Intercettazione: strumento con il quale un terzo elemento è in grado di ascoltare/registrare le comunicazioni. E’ formalmente usato come strumento di indagine e storicamente è associato alle comunicazioni telefoniche. L’uso non sollecitato dello strumento è vietato, perché rappresenta una violazione delle comunicazioni personali.
Nella mente dell’umano medio, l’intercettazione è uno strumento che ha solo la magistratura, o al massimo qualche spia. L’umano non la teme, perché “non ha nulla da nascondere”.
Questi sono capisaldi che incontro in una fetta cospicua di popolazione. Il problema non sta tanto in questi capisaldi, ormai radicati e pertinenti le intercettazioni telefoniche, quanto al fatto che acriticamente vengono applicati alle intercettazioni telematiche. Fossero semplicemente idee o gusti personali, sarebbero legittimi in qualunque loro forma, ma poiché ci sono considerazioni tecniche sbagliate, scrivo questa serie di appunti per proporre un diverso punto di vista.
La tesi si basa sul fatto che Internet è un genere di rete con caratteristiche uniche, che devono essere considerate con estrema accuratezza quando si parla di sicurezza su di essa.
Gli elementi di differenza:
Comunicazione telefonica: Si basa su uno “standard chiuso”. Nell’esperienza italiana abbiamo avuto il monopolio SIP/Telecomitalia, possessori della rete e produttori unici dei telefoni. Significa che ogni utente telefonico avrebbe utilizzato lo stesso monopolio verticale (il produttore della cornetta è lo stesso che costruisce la centrale).
Protocollo internet: I protocolli sono aperti, significa che qualunque programmatore puo’ sviluppare un software che utilizzi Internet per veicolarci sopra il tipo di dati che piu’ gli aggrada. Esistono protocolli convenzionalmente più utilizzati (il web, la posta, la chat…) ma ciò non toglie che, una volta effettuata l’intercettazione, i dati acquisti devono essere interpretati da un software e da una persona. Se chiunque potenzialmente puo’ cambiare il modo con cui i dati viaggiano, il software e la persona dovranno essere adeguati. Inoltre esiste la crittografia, è di dominio pubblico quella sicura e, come garantisce le transazioni di remote banking sicure, può garantire la riservatezza a qualunque tipo di scambio dati.
Queste differenze causano che: Chiunque potenzialmente puo’ rendersi invisibile da un’intercettazione. Chi lo fa ? Chi ha la competenza, la voglia, o la necessità. Prima quindi, tutti gli utenti/cittadini potevano essere soggetti alla stessa verifica, in Internet invece no, a seconda della competenza, motivazione o dal livello di minaccia percepito.
Rete telefonica: Funziona(va) tramite un’infrastruttura statale (o di un’azienda privata a partecipazione statale), le opere statali dovrebbero avere come priorità un servizio al meglio negli interessi dei cittadini. E’ quindi garantito dalle condizioni che delle intercettazioni possano avvenire solo in determinati casi (concessi dalla magistratura, e quindi dallo stato di diritto ecc…). Solo il proprietario della rete può aver accesso ai dati che transitano in esso, e quindi solo l’operatore. (per bambini, come funziona ?) Una telefonata parte dal telefono e va sulla rete dell’operatore telefonico, sta sulla sua rete e raggiunge il destinatario. Se il destinatario è al di fuori di questa rete, passa sulla rete dell’operatore del destinatario, che segue le stesse regole dell’operatore mittente.
Rete internet: La sua forza (storica!) era la decentralizzazione. Alla sua base d’esistenza c’è che l’esercito degli USA voleva assicurarsi la comunicazione anche in caso di attacco nucleare. Rete decentralizzata significa che quando un nodo si crea nella rete, si connetteva con i nodi più vicini. Alcuni collegamenti erano su base internazionali, altri geograficamente più vicini. Un nodo connesso alla rete può fornire altra, e così si sono creati gli ISP privati. Il mondo è stato coperto in questo modo, perché alcuni privati hanno annusato l’importanza del business, hanno investito ed hanno fatto centro. (per bambini, come funziona ?) Una connessione Internet parte dal computer e transita per una serie di nodi creati da un business che si doveva espandere il più velocemente possibile, che si è affidato ad apparecchiature instabili pur di essere sempre avanti nel mercato, che è cresciuto grazie ai privati e che conta innumerevoli, disparati nodi intermediari.
Questa differenza causa che: I dati che prima eravamo certi fossero protetti, da tecnologie certificate, operatori licenziati e supervisori statal, ora transitano in reti dove chiunque abbia accesso alla rete può intercettare i dati che vi transitano (anche tu, per la tua rete di pertinenza, forse non sai come, ma anche tu). Inoltre i link dei provider attraversano diversi paesi, soggetti a legiferazioni a noi ignote (ad esempio, quanti di quelli che usano un servizio web americano, conoscono il Patriot ACT ?)
Postulato al dramma precedente: se prima proteggere i propri dati non era necessario, ora diventa un dovere morale nei confronti propri e del proprio destinatario. Non proteggerli è come spedir informazioni sensibili tratemite una cartolina, in un mondo dove chiunque può essere postino.
Dettagli significativi nella sostanza, ma non nella forma: Non c’è più il monopolista, ma ci sono pochi fornitori di servizio nazionali, che per aver una licenza devono garantire la stessa collaborazione verso lo stato ed il rispetto dei loro diritti. Questo vale per la liberizzazione della rete telefonica fissa, e discorso simile vige per la rete telefonica mobile (pochi operatori, licenza statale, protocolli di comunicazione GSM chiusi e disponibili solo all’interno del GSM consortium, di recente in ballo per aver fatto pressioni ai tedeschi che hanno rotto il protocollo di cifratura).
Protezione dalle intercettazioni telefoniche: Uno che voleva proteggersi aveva come unico scopo quello di sottrarsi ad un eventuale controllo statale, o una paranoia eccessiva. Se molto ben equipaggiato, avrebbe potuto munirsi di qualche strumento di cifratura telefonica, raro costoso e certamente non motivabile dalla semplice mania. Chi ha possibilità e interessi simili deve proteggersi da un modello di minaccia ben superiore a quello del cittadino standard (perché è a loro che son dedicate queste riflessioni, non a chi le sa di già).
Protezione dalle intercettazioni informatiche: Lo fa chiunque utilizza un protocollo di comunicazione sicuro. La maggior parte degli utenti lo fanno inconsapevolmente usando https. A volte l’uso della crittografia non basta, perché i destinatari dei dati o della crittografia sono elementi non fidati (e loro possono accedervi). Se invece la crittografia è implementata correttamente, il dato intercettato non può essere decifrato. Chiunque può implementarla, o scaricare software gratuiti che lo fanno, ed è semplicemente necessario che i destinatari abbiano lo stesso software, o parlino lo stesso protocollo, del mittente.
Questa differenza causa che: Ogni qualvolta una comunicazione richiede di essere protetta, puo’ divenirlo. I bloggher iraniani come le nostre comunicazioni bancarie, esistono, perché si affidano alla crittografia per fornire la sicurezza. L’utilizzo di un software di comunicazione, anche non cifrato, ma semplicemente nuovo, rende il traffico intercettato prima da decodificare, poi da capire. La velocità con la quale la rete produce nuovi software è esponenzialmente maggiore rispetto alla velocità che può avere la società che programma software di intercettazione ad aggiornarsi. E’ simile al paradosso per cui nessun umano potrà mai leggere tutti i libri preseti al mondo, perché se al momento esistono N-mila libri, altri N-mila verranno pubblicati prima della morte del lettore.
Per tornare sui due capisaldi nella mente comune, applicati ad Internet:
E’ uno strumento della magistratura?: La magistratura può richiedere delle intercettazioni, ma lo strumento è potenzialmente nelle mani di ogni utente che abbia la competenza sufficente a scaricare un programma (wireshark, per citarne uno), cliccare su tre bottoni e il tempo di leggere i dati.
Le persone oneste non hanno nulla da nascondere?: Ogni persona ha una sua intimità ed un suo pudore, altrimenti andrebbe in giro nudo.
Comunque anche se fosse abusato, l’umano medio non ha nulla da temere?: Il triste caso Marrazzo, che è noto semplicemente perché la vittima è una persona di pubblico rilievo, dimostra che la conoscenza di un segreto può essere utilizzata per ricatto, per distruggere, o semplicemente per raggiungere altre persone che fanno affidamento su di te. L’essere parte di una società, essere inseriti in catene di fiducia, fa si che anche la persona più modesta possa avere ruoli importanti per la strategia di un attaccante. Questa debolezza va risolta, non per paranoia, ma per lo stesso motivo per cui non si parla dei propri cazzi lavorativi a tutti, e non si parla della propria vita sentimentale a tutti.
Questo testo mi serve per consolidarmi delle certezze. Suggerimenti e revisioni enormemente graditi.
January 7th, 2010 at 7:41 pm
vecna è il mio profeta + ma perchè non metti uno sfondo chiaro che questo scuro affatica la lettura?
January 8th, 2010 at 12:54 am
sto sperimentando theme nuovi :) hai suggerimenti ? per ora mi muovo a caso
January 8th, 2010 at 8:22 am
Riflessioni interessanti, e molto bello l’accostamento “non ho nulla da nascondere” -> “perche’ ti vesti ?”.
PS: visto che hai suddiviso l’articolo in blocchi contrapposti, perche’ non cambiare il colore dell’intro in base a che si parli di rete telefonica o Internet ? :)
January 8th, 2010 at 9:16 am
bell’idea BestKevin! :) faccio subito.
January 10th, 2010 at 10:21 am
[...] scrive vecna, a proposito di riservatezza delle comunicazioni, intercettazioni e privacy: “Ogni persona ha una sua intimità ed un suo pudore, altrimenti andrebbe in giro nudo [...]
January 13th, 2010 at 7:53 pm
Aggiugici che siamo tutti valutati commercialmente … come persone , eta, potenzialità di spesa …e rivenduti a terzi di continuo in barba a tutte le leggi sulla privacy esistenti.
G.I.G.O. is the way … non nuovi metodi … tecnicamente sofisticatissimi … ma semplicemente una specie di …judo della privacy.