs del Parlamento Europeo (LIBE) voterà un parere sulla riforma europea del diritto d’autore. Il centro Hermes chiede a tutti i membri del comitato di prendere una posizione ferma contro i filtri di upload e di non mettere in pericolo la nostra democrazia introducendo un sistema di censura.

 

Foto: Hanna Prykhodzka (Altre foto della manifestazione svolta da epicenter.works in occasione della Privacy Week 2017 possono essere trovate qui.)

 

Il sistema che filtra i contenuti è una scatola nera

Nell’articolo 13 della direttiva sul diritto d’autore, l’ex commissario per l’economia digitale e la società Günther Oettinger ha proposto che tutte le piattaforme che contengono “grandi quantità” di contenuti generati dagli utenti siano tenute ad introdurre un sistema di riconoscimento dei contenuti per rilevare possibili violazioni del diritto d’autore. Questi sistemi dovrebbero analizzare tutte le immagini, i file video e audio prima di renderli disponibili al pubblico. Per gli utenti, questo sistema sarebbe una scatola nera che decide quali contenuti saranno pubblicati in Europa e quali non lo saranno.

Inoltre, bisogna tenere in considerazione anche i rischi legati ai falsi positivi: tale sistema non può distinguere tra l’effettiva violazione dei diritti e l’uso perfettamente legale, come il caricamento di opere concesse in licenza dal titolare del diritto solo per determinati usi o che rientrano nel campo di applicazione delle limitazioni e delle eccezioni al diritto d’autore. Ad esempio, l’utilizzo di contenuti per creare parodie, l’esercizio della satira e della critica, e persino le recensioni sarebbero bloccati da un tale sistema.

 

Google vedrà tutto quello che viene caricato su altre piattaforme

Attualmente, una delle implementazioni disponibili di un tale sistema di riconoscimento dei contenuti è “ContentID”, il sistema sviluppato da Google per YouTube, prodotto grazie a un investimento di 60 milioni di euro— esistono anche altri sistemi come Audible Magic, INA Signature e FB Rights Manager, per citarne alcuni. Le piattaforme più piccole come Wikipedia o Github e i sistemi di e-learning utilizzati dalle università dovrebbero utilizzare ContentID e inoltrare la totalità del contenuto inviato dai loro utenti a Google.

 

Il più grande sistema di censura della storia

Secondo la proposta, questo riconoscimento e filtraggio dei contenuti dovrebbe essere eseguito in modo proattivo, il che significa che il contenuto dovrà essere filtrato e censurato non appena sarà caricato e prima che sia disponibile al pubblico. Un sistema del genere sorveglia costantemente ogni singolo caricamento. Persino il meccanismo proposto per il risarcimento non potrebbe riparare tutti i danni causati dalla censura su questa scala. Il rischio di abusi se questo tipo di sistemi fosse installato su tutte le piattaforme sarebbe colossale: la differenza tra una democrazia liberale e una dittatura autoritaria sarebbe tanto minuscola quanto premere il pulsante che modifica la configurazione del sistema di censura, poiché lo stesso sistema potrebbe facilmente censurare qualsiasi tipo di contenuto.

 

Costi aggiuntivi per le aziende europee, più guadagni per Google

L’introduzione di tali sistemi comporterebbe costi eccessivi per le piattaforme. Questo obbligherebbe le società europee a utilizzare il ContentID di Google oppure a investire in modo sostanziale nello sviluppo dei propri sistemi di riconoscimento dei contenuti. Conseguentemente si avrebbe un significativo danno commerciale per le start-up e le PMI europee, ma anche per le piattaforme che diffondono opere di pubblico dominio o contenuti generati dagli utenti come Wikipedia e Github. Anche se Google dovesse decidere di consentire ad altri di utilizzare ContentID gratuitamente, Google otterrebbe comunque una conoscenza dettagliata dei contenuti sulle piattaforme dei concorrenti.

 

Agisci ora contro i filtri per gli upload!

Lo scorso 16 ottobre il centro Hermes ha firmato, insieme ad altre 57 organizzazioni per i diritti umani e per i diritti digitali, la lettera aperta di Liberties ed EDRi in cui si chiede ai politici dell’UE di eliminare l’articolo 13 della nuova proposta sul diritto d’autore nel mercato unico digitale.

La resistenza contro i filtri per gli upload e altri aspetti discutibili della proposta di riforma del copyright è cresciuta all’interno della società civile già da parecchio tempo. Altre misure proposte comprendono l’introduzione di un diritto d’autore accessorio per gli editori di stampa, pratica che si è già dimostrata completamente impraticabile in Germania e in Spagna. I siti web delle campagne Save the Meme e Change Copyright offrono dei semplici modi per entrare in contatto con i parlamentari europei e convincerli a fermare questi pericolosi sviluppi e sostenere una riforma del copyright che affronti effettivamente le sfide e le esigenze di Internet nel XXI secolo.

 

Contatta direttamente i membri italiani del Parlamento Europeo su Twitter:
https://twitter.com/Europarl_IT/lists/europarlamentari-italiani/members

 

Documenti utili:

• Lettera aperta sull’Articolo 13 – Inaccettabili monitoraggio e filtraggio di contenuti Internet:

https://www.liberties.eu/it/news/cancellare-articolo-tredici-lettera-aperta/13194

• Proposta per la riforma del copyright nel mercato unico digitale:

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52016PC0593

• Analisi dettagliata dell’articolo 13 da parte di EDRi:

https://edri.org/files/copyright/copyright_proposal_article13.pdf

• Documenti utili raccolti da EDRi sulla riforma del copyright:

https://edri.org/copyright-reform-document-pool/

• “When filters fail: These cases show we can’t trust algorithms to clean up the internet” della MEP Julia Reda: 

https://juliareda.eu/2017/09/when-filters-fail/

 

Le prossime date da tenere d’occhio:

Novembre 20, 2017                LIBE                                  Voto sul parere (Live stream)

Gennaio 24/25, 2018              JURI                                  Voto sul report

Inizio 2018?                    Plenaria Parlamento EU            Voto sul report

The exploding world of IoT is already known as source of big problem for the privacy.

Less know is that the way IoT R&D designer are working today shapes the way these objects will move their data, and may change who has the final control on them.

It is already well known that smart objects are used as tools for gathering personal data from their quite often unaware owners. Recently developed tools for the creation of smart objects introduce today a new level of concern about the privacy of future smart objects owners.

In the last two year new companies started to offer a full packet of services to smart object producers that greatly simplifies the work needed to design the prototype of a new smart object, and then to sell the first batch of them.

Like Google services, those initial services are provided to developers almost free of charge, while subsequent ones are paid but very cheap if compared to the costs needed to build a new smart object without them, thus attracting all IoT developers except the very biggest ones (Amazon, Google and few others).

In this position the IoT framework providers, because of the services architecture they sell, act as a concentrator of all software that is essential part of a smart object, and moreover acts as a concentrator of all data exchanges that happens amongst all objects developed.

It’s worth mentioning that the failure of one of those providers will kill all objects that depend from it.

To make things simplest, it is probable that in the near future there will be one or few big player, new “Googles” of this new IoT market, that will control big chunks of the IoT, and that will move and see a vast amount of personal data.

The main goal of this proposal is to prepare an analysis of the existing IoT development frameworks, and to assess privacy risks associated with their use.

The secondary goal is to prepare a first evaluation of their privacy policies and service level agreement.

At the end, a short policy advice for the national privacy office board, possibly with technical & legal appendixes, will be prepared.