Discussione:
email e dati sensibili
(troppo vecchio per rispondere)
Roberto Tagliaferri
2018-04-23 06:38:13 UTC
Permalink
Hola..
Se io invio dei dati sensibili via email il destinatario (che non tratta
abitualmente tali dati perché magari fa il meccanico) tratta dati sensibili
e quindi è obbligato a dpo et similia?
E i server email in cui transita la mia missiva?
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
Gabriele - onenet
2018-04-23 09:04:36 UTC
Permalink
Post by Roberto Tagliaferri
Hola..
Se io invio dei dati sensibili via email il destinatario (che non tratta
abitualmente tali dati perché magari fa il meccanico) tratta dati sensibili
e quindi è obbligato a dpo et similia?
E i server email in cui transita la mia missiva?
Ciao,

da quel che ho capito la discriminante sta nel trattamento massivo (nota unità
di misura...) e nell'avere più di 250 dipednenti per l'obbligo di DPO.

Ti conviene scrivere al Garante Privacy, sperando abbia il coraggio di
sbilanciarsi via email e darti una risposta precisa :-)

Gabriele
Ragnarok
2018-04-23 10:59:41 UTC
Permalink
Post by Roberto Tagliaferri
Hola..
Se io invio dei dati sensibili via email il destinatario (che non tratta
abitualmente tali dati perché magari fa il meccanico) tratta dati sensibili
e quindi è obbligato a dpo et similia?
Se invii dati sensibili al tuo meccanico, secondo me, ti prende per scemo.

Caro meccanico,
sono gay e buddista.
Un saluto.
Roberto



---
Questa e-mail è stata controllata per individuare virus con Avast antivirus.
https://www.avast.com/antivirus
Roberto Tagliaferri
2018-04-23 12:01:26 UTC
Permalink
Post by Ragnarok
Post by Roberto Tagliaferri
Hola..
Se io invio dei dati sensibili via email il destinatario (che non tratta
abitualmente tali dati perché magari fa il meccanico) tratta dati
sensibili e quindi è obbligato a dpo et similia?
Se invii dati sensibili al tuo meccanico, secondo me, ti prende per scemo.
Caro meccanico,
sono gay e buddista.
Un saluto.
Roberto
:D
Quello sicuramente.
Ma si considera un soggetto trattante dati sensibili?
E i server su cui transitano?
Gli adempimenti sono diversi
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
Piergiorgio Sartor
2018-04-25 17:17:03 UTC
Permalink
On 2018-04-23 14:01, Roberto Tagliaferri wrote:
[...]
Post by Roberto Tagliaferri
Ma si considera un soggetto trattante dati sensibili?
E i server su cui transitano?
Gli adempimenti sono diversi
Secondo me, i miei 2 cent, semplicemente e` responsabile
chi manda tali dati per email.

Cosa ne sappiamo che il sistema che riceve non faccia altro
che passare le email direttamente in usenet? (Per dire).

Detto altrimenti, il fatto che esista un email account,
implica che questo debba trattare le email che riceve
come possibili dati sensibili?

Non so cosa sia nella legge, se ve ne sia una, ma io non
credo si possa assumere questa cosa in generale.

Ripeto, i miei 2 cent...

bye,
--
piergiorgio
Lex Tutor
2018-04-25 09:57:00 UTC
Permalink
Post by Ragnarok
Se invii dati sensibili al tuo meccanico, secondo me, ti prende per scemo.
Caro meccanico,
sono gay e buddista.
Un saluto.
Roberto
SBRUOTFL
(Ragna, hai considerato che stai rispondendo ad un bambino di
Bofhland?)
--
Lex Tutor
L'Asilo Infantile di Bofhland® è un argomento che sarà oggetto
di un libro di prossima pubblicazione, quindi sto discutendo
di una questione che mi interessa per finalità di ricerca
Gabriele - onenet
2018-04-26 14:36:58 UTC
Permalink
Post by Ragnarok
Post by Roberto Tagliaferri
Hola..
Se io invio dei dati sensibili via email il destinatario (che non tratta
abitualmente tali dati perché magari fa il meccanico)  tratta dati sensibili
e quindi è obbligato a dpo et similia?
Se invii dati sensibili al tuo meccanico, secondo me, ti prende per scemo.
Un dipendente del meccanico gli manda dei dati sanitari per adempimenti
burocratici, ad sempio.

Il meccanico usa la sua email personale anche per lavoro (non sarebbe di certo
la prima volta) e si iscrive a siti per adulti.

Sono sicuro che di casistica se ne trova :-)
Ragnarok
2018-04-26 15:09:38 UTC
Permalink
Post by Gabriele - onenet
Un dipendente del meccanico gli manda dei dati sanitari per adempimenti
burocratici, ad sempio.
Quali?
Post by Gabriele - onenet
Il meccanico usa la sua email personale anche per lavoro (non sarebbe di
certo la prima volta) e si iscrive a siti per adulti.
E dove sarebbe il trattamento?


---
Questa e-mail è stata controllata per individuare virus con Avast antivirus.
https://www.avast.com/antivirus
Roberto Tagliaferri
2018-04-27 10:44:40 UTC
Permalink
Post by Ragnarok
Post by Gabriele - onenet
Un dipendente del meccanico gli manda dei dati sanitari per adempimenti
burocratici, ad sempio.
Quali?
Post by Gabriele - onenet
Il meccanico usa la sua email personale anche per lavoro (non sarebbe di
certo la prima volta) e si iscrive a siti per adulti.
E dove sarebbe il trattamento?
Già se la ricevi stai trattando in qualche modo il dato.
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
Leonardo Serni
2018-04-27 14:54:05 UTC
Permalink
On Fri, 27 Apr 2018 12:44:40 +0200, Roberto Tagliaferri
Post by Roberto Tagliaferri
Post by Ragnarok
Post by Gabriele - onenet
Un dipendente del meccanico gli manda dei dati sanitari per adempimenti
burocratici, ad sempio.
Quali?
Post by Gabriele - onenet
Il meccanico usa la sua email personale anche per lavoro (non sarebbe di
certo la prima volta) e si iscrive a siti per adulti.
E dove sarebbe il trattamento?
Già se la ricevi stai trattando in qualche modo il dato.
Questo è un problema (già trattato) dal provider di posta; ma il ricevente
non ha da far altro che cancellarlo, il dato.

Del resto una mica mi si può smutandare davanti e poi denunciarmi per atti
di voyeurismo perché non sono stato svelto a girarmi.

Se io ricevo con regolarità email a contenuto sensibile OVVIAMENTE mi devo
attrezzare, e se poi quei dati li ho addirittura chiesti IO, ancor più. Ma
se me li mandi così a raglio, IMHO mica avanzi niente.

Leonardo NAL
--
"You all presumably know why" :-) :-(
Roberto Tagliaferri
2018-04-27 16:06:00 UTC
Permalink
Post by Leonardo Serni
On Fri, 27 Apr 2018 12:44:40 +0200, Roberto Tagliaferri
Post by Roberto Tagliaferri
Già se la ricevi stai trattando in qualche modo il dato.
Questo è un problema (già trattato) dal provider di posta; ma il ricevente
non ha da far altro che cancellarlo, il dato.
Del resto una mica mi si può smutandare davanti e poi denunciarmi per atti
di voyeurismo perché non sono stato svelto a girarmi.
Se io ricevo con regolarità email a contenuto sensibile OVVIAMENTE mi devo
attrezzare, e se poi quei dati li ho addirittura chiesti IO, ancor più. Ma
se me li mandi così a raglio, IMHO mica avanzi niente.
Mi interessano entrambi i casi.
Caso 1: ma il trattamento parte all'atto dello scaricamento.
Anche perché se non cancelli, svuoti cestino e poi compatti gli archivi la
tua email con i gusti sessuali del meccanico rimane sempre li.
E anche dopo la compattazione c'è sicuramente (un bell'SSD se non sbaglio
non sovrascrive finché può).

Caso 2: quindi chi detiene un qualsiasi server di posta deve essere
considerato trattante dati sensibili (e perché non giudiziari? posso avere
anche avvocati come clienti)?
Prevedo grossi casini (molte aziende hanno server in casa e per chi come me
tratta posta elettronica si prospettano momenti incasinati)
Post by Leonardo Serni
Leonardo NAL
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
Leonardo Serni
2018-04-27 23:03:54 UTC
Permalink
On Fri, 27 Apr 2018 18:06 +0200, Roberto Tagliaferri
Post by Roberto Tagliaferri
Post by Leonardo Serni
Del resto una mica mi si può smutandare davanti e poi denunciarmi per atti
di voyeurismo perché non sono stato svelto a girarmi.
Se io ricevo con regolarità email a contenuto sensibile OVVIAMENTE mi devo
attrezzare, e se poi quei dati li ho addirittura chiesti IO, ancor più. Ma
se me li mandi così a raglio, IMHO mica avanzi niente.
Mi interessano entrambi i casi.
Caso 1: ma il trattamento parte all'atto dello scaricamento.
Okay, avrai fatto una piccola lista di possibili sfighe e ti sarai attrezzato
contro ciascuna ("Che succede se perdo la password? Se mi rubano il PC? Se si
guasta qualcosa? Se arriva 'Cryptolocker'? Se la Polizia mi chiede una email?
Se devo dimostrare cos'è successo, e quando e a chi? Se cancello qualcosa per
errore? Se mi chiedono che email mi hanno mandato? E quanto tempo le tengo le
email? Qualcuno potrebbe recuperarle dopo che le ho cancellate?"). Tenendo in
ciascun caso conto della probabilità stimabile di quel rischio.

E' possibile che qualcuno mi seguestri la famiglia e mi chieda di aggirare le
mie innumerevoli sicurezze, visto che io sicuramente posso farlo in quanto ne
sono il titolare. NON è un motivo buono per farmi impiantare un secondo dente
pieno di cianuro, perché la probabilità che succeda è insignificante.
Post by Roberto Tagliaferri
Anche perché se non cancelli, svuoti cestino e poi compatti gli archivi la
tua email con i gusti sessuali del meccanico rimane sempre li.
E anche dopo la compattazione c'è sicuramente (un bell'SSD se non sbaglio
non sovrascrive finché può).
Okay, ma non si può pretendere più di tanto. Io tengo la macchina in ordine e
guido con attenzione, e un tizio mi _CADE_ davanti al cofano dall'albero dove
si era arrampicato per riprendere un aquilone. Sicuramente, se guido un'auto,
mettere sotto qualcuno non è impossibile; sicuramente se fossi andato a piedi
non sarebbe successo niente. Dovremmo quindi tutti andare solo a piedi? Anche
no. Uno prende le precauzioni RAGIONEVOLI.

Naturalmente devo dimostrare di averle prese, le precauzioni ragionevoli.

Per esempio il computer è protetto da una password considerata sicura e ha il
suo bravo antivirus. Se non ce l'ho e mi sbananano il PC, colpa mia. Se ce li
ho e mi sbananano il PC lo stesso, colpa loro.

Sicuramente se ad ogni email che ricevo brucio il laptop in un altoforno e ne
compro uno nuovo di pacca, il mittente è più tutelato. Però anche puppa.
Post by Roberto Tagliaferri
Caso 2: quindi chi detiene un qualsiasi server di posta deve essere
considerato trattante dati sensibili (e perché non giudiziari? posso avere
anche avvocati come clienti)?
Credo che sia irrilevante: se detieni un server di posta devi prendere quelle
precauzioni lo stesso e probabilmente le hai pure già prese. Il GDPR aggiunge
solo la faccenda del data breach e poco altro.

Dovrai magari comunicare agli utenti che i backup della posta sono riciclati,
distruggendo i dati più vecchi di un certo tot, e idem per i log.
Post by Roberto Tagliaferri
Prevedo grossi casini (molte aziende hanno server in casa e per chi come me
tratta posta elettronica si prospettano momenti incasinati)
Li prevedo anch'io, ma perché molte aziende hanno server non "in casa", bensì
"nel casino". E ora non si può più fare le cose alla sanfasò.

Per quello che ho letto, il GDPR, a uno che lavorava bene, aggiunge ben poco,
e le sanzioni per lui sono puramente teoriche. Salvo se è un grosso operatore
e gli serve il DPO, ma se è un grosso operatore qualcuno che già faceva più o
meno quel lavoro ce l'ha già, anzi probabilmente più d'uno.

===

Dalla corsa che vedo in altri ambiti al "Ma c'è un modo economico per potersi
adeguare?" o "Ma se trovo un pirla che mi firma un tuttobene, sono sicuro che
poi la colpa se la becca lui?", sospetto che parecchi non lavorassero bene, o
almeno abbiano parecchio la coda di paglia.

Leonardo
--
"You all presumably know why" :-) :-(
Unilì
2018-04-28 05:43:39 UTC
Permalink
Leonardo Serni scriveva il 28/04/2018 :
.
Post by Leonardo Serni
Per esempio il computer è protetto da una password considerata sicura e ha il
suo bravo antivirus. Se non ce l'ho e mi sbananano il PC, colpa mia. Se ce li
ho e mi sbananano il PC lo stesso, colpa loro.
Parole sante. Per questo sono contrario al 3d secure / verified by visa
/ insomma la password della carta di credito per acquisti on line;
perché mi dà l'idea che:

-senza verified by visa in caso di acquisti fraudolenti la società
della carta di credito rimborsa (o non paga il negoziante, ma quello
che conta è che l'utente riavrà i soldi) salvo che provi che è colpa
dell'utente: onere della prova a carico della società della carta

-con il verified by visa in caso di acquisti fraudolenti la società
della carta di credito non rimborsa salvo che l'utente provi che è
colpa della società della carta: onere della prova a carico dell'utente

Stesso motivo per cui preferisco fare acquisti con una carta di credito
senza pin piuttosto che con un bancomat o carta col PIN.

Perché in caso di uso fraudolento, se c'è il pin, sono cavoli
dell'utente, se non c'è il pin (es. carta di credito con firma) la
patata bollente è del negoziante che non ha controllato il documento o
non verificato bene la firma, in ogni caso non dell'utente.

Sono casi in cui paradossalmente il sistema "meno sicuro" è piu' sicuro
per l'utente perche' in caso di guai, i guai sono di qualcun altro.
Piergiorgio Sartor
2018-04-28 08:52:26 UTC
Permalink
On 2018-04-28 07:43, Unilì wrote:
[...]
Post by Unilì
Sono casi in cui paradossalmente il sistema "meno sicuro" è piu' sicuro
per l'utente perche' in caso di guai, i guai sono di qualcun altro.
Non e` paradossale, e` intenzionale.

Cioe` nel momento in cui si pone un vincolo di
sicurezza a carico di qualcuno (password, pin,
etc.) si scarica la responsabilita` su quello.

bye,
--
piergiorgio
Unilì
2018-04-28 16:01:36 UTC
Permalink
Post by Piergiorgio Sartor
[...]
Post by Unilì
Sono casi in cui paradossalmente il sistema "meno sicuro" è piu' sicuro
per l'utente perche' in caso di guai, i guai sono di qualcun altro.
Non e` paradossale, e` intenzionale.
Cioe` nel momento in cui si pone un vincolo di
sicurezza a carico di qualcuno (password, pin,
etc.) si scarica la responsabilita` su quello.
ottimo motivo per NON attivare quindi il securecode
Piergiorgio Sartor
2018-04-28 16:12:10 UTC
Permalink
On 2018-04-28 18:01, Unilì wrote:
[...]
Post by Unilì
Post by Piergiorgio Sartor
Cioe` nel momento in cui si pone un vincolo di
sicurezza a carico di qualcuno (password, pin,
etc.) si scarica la responsabilita` su quello.
ottimo motivo per NON attivare quindi il securecode
Dipende.
Cosa succede se viene imposto?

Cioe` o lo fai, oppure sei tu responsabile di
qualunque cosa succeda.

D'altro canto, se lo fai, loro non sono piu`
responsabili.

Quindi, IMHO, non c'e` via di scampo.

bye,
--
piergiorgio
Unilì
2018-04-28 18:37:40 UTC
Permalink
Post by Piergiorgio Sartor
[...]
Post by Unilì
Post by Piergiorgio Sartor
Cioe` nel momento in cui si pone un vincolo di
sicurezza a carico di qualcuno (password, pin,
etc.) si scarica la responsabilita` su quello.
ottimo motivo per NON attivare quindi il securecode
Dipende.
Cosa succede se viene imposto?
Cioe` o lo fai, oppure sei tu responsabile di
qualunque cosa succeda.
D'altro canto, se lo fai, loro non sono piu`
responsabili.
Quindi, IMHO, non c'e` via di scampo.
pero' ce lo devono scrivere "se non lo attivi, se ti rubano i soldi
sono affari tuoi"
A quel punto cambio carta (o mi faccio una prepagata).
Piergiorgio Sartor
2018-04-28 18:42:55 UTC
Permalink
On 2018-04-28 20:37, Unilì wrote:
[...]
pero' ce lo devono scrivere "se non lo attivi, se ti rubano i soldi sono
affari tuoi"
Non so se "debbano", potrebbe essere che
sia implicito.
A quel punto cambio carta (o mi faccio una prepagata).
Vabbe`, questo e` un altro discorso ancora.

bye,
--
piergiorgio
Leonardo Serni
2018-04-29 10:20:35 UTC
Permalink
Post by Unilì
Post by Piergiorgio Sartor
Cioe` o lo fai, oppure sei tu responsabile di
qualunque cosa succeda.
D'altro canto, se lo fai, loro non sono piu`
responsabili.
Quindi, IMHO, non c'e` via di scampo.
pero' ce lo devono scrivere "se non lo attivi, se ti rubano i soldi
sono affari tuoi"
C'è scritto, o comunque lo possono sostenere: "Avevi la possibilità di
installare una serratura gratuita, e lo sapevi - hai lasciato la porta
aperta - t'hanno rubato in casa - mo so' cavoli tuoi".

E in effetti, mettiti nei panni di un assicuratore. Viene da te uno, e
ti dice che gli hanno rubato in casa e tu lo devi rifondere. Ma scopri
che costui abitualmente lascia la porta di casa aperta. Non ti indigni
e quanto meno proponi di fare a metà? Capperi, quasi quasi ti viene il
dubbio che costui sia d'accordo con i ladri. Magari lo indennizzi - ma
non gli rinnovi la polizza, e lo sputtani con tutti i tuoi colleghi.

Il punto è che l'eventualità di un furto non è la medesima, se usi 2FA
o se non lo usi. Nel primo caso è veramente bassa perché ti dovrebbero
fare ben altro che scippare la carta.

Quindi nel caso "senza PIN", ci saranno diverse volte che non sarà mai
colpa tua, però avrai scocciature e dopo un po' dovrai baccagliare e -
chissà - l'unica "altra carta o prepagata" che potrai ottenere costerà
più interessi del dovuto.

Nel caso "con PIN" sarà sempre colpa tua... quella volta su un milione
che sia perderai o ti farai scippare la carta, sia bollare il PIN.

(Nel caso poi che tu un PIN lo scriva in pennarello sulla carta, ed il
ladro si fidi, e il PIN sia quello vero e non uno studiato per causare
il blocco automatico del Bancomat - allora be', si rientra nel caso in
cui te la sei davvero andata a cercare).

Leonardo
--
"You all presumably know why" :-) :-(
Piergiorgio Sartor
2018-04-29 10:46:08 UTC
Permalink
On 2018-04-29 12:20, Leonardo Serni wrote:
[...]
Post by Leonardo Serni
C'è scritto, o comunque lo possono sostenere: "Avevi la possibilità di
installare una serratura gratuita, e lo sapevi - hai lasciato la porta
aperta - t'hanno rubato in casa - mo so' cavoli tuoi".
L'unica cosa che, *forse*, si potrebbe argomentare e`
qualcosa come una irragionevole complessita`.

Se, per esempio, l'assicurazione richiede 5 serrature
sulla porta, con chiavi diverse e combinazione numerica,
a 3 manopole, per ogni serratura.

A quel punto, *forse*, si potrebbe argomentare che, invece
che passare mezza ora per aprire o chiudere la porta, e`
ragionevole lasciarla aperta.

Per il resto, credo, il sistema sia stato pensato quasi
sicuramente con attenzione ai dettagli...

bye,
--
piergiorgio
Unilì
2018-04-29 11:22:39 UTC
Permalink
Post by Leonardo Serni
Nel caso "con PIN" sarà sempre colpa tua... quella volta su un milione
che sia perderai o ti farai scippare la carta, sia bollare il PIN.
o che ti venga "clonato nella pausa pranzo"

(vediamo questa chi la capisce)

(il pin, in qualche modo, in locale sul chip della carta c'è, in quanto
il pos risponde "pin errato" prima di fare la telefonata)
Leonardo Serni
2018-04-29 14:35:49 UTC
Permalink
Post by Unilì
Post by Leonardo Serni
Nel caso "con PIN" sarà sempre colpa tua... quella volta su un milione
che sia perderai o ti farai scippare la carta, sia bollare il PIN.
o che ti venga "clonato nella pausa pranzo"
(vediamo questa chi la capisce)
Hmmm... sospetto un riferimento a un paper del 2003 che però non è davvero
germano, perché il programmatore infedele non può simulare "realmente" che
sia avvenuto un acquisto, e si lascia dietro delle tracce su cui non ha il
minimo accesso - i suoi 24 (o 15) tentativi, nel 2018, gli consentono solo
di farsi beccare.
Post by Unilì
(il pin, in qualche modo, in locale sul chip della carta c'è, in quanto
il pos risponde "pin errato" prima di fare la telefonata)
Non proprio. Dal punto di vista del "programmatore infedele" il PIN è dato
da un hash del seriale della carta, unito a un secret, e decimalizzato. Ma
non è tutta lì... perché altrimenti dovresti pubblicare il secret non solo
agli ATM ma anche ai distributori di benzina (anche loro ti dicono "il PIN
non è valido" prima di fare la telefonata).

AFAIK, il PIN "reale" è di quattro cifre, per totali 10000 combinazioni, e
questo è il motivo per cui bastano 5000 tentativi in media e non 50000.

La quinta cifra è un check digit.

Il check digit dipende dal numero della carta PIU' il PIN, per evitare che
il PIN di una carta possa superare il check su una carta diversa.

Il valore del test "check digit" è di meno di un euro. Nel senso che - con
qualche tentativo - puoi convincere un erogatore Gilbarco a PROVARE a fare
la telefonata di pre-autorizzazione usando un PIN falso (da 00000 a 00009)
- ma la pre-autorizzazione fallirà, perché la banca il secret lo sa e vede
che il quinto digit è corretto, e i primi quattro sono sbagliati. La pompa
non si attiva e non puoi prelevare neanche un euro di benza - hai soltanto
fatto sprecare pochi watt di energia e un po' di carta stampante al scièlf
(che non è poco, eh, come ben si sa; anzi :'-) ).

Leonardo
--
"You all presumably know why" :-) :-(
Roberto Tagliaferri
2018-04-30 07:57:52 UTC
Permalink
Post by Leonardo Serni
AFAIK, il PIN "reale" è di quattro cifre, per totali 10000 combinazioni, e
questo è il motivo per cui bastano 5000 tentativi in media e non 50000.
Bello.. quindi la mia carta di credito (che ha un pin di 4 cifre) in realtà
ne ha 3 + codice di controllo?
Post by Leonardo Serni
Leonardo
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
Leonardo Serni
2018-04-30 16:04:22 UTC
Permalink
On Mon, 30 Apr 2018 09:57:52 +0200, Roberto Tagliaferri
Post by Roberto Tagliaferri
Post by Leonardo Serni
AFAIK, il PIN "reale" è di quattro cifre, per totali 10000 combinazioni, e
questo è il motivo per cui bastano 5000 tentativi in media e non 50000.
Bello.. quindi la mia carta di credito (che ha un pin di 4 cifre) in realtà
ne ha 3 + codice di controllo?
I PIN a 4 cifre dovrebbero essere generati a random pure loro (prima lo erano
a partire dal numero di carta di credito), solo non avere il check digit, per
cui se metti il PIN sbagliato se ne accorge solo dopo un po' (chiaramente, la
macchinetta non ti dà i soldi/benzina/altro).

Prova a mettere un PIN sbagliato. Se se ne accorge istantaneamente i casi non
possono che essere tre:

a) Il dispositivo è collegato via banda ultralarga con la centrale
e la centrale ha dei database veloci abbestia. Improbabile.

b) Il PIN ha tre cifre più una di check digit. Vero è che per trovare
il PIN ti serve di conoscere l'algoritmo e 500 tentativi di media,
oppure 5000 se l'algoritmo non lo sai.

c) Il PIN è di quattro cifre, ma è generato da altre informazioni che
sono già sulla carta, tutt'al più con un "secret" BWAHAHAHAHAH che
è conosciuto da TUTTI i fabbricanti di distributori di benzina, ed
ATM, e macchinette dei ticket, e quant'altro.

Leonardo
--
"You all presumably know why" :-) :-(
Unilì
2018-04-30 19:14:50 UTC
Permalink
Post by Leonardo Serni
On Mon, 30 Apr 2018 09:57:52 +0200, Roberto Tagliaferri
Post by Roberto Tagliaferri
Post by Leonardo Serni
AFAIK, il PIN "reale" è di quattro cifre, per totali 10000 combinazioni, e
questo è il motivo per cui bastano 5000 tentativi in media e non 50000.
Bello.. quindi la mia carta di credito (che ha un pin di 4 cifre) in realtà
ne ha 3 + codice di controllo?
I PIN a 4 cifre dovrebbero essere generati a random pure loro (prima lo erano
a partire dal numero di carta di credito), solo non avere il check digit, per
cui se metti il PIN sbagliato se ne accorge solo dopo un po' (chiaramente, la
macchinetta non ti dà i soldi/benzina/altro).
Prova a mettere un PIN sbagliato. Se se ne accorge istantaneamente i casi non
a) Il dispositivo è collegato via banda ultralarga con la centrale
e la centrale ha dei database veloci abbestia. Improbabile.
no, il pin viene verificato online, questo è sicuro. Anche nel
ristorante "da peppino" dove il pos è collegato via linea analogica
pstn magari pure impostato con composizione a impulsi decadici e non
toni dtmf viene segnalato "pin errato" appena digitato. Perfino se
l'unica linea telefonica del ristorante è impegnata dall'altro
cameriere che sta prendendo una prenotazione telefonica.
Post by Leonardo Serni
b) Il PIN ha tre cifre più una di check digit. Vero è che per trovare
il PIN ti serve di conoscere l'algoritmo e 500 tentativi di media,
oppure 5000 se l'algoritmo non lo sai.
In quel caso pero' qualche volta, ad un primo controllo, il pin errato
potrebbe sembrare giusto in quanto esiste un certo numero di pin errati
che soddisfano comunque la check digit.

Poi se l'algoritmo salta fuori (e prima o poi salterebbe fuori)
significherebbe ridurre significativamente il numero dei pin
matematicamente "legali" (cioè che soddisfano il check digit)
diminuendo le combinazioni di pin legali e quindi la sicurezza del pin
stesso
Post by Leonardo Serni
c) Il PIN è di quattro cifre, ma è generato da altre informazioni che
sono già sulla carta, tutt'al più con un "secret" BWAHAHAHAHAH che
è conosciuto da TUTTI i fabbricanti di distributori di benzina, ed
ATM, e macchinette dei ticket, e quant'altro.
d) il pin è scritto, crittografato sul chip della carta, mediante una
funzione che potrebbe essere quella di hash, ma non è estraibile dal
chip stesso neanche crittografato. Cioè non esiste un comando che il
pos (o un computer che simula di essere il pos) puo' dare al chip
dicendogli "dimmi lo shadow del pin") ma esiste solo il comando "mi
controlli se questo pin è corretto?" e il chip risponde "no, è
sbagliato, ti rimangono 2 tentativi, ti rimane 1 tentativo, hai finito
i tentativi, puppamelo".

Fin qui sarebbe tutto ok, se si pensasse al chip come un'entità
inespugnabile, come una fortezza con un citofono dove chi è all'esterno
comunica tramite citofono con la sentinella che deve aprire la porta.
Chi è all'esterno non ha modo di obbligare la sentinella a dire l'hash
del pin ma solo a controllare se il pin è corretto, cancellando ogni
volta un tentativo rimanente.

Il problema è che potrebbe pero' esistere, causa bug o backdoor,
un'exploit per cui chi è all'esterno suona il citofono e dice
"obluraschi antani con scappellamento a destra" e la sentinella
all'interno (il chip) va in tilt e risponde "sul mio quadernino (sulla
mia memoria) c'è scritto che l'hash del pin è XYZ". Poi una volta avuto
l'hash del pin farne il brute force con un PC è cosa abbastanza
semplice.

Un'alternativa potrebbe essere che l'exploit "antani con scappellamento
a sinistra" non fa rispondere il chip con l'hash del pin ma fa
resettare a 3 il numero di tentativi disponibili prima del blocco del
chip; in quest'ultimo caso un computer che simula di essere il pos
troverebbe il pin tramite brute force sul chip, resettando i tentativi
ogni volta.

Il fatto è che ho sentito vari casi anche di amici fidati e non
sprovveduti (che non hanno scritto il pin da nessuna parte) a cui è
stato sottratto il bancomat e gli sono stati fatti prelievi.
Leonardo Serni
2018-04-30 20:09:34 UTC
Permalink
Post by Unilì
Post by Leonardo Serni
Prova a mettere un PIN sbagliato. Se se ne accorge istantaneamente i casi non
a) Il dispositivo è collegato via banda ultralarga con la centrale
e la centrale ha dei database veloci abbestia. Improbabile.
no, il pin viene verificato online, questo è sicuro.
Capito, ma volevi scrivere "offline".
Post by Unilì
Anche nel ristorante "da peppino" dove il pos è collegato via linea analogica
Sì, sì. Nella maggior parte dei POS vedi cosa sta succedendo ("Composizione...
connessione a GT... Seconda connessione... Attesa risposta...") e il PIN viene
controllato al volo subito. Però io l'ho visto coi Bancomat e il PIN a 5 cifre
- non ho mai provato con una carta di credito, anche perché quella, spesso non
lo chiede nemmeno, il PIN.
Post by Unilì
Post by Leonardo Serni
b) Il PIN ha tre cifre più una di check digit. Vero è che per trovare
il PIN ti serve di conoscere l'algoritmo e 500 tentativi di media,
oppure 5000 se l'algoritmo non lo sai.
In quel caso pero' qualche volta, ad un primo controllo, il pin errato
potrebbe sembrare giusto in quanto esiste un certo numero di pin errati
che soddisfano comunque la check digit.
Sì. Il PIN serve solo a risparmiarsi di fare la telefonata, perché tanto, poi,
viene inviato alla banca che fa il controllo vero senza dirti quale secret sta
usando.
Post by Unilì
Post by Leonardo Serni
c) Il PIN è di quattro cifre, ma è generato da altre informazioni che
sono già sulla carta, tutt'al più con un "secret" BWAHAHAHAHAH che
è conosciuto da TUTTI i fabbricanti di distributori di benzina, ed
ATM, e macchinette dei ticket, e quant'altro.
d) il pin è scritto, crittografato sul chip della carta, mediante una
funzione che potrebbe essere quella di hash, ma non è estraibile dal
chip stesso neanche crittografato. Cioè non esiste un comando che il
pos (o un computer che simula di essere il pos) puo' dare al chip
dicendogli "dimmi lo shadow del pin") ma esiste solo il comando "mi
controlli se questo pin è corretto?" e il chip risponde "no, è
sbagliato, ti rimangono 2 tentativi, ti rimane 1 tentativo, hai finito
i tentativi, puppamelo".
Ah sì, giusto: dimenticavo le carte col chip.
Post by Unilì
Il fatto è che ho sentito vari casi anche di amici fidati e non
sprovveduti (che non hanno scritto il pin da nessuna parte) a cui è
stato sottratto il bancomat e gli sono stati fatti prelievi.
L'ho sentito - e ne ho letto - anch'io.

http://www.ilsole24ore.com/art/webpages/2016-03-23/furto-bancomat-e-prelievo-senza-pin--112624.shtml

E anche trattandolo prudenzialmente come "possibile", continua a sembrarmi una
cosa impossibile :-)

Sospetto che ci sia qualche "backdoor" nel sistema di pagamenti che consente -
in qualche circostanza strana - di prelevare senza PIN. Tant'è che anche io ho
un amico cui hanno fregato il Bancomat, e hanno prelevato 250 EUR, e dopo vari
mugugni, denuncia ai Carabinieri, e rompimenti vari, la banca glieli ha resi.

Leonardo
--
"You all presumably know why" :-) :-(
Unilì
2018-04-30 20:23:19 UTC
Permalink
Post by Leonardo Serni
Post by Unilì
d) il pin è scritto, crittografato sul chip della carta, mediante una
funzione che potrebbe essere quella di hash, ma non è estraibile dal
chip stesso neanche crittografato. Cioè non esiste un comando che il
pos (o un computer che simula di essere il pos) puo' dare al chip
dicendogli "dimmi lo shadow del pin") ma esiste solo il comando "mi
controlli se questo pin è corretto?" e il chip risponde "no, è
sbagliato, ti rimangono 2 tentativi, ti rimane 1 tentativo, hai finito
i tentativi, puppamelo".
Ah sì, giusto: dimenticavo le carte col chip.
Io parlavo solo delle carte col chip, perche' se mi dici che il pin
viene verificato online anche nelle carte senza chip, cioè dopo la
strischiata con la banda magnetica (che puoi tranquillamente leggerti
col macstripe), corro a disdire il bancomat
Leonardo Serni
2018-04-30 20:28:41 UTC
Permalink
Post by Unilì
Post by Leonardo Serni
Post by Unilì
d) il pin è scritto, crittografato sul chip della carta, mediante una
funzione che potrebbe essere quella di hash, ma non è estraibile dal
chip stesso neanche crittografato. Cioè non esiste un comando che il
pos (o un computer che simula di essere il pos) puo' dare al chip
dicendogli "dimmi lo shadow del pin") ma esiste solo il comando "mi
controlli se questo pin è corretto?" e il chip risponde "no, è
sbagliato, ti rimangono 2 tentativi, ti rimane 1 tentativo, hai finito
i tentativi, puppamelo".
Ah sì, giusto: dimenticavo le carte col chip.
Io parlavo solo delle carte col chip, perche' se mi dici che il pin
viene verificato online anche nelle carte senza chip, cioè dopo la
strischiata con la banda magnetica (che puoi tranquillamente leggerti
col macstripe), corro a disdire il bancomat
"Offline". La VERIFICA viene fatta offline, ma il PIN deve essere lo stesso
valido. L'unico scopo della "verifica" client side è individuare subito gli
errori di battitura ed evitare la chiamata a casa e un minuto di attesa.

Un po' come se inserisci l'email in una schermata di login. Molti sistemi -
in Javascript - ti dicono "No, è scorretta"... Dopodiché se metti una email
formalmente valida, ma non quella buona, è il server che ti butta fuori.

Leonardo
--
"You all presumably know why" :-) :-(
Unilì
2018-04-30 20:31:40 UTC
Permalink
Post by Leonardo Serni
Post by Unilì
Post by Leonardo Serni
Post by Unilì
d) il pin è scritto, crittografato sul chip della carta, mediante una
funzione che potrebbe essere quella di hash, ma non è estraibile dal
chip stesso neanche crittografato. Cioè non esiste un comando che il
pos (o un computer che simula di essere il pos) puo' dare al chip
dicendogli "dimmi lo shadow del pin") ma esiste solo il comando "mi
controlli se questo pin è corretto?" e il chip risponde "no, è
sbagliato, ti rimangono 2 tentativi, ti rimane 1 tentativo, hai finito
i tentativi, puppamelo".
Ah sì, giusto: dimenticavo le carte col chip.
Io parlavo solo delle carte col chip, perche' se mi dici che il pin
viene verificato online anche nelle carte senza chip, cioè dopo la
strischiata con la banda magnetica (che puoi tranquillamente leggerti
col macstripe), corro a disdire il bancomat
"Offline". La VERIFICA viene fatta offline, ma il PIN deve essere lo stesso
valido. L'unico scopo della "verifica" client side è individuare subito gli
errori di battitura ed evitare la chiamata a casa e un minuto di attesa.
Un po' come se inserisci l'email in una schermata di login. Molti sistemi -
in Javascript - ti dicono "No, è scorretta"... Dopodiché se metti una email
formalmente valida, ma non quella buona, è il server che ti butta fuori.
Leonardo
si, giusto intendevo "offline"

Ma visto che la banda magnetica non è un chip e non memorizza i
tentativi, che succede se sbaglio piu' di 3 volte il pin "offline" in
una carta con solo banda magnetica? Niente, posso continuare
all'infinito. Ovviamente non azzecchero' il pin giusto ma un
sottoinsieme di pin matematicamente valido. E prova oggi prova domani
(non a mano ma con un pc) prima o poi l'algoritmo lo scoprono, no?
Leonardo Serni
2018-04-30 23:02:07 UTC
Permalink
Post by Unilì
Ma visto che la banda magnetica non è un chip e non memorizza i
tentativi, che succede se sbaglio piu' di 3 volte il pin "offline" in
una carta con solo banda magnetica? Niente, posso continuare
all'infinito. Ovviamente non azzecchero' il pin giusto ma un
sottoinsieme di pin matematicamente valido.
In effetti con i POS a striscio credo sia già così. A meno che dopo "X"
PIN sbagliati *ricevuti dalla banca* (perché quando il POS dice "Okay",
la probabilità che sia il PIN vero è solo 1/500 circa), la banca non ti
blocchi la carta e ti telefoni comunque.

(Pensandoci mi è successo che mi chiamassero dopo aver pagato una roba,
a Trento - non ricordo se col Bancomat o con la carta di credito - e mi
chiedessero "L'ha presa davvero lei?"... ma giusto quella volta. Chi sa
perché).

Leonardo
--
"You all presumably know why" :-) :-(
Gabriele - onenet
2018-04-30 21:38:30 UTC
Permalink
Post by Leonardo Serni
Post by Unilì
d) il pin è scritto, crittografato sul chip della carta, mediante una
funzione che potrebbe essere quella di hash, ma non è estraibile dal chip
stesso neanche crittografato. Cioè non esiste un comando che il pos (o un
computer che simula di essere il pos) puo' dare al chip dicendogli "dimmi lo
shadow del pin") ma esiste solo il comando "mi controlli se questo pin è
corretto?" e il chip risponde "no, è sbagliato, ti rimangono 2 tentativi, ti
rimane 1 tentativo, hai finito i tentativi, puppamelo".
Ah sì, giusto: dimenticavo le carte col chip.
Io parlavo solo delle carte col chip, perche' se mi dici che il pin viene
verificato online anche nelle carte senza chip, cioè dopo la strischiata con la
banda magnetica (che puoi tranquillamente leggerti col macstripe), corro a
disdire il bancomat
Qualche giorno fa ho letto un articolo in cui l'FBI stava indagando su un metodo
"simpatico" di furto del chip: i truffatori avevano intercettato le buste con le
carte di credito destinate ad un'azienda, prelevato il chip sostituendolo con un
altro, recapitato le carte e atteso che venissero attivate dai destinatari :-D
Subito dopo usavano le loro carte col chip buono, lasciando ai malcapitati un
pezzo di plastica inutile.
Unilì
2018-05-01 05:44:26 UTC
Permalink
Post by Gabriele - onenet
Qualche giorno fa ho letto un articolo in cui l'FBI stava indagando su un
metodo "simpatico" di furto del chip: i truffatori avevano intercettato le
buste con le carte di credito destinate ad un'azienda, prelevato il chip
sostituendolo con un altro, recapitato le carte e atteso che venissero
attivate dai destinatari :-D
Subito dopo usavano le loro carte col chip buono, lasciando ai malcapitati un
pezzo di plastica inutile.
si ma i ladri come estraevano il pin dal chip?
Gabriele - onenet
2018-05-01 09:59:55 UTC
Permalink
Post by Unilì
Post by Gabriele - onenet
Qualche giorno fa ho letto un articolo in cui l'FBI stava indagando su un
metodo "simpatico" di furto del chip: i truffatori avevano intercettato le
buste con le carte di credito destinate ad un'azienda, prelevato il chip
sostituendolo con un altro, recapitato le carte e atteso che venissero
attivate dai destinatari :-D
Subito dopo usavano le loro carte col chip buono, lasciando ai malcapitati un
pezzo di plastica inutile.
si ma i ladri come estraevano il pin dal chip?
Pare "a caldo".
Mi ero sbagliato su una cosa, non è l'FBI ma i servizi segreti che hanno dato
l'allarme su questa pratica:
https://krebsonsecurity.com/2018/04/secret-service-warns-of-chip-card-scheme/

Quello che mi sfugge è come facciano i ladri a sapere il momento giusto in cui
le carte vengono attivate; a me sa un po' di "inside job".

Dai commenti apprendo che nel caso di carte contact-less europee c'è fisicamente
un collegamento tra chip e carta che si rompe in caso di rimozione del chip.
Piergiorgio Sartor
2018-04-28 15:09:19 UTC
Permalink
On 2018-04-28 01:03, Leonardo Serni wrote:
[...]
Post by Leonardo Serni
Okay, ma non si può pretendere più di tanto. Io tengo la macchina in ordine e
guido con attenzione, e un tizio mi _CADE_ davanti al cofano dall'albero dove
si era arrampicato per riprendere un aquilone. Sicuramente, se guido un'auto,
Ti sbagli, era per spiare la compagna di scuola.

I fondamentali!!!

bye,
--
piergiorgio
Ragnarok
2018-04-28 14:52:31 UTC
Permalink
Post by Roberto Tagliaferri
Post by Ragnarok
Post by Gabriele - onenet
Il meccanico usa la sua email personale anche per lavoro (non sarebbe di
certo la prima volta) e si iscrive a siti per adulti.
E dove sarebbe il trattamento?
Già se la ricevi stai trattando in qualche modo il dato.
Dei propri dati?
Avete finito di drogarvi e poi di venire a scrivere qua?




---
Questa e-mail è stata controllata per individuare virus con Avast antivirus.
https://www.avast.com/antivirus
Lex Tutor
2018-04-29 14:12:43 UTC
Permalink
Post by Ragnarok
Post by Roberto Tagliaferri
Post by Ragnarok
Post by Gabriele - onenet
Il meccanico usa la sua email personale anche per lavoro (non sarebbe di
certo la prima volta) e si iscrive a siti per adulti.
E dove sarebbe il trattamento?
Già se la ricevi stai trattando in qualche modo il dato.
Dei propri dati?
Avete finito di drogarvi e poi di venire a scrivere qua?
ROTFL
L'Asilo Infantile di Bofhland®, questo sconosciuto...
--
Lex Tutor
L'Asilo Infantile di Bofhland® è un argomento che sarà oggetto
di un libro di prossima pubblicazione, quindi sto discutendo
di una questione che mi interessa per finalità di ricerca
Roberto Tagliaferri
2018-04-30 07:53:06 UTC
Permalink
Post by Ragnarok
Post by Roberto Tagliaferri
Post by Ragnarok
Post by Gabriele - onenet
Il meccanico usa la sua email personale anche per lavoro (non sarebbe
di certo la prima volta) e si iscrive a siti per adulti.
E dove sarebbe il trattamento?
Già se la ricevi stai trattando in qualche modo il dato.
Dei propri dati?
Avete finito di drogarvi e poi di venire a scrivere qua?
Io sono un tecnico informatico e non ho studiato legge..
Io ti spedisco una email contenente dati qualsiasi.
Il provider mio la spedisce e il tuo la memorizza per la tua successiva
lettura.
Ti colleghi, la scarichi, la getti via:Non hai trattato un dato personale
(in questo caso l'email) ?
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
ObiWan
2018-04-30 12:49:41 UTC
Permalink
:: On Mon, 30 Apr 2018 09:53:06 +0200
:: (it.diritto.internet)
Post by Roberto Tagliaferri
Io sono un tecnico informatico e non ho studiato legge..
Io ti spedisco una email contenente dati qualsiasi.
Il provider mio la spedisce e il tuo la memorizza per la tua
successiva lettura.
Ti colleghi, la scarichi, la getti via
Non hai trattato un dato personale (in questo caso l'email) ?
Lascia stare Robè; le leggi sono fatte dai politici per pararsi il
deretano, pretendono di risolvere problemi che non comprendono e
servono unicamente a complicare l'esistenza a chi le leggi le vuole
rispettare; gli altri, quelli che non le rispettavano prima, non le
rispetteranno neanche dopo, con buona pace dei legislatori; certo, ogni
tanto ne beccano qualcuno, del resto, un capro espiatorio ci vuole, non
fosse altro che per dimostrare che la legge funziona, facendo balzare
agli onori della cronaca qualche personaggio, manovra che, in quel
momento fa comodo a qualcuno

Chiamami cinico, se vuoi, ma poi rifletti :)
Roberto Tagliaferri
2018-04-30 14:57:18 UTC
Permalink
Post by ObiWan
:: On Mon, 30 Apr 2018 09:53:06 +0200
:: (it.diritto.internet)
Post by Roberto Tagliaferri
Io sono un tecnico informatico e non ho studiato legge..
Io ti spedisco una email contenente dati qualsiasi.
Il provider mio la spedisce e il tuo la memorizza per la tua
successiva lettura.
Ti colleghi, la scarichi, la getti via
Non hai trattato un dato personale (in questo caso l'email) ?
Lascia stare Robè; le leggi sono fatte dai politici per pararsi il
deretano, pretendono di risolvere problemi che non comprendono e
servono unicamente a complicare l'esistenza a chi le leggi le vuole
rispettare; gli altri, quelli che non le rispettavano prima, non le
rispetteranno neanche dopo, con buona pace dei legislatori; certo, ogni
tanto ne beccano qualcuno, del resto, un capro espiatorio ci vuole, non
fosse altro che per dimostrare che la legge funziona, facendo balzare
agli onori della cronaca qualche personaggio, manovra che, in quel
momento fa comodo a qualcuno
Chiamami cinico, se vuoi, ma poi rifletti :)
ti do sicuramente ragione.
Ma cerco comunque di capire come pararmi il posteriore il più possibile :)
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
Ragnarok
2018-04-30 23:23:31 UTC
Permalink
Post by Roberto Tagliaferri
Post by Ragnarok
Dei propri dati?
Avete finito di drogarvi e poi di venire a scrivere qua?
Io sono un tecnico informatico e non ho studiato legge..
Ci capisci di blockchain?
Post by Roberto Tagliaferri
Io ti spedisco una email contenente dati qualsiasi.
Se tu usi la tua email per i tui dati non c'è trattamento. I dati devon
oessere di terzi.
Post by Roberto Tagliaferri
Il provider mio la spedisce e il tuo la memorizza per la tua successiva
lettura.
Qua si cambiano le carte in tavola.
Post by Roberto Tagliaferri
Ti colleghi, la scarichi, la getti via:Non hai trattato un dato personale
(in questo caso l'email) ?
Ma se cancelli subito, anche se ci fosse stato n trattamento in
violazione d legge, hai postoimmediatamente il rimedio previsto dalla
legge, ovverosia la cancellazione del dato.
Cosa vuoi pretendere di più?

---
Questa e-mail è stata controllata per individuare virus con Avast antivirus.
https://www.avast.com/antivirus
Roberto Tagliaferri
2018-05-02 16:36:15 UTC
Permalink
Post by Ragnarok
Post by Roberto Tagliaferri
Post by Ragnarok
Dei propri dati?
Avete finito di drogarvi e poi di venire a scrivere qua?
Io sono un tecnico informatico e non ho studiato legge..
Ci capisci di blockchain?
none :)
Post by Ragnarok
Post by Roberto Tagliaferri
Io ti spedisco una email contenente dati qualsiasi.
Se tu usi la tua email per i tui dati non c'è trattamento. I dati devon
oessere di terzi.
Post by Roberto Tagliaferri
Il provider mio la spedisce e il tuo la memorizza per la tua successiva
lettura.
Qua si cambiano le carte in tavola.
No no, all'inizio avevo scritto che mi interessavano entrambi i profili.
Post by Ragnarok
Post by Roberto Tagliaferri
Ti colleghi, la scarichi, la getti via:Non hai trattato un dato personale
(in questo caso l'email) ?
Ma se cancelli subito, anche se ci fosse stato n trattamento in
violazione d legge, hai postoimmediatamente il rimedio previsto dalla
legge, ovverosia la cancellazione del dato.
Cosa vuoi pretendere di più?
Ma il trattamento l'ho comunque fatto (a parte la lettura non è anche la
cancellazione un trattamento informatico? Chiedo sempre da ignorante!!)
Post by Ragnarok
---
Questa e-mail è stata controllata per individuare virus con Avast
antivirus. https://www.avast.com/antivirus
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu
Continua a leggere su narkive:
Loading...