FYI.

This story is over 5 years old.

La crittografia dei tuoi dati online non può più aspettare

I servizi di cloud sharing hanno la brutta abitudine di sbandierare i nostri dati qua e là. Meglio scegliere un gestore a 'zero knowledge' che non sa nulla dei nostri file. Come suggerisce Snowden.
Immagine: Elsamuko/Flickr

Edward Snowden si preoccupa per te, e tu dovresti sapere anche il perché. Lui, il whistleblower che ha fatto puntare i riflettori dei media sul vasto programma di spionaggio dati dell'NSA grazie alle sue rivelazioni, vuole darti un consiglio da amico: non usare più Dropbox. Piuttosto, passa a SpiderOak che è un tripudio di crittografia.

Se ci fosse stato anche un hashtag #staisereno non l'avremmo preso tanto sul serio, ma visto che in quel caso Snowden era nel bel mezzo di una video intervista al Guardian, ci siamo messi in ascolto. Non c'è voluto molto per capire di cosa si trattava. Nella stanza di un qualche albergo di Mosca, il whistleblower ha espresso un concetto abbastanza chiaro: dite sì alla crittografia e fatelo subito.

Pubblicità

A marzo, Snowden ha stressato per l'ennesima volta il concetto di costruire una società civile a prova di NSA. Per riuscirci, oltre a fare pressioni sul proprio governo, i cittadini devono dotarsi di tutti quegli strumenti tecnologici in grado di proteggere i propri dati. Ok, blindare il proprio hard disk con la crittografia è un primo passo, ma come possiamo fare per le informazioni che affidiamo ai servizi cloud come Dropbox?

Dropbox utilizza il sistema di crittografia AES a 256 bit per proteggere le informazioni conservate sui propri server, ma il servizio non è immune da attacchi e bug che possono comprometterlo—un po' come è successo a maggio con la storia dei link condivisi tracciabili dall'esterno. Tuttavia, anche se il servizio di cloud fosse a prova di bomba, il fatto che Dropbox risponda alle procedure di data request degli utenti da parte dei governi ve la dice lunga sulla porosità del sistema.

Per essere efficace, la crittografia deve essere strettamente personale. Se un'azienda come Dropbox è in grado di trasmettere i dati degli utenti ai governi—ma solo in caso di "indagini specifiche"—allora c'è qualcosa che non va. E allora non sorprende che agli antipodi di queste forme di sicurezza parziale ci sia il concetto di zero knowledge, che in pratica significa negare ai servizi cloud la possibilità di sapere cos'è che gli utenti salvano sui server.

Sia Mega di Kim Dotcom—da poco bloccato in Italia—che SpiderOak delegano al computer dell'utente il compito di definire la chiave crittografica che proteggerà i suoi dati. In questo modo, l'azienda si ritrova a gestire montagne di informazioni indecifrabili che, comunque, possono essere condivise in chiaro tra diversi dispositivi e utenti. L'utente è l'unico custode della chiave di accesso e, salvo errori grossolani, può stare certo che il suo account rimarrà al sicuro.

Pubblicità

Di conseguenza, un'azienda che segue il sentiero zero knowledge non può essere di alcun aiuto a un governo che richiede l'accesso completo ai dati degli utenti. Purtroppo nessun sistema è sicuro al 100 percento, ma se non altro sarete voi e solo voi gli unici responsabili della roba che salverete sul cloud.

Attenzione però, zero knowledge non significa sbattersene di tutto e sputare sulle regole civili. Se pensate che la crittografia faccia comodo solo a pedofili e terroristi, be', avete le idee un po' confuse. Avere il controllo completo sui propri dati non è un crimine. Piuttosto, è una presa di responsabilità di fronte a una situazione che fa acqua da tutte le parti.

Prendi il NaMeX, uno degli Internet Exchange Point italiani che funziona da centro di interscambio e interconnessione tra provider, operatori di rete e aziende della rete. In pratica, è un nodo gigante di internet da cui passano 20 gigabit di dati al secondo. E, in questo caso, dati significa praticamente qualsiasi cosa voi facciate su internet, compresi i file che mandate sul cloud. Un posto come il NaMeX te lo immagini simile a una roccaforte tecnologica, e invece è un palazzo come tanti altri nel quartiere San Lorenzo a Roma.

La planimetria del data center dove è ospitato il NaMeX di Roma. Immagine: Caspur

L'idea di avere un nodo di internet sepolto nello scantinato di una palazzina romana—in via dei Tizi 6b, a essere precisi—deve avere materializzato una cascata di visioni cypherpunk in cui orde di hacker e agenti speciali si allacciano in segreto alla rete per saccheggiare informazioni e dati sensibili. Non a caso, la settimana scorsa La Repubblica è andata a curiosare nelle stanze del NaMeX, sull'onda di una relazione riservata degli ispettori del Garante per la privacy che denunciava "una serie di gravi criticità sulle misure di sicurezza logiche e fisiche".

E così, all'ispezione del Garante si è affiancata un articolo di Repubblica con ascensori azionati da badge aziendali che non possono nulla contro i poteri forti, visto che "quanto ci vuole a una spia, italiana o straniera, per clonare una di queste carte elettroniche? Poco. Forse niente." Non dovete neppure sorprendervi del fatto che il titolo del pezzo reciti "Nel condominio del Grande Fratello che custodisce le nostre parole, senza vigilanza."

Il vero problema non sta nel fatto che uno dei nodi italiani di internet sia in un palazzo di San Lorenzo, potenzialmente esposto all'attacco di "spie straniere." Il dramma è che la rete è rimasta praticamente la stessa di un tempo—una selva di cavi che penzolano qua e là—mentre le informazioni che ci girano sopra sono diventate creature aliene così complesse che 20 anni fa non avremmo potuto neppure immaginare… Perciò, oggi dobbiamo difenderci da soli.

Ma questo non significa che da noi sia tutto un selvaggio west. Non c'è bisogno di chiudere il computer in un armadio blindato, circondarlo con filo spinato e cavalli di frisia. E neppure di fare le ronde intorno ai tombini delle fibre ottiche. Dobbiamo solo stare al passo con i tempi e diventare l'incubo vivente delle aziende che offrono servizi online. Chi tratta male i nostri dati se la deve vedere brutta.

Per esempio, i nuovi paletti del Garante per la privacy—quelli che impongono a Google di fornire maggiori informazioni agli utenti sulle modalità di profilazione, pubblicità mirata e conservazione dei dati personali—hanno messo il fiato sul collo all'azienda statunitense, che ora dovrà smazzarsi una bella risma di linee guida gestionali. Nonostante tutto, queste disposizioni affrontano solo una piccola parte dei problemi legati alla privacy. È un po' come se ci avessero dato della carta da regalo tempestata di paillettes per fasciare una barra di uranio. Se non cambia la sostanza, ci faremo comunque del male.

Le scelte sono due: possiamo chiamarci fuori dalla battaglia e annegare computer, smartphone e tablet nel cesso oppure darci una regolata e usare la crittografia per proteggere i nostri file, da soli. In entrambi i casi, sarà un momento epico.