Come c’era da aspettarsi, in seguito alle rivelazioni di Snowden (per conto mio un eroe) gli utenti di internet sono diventati molto più circospetti nell’esprimere online le loro opinioni. Secondo una ricerca di Pew Research, riportata da Stefano Quintarelli, gli utenti disposti a condividere le proprie idee e confrontarsi con altri sui social relativamente alla questione NSA sono pochi. Il che dà un’idea dello scempio fatto di uno strumento, internet, una volta ritenuto intrinsecamente libero.
È lecito sospettare che anche le comunicazioni private abbiamo subito una simile autocensura, che sarebbe una grossa crepa nata su uno dei diritti più vicini alle radici stesse del concetto di democrazia, la libera espressione del proprio pensiero.
La NSA continua infatti ad esistere e la sua “ragione sociale”, ormai più che chiara a chiunque abbia occhi e orecchie aperti, continua a consistere nella raccolta e analisi “preventiva” di dati da tutto il mondo per scopi di intelligence la cui efficacia resta ancora tutta da chiarire – torna in mente la dottrina della guerra preventiva, frutto delle generose meningi di G.W. Bush.
Lo scenario internet maturato negli ultimi 20 anni è del resto estremamente favorevole alla NSA: una internet libera e poco protetta ha sempre rappresentato il sogno degli spioni, più precisamente un’occasione d’oro per soddisfare le tentazioni totalitarie di qualche grande “democrazia” occidentale; un’occasione molto semplice da cogliere particolarmente per un paese, gli USA, che mantiene un ruolo centrale nella geografia fisica (DNS, dorsali etc.) e logica (Google, Facebook, Twitter, Microsoft etc.) di internet.
Altri trend peggiorano ulteriormente il quadro: qualche anno fa una base utente di internet più ristretta e competente faceva ampio uso – il movimento cypherpunk è buon testimone dello spirito dell’epoca – di strumenti crittografici per ostacolare la già rampante ambizione di controllo degli stati. Oggi ogni genere di complessità viene via via smussata dalla tecnologia di massa, e con essa vanno sparendo gli strumenti (e competenze) per il controllo della sicurezza delle proprie comunicazioni. Parallelamente le relazioni interpersonali si muovono in massa online – social network, messaggistica istantanea, audio e video – sicché un volume impressionante di comunicazione transita su canali solo parzialmente sicuri se non del tutto trasparenti. Aggiungiamo pure che le piattaforme online sono poche, quindi i flussi di dati sono estremamente concentrati, con intuibili ripercussioni sulla facilità di intercettazione.
Fra privacy e accessibilità della tecnologia esiste dunque una tensione: non credo però si tratti di un aut-aut – come sostiene invece il Washington Post, che in ultima analisi punta il dito sulla pigrizia degli utenti. Innanzitutto, non pare casuale l’erogazione – gratuita – di tutte queste “comodità” da parte di aziende seminate, sbocciate e finanziate in America, particolarmente nel momento in cui è acclarato che i dati in possesso di queste aziende rappresentano un vantaggio strategico per l’intelligence USA. Secondariamente nulla ha mai impedito agli architetti di queste piattaforme – oggi impegnati a una corsa ai ripari tanto affannata quanto improbabile – di renderle perlomeno abbastanza sicure da non essere intercettabili senza considerevoli sforzi.
In assenza di tutela da parte delle piattaforme e, quel che è peggio, di una rigida disciplina legale sulla tutela della privacy nel mondo online, il lavoro di tutelare la propria privacy ricade interamente sulle spalle degli utenti. I quali, per fortuna, hanno a disposizione una pletora di strumenti, integrabili senza inconvenienti nel flusso di lavoro quotidiano. Si tratta di software e buone prassi che non mettono certo al riparo dall’attenzione mirata di un’agenzia governativa – le rivelazioni di Snowden hanno mostrato al mondo un catalogo di tecnologie di spionaggio tale da far vergognare il buon Q – ma che innalzano notevolmente lo sforzo necessario per lo spionaggio di massa, vera antitesi dei diritti fondamentali della democrazia.
Prendiamo per esempio il cloud, tormentone tecnologico nell’ultimo lustro: che lo si usi per backup o condivisione dei dati, pone serissime questioni di sicurezza cui le maggiori piattaforme di mercato rispondono solo parzialmente. Fortunatamente sono disponibili utility gratuite o di basso prezzo che consentono di abilitare sulle più comuni piattaforme commerciali, una crittografia end-to-end, idonea a difendere i dati in transito e a renderli molto difficili da consultare a chi non sia in possesso della chiave. Soluzioni come l’europeo Boxcryptor o i suoi molti analoghi, crittografano i dati sul computer locale, prima che prendano la via della California o di qualche altra server farm lontana dalla giurisdizione nazionale. Ogni terminale dotato del medesimo software, computer o mobile che sia, può decrittare i file e utilizzarli senza il minimo problema: ogni modifica verrà comunque registrata dal provider di storage sul cloud.
Un altro problema facilmente risolvibile è quello dei dati fisicamente residenti sul computer e su dispositivi fisici di backup dello stesso: anche in questo caso la crittografia è facilmente accessibile grazie a tecnologie come Bitlocker (Windows) o FileVault (Mac) e le molteplici soluzioni di Linux, per tutti i dischi interni ed esterni collegati al computer, perlopiù senza impatto sulle performance di lettura/scrittura – a patto di utilizzare CPU moderne. Un solo segno di spunta su una preferenza di sistema può evitare che al danno dello smarrimento di un portatile o un disco esterno, si sommino le molte seccature derivanti da un furto di dati o d’identità.
Particolare attenzione meritano i NAS, acquisti tecnologici sempre più comuni, la cui connessione alla rete pone rischi non trascurabili per i dati ivi contenuti. Molti dei modelli più evoluti dispongono di CPU con funzioni crittografiche integrate, facilmente accessibili; su quei NAS che non supportano in hardware la crittografia è comunque possibile e opportuno crittografare preventivamente i dati/backup sul computer, prima di immagazzinarli alla mercé dei suddetti spioni. Lo si può fare agevolmente in modo automatico con i software più comuni di backup.
Anche per la gestione di password esistono soluzioni ampiamente disponibili e a buon mercato, i password manager, sincronizzabili via cloud con altri computer e dispositivi mobile per avere le proprie preziose password sempre a disposizione. Questi prodotti rendono possibile difendere i propri dati, in locale o nella nuvola, con password sempre diverse e soprattutto, sempre adeguate alle capacità di attacco di governi e spioni vari.
Sulla mail e in generale su tutte le comunicazioni punto-punto, che pure veicolano dati privati e confidenziali, non esiste purtroppo una soluzione semplice se le due persone alle estremità del flusso di comunicazione non sono ugualmente accorte. È già qualcosa affidarsi a provider che crittografano le nostre comunicazioni lato server – che non sono cioè interessati a fare data mining sui fatti nostri per profilarci e venderci al miglior offerente; non è poi una cattiva idea crittografare tutte le comunicazioni in entrata e uscita dal computer tramite tecnologie quali OpenVPN, TOR etc.
In generale vale la pena di utilizzare tutti gli strumenti di più facile implementazione – di cui questo post presenta solo alcuni esempi: per tutto il resto è necessario un approccio di sicurezza “a livelli” – dedicare la massima sicurezza ai dati più sensibili, utilizzando canali non sicuri con circospezione e solo per dati di scarso interesse. In altre parole adattarsi alla giungla di spie più o meno istituzionali a cui i governi hanno ridotto internet, per riconquistare un diritto che la costituzione dello stato a cui paghiamo laute imposte ci garantisce ormai solo formalmente.
Se in molti riusciremo ad innalzare il livello di attenzione e consapevolezza rispetto alle minacce contro la nostra privacy e ad agire di conseguenza, lo spionaggio di massa diverrà progressivamente più costoso, fino ad essere impraticabile. Solo in questo modo le nostre comunicazioni torneranno a riguardare solo ed esclusivamente i soggetti a cui le indirizziamo. Buon 2015.