 |
Questa pagina è stata trascritta e formattata, ma deve essere riletta. | |
La figura del whistleblower, ossia di quel soggetto che, dall’interno della struttura di un’organizzazione privata o di un ente pubblico, prende la ferale decisione di rivelare fatti e documenti comprovanti comportamenti illeciti, è sempre stata, per Aaron, estremamente affascinante.
In particolare, il giovane hacker pensò a quali strumenti tecnologici potessero essere utili a un soggetto che avesse intenzione di trasmettere dei documenti a un giornalista, a una redazione o agli uffici di un’autorità, ma che, al contempo, volesse essere certo di non essere intercettato o controllato nelle sue comunicazioni, né che fosse svelata la sua identità.
Aaron dedicò, allora, alcuni mesi a ideare e progettare un sistema che denominò SecureDrop: una simile architettura avrebbe consentito di comunicare in maniera sicura con ben specifiche fonti d’informazione – soprattutto, redazioni di quotidiani, settimanali e singoli giornalisti – tutelando sia il canale di comunicazione, sia la fonte.
Lo scopo di Aaron era quello di dimostrare, per l’ennesima volta, come un uso intelligente delle migliori tecnologie disponibili potesse contribuire ad alzare barriere protettive abbastanza solide contro tentativi di controllo e di sorveglianza da parte dei governi e dell’autorità.
In questo caso, il sistema era stato pensato – ma non solo – come un servizio open source che editori, redazioni, giornalisti o semplici utenti avrebbero potuto installare sui server di loro proprietà, per consentire a fonti, che avessero voluto rimanere anonime, di inviare documenti, a loro avviso, utili per una potenziale inchiesta.
Si trattava di un’iniziativa ben progettata, e anche questa ebbe un buon riscontro a livello internazionale: venne adottata, nel corso degli anni, da oltre cinquanta realtà, tra cui The New York Times, The Washington Post, ProPublica e The Intercept.
L’idea alla base di un simile progetto si fonda su alcuni assunti di cybersecurity che Aaron e il suo gruppo di lavoro avevano ben chiari, e che misero immediatamente in pratica.
Innanzitutto, il sistema/server che riceve e tratta le segnalazioni non deve essere gestito da una terza parte, ma deve rimanere di proprietà dell’organizzazione e trovarsi fisicamente all’interno di essa.
Poi, si deve prevedere un processo rigoroso di minimizzazione dei metadati (le informazioni aggiuntive contenute nei documenti) ed evitare assolutamente di registrare informazioni circa gli indirizzi IP di collegamento, i browser utilizzati e qualsiasi identificativo correlabile a un computer.
