Man mano che apprendiamo altri dettagli sullo spionaggio governativo, appare sempre più sconsiderato affidare la nostra sicurezza a terze parti.
Lo stato vuole informazioni sicure sui suoi soggetti. Fin dal primo censimento in Egitto 5.000 anni fa, gli stati hanno sempre cercato di ottenere informazioni personali sui propri cittadini, soprattutto le tirannie, dove informatori e polizia segreta raccolgono informazioni su ogni attività potenzialmente sovversiva. Nell’era di internet e dello spionaggio governativo, le agenzie di spionaggio raccolgono informazioni su di noi – per lo più offerta ingenuamente da noi stessi tramite i social media – a livelli che avrebbero reso verde d’invidia l’NKVD di Stalin. Quando finirà tutto ciò non lo sa nessuno; intanto, meno informazioni utili si possono raccogliere e meno efficace è il controllo dello stato su di noi. Per quanto riguarda gli attivisti nel primo mondo, forme di comunicazione private o anonime potrebbe la soluzione ideale per evitare l’arresto preventivo. In posti come la Siria, poi, diventa una questione di vita o di morte.
All’inizio speravo che compagnie come Google sarebbero venute in soccorso implementando potenti sistemi di criptografia; purtroppo sembra sempre più improbabile che imprese in mano agli azionisti e intrecciate con il governo possano offrire servizi sicuri efficacemente. Se è vero che queste compagnie, che fanno grossi profitti e spendono grosse somme in attività lobbistiche, sono le meglio posizionate nella lotta contro lo spionaggio di stato, è anche vero che sono quelle che hanno più da perdere se non tirano dritto.
Lavabit di Ladar Levison era un servizio di email quasi sicuro. Ad agosto Levison lo ha chiuso citando interferenze e minacce da parte del governo. Secondo speculazioni terze, Levison aveva ricevuto una lettera della Nsa che chiedeva di ottenere dati sui clienti, probabilmente Edward Snowden. Recentemente si è scoperto che un giudice aveva emesso un ordine rivolto ad ottenere la chiave d’accesso SSL dei servizi offerti da Lavabit. Questa chiave permette una connessione criptata sicura tra utente e server. Il suo possesso dà la possibilità al governo di accedere in tempo reale alle informazioni mandate al sito dagli utenti. Questo a sua volta avrebbe reso possibile il rastrellamento delle credenziali e l’accesso alle email criptate dei 400.000 utenti di Lavabit.
Con suo grande merito, Ladar Levison decise di chiudere Lavabit, negando l’accesso all’archivio in cui sono custoditi i messaggi dei suoi clienti. Il suo rifiuto di principio è un’eccezione. Levison non aveva azionisti a cui rendere conto; solo se stesso e i suoi clienti. Non possiamo aspettarci che grosse imprese come Google, che finge di stare dalla nostra parte mentre in realtà cerca di favorire l’intrusione del governo, decidano di sfidare realmente lo stato. Altri, come la Microsoft, sembrano entusiasti di collaborare con l’NSA e altre agenzie a tre lettere.
Cosa significa per noi? Siamo condannati ad abbassare la testa? No! Dobbiamo prendere la cosa nelle nostre mani. Ci sono molti sistemi di criptografia gratis, open source e a standard aperto. Da quel che sappiamo, l’NSA è riuscita a penetrare i sistemi criptografati solo tramite la coercizione e la sovversione, non decodificando il codice. Molto probabilmente, possiamo ancora fidarci della matematica.
Quando un progetto è open source, il suo codice è disponibile allo scrutinio generale. Possiamo esaminarlo, possiamo sapere esattamente come fa quello che fa. La maggior parte di noi non ha le conoscenze tecniche per esaminare il codice di un programma prima di compilarlo, ma ci sono esperti e accademici fidati che possono farlo e lo fanno per noi. Così possiamo conoscere i potenziali punti deboli del software di criptografia e capire i limiti delle sua capacità. Quando comunichiamo usando PGP, ad esempio, usiamo uno standard aperto. Non abbiamo bisogno di affidare i nostri messaggi ad una compagnia che magari è stata costretta dal governo a compromettere la nostra riservatezza. Con PGP la chiave d’accesso è nelle tue mani; nessun altro può essere costretto a rivelarla. Il progetto Tor, più complesso, non è altrettanto ben definito. Per via della sua natura distribuita, le possibilità di abuso aumentano, ma il progetto è open source e questi possibili abusi sono documentati, e dunque possiamo studiarne i limiti.
La conclusione è che siamo tutti dentro. Se decidiamo di servirci dei servizi offerti dalle grosse compagnie, dobbiamo tenere conto del fatto che potrebbero comprometterci da un momento all’altro: non con la forza bruta ma con la coercizione. Con il software proprietario non c’è modo di valutare e prendere per buone le dichiarazioni dello sviluppatore. E quando usiamo un software open source dobbiamo renderci conto delle sue limitazioni e usarlo di conseguenza.
La sicurezza su internet è responsabilità nostra.