Il futuro della sorveglianza di massa non è mai stato così luminoso

Pubblicato in origine su Prismo nel luglio 2016

“Le forze dell’ordine di ogni livello hanno l’autorità legale di intercettare e accedere a comunicazioni e informazioni in seguito all’autorizzazione di un giudice, ma spesso mancano le capacità tecniche per effettuare queste intercettazioni a causa di un cambiamento fondamentale nei servizi e nelle tecnologie della comunicazione. Questo problema viene chiamato ‘Going Dark’”.

Con queste parole, l’FBI sintetizza la sua paura più grande: precipitare nell’oscurità a causa dell’impossibilità di intercettare le comunicazioni fatte attraverso servizi di messaggistica criptati e di accedere a dispositivi protetti dalla crittografia per estrarre ed esaminare i dati contenuti (mail, foto, documenti, ecc.). A peggiorare il quadro, dal punto di vista del Bureau, è il fatto che le società che utilizzano la end-to-end encryption non possono fornire l’accesso alle comunicazioni nemmeno volendo, perché solo i due estremi della comunicazione posseggono le chiavi necessarie.

I timori dell’FBI, quindi, sono di due ordini: da una parte l’impossibilità di intercettare in tempo reale comunicazioni criptate; dall’altra l’estrema difficoltà di penetrare e frugare in dispositivi protetti da password spesso ignote persino alle case produttrici del sistema operativo.

Neanche il famigerato CALEA (Communications Assistance for Law Enforcement Act) – la legge che obbliga le società di telecomunicazioni a fornire alle forze dell’ordine la possibilità di intercettare – va incontro alle richieste dell’FBI: questa legge si applica solo alle compagnie telefoniche classiche, ai provider e alle società che forniscono servizi VOIP, ma non si applica ai servizi di instant messaging (WhatsApp, WeChat, Telegram, Messenger e tutti gli altri).

Per l’FBI, la CIA e le polizie di tutto il mondo (recentemente si è lamentato anche il governo francese, mentre quello britannico vuole mettere al bando la crittografia end-to-end) questa evoluzione dello scenario comunicativo è una sorta di incubo: “Potremmo non essere in grado di scovare i predatori di bambini che si nascondono nelle ombre di internet, o di trovare e arrestare criminali violenti che stanno prendendo di mira il nostro vicinato”, prosegue con toni più cupi e allarmistici la nota dell’FBI.

“C’è la percezione di un conflitto tra privacy e sicurezza”, scrive ancora l’agenzia governativa. “Ma noi dobbiamo proteggere la libertà, così come dobbiamo proteggere i cittadini che serviamo”. Benjamin Franklin, fatti da parte. La sua celebre frase “chi rinuncia alla libertà per la sicurezza non merita né libertà né sicurezza” non si applica alle forze dell’ordine, che sembrano sentirsi in grado di garantire l’una e l’altra contemporaneamente, come se fosse una coperta estendibile a piacimento.

Le cose, però, non sono così semplici. Anche solo inquadrare la questione nel classico dilemma “privacy o sicurezza” non sarebbe in fondo del tutto corretto. Questo, almeno, stando a quanto scrive Bruce Schneier – accademico ed esponente della Electronic Frontier Foundation – nel suo contributo al paper Don’t Panic del Berkman Center di Harvard. Prima di tutto, al termine “sicurezza” bisognerebbe sostituire quello più adatto di “sorveglianza” (e non è che le due cose vadano per forza di pari passo), ma c’è di più: “È miope focalizzarsi su una sola minaccia e sulle richieste delle forze dell’ordine e dell’intelligence. In questo modo si nasconde l’aspetto più importante: la sicurezza che la crittografia fornisce nei confronti di una gamma molto più vasta di minacce”.

La crittografia, in effetti, mette al riparo le nostre comunicazioni dai governi repressivi, dai terroristi, dai ladri. I dissidenti cinesi la usano per evitare di farsi arrestare, le ONG la usano per operare in nazioni non democratiche, gli avvocati per comunicare con i loro clienti e i giornalisti per comunicare con le loro fonti (come si è visto nel caso deiPanama Papers). “Non ci viene chiesto di scegliere tra privacy e sicurezza, ma tra più sicurezza (garantita dalla crittografia) e meno sicurezza (che avremmo se utilizzassimo solo strumenti facilmente accessibili)”.

In questo modo, la questione viene ribaltata e si capisce come il dilemma posto dall’FBI escluda una serie di variabili, per concentrarsi solo su quelle che fanno gioco alle forze dell’ordine. Sul tema, tra l’altro, le agenzie governative hanno le idee confuse, visto quanto l’ex direttore del NSA, Mike McConnell, scriveva sul Washington Post solo un anno fa: “Se gli Stati Uniti vogliono mantenere il loro ruolo e la loro influenza globale, è essenziale proteggere gli interessi aziendali dallo spionaggio industriale”. La conclusione di questo editoriale era chiara: la sicurezza fornita dalle comunicazioni criptate è più importante delle difficoltà che possono creare alle forze dell’ordine.

Verrebbe da chiedere ai capi di FBI, CIA e NSA di mettersi d’accordo; se non fosse che si può facilmente immaginare quale possa essere la soluzione alla quale pensano: la “backdoor”. Una porta di servizio, fornita esclusivamente alle forze dell’ordine, che grazie ad appositi buchi nel codice permetta solo a loro di intrufolarsi nelle comunicazioni degli utenti prese di mira.

Tutto ciò, pur con significative differenze, riporta alla memoria il caso FBI vs Apple, in cui i “federali” chiedevano al colosso di Cupertino di mettere a punto un software creato appositamente per crackare un singolo iPhone: quello utilizzato dall’autore della strage di San Bernardino. La querelle si è conclusa con un nulla di fatto – visto che all’ultimo l’FBI ha ritirato le richieste nei confronti di Apple, affermando di essersela cavata da sola – ma ha lasciato strascichi pesanti (per approfondire gli interessanti aspetti tecnici della vicenda, vi rimando a questo ottimo pezzo di Wired USA).

Indipendentemente da chi avesse ragione in quello specifico caso, è evidente che l’FBI farebbe di tutto pur di avere accesso alle comunicazioni attraverso le backdoor. Anzi, è esattamente quello che chiede nel momento in cui protesta contro il “rischio Going Dark”, facendo esplicita richiesta di poter intercettare tutti i tipi di comunicazione non solo a posteriori, ma anche in tempo reale.

Ma quella delle backdoor è una soluzione sicura? “Aggiungere backdoor ai dispositivi non farebbe altro che aumentare i rischi”, mette in guardia Schneier. “Non si possono costruire sistemi di accesso che funzionano solo per le persone di una certa nazione o con una particolare morale, o solo in presenza di uno specifico documento. Se l’FBI può spiare i tuoi messaggi o mettere le mani sul tuo computer, allora possono farlo anche altri governi. Anche i criminali. Anche i terroristi. Non siamo nel campo della teoria: più di una volta, le backdoor costruite per uno scopo sono state utilizzate per altro. Vodafone aveva costruito un accesso backdoor al network telefonico greco su richiesta del governo, ma degli hacker l’hanno usato proprio contro il governo nel 2004/2005. Google aveva un database di accessi backdoor per il governo USA; i cinesi ci sono entrati nel 2009”.

Le backdoor, quindi, rischiano di esporre a più pericoli di quelli che vorrebbero prevenire. Ma allora come evitare che le forze dell’ordine si trovino di fronte a uno scenario “dark”, in cui intercettare comunicazioni di terroristi o criminali diventa impossibile? Anche in questo caso, la domanda potrebbe essere mal posta, perché il futuro, per il mondo della sorveglianza, sembra essere tutt’altro che oscuro. Per molti versi, anzi, non è mai stato più luminoso.

Prima di tutto, i meta-data (per esempio il luogo e l’ora in cui una comunicazione si è tenuta) non sono criptati e difficilmente lo saranno mai, visto che servono ai sistemi per funzionare adeguatamente. Secondo, il numero di servizi e piattaforme che utilizzano la crittografia è necessariamente limitato: “Le società che operano su internet”, si legge su Don’t Panic, “utilizzano i dati demografici e comportamentali degli utenti per targettizzare la pubblicità”. Il modello di business di Google e Facebook, per fare solo due esempi, dipende precisamente dalla loro capacità di spiare ciò che facciamo sul web; informazioni che, quindi, potranno continuare a fornire ai governi.

Un altro aspetto importante è quello del cloud. Più passa il tempo, meno documenti e software vengono custoditi nei computer degli utenti, ma trasferiti nel cloud e quindi conservati dalle società che offrono questi servizi. I file caricati sul cloud di Google sono protetti dagli hacker; ma non dalla stessa Google, che potrebbe fornire al governo accesso totale ai documenti che salviamo su Docs e ai file che immagazziniamo su Drive. Lo stesso discorso vale anche per iCloud: i backup sono criptati, ma, a differenza delle comunicazioni fatte via iMessage, Apple possiede le chiavi.

A rendere ancora più “luminoso” il futuro della sorveglianza di massa è la Internet of Things (IoT): nel momento in cui una quantità impressionante di dispositivi (20 miliardi nel 2020, secondo i calcoli di Gartner) sarà collegata a internet – televisori, frigoriferi, semafori, macchine, orologi e qualunque altra cosa – la possibilità di spiare i cittadini aumenterà esponenzialmente. I sensori audio e video dei dispositivi IoT apriranno una marea di strade attraverso le quali i governi potranno richiedere accesso a comunicazioni in tempo reale o registrate.

Probabilmente vi ricordate i problemi sorti nel 2015, quando venne fuori che gli smart-televisori di Samsung ascoltavano tutto quanto veniva detto davanti a loro attraverso il microfono, in modo da comprendere quando ci si stava rivolgendo alla tv per darle istruzioni. Samsung, nella sua privacy policy, avvisava gli utenti: “Siate consapevoli che se quanto dite include informazioni personali o sensibili, queste informazioni saranno tra i dati catturati e trasmessi a una terza parte attraverso lo strumento del riconoscimento vocale”. Inquietante; nonché esempio perfetto di come l’FBI avrà sempre più possibilità di intercettare & sorvegliare. Altro che Going Dark.

In uno scenario di questo tipo, la diffusione della crittografia sarà salutare anche per FBI & co., che saranno costretti a individuare con più attenzione i loro obiettivi, invece di usare la sorveglianza come una rete per la pesca a strascico. “La diffusione della crittografia protegge i cittadini dalla sorveglianza di massa, non dalla sorveglianza mirata”, scrive sempre Schneier. “Per una serie di ragioni tecniche, la sicurezza dei computer è straordinariamente debole. Se qualcuno è sufficientemente abile e motivato a entrare nel vostro computer, ci entrerà. Se non lo fa, è perché non siete in cima alle sue priorità. La diffusione della crittografia costringe chi spia – che sia un governo, un criminale o un terrorista – a decidere chi prendere di mira. E questo fa male soprattutto ai governi repressivi”.

Il discorso delle intercettazioni mirate e della possibilità, comunque, di entrare in qualunque tipo di dispositivo (come ha dimostrato anche l’FBI nel caso contro la Apple) porta dritti dritti alla proposta formulata da alcuni esponenti del movimento per i diritti civili: l’hacking legale.

Si tratta di una proposta portata da una serie di studiosi attivi nel mondo dell’informatica e delle libertà civili che presenta una valida alternativa alla richiesta di prevedere backdoor in ogni software: “Invece di richiedere la possibilità di intercettare ogni software o dispositivo, chi si occupa di intercettazioni dovrebbe imparare dai cattivi a sfruttare l’ampia offerta di vulnerabilità che esiste già in qualunque sistema operativo o applicazione, attraverso le quali si può ottenere l’accesso alle comunicazioni di un obiettivo ben definito. Non chiediamo che si creino nuovi buchi nella sicurezza, ma pensiamo che sfruttare quelli che già esistono rappresenti una valida alternativa alle richieste dell’FBI”. Se ci riescono gli hacker, ci possono riuscire anche i tecnici di FBI & co. Almeno, ci possono provare.