Stasera, è uscita la notizia che i servizi segreti USA hanno intercettato i dati privati sostanzialmente di tutti i principali servizi social. Foto, video conferenze, chat di testo e chiamate vocali – tutto. Abbiamo detto questo per anni e ci hanno detto che avevamo i cappelli di carta stagnola e fesserie da cospiratori: è bello vedere finalmente i documenti in nero su bianco.
Stasera, orario europeo, è uscita la notizia che l’Agenzia di Sicurezza Nazionale degli Stati Uniti (NSA) ha avuto accesso diretto a quasi tutti i social network per parecchi anni, da circa il 2007, nell’ambito di un programma di nome PRISM. Nell’ambito del programma, un numero di servizi social hanno caricato volontariamente i dati personali delle persone all’NSA. In breve, se avete usato / caricato:
- chat video o vocali
- video
- foto
- dati memorizzati
- chiamate VoIP
- trasferimenti di file
- videoconferenze
- (e altro)
… da uno di questi …
- Microsoft (incluso Hotmail e simili), dall’11 settembre 2007
- Google, dal 14 gennaio 2009
- Yahoo, dal 12 marzo 2008
- Facebook, dal 3 giugno 2009
- PalTalk, dal 7 dicembre 2009
- YouTube, dal 24 settembre 2010
- Skype, dal 6 febbraio 2011
- AOL, dal 31 marzo 2011
- Apple, dal dall’ottobre 2012
… allora siete stati intercettati e registrati, e lo siete tuttora.
Questa notizia è uscita solo dopo che è stato rivelato che la stessa NSA sta chiedendo i tabulati telefonici a uno dei maggiori operatori di telecomunicazioni degli Stati Uniti, e presumibilmente a tutti.
In breve, praticamente ogni singolo servizio che sia mai stato utilizzato, che ha operato in base al principio “fidatevi di noi” ha fornito i tuoi dati privati direttamente alle agenzie di sicurezza simili alla STASI. Praticamente ogni singolo servizio. L’unica eccezione da notare che manca dalla lista è Twitter (ma Twitter diffonde i messaggi – in primo luogo non si devi scrivere niente segreto su Twitter).
Notare con attenzione che questo programma PRISM non esiste solo negli Stati Uniti: Diverse nazioni europee hanno lo stesso tipo di intercettazioni in atto, in Svezia tra gli altri. Inoltre, queste agenzie condividono i dati grezzi liberamente tra loro, aggirando tranquillamente eventuali restrizioni sulle intercettazioni della propria popolazione (“io intercetto i tuoi se tu intercetti i miei”).
Questa notizia è praticamente esplosa quando è uscita stasera. Abbiamo detto che probabilmente questo stato di cose va avanti da anni – è un bene riuscire finalmente a liberarsi di quei cappelli di carta stagnola, avendo i fatti sul tavolo. Com’era prevedibile, le aziende di comunicazioni sociali nominate nelle diapositive della NSA sono saltate fuori arrampicandosi con dichiarazioni e commenti.
Google, per esempio, ha detto in una dichiarazione al Guardian: “Google si preoccupa profondamente della sicurezza dei dati dei nostri utenti. Divulghiamo i dati degli utente al governo in conformità con la legge, e passiamo in rassegna con attenzione tutte le richieste. Di tanto in tanto, le persone sostengono che abbiamo creato una ‘porta di servizio’ per il governo nei nostri sistemi, ma Google non ha una porta di servizio che consente al governo di accedere ai dati privati degli utenti”.
Come politico, ciò che mi colpisce è come questa affermazione sia confezionata con cura per dare l’impressione di negare le accuse, senza però farlo. Si ferma esattamente poco prima di dire “le accuse presentate sono bugie”.
[UPDATE: La risposta dal CEO di Google cambia completamente questo quadro. Potete leggere la risposta qui. Sie ancora intercettato, se stai utilizzando un servizio di comunicazione centralizzato, ma non per colpa di Google.]
Ad esempio, potrebbe essere attivo un sistema che alimenta continuamente i dati alla NSA dai server di Google in conformità con i documenti della NSA, e la dichiarazione di Google qui sopra sarebbe ancora vera (se Google fornisce i dati alla NSA, piuttosto che la NSA li scaricata da Google).
Microsoft – il cui motto è “La privacy è la nostra priorità“, fa notare il Guardian – è stato il primo ad aderire al programma PRISM nel 2007. D’altra parte, la società non è mai stata creduta più di tanto, quindi non vedo tutta questa sorpresa.
Ciò che impariamo da questo è qualcosa che noi attivisti della libertà della rete sapevamo e abbiamo praticato da sempre: se volete che i vostri dati siano privati, non potete fidarvi di nessuno. Nessuno. Devi assicurarti di criptarteli da solo. Solo allora è possibile darli in custodia a qualcun altro. Mettere un file in chiaro su Dropbox, Google Drive, inviandolo tramite posta elettronica, ecc, è ed è stato l’equivalente di gridarlo al mondo intero.
Un sistema che richiede privacy, ma è costruito sul presupposto della fiducia di un terzo, è difettoso già per come è progettato.
Ci si può fidare solo di sistemi che sono costruiti intorno al principio di diffidare del mondo intero (come Bitcoin, nota bene), o sistemi che sono fisicamente sotto il vostro controllo. Si noti che io dico fisicamente : avere server virtuali “nel cloud” non è sufficiente, perché un amministratore di quel cloud può banalmente entrare e prendere tutto quello che state elaborando e forniro a chi gli piace, e si deve supporre che lo faccia. Per lo stesso motivo, avere i propri server in un datacenter in afitto non è sufficiente, ancora: un amministratore del data center può consentire l’accesso ai computer a chi gli pare. Questo è il motivo per cui ho i server per questo sito di e di altri miei siti che girano sul mio balcone:
Questa è la ragione per cui non ci si può fidare di Dropbox, Gmail, Skype e altri servizi analoghi con qualsiasi cosa anche lontanamente sensibile. Se si dispone di dati sensibili, hai bisogno di avere il tuo server per memorizzarli e comunicarli. Server che siano fisicamente sotto il vostro controllo. È per questo che si dovrebbe essere eseguire SparkleShare criptato sul proprio file server piuttosto che Dropbox nel cloud; è per questo che si dovrebbe eseguire Mumble criptato di default sul proprio server invece di utilizzare Skype, è per questo che si dovrebbe utilizzare RedPhone dal proprio cellulare invece di fare normali telefonate.
E’ già una questione di vita o di morte in molti luoghi del pianeta. Inoltre, notare che non ci si deve preoccupare delle leggi di oggi: tutto viene registrato e conservato, e le tue parole innocenti di oggi possono ritorcersi contro di te tra 30 anni con una diversa amministrazione.
La privacy è una tua responsabilità. Non puoi fidarti di nessuno.
Come nota finale, questo fa capire molto perché i Partiti Pirata sono necessari – a livello mondiale – per cacciare a calci i politici che autorizzano tali gravi violazioni di ufficio, al largo della costa e in mare aperto. (Io di solito scrivo “negli stati vicini”, ma la gente di quegli stati si lamenta sempre che non li vuole neanche la gente del posto).
Articolo tradotto da Mauro Pirata del Partito Pirata Italiano