La crittografia di Snowden non è ancora alla portata di tutti

Edward Snowden è riapparso nel cuore del Texas, anche se solo sotto forma di bit e non di atomi di carbonio. Il 10 marzo, il whistleblower che ha consegnato al mondo i leak dell'NSA ha parlato per circa un'ora in videoconferenza durante il SXSW. A fare da cassa da risonanza a Snowden c'erano anche Ben Wizner e Christopher Soghoian—loro erano ad Austin in carne e ossa—due pilastri della American Civil Liberties Union. Come potete immaginare, il discorso è andato a parare sul diritto di vivere in un paese libero dalla sorveglianza senza controllo, con tanto di immagine della Costituzione degli Stati Uniti che troneggiava sullo sfondo del video-collegamento di Snowden.

Ecco, nel 2014 la libertà individuale ha molto a che fare con l'alfabetismo digitale. Settant'anni fa, dovevi sapere leggere e avere un minimo di buonsenso per non farti fregare dal primo piantagrane che voleva venderti la Fontana di Trevi. Oggi, devi sapere difendere i tuoi dati personali sui social network e le informazioni che salvi sul tuo computer. Oltre a mostrare un briciolo di cervello quando postiamo commenti, foto e video su Facebook, dovremmo anche usare la crittografia—caldamente consigliata da Snowden—per proteggere i nostri dati privati da occhi indiscreti.

Siamo tutti d'accordo sul fatto che l'NSA abbia giocato sporco, ma la domanda che sorge spontanea nella testa di tutti coloro che non siedono tra il pubblico di SXSW—fatto di nerd, smanettoni, ingegneri informatici, attivisti per la privacy digitale—suona più o meno così: “questa crittografia di cui parlano tutti dove la compro? Al supermercato non è che ho visto grandi offerte.” In effetti, nella sua lunga videoconferenza Snowden non ha dato consigli particolarmente nuovi. Visto il pubblico in sala e il fatto di tornare a parlare per la prima volta negli USA, Snowden ha giustamente impostato il suo discorso su temi molto alti. Grazie Edward, ora però non lasciarci nella merda.

Come fa notare Derek Mead su Motherboard, gli Stati Uniti hanno un grande vantaggio in termini di soluzioni concrete per fare arrivare la crittografia sui computer di tutti i suoi cittadini. La Silicon Valley è la fucina adatta per sfornare nuove startup in grado di sviluppare prodotti “chiavi in mano” per proteggere PC e dispositivi mobili. Tutto vero, anche se rimane sempre qualche dubbio sul grado di fiducia che possiamo riporre in un'azienda privata. Cosa succede se il governo fa pressione su una piccola startup di crittografia e la costringe a consegnargli le chiavi di tutti gli account? E poi, come ci regoliamo se un'azienda più grande acquista la nostra startup di anarco-smanettoni preferita?

Snowden ha ripetuto spesso al SXSW—se vi interessa, qui c'è una prima trascrizione della videoconferenza—che la crittografia deve diventare una sorta di strumento comune nella vita di tutte le persone, soprattutto nel caso di chi rappresenta un nodo attraverso cui passano molte informazioni (i giornalisti, per esempio). Un reporter che riceve informazioni riservate da parte di una fonte “deve essere in grado di passare il test di Greenwald,” cioè garantire ai propri contatti di essere in grado di proteggere l'integrità dei dati di cui entra in possesso—esattamente come è successo con il giornalista Glenn Greenwald e il suo archivio di leaks ottenuto da Snowden stesso.

Secondo il whistleblower, essere a prova di NSA non è facile:

Esistono alcuni step base, anche se parliamo di un tema molto complicato. Ecco dove sta il difficile. Ancora, è il caso del test di Glenn Greenwald. Come lo affronti? Secondo me, esistono un paio di tecnologie chiave; c'è la crittografia completa del disco rigido, che protegge fisicamente il tuo computer e i tuoi dispositivi nel caso siano sequestrati. Poi, esiste la crittografia di rete, roba tipo il SSL, che ha aggiunto una sorta di trasparenza su cui non possiamo agire. Puoi installare un paiio di plugin. NoScript per bloccare le richieste Active X nel browser, Ghostery per bloccare gli ad e i cooking di tracciamento. Ma c'è anche TOR, che è un network di routing mixato molto importante, perché è criptato a partire dall'utente, attraverso l'ISP e fino alla fine, in una sorta di cloud di router attraverso cui passare. In quel caso, il tuo ISP, il tuo provider di connessione, non può più spiarti di default, cioè nel modo in cui si fa oggi, mentre tu navighi in giro per il web. Utilizzando TOR, fai sì che i loro sforzi si indirizzino agli attacchi contro il cloud di TOR, il che è incredibilmente complicato per loro, o al monitoraggio delle entrate/uscite di TOR per cercare di capire chi sei. Anche qui, è tutto molto difficile. Questi step base ti permettono di crittografare il tuo hardware e la tua rete di comunicazione—portandoti a un livello molto più avanzato dell'utente medio—e rendono la sorveglianza di massa molto complicata. Ma sarai ancora vulnerabile alla sorveglianza speciale. Se l'NSA ti sta alle costole, riusciranno comunque a beccarti. Ma in uno scenario di sorveglianza di massa, senza bersagli precisi e con un approccio alla 'prendi tutti i dati', sarai molto più al sicuro.

Tuttavia, i software di crittografia sono ancora una sorta di chimera tecnologica. Come ci tiene a precisare il whistleblower in esilio, “Il modo in cui interagiamo oggi non va bene. Se devi accedere a una riga di comando, di sicuro le persone non la useranno. Se devi scavare fino a tre sottomenù di profondità, le persone non la useranno. [La crittografia] deve essere lì, già pronta. Deve essere automatica. Deve accadere senza soluzione di continuità.”

Su questo, Snowden ha perfettamente ragione. Proteggere gli utenti finali è un duro lavoro fatto di user experience e sensibilizzazione “politica.” Già, perché adottare la crittografia in massa è una questione che ci riguarda tutti. L'anno scorso, quando è scoppiato lo scandalo NSA, molti commentatori si erano levati contro i leaks di Snowden, sostenendo che il governo degli Stati Uniti stesse spiando i cittadini per il loro bene, e senza neppure chissà quale sforzo titanico, tanto da chiedere agli americani: “che ne dite del fatto che chiunque può leggere i dati di Facebook o Twitter, e che qualsiasi geek può violare la vostra email?”

In un certo senso, affidare la propria vita ai social network e poi lamentarsi perché le aziende che li gestiscono vendono o passano informazioni a terzi—che siano holding della pubblicità dei sottaceti o l'intelligence—è un po' ipocrita, ma questo non significa che la privacy sia carne da macello. Come ha giustamente fatto notare Snowden, “le aziende private possono spiare le tue informazioni per venderti prodotti, il che potrebbe anche rivelarsi spiacevole,” ma almeno esiste la possibilità di rispondere per vie legali e contestare l'uso fraudolento della licenza per il trattamento dei dati personali. Invece, “i governi possono privarti dei tuoi diritti,” e in questo caso non c'è alcuna via legale che tenga. Ecco perché il mantra “tanto io non ho nulla da nascondere” non ha alcun senso: accettare supinamente l'idea di essere sorvegliati danneggia anche le persone con cui comunichiamo. Se un amico si rifiuta di postare le proprie immagini su Facebook, forse dovremmo rispettare la sua scelta e tenere le foto che ci ritraggono insieme lontane dall'area upload del social network.

Lo stesso vale per le comunicazioni via email e cellulare. Se pensiamo veramente che l'NSA e gli altri servizi di intelligence ci intercettino solo per il nostro bene, siamo dei coglioni. È vero, ci sono casi in cui le indagini devono per forza intromettersi nella vita privata delle persone, ma si tratta di eccezioni che non fanno la regola. Senza contare che, come ha fatto notare Snowden, “Come ho detto nella testimonianza al Parlamento europeo, siamo vittime di terribili fallimenti da parte dei servizi segreti per il fatto che monitoriamo internet; sapete, stiamo monitorando le comunicazioni di tutti piuttosto che quelle dei sospettati. La mancanza di un focus ha fatto sì che ci perdessimo delle informazioni che invece avremmo dovuto conoscere bene.” Tanto per dirne una, l'identificazione dei terroristi che hanno fatto esplodere le bombe alla maratona di Boston.

“Abbiamo bisogno di un watchdog che controlli il Congresso,” ha proposto Snowden. “Una realtà che possa dirci 'ehi, queste persone non vi hanno detto di avervi appena mentito'. Altrimenti noi come facciamo a saperlo?” È una soluzione politica sensata, ma potrebbero volerci anni prima di vedere i risultati. Senza contare che una legge nazionale potrebbe non essere in grado di proteggere i cittadini dalle tecnologie di spionaggio di un paese meno democratico e più impiccione.

Insomma, forse Snowden non ci ha lasciati da soli nella merda. Nella merda ci siamo finiti tutti. Dobbiamo solo fare in modo che la battaglia per la privacy non finisca su binari sbagliati. Più di 16 anni fa, diversi gruppi di attivisti hanno ricordato al mondo che la crittografia non è un'arma. Trattare TOR e tecnologie simili alla stregua di armi e munizioni, e quindi limitarne la diffusione anche nei paesi democratici, sarebbe una sconfitta per tutti. Nessuno escluso.