Aggiustare il mondo - Aaron Swartz/L'attivismo/13. La tutela degli informatori
 |
Questo testo è incompleto. | |
| ◄ | L'attivismo - 12. La protezione dell'anonimato | I casi giudiziari | ► |
La figura del whistleblower, ossia di quel soggetto che, dall’interno della struttura di un’organizzazione privata o di un ente pubblico, prende la ferale decisione di rivelare fatti e documenti comprovanti comportamenti illeciti, è sempre stata, per Aaron, estremamente affascinante.
In particolare, il giovane hacker pensò a quali strumenti tecnologici potessero essere utili a un soggetto che avesse intenzione di trasmettere dei documenti a un giornalista, a una redazione o agli uffici di un’autorità, ma che, al contempo, volesse essere certo di non essere intercettato o controllato nelle sue comunicazioni, né che fosse svelata la sua identità.
Aaron dedicò, allora, alcuni mesi a ideare e progettare un sistema che denominò SecureDrop: una simile architettura avrebbe consentito di comunicare in maniera sicura con ben specifiche fonti d’informazione – soprattutto, redazioni di quotidiani, settimanali e singoli giornalisti – tutelando sia il canale di comunicazione, sia la fonte.
Lo scopo di Aaron era quello di dimostrare, per l’ennesima volta, come un uso intelligente delle migliori tecnologie disponibili potesse contribuire ad alzare barriere protettive abbastanza solide contro tentativi di controllo e di sorveglianza da parte dei governi e dell’autorità.
In questo caso, il sistema era stato pensato – ma non solo – come un servizio open source che editori, redazioni, giornalisti o semplici utenti avrebbero potuto installare sui server di loro proprietà, per consentire a fonti, che avessero voluto rimanere anonime, di inviare documenti, a loro avviso, utili per una potenziale inchiesta.
Si trattava di un’iniziativa ben progettata, e anche questa ebbe un buon riscontro a livello internazionale: venne adottata, nel corso degli anni, da oltre cinquanta realtà, tra cui The New York Times, The Washington Post, ProPublica e The Intercept.
L’idea alla base di un simile progetto si fonda su alcuni assunti di cybersecurity che Aaron e il suo gruppo di lavoro avevano ben chiari, e che misero immediatamente in pratica.
Innanzitutto, il sistema/server che riceve e tratta le segnalazioni non deve essere gestito da una terza parte, ma deve rimanere di proprietà dell’organizzazione e trovarsi fisicamente all’interno di essa.
Poi, si deve prevedere un processo rigoroso di minimizzazione dei metadati (le informazioni aggiuntive contenute nei documenti) ed evitare assolutamente di registrare informazioni circa gli indirizzi IP di collegamento, i browser utilizzati e qualsiasi identificativo correlabile a un computer.
La cifratura dei dati – sia in transito, sia a riposo – garantisce la loro riservatezza e integrità; il sistema può funzionare benissimo anche come strumento di formazione e di educazione alla sicurezza informatica per i giornalisti e gli utenti, dal momento che impone, nel quotidiano, comportamenti destinati ad aumentare, in generale, la sicurezza nelle attività più comuni, soprattutto se effettuate in ambienti ad alto rischio.
Il tutto è fondato su software libero, che permette e garantisce una regolare verifica del codice sorgente e del suo livello di sicurezza, nonché l’assenza di backdoor, ossia di vulnerabilità che permettano l’ingresso surrettizio di terzi nel canale di comunicazione.
SecureDrop nasce, nella mente di Aaron, come un sistema di protezione delle fonti giornalistiche ma, in realtà, dà vita a un intero ambiente informatico sicuro, che elimina completamente le terze parti (ad esempio, un provider che potrebbe custodire i dati): il giornalista e la fonte comunicano esclusivamente attraverso un server che il giornale possiede e che si trova in locali di sua proprietà (un server, per di più, che conserva molte meno informazioni, e file di log, degli operatori “tradizionali”).
L’attenzione alla minimizzazione dei metadati ci fa comprendere, ancora una volta, come oggi i dati esterni – ossia i dati di traffico, le durate delle comunicazioni, il mittente e il destinatario di una chiamata, di una e-mail o di un messaggio – siano ben più importanti dei contenuti stessi delle conversazioni.
La fonte deve accedere a SecureDrop unicamente attraverso TorBrowser, che provvede a mascherare l’indirizzo IP della fonte stessa (quindi, non si può risalire ad alcuna indicazione su chi sia la fonte, a meno che non sia essa stessa a rivelarlo, né da dove stia inviando informazioni).
L’indirizzo IP della rete Tor, il computer e il tipo di browser che la fonte sta usando non vengono in alcun modo registrati, e per ogni fonte documentale vengono memorizzate sul server solamente l’ora e la data di ogni invio.
Quando una fonte invia un nuovo messaggio, l’ora e la data dell’ultimo messaggio vengono sovrascritte, per cui non rimangono metadati in grado di dimostrare il momento esatto del dialogo tra la fonte e il giornalista.
Al contempo, le fonti non possono creare un nome-utente personalizzato, che potrebbe ingenuamente rivelare informazioni su di loro, ma è SecureDrop stesso a generare automaticamente due nomi in codice casuali: uno da mostrare alla fonte, e un altro ai giornalisti che usano il sistema.
Le comunicazioni attraverso SecureDrop sono cifrate in transito, quindi i messaggi non possono essere facilmente intercettati e letti mentre attraversano Internet, e sono anche cifrate sul server, quindi se un attaccante riuscisse a penetrare nel server non sarebbe, comunque, in grado di leggere i messaggi che sono circolati.
Non meno importante, la chiave di decifratura per l’invio a SecureDrop si trova su un computer air-gapped (non connesso in alcun modo a Internet): questo computer scollegato dalla rete è l’unico luogo in cui i messaggi SecureDrop vengono decifrati e letti, per far sì che sia molto più difficile, per un possibile attaccante, accedervi.
I contributi sono, poi, accessibili e scaricabili dai giornalisti utilizzando il sistema operativo Tails, che si avvia da una chiavetta USB, non “tocca” il disco rigido del computer e instrada tutto il suo traffico Internet attraverso la rete Tor.
I contributi sono, infine, decifrati su un computer air-gapped che usa anch’esso Tails, e questo procedimento mitiga il rischio che un attaccante possa inviare malware attraverso SecureDrop nel tentativo di infettare la rete principale del quotidiano o dell’organizzazione.
La scelta di Aaron di ancorare il suo progetto a Tails, un piccolo/grande sistema operativo, pensato e sviluppato per garantire un alto livello di sicurezza e per essere utilizzato (anche) in contesti dove le attività di sorveglianza e di controllo sono particolarmente pervasive nei confronti di un utente preso di mira, è molto significativa anche in un’ottica di attivismo.
Aaron scelse, infatti, un sistema operativo specificamente progettato per non lasciare alcuna traccia di attività sul computer che lo “ospita” e che permette all’utente di installarne una copia su una normalissima chiavetta USB e di usarla ovunque, soprattutto su computer di cui l’utente non conosca l’origine, la provenienza e la configurazione. L’uso tipico, come ben si può immaginare, è sul computer collocato in un Internet Café o nella hall di un hotel, luoghi che Aaron vedeva come facilmente controllabili da un terzo ostile.
Nonostante sia un sistema pensato per dissidenti, per giornalisti controllati da regimi liberticidi, per vittime di reati (ad esempio, di stalking) o, comunque, per persone che non possono permettersi di lasciare tracce delle loro attività, si può rivelare uno strumento assai utile per l’utente itinerante, che voglia mantenere al sicuro i suoi dati e le sue attività/comunicazioni.
Aaron, com’è noto, cercava, negli strumenti che utilizzava o sviluppava, come prima cosa, la semplicità, e l’uso di Tails è molto semplice ed è alla portata anche dei non-tecnici: si avvia su un computer “ospite”, ma il sistema operativo risiede sulla chiavetta USB in possesso e di proprietà dell’utente. La conseguenza è che si viene a creare una sorta di “computer temporaneo” sulla chiavetta stessa (che si appoggia alla memoria volatile del computer “ospite”), che non lascia alcuna traccia delle attività dell’utente. In pratica, Tails non usa né il sistema operativo presente sul computer che lo ospita, né il suo disco fisso.
Ma vi è di più: Tails, a ogni avvio, si presenta come un ambiente libero da qualsiasi dato generato in precedenza e, quindi, non reca traccia di tutte le attività svolte in passato. In altre parole: non appena si spegne il computer, “svanisce” anche Tails.
Aaron aveva riflettuto con cura sui benefici immediati di tale sistema: Tails consentiva di non lasciare tracce di tutte le attività che un utente comune avrebbe potuto svolgere nelle ore trascorse di fronte allo schermo di un computer: i siti web visitati, i file aperti e cancellati, le password memorizzate e le reti Wi-Fi utilizzate. Tutto, in sintesi, sarebbe sparito.
Tails permette, poi, di memorizzare in una cartella cifrata alcuni strumenti utili, o file, che si utilizzano più comunemente o che si vogliono consultare in seguito: si usa, in pratica, la stessa chiavetta USB come archivio persistente.
Il sistema operativo contiene una selezione di applicazioni pensate per finalità di sicurezza informatica, e tutte queste applicazioni sono già configurate al fine di non lasciare tracce o per garantire il più alto livello di anonimato possibile.
Siamo in presenza di una sorta di security by default implementata e incorporata nel sistema operativo stesso. Si pensi, ad esempio, che tali applicazioni sono automaticamente bloccate dal sistema nel caso cercassero di connettersi a Internet senza utilizzare Tor e, quindi, senza transitare attraverso una rete cifrata. Una delle regole “inflessibili” di cybersecurity alla base dello sviluppo di Tails prevede, infatti, che qualsiasi attività effettuata su Internet debba passare per la rete di Tor.
Si tratta, in definitiva, di uno strumento multiuso che potrebbe permettere la non tracciabilità, o profilazione, da un punto di vista commerciale/pubblicitario e la gestione di un sito web, o di un blog, con modalità le più possibile anonime.
Il codice sorgente è pubblico, basato sulla distribuzione Debian e a completa disposizione di tanti ricercatori indipendenti, che costantemente verificano che non vi siano incorporate nel codice backdoor o “trappole” di altro genere per gli utenti.
Nel maggio del 2013, l’importante rivista New Yorker ha annunciato il lancio di Strongbox, una “casella di posta” anonima sviluppata proprio partendo dalle idee di Aaron Swartz ed eredità delle invenzioni già alla base del progetto SecureDrop.
Si tratta, anche in questo caso, di un sistema di “posta” in grado di ricevere e proteggere i file provenienti da fonti anonime. Il germe di questa idea aveva visto il contributo anche di Kevin Poulsen, ex hacker e redattore di Wired, che aveva conosciuto Swartz quando il sito Reddit era stato venduto a Condé Nast (che possedeva sia Wired, sia il New Yorker).
Sia Aaron, sia Kevin avevano sviluppato questa idea di progettare una casella di posta sicura e anonima per i reportage investigativi; con la collaborazione dell’esperto di sicurezza James Dolan, erano arrivati a crearne una versione stabile nel dicembre del 2012.
Nei mesi successivi, una versione definitiva e funzionante fu proposta al New Yorker, che la implementò e la chiamò Strongbox.
Strongbox, presente e funzionante ancora oggi, è, essenzialmente, un sistema di dropbox sicuro combinato con vari protocolli, che servono a rendere i messaggi più difficili da rintracciare.
Per connettersi al sistema, una fonte deve utilizzare, anche in questo caso, la rete di anonimizzazione Tor. Da quel momento può caricare un file e riceve, in risposta, un nome in codice generato casualmente. I file saranno cifrati e inviati a un server separato dal resto della rete di Condé Nast.
Per poterli visualizzare, i redattori dovranno adottare una serie di precauzioni di sicurezza, tra cui la decifrazione dei file stessi su un computer separato non connesso a Internet, e le comunicazioni successive utilizzeranno quel nome in codice.
Il lancio di questa architettura fu effettuato solo pochi giorni dopo che un’agenzia di stampa aveva rivelato come gli investigatori del Dipartimento di Giustizia avessero monitorato le telefonate di alcuni giornalisti per cercare di scoprire le loro fonti.
Strongbox è stato progettato proprio per rendere le testate giornalistiche un po’ meno vulnerabili alle richieste governative o ai controlli aziendali: a meno che una fonte non scelga di identificarsi, nemmeno i giornalisti sapranno chi è e, a differenza di quanto accade con un’e-mail proveniente da un account “usa e getta”, non c’è un servizio/provider come Google o Yahoo cui rivolgere istanze processuali.
Strongbox è utilizzato solo dal New Yorker, ma il codice sottostante, noto come DeadDrop, è oggi disponibile con licenza open source su GitHub.
Questi progetti sono, negli Stati Uniti d’America, strettamente legati all’idea del ruolo della stampa e della sua funzione democratica e di controllo, un tema che per Aaron era non solo estremamente affascinante, ma centrale nella vita di un Paese.
The Freedom of the Press Foundation, negli Stati Uniti, oltre a organizzare dei tradizionali hackathon per testare e migliorare simili sistemi, ha sempre individuato l’impulso di Aaron dietro al progetto SecureDrop come la volontà di ristabilire l’equilibrio tra i governi e i giornalisti che vogliono comunicare con fonti anonime. E questo, unito a una libertà di stampa molto forte, è visto come un elemento essenziale per una democrazia funzionante.
Si pensi che la Fondazione si è presa carico dello sviluppo e della promozione di un simile sistema open source, al fine di aiutare le organizzazioni dei media a semplificare il processo di accettazione sicura dei documenti provenienti da fonti anonime.
In questa fase di sviluppo di prodotti pensati per proteggere le comunicazioni, è evidente la volontà di Aaron di entrare anche nell’attivismo pratico e nella resistenza elettronica, ossia la creazione di tools – strumenti utilizzabili anche dal semplice cittadino – per alzare una barriera nei confronti di società, forze dell’ordine e governi che avevano intensificato il controllo sulle comunicazioni degli utenti comuni.
Egli aveva compreso, in particolare, che un uso intelligente delle tecnologie esistenti avrebbe permesso, se non un livello di anonimato assoluto, almeno strumenti di difesa particolarmente efficaci in determinati contesti ad alto rischio di controllo e di sorveglianza.