Formazione
Privacy online: come lasciare Carnivore a bocca asciutta
Omar J. Pahati, associate editor di AlterNet.org, traccia un'analisi dei rischi e delle soluzioni per la garanzia della privacy online dopo l'11 settembre negli Stati Uniti
di Redazione
Da quando l?FBI ha confermato l?esistenza del suo software d?intercettazione ? un sistema denominato Carnivore ? le associazioni per la difesa dei diritti civili online sono scese sul piede di guerra. Carnivore prometteva di essere il peggiore degli incubi, una tecnologia in grado di ricercare e registrare ogni messaggio inviato per email, ogni approdo su pagine Web, ogni chat room visitata.
Oggi quei timori rischiano di rivelarsi più che mai fondati. L?approvazione negli Stati Uniti di leggi antiterrorismo seguita ai tragici fatti dell?11 settembre, e i maggiori poteri concessi a FBI, CIA e organi di polizia un po? dappertutto aumentano le probabilità di un uso intensificato di Carnivore nel prossimo futuro. Il Congresso non ha esitato a cedere un po? di diritto alla privacy in cambio di maggior sicurezza, e l?Amministrazione Bush ? con in testa il ministro della Giustizia John Ashcroft ? non è scesa in campo a difendere la privacy online. Di fronte a questa erosione delle garanzie costituzionali, che cosa possono fare i cittadini americani decisi a difendere le libertà civili per conservare la loro privacy sul Web?
La tecnologia dietro il misterioso box Carnivore (ufficialmente ribattezzato DCS 1000 all?inizio del 2001, ma il nome non ha attecchito) è stata presentata come qualcosa di molto sofisticato, ma in realtà è piuttosto semplice. Una volta installato presso i server degli Internet service provider (ISP), il dispositivo registra i dettagli di tutto il traffico che passa per quei server, ed è in grado di prelevare le intestazioni e i contenuti dei messaggi e di prendere nota delle pagine Web visitate. Questi dati possono poi essere salvati su dischetto e presentati come prove in tribunale.
Dispositivi di questo genere ? gli addetti ai lavori li chiamano ?sniffers? – sono in uso da tempo nelle imprese private, e permettono a occhiuti dirigenti di controllare l?attività su Internet degli impiegati.? Anche se sul piano tecnologico non hanno nulla di speciale, in potenza il loro impiego offre agli specialisti della sicurezza uno strumento di grande efficacia per monitorare le comunicazioni elettroniche. Gli sniffers possono sfornare un elenco dei siti Web visitati e dare così agli ISP il modo di bloccare l?accesso a quelli considerati discutibili o sovversivi. Carnivore può anche prendere nota delle persone con cui tenete una corrispondenza elettronica, scoprendone l?identità e potenzialmente mettendovi in relazione con attività di cui siete del tutto all?oscuro. E anche a non voler tener conto di questi scenari allarmanti, il puro e semplice fatto di essere tenuti d?occhio è sufficiente motivo d?inquietudine.
Prima di farvi prendere dal panico per gli email smancerosi che avete spedito l?anno scorso a quella vostra collega, sappiate però che a quanto sembra l?FBI ha usato Carnivore solo 13 volte tra l?ottobre del 1999 e l?agosto del 2000 (ultimi dati disponibili). Non è molto, se si considera l?enorme quantità del traffico in Rete. Perciò le probabilità che Carnivore vi abbia sorvegliato sono incredibilmente basse. È molto più facile che sia stato il vostro datore di lavoro a farlo.
Con l?approvazione del Patriot Act, il testo della legge USA contro il terrorismo, è tuttavia molto probabile che il ricorso a Carnivore diventi ben più massiccio. Oltre a mettere a disposizione dei servizi di sicurezza risorse senza precedenti, la nuova legge si è disfatta di alcuni dei ?pesi e contrappesi? costituzionali un tempo necessari per avere il permesso di effettuare le intercettazioni.
Inoltre il valore di Carnivore è aumentato a dismisura agli occhi dei tutori della legge americani da quando corre voce che Osama bin Laden abbia usato messaggi, immagini e siti Web criptati per comunicare con la rete globale Al Qaeda e si teme che terroristi sconosciuti si stiano servendo della Rete come di uno strumento per i loro fini.
L?FBI ha perfino cominciato a potenziare Carnivore. Il virus Magic Lantern creato dal Bureau consentirà infatti agli agenti di prelevare password dai computer infettati, e fa parte di una strategia comune mirante ad ampliare il raggio d?azione di Carnivore e potenziare la sua capacità di penetrare in quelli che una volta erano settori privati del ciberspazio.
Gli assertori della libertà online decisi a conservare l?anonimato hanno però già trovato diversi modi di sottrarsi agli occhi vigili di Carnivore. Nella maggior parte dei casi si tratta di metodi inventati dagli hacker per coprire le loro tracce nello svolgimento di attività discutibili e talvolta illegali. Queste tecniche funzionano però altrettanto bene per il cittadino rispettoso della legge che voglia difendere il suo diritto alla privacy. E per fortuna non c?è bisogno di essere pirati informatici per usare questi strumenti in maniera corretta.
Da anni ormai sono disponibili software criptografici controversi ma legali. La criptografia consente agli utenti di mantenere un alto livello di segretezza quando inviano email o files attraverso Internet.
Il più famoso software criptografico è un programma gratuito chiamato PGP. La sigla sta per Pretty Good Privacy (?Privacy piuttosto buona?) , ma si tratta di materiale molto più che piuttosto buono. Il PGP è, per usare il gergo degli addetti ai lavori, ?criptografia forte?, vale a dire praticamente inespugnabile. Talmente forte che dopo il suo accesso al pubblico nel 1991 il creatore del programma, Philip Zimmermann, suscitò immediatamente l?interesse della procura federale, intenzionata a impedire la distribuzione del software.
“Il PGP” dice Zimmermann “permette alla gente di prendere in mano il controllo della propria privacy. Una cosa di cui la società sentiva urgente bisogno. Ed è per questo che io l?ho creato.”
Ed è per questo che i governi ne hanno tanta paura. Il risultato fu che Zimmermann divenne oggetto di un?indagine durata tre anni e volta a dimostrare che aveva violato le leggi statunitensi sull?esportazione di software criptografico. Nel 1996, però, non era risultata nessuna prova a suo carico, e da allora il PGP è diventato il programma di posta elettronica criptata più diffuso al mondo.
Oggi, nella sua versione più recente, il PGP ha guadagnato in diffusione e sicurezza. Il programma funziona criptando i dati in modo che soltanto il destinatario è in grado di decriptarli. Nemmeno lo stesso mittente può farlo, perché solo il destinatario possiede la chiave elettronica adatta.
La ragione della forza del PGP è da ricercare in parte in una minuziosa “revisione tra pari”, cioè nella valutazione professionale dei colleghi di Zimmermann. Il codice fonte originale di programmazione infatti è a disposizione di chiunque, tutti possono esaminarlo, e questo permette agli esperti di individuare difetti, “back doors” (accessi lasciati apposta per consentire ai governi di decriptare messaggi altrimenti sicuri) e punti deboli di qualunque altro tipo.
Usando il PGP per criptare le trasmissioni si può essere sicuri che soltanto la persona cui i dati sono destinati potrà avervi accesso. Se intercettata, la trasmissione risulterà del tutto illeggibile da chi non possieda la chiave di decifraggio. Questo non impedirà a Carnivore di arraffare email dalla Rete, ma impedirà agli agenti federali di leggere la vostra posta elettronica.
“Magari avete in mente di fare politica, o parlate della vostra situazione fiscale, o avete una relazione extraconiugale” dice Zimmermann. “Di qualunque cosa si tratti, non volete che qualcun altro venga a conoscenza del contenuto dei vostri email privati o dei vostri documenti confidenziali.”
Zimmermann ammette che il PGP potrebbe essere usato per nascondere attività illegali, ma è convinto che il diritto alla privacy abbia la precedenza su tutto.
Un avvertimento: la criptografia è illegale in molti paesi, ed è anche illegale esportare software criptografici dagli Stati Uniti senza autorizzazione. Quindi fareste meglio a usare il PGP solo in America o a informarvi sulla normativa al riguardo in vigore nel vostro paese prima di usarlo.
Il programma PGP Freeware guiderà i vostri messaggi attraverso la Rete al sicuro da occhi indiscreti, ma non potrà impedire a Carnivore di vedere quali siti state visitando. Quasi tutti i cibernauti passano da un sito all?altro senza sapere che ogni clic del loro mouse può essere registrato non solo dal governo, ma anche da più di un sistema di controllo. Il vostro ISP, l?ISP del vostro ISP, e ogni sito Web registrano sia il traffico in entrata sia quello in uscita. E se non è Carnivore che vi sta osservando, possono esserlo i federali che, autorizzati da un mandato, controllano presso l?ISP le registrazioni delle azioni avvenute sul server. Sia che guardiate il sito del New York Times, o quello di AlterNet, o uno dei presunti siti con copertura porno dell?Al Qaeda di Bin Laden, qualcuno vi osserva.
E tuttavia esistono vari modi di tenere nascoste le vostre abitudini cibernautiche. E quasi tutti comportano il collocamento di un computer sul vostro network tra voi e Internet. Questo computer si chiama ?proxy? e la sua funzione consiste nel ricevere la vostra richiesta di una pagina Web, prenderla da Internet e passarvela. Quando c?è installato un proxy, Internet sa della sua esistenza, ma non sa chi si nasconde dietro di esso. Molto diffusi nelle aziende, i proxy sono invece un lusso che l?utente privato medio non può permettersi, a meno che non disponga dei mezzi economici e delle risorse tecniche per la sua installazione.
Negli ultimi anni comunque sono stati creati servizi con la finalità di fornire ai surfer un proxy virtuale. In questo caso, invece di installare un proxy sul proprio network, ci si collega a un proxy virtuale su Internet. Uno di quelli che funzionano meglio è Anonymizer.com. Il servizio consente agli utenti di navigare in totale anonimità senza ulteriore hardware o software.
Uno si collega ad Anonymizer con il proprio browser Internet, gli specifica il sito che intende visitare, e lui ce lo accompagna anonimamente. Se Carnivore vi tiene gli occhi addosso, saprà che siete collegati ad Anonymizer, ma non dove Anonymizer vi ha portato. E se il sito Web che state visitando cerca di registrare i vostri ?segni di vita? (indirizzo, sistema operativo, tipo di browser, e ultima pagina visitata), tutto quello che vede è il server di Anonymizer.
Singapore, Vietnam, Iran, Algeria, Yemen, Bahrein, Emirati Arabi Uniti, Arabia Saudita e Cina hanno proibito siti come Anonymizer: ciascuno di questi paesi ha tentato di impedire l?accesso degli utenti a questi servizi, a riprova del fatto che la tecnologia è capace di impedire ai governi di ficcare il naso nelle faccende dei privati.
Un altro modo di assicurarsi l?anonimità di navigazione consiste nell?usare il proxy di qualcun altro. Gli hacker spesso lo fanno subdolamente, insinuandosi in un network privato e nascondendosi dietro il suo proxy. Un metodo efficace, anche se non proprio legale. Non si dovrebbe usare il proxy di un altro senza la sua esplicita autorizzazione. Inoltre, fuori dal box non tutti i proxy sono anonimizzatori efficaci, perciò conviene coordinarne l?installazione con i loro amministratori di diritto.
CyberArmy, un network di tutori della privacy esperti di tecnologia informatica, dispone di un elenco di proxy conosciuti sparsi per il mondo (www.cyberarmy.com/lists/proxy/). Se riuscite a ottenere il permesso di usarne uno, inserite il suo indirizzo tra quelli dei vostri ?Preferiti? assieme al numero di porta e, se possibile, cercate di utilizzarlo in modalità tunnel, che crea un collegamento sicuro tra voi e il proxy. Tutti gli attuali browser Web di qualunque sistema operativo, da Netscape e Internet Explorer a Opera e Mozilla, hanno questa funzionalità incorporata. Così attrezzati, potete navigare in piena anonimità come fareste con il vostro proxy interno.
Oltre a un suo proprio elenco di proxy, CyberArmy dispone anche di molte informazioni a proposito della privacy su Internet. Gran parte di queste informazioni riguardano l?attività degli hacker, ma uno strumento utile per tutti è Environment Check (www.cyberarmy.com/cgi/whoami.pl). Questa pagina vi dirà esattamente quale tipo di informazioni state trasmettendo al mondo quando navigate in Rete. Le informazioni spigolate da Environment Check comprendono il tipo di computer che avete, la versione e il tipo di browser che usate, l?indirizzo Web del vostro ISP e quello del network del vostro computer. Provate Environment Check con un proxy e poi senza per vedere l?anonimato in azione.
Per i cultori della privacy meno tecnologicamente smaliziati il PGP e i proxy possono non essere il miglior sistema di combattere Carnivore. Organizzazioni come StopCarnivore, ACLU ed Electronic Frontier Education sono posti buoni da cui partire per trovare, con il coinvolgimento della base, una soluzione a un problema digitale.
L?attacco contro Carnivore e gli uomini politici ultrazelanti che vogliono a tutti i costi imporlo a innocenti americani è stato guidato da StopCarnivore.org, il cui fondatore, Lance Brown, afferma: “Passeranno forse una o due generazioni prima che gli effetti soffocanti di Carnivore si manifestino in modo misurabile. E intanto l?America sarà riuscita a diffonderne l?uso su tutto il pianeta.”
Il sito Web di Brown offre la possibilità di contattare uomini politici e organi di polizia per manifestare la propria preoccupazione verso un fenomeno come Carnivore e inoltre di scoprire se Carnivore sta intercettando il vostro ISP.
Difendere la privacy, sostengono i suoi tutori, è una questione di patriottismo e democrazia. “Se non faremo nulla” dichiara Zimmermann “nuove tecnologie daranno al governo nuovi strumenti di sorveglianza automatica quali Stalin non avrebbe mai neanche potuto immaginare.”
Copyright © Alternet.org – Vita.it,
Verbatim copying and distribution of this entire article is permitted in any medium,
provided this notice is preserved
More info sul copyright: Scatta l’ora del copyleft
Articolo originale: Confounding Carnivore: How to Protect Your Online Privacy
17 centesimi al giorno sono troppi?
Poco più di un euro a settimana, un caffè al bar o forse meno. 60 euro l’anno per tutti i contenuti di VITA, gli articoli online senza pubblicità, i magazine, le newsletter, i podcast, le infografiche e i libri digitali. Ma soprattutto per aiutarci a raccontare il sociale con sempre maggiore forza e incisività.