Print Friendly, PDF & Email
znet italy

I vostri segreti in vendita

di Pratap Chatterjee

Immaginate di poter gironzolare non visti attraverso una città, intrufolandovi a vostro piacimento in qualsiasi momento, di notte o di giorno, in case e uffici. Immaginate di poter osservare, una volta all’interno, tutto quel che succede, non notati da altri, dalle combinazioni delle casseforti bancarie agli incontri clandestini di amanti. Immaginate anche di essere in grado di registrare silenziosamente le azioni di tutti, che siano al lavoro o al gioco, senza lasciare traccia. Tale onniscienza potrebbe, naturalmente, rendervi ricchi, ma, cosa forse più importante, potrebbe rendervi molto potenti.

Tale scenario da romanzo di fantascienza futurista è oggi di fatto quasi una realtà. Dopotutto la globalizzazione e Internet hanno collegato tutte le nostre vite in un’unica fluida città virtuale dove tutto è accessibile al tocco di un polpastrello. Depositiamo il nostro denaro in casseforti in rete; conduciamo le nostre conversazioni e spesso ci spostiamo da un luogo all’altro con l’aiuto dei nostri dispositivi mobili. Quasi tutto ciò che facciamo nel regno digitale è registrato e sopravvive per sempre nella memoria di un computer cui, con il software e le password giuste, altri possono avere accesso, che lo vogliate o no.

Ora – ancora un momento d’immaginazione – che ne direste se ogni vostra transazione in quel mondo fosse infiltrata? Se il governo avesse pagato sviluppatori per inserire botole e passaggi segreti nelle strutture costruite in questo nuovo mondo digitale per tenerci continuamente connessi gli uni agli altri?

 

Se avesse dei fabbri a disposizione per contribuire a creare chiavi universali per tutte le stanze? E se potesse pagare cacciatori di taglie per seguirci e costruire profili delle nostre vite e dei nostri segreti da usare contro di noi?

Beh, lasciate la vostra immaginazione all’ingresso, perché in effetti questo è il nuovo coraggioso mondo distopico che il governo statunitense sta costruendo, secondo le più recenti rivelazioni contenute nel tesoro di documenti diffusi dalla fonte interna all’Agenzia della Sicurezza Nazionale Edward Snowden. 

Nel corso degli ultimi otto mesi i giornalisti hanno scavato in profondità in questi documenti arrivando a rivelare che il mondo della sorveglianza di massa della NSA coinvolge strette collaborazioni con una serie di società della maggior parte delle quali non abbiamo mai sentito parlare e che progettano o sondano il software che tutti diamo per scontato per contribuire a mantenere il ronzio della nostra vita digitale in rete.

Ci sono tre modi generali in cui queste società di software collaborano con lo stato: un programma dell’Agenzia della Sicurezza Nazionale chiamato “Bullrun” mediante il quale tale agenzia risulterebbe pagare sviluppatori come la RSA, una società produttrice di software per la sicurezza, perché inseriscano “porte di servizio” nei nostri computer; l’utilizzo di “cacciatori di taglie” come Endgame e Vupen che scoprono difetti sfruttabili nel software esistente, come Microsoft Office e i nostri smartphone; e infine l’uso di commercianti di dati, come Millennial Media, per raccogliere dati personali su chiunque in Internet, specialmente quando fa acquisti o utilizza giochi come Angry Birds, Farmville o Call of Duty.

Naturalmente questo è solo l’inizio quando si tratta di elencare i modi in cui il governo sta tentando di controllarci tutti, come ho spiegato in un precedente articolo su TomDispatch, “Big Brother is Watching You” [Il Grande Fratello ti osserva]. Ad esempio l’FBI usa pirati [hacker] per introdursi in computer individuali e accendere le telecamere e i microfoni dei computer, mentre la NSA raccogliere una quantità di dati sui telefoni cellulari e cerca di raccogliere tutti i dati che viaggiano sui cavi a fibre ottiche. Nel dicembre del 2013 il ricercatore informatico e hacker Jacob Appelbaum ha rivelato che la NSA ha anche fabbricato hardware con nomi come Bulldozer, Cottonmouth, Firewalk, Howlermonkey e Godsurge che può essere inserito in computer per trasmettere dati a spie USA anche quando non sono connessi a Internet. 

“Oggi [la NSA] sta conducendo un’invasione immediata e totale della privacy con limitata fatica”, ha dichiarato al New York Times Paul Kocher, lo scienziato capo di Cryptography Research Inc., che progetta sistemi di sicurezza. “Questa è l’età dell’oro per lo spionaggio”.


Creazione di “porte di servizio”

Già negli anni ’90 l’amministrazione Clinton promosse uno speciale componente hardware progettato dalla NSA che voleva installato in computer e mezzi di telecomunicazione. Chiamato Clipper Chip era mirato a contribuire a criptare i dati per proteggerli da accessi non autorizzati, ma con una distorsione. Trasmetteva anche un segnale di “Campo d’Accesso alle Forze dell’Ordine” con una chiave che il governo poteva utilizzare se voleva accedere a quegli stessi dati.

Attivisti e persino società di software si batterono contro Clipper Chip in una serie di schermaglie politiche cui spesso ci si riferisce come alle Crypto Wars [Guerre crittografiche]. Una delle società più attive fu la RSA, della California. Stampò addirittura manifesti con un appello ad “Affondare Clipper”.  Arrivati al 1995 la proposta era molta e sepolta, sconfitta con l’aiuto di alleati tanto improbabili quanto il conduttore televisivo Rush Limbaugh e i senatori John Ashcroft e John Kerry.

Ma la NSA si è dimostrata più tenace di quanto i suoi avversari immaginassero. Non ha mai rinunciato all’idea di installare chiavi segrete di decifrazione all’interno di hardware informatico, un punto che Snowden ha sottolineato (con i documenti per provarlo).

Un decennio dopo le Guerre Crittografiche la RSA, a quel punto sussidiaria della EMC, una società del Massachusetts, ha cambiato bandiera. Secondo un articolo d’inchiesta di Joseph Menn della Reuters, risulterebbe aver incassato 10 milioni di dollari dall’Agenzia della Sicurezza Nazionale in cambio dell’inserimento di una formula matematica sviluppata dalla NSA, chiamata  Dual Elliptic Curve Deterministic Random Bit, nei suoi prodotti software Bsafe come metodo predefinito di cifratura.

La Dual Elliptic Curve ha un “difetto” che consente la pirateria, come ammetto la stessa RSA. Sfortunatamente per il resto di noi, Bsafe è installato in una quantità di prodotti popolari per personal computer e la maggior parte delle persone non ha modo di immaginare come disabilitarlo.

Secondo i documenti Snowden, l’accordo della RSA è stato solo uno dei molti conclusi nell’ambito del programma Bullrun della NSA, che sinora è costato ai contribuenti 800 milioni di dollari e ha denudato ogni utente di computer e di congegni mobili di tutto il mondo agli occhi indiscreti dello stato della sorveglianza.

“La natura profondamente nociva di questa compagna – che mina gli standard nazionali e sabota hardware e software – così come la portata della collaborazione alla luce del sole del settore privato sono entrambe sconvolgenti”, hanno scritto Dan Auerbach e Kurt Opsahl della Electronic Frontier Foundation, un gruppo attivista con sede a San Francisco che ha guidato la lotta alla sorveglianza governativa. “Le ‘porte di servizio’ minano in misura fondamentale la sicurezza di tutti, non solo dei cattivi soggetti”.


Cacciatori di taglie

Al prezzo base d’occasione di 5.000 dollari,  hacker hanno offerto in vendita un difetto del software di Adobe Acrobat che vi consente di impossessarsi del computer di qualsiasi vittima ignara che scarichi un vostro documento. All’estremo opposto della gamma di prezzi, la Endgame Systems di Atlanta, Georgia, ha offerto in vendita per 2,5 milioni di dollari  un pacchetto chiamato Maul che può attaccare bersagli in tutto il mondo in base a difetti scoperti nel software informatico usato da essi. Ad esempio alcuni anni fa la Endgame ha offerto in vendita bersagli in Russia, tra cui una raffineria di petrolio di Achinsk, la Banca della Riserva Nazionale e l’impianto energetico nucleare di Novovoronezh. (L’elenco è stato rivelato da Anonymous, la rete internet di hacker attivisti).

Anche se simili “prodotti”, noti nei circoli hacker come “sfruttamento del giorno zero” possono parere pubblicità di vendite del genere di truffatori che ogni governo vorrebbe mettere dietro le sbarre, gli hacker e le società che scelgono come proprio mestiere lo scoprire difetti in software popolari sono, in realtà, corteggiati assiduamente da agenzie di spionaggio come la NSA che vogliono usarli nella guerra informatica contro potenziali nemici.

Si prenda la Vupen, una società francese che, al costo di un abbonamento annuo di 100.000 dollari, offre un catalogo regolarmente aggiornato di vulnerabilità informatiche globali. Se ci trovate qualcosa che vi piace, pagate un extra per ottenere i dettagli che vi consentono di piratarlo. Un opuscolo della Vupen diffuso da WikiLeaks nel 2011 assicurava i potenziali clienti che la società mira “a mettere a disposizione codici esclusivi di sfruttamento di vulnerabilità non rivelate” per “attaccare clandestinamente e ottenere l’accesso a sistemi informatici remoti”.

In occasione di un evento patrocinato da Google a Vancouver nel 2012 gli hacker della Vupen hanno dimostrato di essere in grado di sequestrare un computer attraverso il navigatore Chrome di Google. Ma si sono rifiutati di consegnare alla società i dettagli, deridendo pubblicamente Google. “Non condivideremmo questo con Google nemmeno per un milione di dollari”, si è vantato Chaouki Bekrar di Vupen con la rivista Forbes. “Non vogliano fornire alla società nessuna conoscenza che l’aiuti a correggere questo o altri talloni d’Achille. Vogliamo riservarli ai nostri clienti”.

Oltre a Endgame e Vupen, altri giocatori in questo campo includono Exodus Intelligence, in Texas, Netragard, in Massachussetts, e ReVuln a Malta.

Il loro miglior cliente? La NSA che ha speso almeno 25 milioni di dollari nel 2013 per acquistare dozzine di tali “vulnerabilità”. In dicembre, Appelbaum e i suoi colleghi hanno scritto sul Der Spiegel che dipendenti dell’agenzia si vantavano della loro capacità di penetrare qualsiasi computer utilizzasse Windows nel momento in cui quella macchina invia messaggi a Microsoft. Così, per esempio, quando il computer si blocca e offre utilmente di riferire il problema alla società, se si clicca ‘sì’ ci si potrebbe scoprire a un attacco.

Già si afferma che il governo federale ha utilizzato tali vulnerabilità (compresa una in Microsoft Windows),  più notoriamente quando è stato impiegato il virus Stuxnet per distruggere le centrifughe nucleari iraniane.

“Questa è la militarizzazione di Internet”, ha dichiarato Appelbaum al Congresso di Chaos Computer ad Amburgo. “Questa strategia sta minando Internet in un tentativo diretto di mantenere insicura la rete. Sia sotto una specie di legge marziale”.


La mietitura dei vostri dati

Tra i documenti Snowden c’era un rapporto di venti pagine del 2012 della Direzione delle Comunicazioni del Governo – l’equivalente britannico della NSA – che elencava una società con sede a Baltimora: la Millennial Media. Secondo l’agenzia spionistica la società è in grado di fornire profili “intrusivi” di utenti di applicazioni e giochi su smartphone. Il New York Times ha scritto che la società offre dati del tipo: se le persone sono sposate o no, divorziate, fidanzate o “scambiste”, nonché il loro orientamento sessuale (“normale, omosessuale, bisessuale o ‘incerto’”).

Come fa Millennial Media a ottenere questi dati? Semplice. Succede che raccoglie i dati da alcuni dei produttori dei videogame più popolari del mondo. Tra essi vi sono Activision, della California, che produce Call of Duty, un gioco di guerra che ha venduto cento milioni di copie; Rovio, Finlandia, che ha distribuito 1,7 miliardi di copie di un gioco chiamato Angry Birds [Uccelli arrabbiati] che consente agli utilizzatori di sparare uccelli da una fionda contro maiali che sghignazzano; e Zynga, anch’esso californiano, che produce Farmville, un gioco di fattoria con 240 milioni mensili  di utenti attivi.

In altre parole stiamo parlando di qualcosa che rappresenta una considerevole percentuale del mondo collegato che inconsapevolmente consegna dati personali, compresa la propria localizzazione e i propri interessi di ricerca quando scarica applicazioni “gratuite” dopo aver cliccato su un accordo di licenza che consente legalmente al produttore di raccogliere e rivendere informazioni personali. Pochi si prendono il disturbo di leggere i caratteri piccoli o riflettono due volte sul vero fine dell’accordo.

Le applicazioni si ripagano mediante un nuovo modello commerciale chiamato “offerta in tempo reale” in cui inserzionisti come Target e Walmart vi mandano buoni e offerte speciali per qualsiasi settore dei loro magazzini vi è più vicino. Lo fanno analizzando i dati personali inviati loro dalle applicazioni “gratuite” per scoprire sia dove siete sia per quale motivo siete nel supermercato.

Quando, ad esempio, passeggiate in un centro commerciale, il vostro cellulare trasmette la vostra posizione e nel giro di un millisecondo un mediatore di dati crea un’asta virtuale per vendere i vostri dati al maggior offerente. Tale flusso di dati ricco e dettagliato consente agli inserzionisti di adattare i loro annunci a ciascun singolo cliente. In conseguenza, in base alle loro storie personali, due persone che passeggiano mano nella mano lungo una strada possono ricevere pubblicità molto diverse, anche se vivono nella stessa casa.

Ciò ha anche un valore immenso per qualsiasi organizzazione sia in grado di accoppiare i dati ricevuti da un dispositivo con il nome e l’identità veri, come ad esempio il governo federale. In effetti il Guardian ha evidenziato un documento della NSA del 2010 in cui l’agenzia si vanta di essere in grado di raccogliere “quasi ogni dettaglio chiave della vita di un utente”, compresa la nazionalità, dove si trova al momento (mediante la geolocalizzazione), l’età, il codice di avviamento postale, lo stato coniugale … il reddito, l’etnia, l’orientamento sessuale, il livello d’istruzione e il numero dei figli”. 


Negazionismo

E’ sempre più chiaro che il mondo in rete è, sia per i tizi della sorveglianza governativa sia per i venditori dell’industria, un nuovo Selvaggio Ovest dove tutto è permesso. Ciò è specialmente vero quando si tratta di spiarvi e raccogliere ogni versione immaginabile dei vostri “dati”.

Le società di software, per parte loro, hanno negato di aiutare la NSA e hanno reagito con rabbia alle rivelazioni di Snowden. “La fiducia dei nostri simpatizzanti è per noi la cosa più importante e prendiamo la riservatezza estremamente sul serio”, ha commentato Mikael Ed, direttore generale della Rovio Entertainment, in una dichiarazione pubblica. “Noi non collaboriamo, non siamo complici, non condividiamo dati con agenzie di spionaggio in nessun luogo del mondo”.

La RSA ha cercato di negare che ci siano difetti nei suoi prodotti. Non abbiamo mai sottoscritto alcun contratto né ci siamo coinvolti in alcun progetto con l’intenzione di indebolire i prodotti della RSA o di introdurre potenziali ‘porte di servizio’ nei nostri prodotti per l’utilizzo da parte di chicchessia”, ha affermato la società in una dichiarazione sul suo sito web. “Neghiamo categoricamente questa accusa”. (Ciò nonostante la RSA ha recentemente cominciato a consigliare ai propri clienti di smettere di usare la Dual Ellipctical Curve).

Altri venditori come Endgame e Millennial Media hanno mantenuto uno stoico silenzio. Vupen è uno dei pochi che si vantano della propria capacità di scoprire vulnerabilità nei software.

E la NSA ha diffuso una dichiarazione in stile Pravdache né conferma né smentisce le rivelazioni. “Le comunicazioni di chi non un valido obiettivo di spionaggio estero non sono d’interesse dell’Agenzia della Sicurezza Nazionale”, ha dichiarato al Guardian una portavoce della NSA. “Ogni coinvolgimento della NSA nella raccolta di informazioni  all’estero concentrato su smartphone o media sociali di statunitensi comuni è falso”.

La NSA non ha tuttavia negato l’esistenza dell’Ufficio delle Operazioni di Accesso Mirato (TAO), che Der Spiegel descrive come “una squadra di ‘idraulici’ [delle alte tecnologie] che può essere convocata quando l’accesso normale a un bersaglio è ‘otturato’”.

I documenti Snowden indicano che il TAO dispone di un insieme sofisticato di strumenti, che la NSA chiama “Quantum Theory”, costituito da porte di servizio e ‘bachi’ che consentono ai propri ingegneri del software di installare software spia su un computer bersaglio. Un esempio potente e difficile da identificare di esso è la capacità del TAO di ricevere notifiche quando un computer bersaglio visita certi siti web come LinkedIn e di reindirizzarlo a un server della NSA chiamato “Faxaci” dove l’agenzia può caricare software spia in una frazione di secondo.


Come si esce dal
giardino chiuso?

La semplice verità sulla questione è che la maggior parte delle persone è facile bersaglio sia del governo sia delle imprese. Pagano per prodotti software come Pages e Office di produttori famosi come Apple e Microsoft o li scaricano gratuitamente da produttori di giochi come Activision, Rovio e Zynba per l’utilizzo in dispositivi mobili ‘rispettatili’ come i Blackberry e gli iPhone.

Questi produttori controllano gelosamente l’accesso al software che rendono disponibile, affermando che hanno bisogno di avere un controllo di qualità. Alcuni si spingono anche oltre con quello che è noto come l’approccio del “giardino chiuso” consentendo solo programmi preapprovati sui loro dispositivi. Ne sono esempio iTunes di Apple, Kindle di Amazon e Wii di Nintendo.

Ma, come hanno contribuito a chiarire le rivelazioni Snowden, tali dispositivi e software sono vulnerabili sia agli errori dei produttori, che aprono porte di servizio sfruttabili nei loro prodotti, sia ad accordi segreti con la NSA.

Così, in un mondo in cui sempre più nulla è privato, nulla è semplicemente nostro, che cosa deve fare un utente di Internet? Tanto per cominciare esistono alternative alla maggior parte dei programmi di elaborazione testi, fogli di calcolo e di impaginazione e progettazione: l’utilizzo di software libero e a codice pubblico come Linux e Open Office in cui il codice sottostante è liberamente disponibile per l’esame alla ricerca di attacchi e difetti. (Considerate la cosa in questo modo: se la NSA concludesse un accordo con la Apple per copiare tutto quel che c’è sul vostro iPhone, non lo sapreste mai. Se aveste acquistato un cellulare a codice pubblico [open source] – cosa non facile da fare – quel genere di cosa sarebbe rapidamente identificato). Potete utilizzare anche navigatori criptati come Tor e motori di ricerca come Duck Duck Go che non archiviano i vostri dati.

E infine, se possedete e usate regolarmente un dispositivo mobile, dovete a voi stessi di disattivare quante più impostazioni di localizzazione e opzioni di condivisione di dati vi è possibile. E, ultimo ma non certo di minore importanza, non giocate a Farmville, uscite e fate la cosa concreta. Quanto ad Angry Birds e Call of Duty, onestamente, invece di sparare a maiali e a persone, potrebbe essere ora di pensare a trovare modi migliori per svagarvi. Magari prendere in mano un pennello? O unirvi a un gruppo attivista come la Electronic Frontier Foundation e contrattaccare il Grande Fratello.


Pratap Chaterjee, collaboratore di TomDispatch, è direttore esecutivo di CorpWatch e membro del consiglio di Amnesty International USA. E’ autore di ‘Halliburton’s Army’[L’esercito dell’Halliburton] e di ‘Iraq, Inc.’ [Iraq S.p.A.].
Questo articolo è apparso in origine su TomDispatch.com, un blog del Nation Institute, che offre un flusso costante di fonti, notizie e opinioni alternative a cura di Tom Engelhardt, da lungo tempo direttore di edizione, cofondatore dell’American Empire Project, autore di ‘The End of Victory Culture’[La fine della cultura della vittoria] e di un romanzo, ‘The Last Days of Publishing’ [Gli ultimi giorni di pubblicazione]. Il suo libro più recente è ‘The American Way of War: How Bush’s Wars Became Obama’s’ [La cultura bellica statunitense: come le guerre di Bush sono diventate di Obama] (Haymarket Books).
Fonte:
http://zcomm.org/znetarticle/selling-your-secrets/

Originale:
TomDispatch.com
traduzione di Giuseppe Volpe
 

Add comment

Submit