(QUESTO ARTICOLO È TRADOTTO DA Google dal norvegese)
Sono passati ormai due anni da quando Edward Snowden ha documentato ciò che molti negli ambienti della sicurezza dei dati sospettavano da tempo: l'intelligence americana raccoglie e archivia tutte le informazioni su cui riescono a mettere le mani da Internet e dal traffico mobile – su tutti nel il mondo intero. Snowden ha anche rivelato che diversi giganti di Internet statunitensi danno alla NSA l'accesso alle informazioni che hanno memorizzato sui loro utenti, inclusi messaggi privati ed e-mail. Il passaggio dalla sorveglianza tattica alla sorveglianza strategica è quindi pressoché compiuto: dove prima i servizi di intelligence individuavano un obiettivo per poi avviare la sorveglianza specifica di quell'obiettivo, ora vengono raccolte tutte le informazioni che è possibile raccogliere per costruire un archivio così completo di tutte le attività umana che è possibile realizzare.
Isterismo del terrore. Le rivelazioni di Snowden hanno fatto discutere molto sulla riforma dei servizi segreti e sugli enormi poteri che hanno ricevuto all'indomani dell'11 settembre 2001. Il 2 giugno il Congresso degli Stati Uniti ha approvato la legge USA Freedom Act, il che limiterebbe alcuni di questi poteri. La decisione è arrivata dopo un lungo processo con molte opposizioni e diluizione del testo legale, e il risultato finale non limita la sorveglianza dei cittadini stranieri su Internet. Dopo oltre un decennio di isteria terroristica in cui la sicurezza nazionale ha avuto la meglio su molte altre considerazioni, è forse troppo ottimista credere che il Congresso sarà in grado di frenare il comportamento della NSA nei confronti del resto del mondo in un colpo solo. I cambiamenti positivi contenuti nello USA Freedom Act sono moderati, e c’è ancora una tela molto lunga da dipingere per riconquistare i diritti alla privacy e alla riservatezza che esistevano una volta.
Riprendi il controllo. Fortunatamente, disponiamo di strumenti diversi dalle leggi e dai regolamenti per rivendicare la privacy e la privacy come principi universali. Negli ambienti che si occupano di sicurezza dei dati si parla di distinzione tra privacy dichiarata e privacy incorporata. La più comune oggi è la privacy dichiarata: il proprietario di una soluzione ha la possibilità di raccogliere informazioni sugli utenti, ma dichiara che si asterrà dall'abusare di questa possibilità. Gran parte della legislazione in materia si basa su questo modello. D’altro canto, hai la privacy integrata, il che significa che costruisci la soluzione tecnica in modo che non possa essere utilizzata in modo improprio, ad esempio da parte dell’azienda proprietaria della soluzione che non ha la possibilità di raccogliere informazioni sugli utenti. Come lo conosciamo oggi, la maggior parte delle persone deve solo sperare che vengano emanate buone leggi, confidare che le leggi vengano rispettate e scommettere che i dati personali sensibili non verranno utilizzati contro di loro in un secondo momento.
Uno dei modi più importanti con cui la maggior parte delle persone può riprendere il controllo delle proprie informazioni e garantire che la privacy sia integrata nella propria attività nei canali digitali è utilizzare la crittografia. Quando crittografi qualcosa, usi una chiave per trasformare il testo leggibile in testo cifrato incomprensibile. Decifrare il risultato è quasi impossibile se non si dispone della chiave con cui è stato crittografato. La crittografia è quindi uno strumento che dà alla gente comune il potere di garantire la propria privacy. Uno degli sviluppatori dietro lo strumento di anonimizzazione Tor, Jacob Appelbaum, riassume la forza della crittografia in questo modo: "Nessuna quantità di violenza può risolvere un problema matematico". Qui anche i servizi segreti più potenti devono rinunciare alla matematica.
La guerra delle criptovalute è vinta? Se guardiamo indietro di qualche anno, la crittografia era un’arte riservata ai servizi militari e di intelligence. Negli Stati Uniti, la tecnologia di crittografia era soggetta a controlli sulle esportazioni allo stesso titolo delle armi avanzate. Allo stesso tempo è emersa la necessità di un utilizzo commerciale, tra l'altro per proteggere le transazioni bancarie. All'inizio degli anni '90, negli albori di Internet, alcuni informatici cominciarono a vedere la capacità di monitoraggio offerta dalla nuova tecnologia e quindi anche la necessità per la maggior parte delle persone di avere accesso a strumenti di crittografia. Fu l’inizio della prima guerra crittografica e del movimento cipherpunk, al quale si associano, tra gli altri, Julian Assange e Wikileaks. IN Il manifesto di un cipherpønker scritta da Eric Hughes nel 1993, la posizione è chiara: "La privacy è necessaria per una società aperta nell'era elettronica" e: "La privacy in una società aperta richiede anche la crittografia".
Fortunatamente, disponiamo di strumenti diversi dalle leggi e dai regolamenti per rivendicare la privacy e la privacy.
Il regime di controllo sulla tecnologia di crittografia è stato messo in discussione sia da singoli punk che hanno iniziato a creare soluzioni per uso privato, sia da forze commerciali che hanno visto la necessità di poter proteggere i pagamenti con carta di credito su Internet. All’epoca i tentativi di vietare l’uso privato della crittografia furono respinti: ma la guerra delle criptovalute è stata vinta una volta per tutte o i sostenitori del controllo hanno semplicemente cambiato strategia? Tra le rivelazioni di Snowden c'è il programma della NSA Bullrun, che è stato creato per infrangere i metodi di crittografia consolidati, e sappiamo anche che le aziende tecnologiche vengono sotto pressione per installare backdoor nelle loro soluzioni in modo che i servizi di intelligence possano estrarre informazioni. Il primo ministro britannico David Cameron si è espresso a favore del divieto della crittografia che non prevede una soluzione backdoor per i servizi segreti, e il presidente degli Stati Uniti Barack Obama è sulla stessa linea per quanto riguarda la crittografia dei servizi sugli smartphone.
Crittografia per tutti. Resta da vedere se si aprirà un nuovo capitolo nella guerra delle criptovalute, ma la rapida ascesa odierna di soluzioni di crittografia basate su codice open source renderà in questo caso difficile il raggiungimento dell'obiettivo per Cameron e Obama. Questa è una buona notizia per giornalisti, attivisti e tutti coloro che vogliono proteggere le proprie comunicazioni private da spie troppo curiose. Potrebbe darsi che i servizi segreti facciano pressione sulle aziende che possiedono software proprietario, il cui codice sorgente è segreto, per concedergli l'accesso. D'altra parte, quando il codice sorgente è aperto, sarà più difficile introdurre backdoor, che verranno comunque scoperte da altri sviluppatori nella comunità professionale internazionale. In altre parole, il codice open source è un attributo assolutamente essenziale quando si utilizzano strumenti di crittografia per proteggere le proprie informazioni e comunicazioni. Allora a cosa serve la crittografia e come?
In linea di principio tutte le informazioni possono essere crittografate e il modo in cui ciò viene fatto determina il tipo di protezione che se ne ottiene (vedere il riquadro informativo). La crittografia può essere utilizzata per impedire a persone non autorizzate di leggere informazioni sul tuo laptop o telefono cellulare, crittografare le informazioni inserite nei moduli online, crittografare il contenuto di e-mail e messaggi e persino nascondere la tua identità quando viaggi nei canali digitali. È comunque importante ricordare che la crittografia non è una formula magica che protegge da tutto. Si verificano errori dell'utente, il software può avere punti deboli e i tuoi segreti sono sicuri tanto quanto la fiducia che hai nelle persone con cui li condividi. Un esempio è Chelsea Manning, che ha detto all'hacker Adrian Lamo attraverso una chat crittografata di essere la fonte delle rivelazioni di Wikileaks. La crittografia ha funzionato, ma Lamo ha registrato la chiamata e ha inoltrato il registro all'FBI. Conosciamo fin troppo bene il resto della storia.
Metadati «nudi». Un'altra cosa che è importante ricordare quando si crittografa la comunicazione digitale, come e-mail, chat, SMS e telefonate, è che è il contenuto ad essere crittografato. È ancora possibile raccogliere i cosiddetti metadati, a condizione che non si utilizzino inoltre strumenti di anonimizzazione come Tor, e possono dire molto di più su di voi e sulla vostra comunicazione di quanto i sostenitori della memorizzazione dei dati siano disposti ad ammettere. I metadati sono tutte le informazioni sulla tua comunicazione che non sono il "corpo del testo", ovvero l'indirizzo da cui hai inviato qualcosa, il tipo di attrezzatura che hai utilizzato, con chi hai comunicato, l'ora, il luogo, il campo dell'oggetto nelle e-mail e non almeno la somma degli straordinari di comunicazione.
Più persone nel gruppo crittografano, più sicuro sarà per tutti.
Uno studio condotto da ricercatori dell'Università di Stanford mostra quanto rivelatori possano essere tali metadati: anche in uno studio limitato nel tempo su un gruppo relativamente piccolo che sapeva lui stesso che le informazioni venivano raccolte, i ricercatori sono stati in grado di collegare i soggetti a diagnosi mediche, aborto, acquisto di armi, attività in un sindacato, coltivazione di marijuana, partecipazione agli Alcolisti Anonimi e visita di strip club. Si può solo immaginare cosa può dire la somma dei metadati su una persona nel tempo. Inoltre, i metadati sono più facili da sistematizzare e analizzare per i computer rispetto ai contenuti, quindi quando la quantità di dati raggiunge le proporzioni enormi che si ottengono monitorando tutto in ogni momento, i metadati possono essere ancora più preziosi del contenuto della comunicazione.
Probabilmente per il momento vengono raccolte più informazioni di quante ne sia possibile analizzarle, ma la tecnologia necessaria per poter analizzare tutte le informazioni in modo efficace è in uno sviluppo galoppante. IBM è tra le aziende che lavorano per sviluppare supercomputer in grado di analizzare enormi quantità di informazioni sulle persone. Suggeriscono addirittura che possibili ambiti di utilizzo in futuro potrebbero essere quello di prevedere diagnosi mediche o chi potrebbe essere ritenuto colpevole di atti criminali. Sembra fantascienza, ma alla luce della storia dell'azienda, la preoccupazione è molto reale. La tecnologia delle schede perforate di IBM ha consentito un censimento e una categorizzazione altamente efficienti che hanno costituito la base per il genocidio nazista degli ebrei.
Prendi il vaccino. Una conseguenza delle rivelazioni di Snowden è che molte più persone sono diventate consapevoli della deplorevole situazione in cui ci troviamo tutti quando si tratta di proteggere la privacy nei canali digitali, e sempre più persone vogliono un cambiamento. Molte delle principali aziende che offrono hardware, software e servizi Internet hanno visto il fallimento e stanno riorganizzando i propri sistemi per supportare la privacy e la crittografia integrate per paura di perdere la prossima generazione di utenti. Apple sta ora indirizzando gli sviluppatori di app verso la crittografia, mentre Wikipedia e molti altri siti sono passati all'utilizzo solo della connessione crittografata per i propri lettori. Facebook ora offre notifiche tramite e-mail crittografate e molti altri stanno seguendo l'esempio. Il fatto che molti giganti di Internet abbiano iniziato a prendere sul serio la crittografia è una notizia particolarmente positiva, poiché la sicurezza dei dati funziona un po’ come i vaccini: se solo pochi vengono vaccinati, la malattia continuerà a diffondersi. Più persone nel gruppo crittografano, più sicuro sarà per tutti.
Sebbene diverse forze valide stiano lavorando per realizzare una legislazione migliore, è probabile che questo approccio da solo richiederà molto tempo e otterrà risultati limitati. Inoltre, non c’è bisogno di aspettare i parlamentari quando abbiamo effettivamente la soluzione e il potere di far rispettare da soli la privacy che desideriamo. Se i servizi segreti non vogliono rispettare la nostra privacy, possiamo costringerli a farlo utilizzando la crittografia, aumentando così la pressione per una migliore regolamentazione. Abbiamo il potere di limitare la sorveglianza di noi stessi e di coloro con cui comunichiamo, se solo impariamo a usarlo. Come ha scritto Hughes Il manifesto di un cipherpønker: "Dobbiamo difendere la nostra privacy se vogliamo averne una."
Aarseth è uno scrittore freelance e collaboratore regolare di Ny Tid. tori.aarseth@gmail.com.
