Quindi cos'è esattamente PRISM della NSA oltre che male riprovevole?

Il programma statunitense PRISM della NSA sembra essere un insieme di filtri specializzati per ispezionare in profondità i pacchetti combinato con punti di intercettazioni telefoniche pre-esistenti a operatori internet di alto livello negli Stati Uniti. Sin da quando il programma è stato rivelato, l’altro ieri, le speculazioni hanno spaziato in lungo e in largo su chi fa cosa per rendere possibile questo incubo sulla sorveglianza di stato. Mettendo tutto insieme, sembrerebbe che le società social tecnologiche non abbiano, ripeto “non“, fornito i dati in blocco sui propri utenti su volere del Governo degli Stati Uniti – ma che la situazione per voi come utenti finali rimane proprio come se lo avessero fatto

L’altro ieri è uscita la notizia – no, è esplosa – che la NSA ha nominato nove imprese di comunicazione social come “fornitori” per i dati di spionaggio. Tra di loro c’erano Microsoft, Hotmail, Skype, Apple e Facebook – nessuna sorpresa, gli attivisti nei paesi repressivi dicono su Skype “usalo una volta, muori una volta” – ma anche aziende come Google e Gmail. Ciò ha fatto corrugare le ciglia a tanti, per non dire infuriare.

L’idea che le aziende di cui ti fidi con i tuoi dati più privati stavano distribuendo dati all’ingrosso a quella che oggi è l’equivalente della Stasi era un pensiero malvagio e cinico. Quando è uscita questa notizia, le aziende ne sarebbero uscite meglio se fossero state scoperte facendo qualcosa come mangiare i bambini vivi.

L’impressione che le aziende stessero giocando un ruolo attivo nel fornire i dati privati alla NSA è stata rafforzata dalla precisione della presentazione – nella quale c’erano le date in cui ciascuna società aveva, come sembrava, volontariamente aderito al programma di sorveglianza.

Vedendo le società in questione arrampicarsi per negare le accuse dell’ NSA – prima dal portavoce di turno con la facciata lucidata, poi dai presidenti – è stato il passo successivo inevitabile. Ma è qui che le cose diventano interessanti. Mentre la lucida facciata iniziale era poco credibile, la risposta da parte dei presidenti è arrivata come sorpresa, aperta e candida.

Finora, ci sono tre soggetti in questa storia: la NSA con il suo gruppo di diapositive dalle quali sono trapelati i nomi delle nove aziende come fornitori di dati, i media che li hanno riferiti, e le società che negano qualsiasi parte attiva nell’attività di spionaggio della NSA. La prima reazione è che almeno uno di loro stia mentendo. Ma io non credo che nessuno di loro lo faccia. Credo che le schede trapelate dalla NSA siano genuine, penso che il Washington Post e il Guardian non cospirano per inventarsi schifezze come questa, e sono giunto a credere alla risposta da parte delle aziende. Come può essere possibile?

A questo punto, ci sono tre possibilità su ciò che sia Prism:

1: le società di servizi di comunicazione social stanno distribuendo i dati privati alla NSA automaticamente, in blocco e/o su richiesta. Questa è stata la prima impressione dalla presentazione e dagli articoli sul Guardian/Washington Post, in combinazione con l’uso del termine “fornitore” da parte della NSA quando vengono nominate le nove società .

Tuttavia, una reazione iniziale d’interesse da parte delle società in questione ha detto qualcosa di molto rilevante: “se questo accade, è senza che noi lo sappiamo o che abbiamo acconsentito”. Questo ci porta a l’opzione 2.

2: La NSA sta intercettando una serie di punti di giunzione chiave su Internet in tempo reale, e hanno filtri specializzati in tempo reale per estrarre le informazioni quando le persone usano i servizi delle nominate nove società di servizi social. Sappiamo già della centralina di smistamento in fibra all’AT&T, sappiamo di Echelon, sappiamo di almeno un ordine del tribunale per Verizon. Il fatto che Internet sia intercettata in tempo reale dai servizi segreti è ben noto. Come quei dati siano utilizzati e analizzati, non tanto.

C’è anche una terza opzione, che è la via normale per il tribunale per ottenere un ordine del tribunale per tirar fuori dati privati su di un utente, che il New York Times ha ipotizzato sia il programma Prism:

3: Quando viene presentato un ordine giudiziario, le aziende rispettano la legge e presentano tante informazioni quante sono state legalmente richieste, ma non di più. Questo è stato il caso per un bel po’ di tempo, ed è di gran lunga antecente a quando sono nate le comunicazioni sui social network – e pure le comunicazioni digitali.

Tra queste, sembra che le opzioni 2 e 3 siano vere. L’opzione 1 non lo è. Ecco perché.

Quando il CEO di Google e il loro direttore legale pubblicano congiuntamente un post sul blog intitolato “What the Fuck?”, c’è una componente di candida sorpresa. Quando esprimono le loro confutazioni alle accuse in un modo che non lascia assolutamente spazio a scappatoie di sorta,

Le notizie di stampa che suggeriscono che Google stia fornendo libero accesso ai dati dei nostri utenti sono false, punto.

… allora si presenta come un fatto candido. Quindi, solo per liberare tutte le possibilità, potrebbe essere che mentono inconsapevolmente – sarebbe possibile per un amministratore di rete di basso livello aver ricevuto una lettera segreta e un ordine da rispettare intercettazioni in blocco? Sarebbe possibile per l’amministratore delegato non saperlo? In una parola, no. No. Non sarebbe ipotizzabile con il volume di traffico e di richieste.

In secondo luogo, la ormai infame diapositiva 41 della presentazione dell’NSA richiede qualche attenzione in più:

Diapositiva che mostra come la maggior parte del traffico Internet globale passa attraverso gli Stati Uniti, con larghezza di banda tra diversi continenti specificati.
Diapositiva che mostra come la maggior parte del traffico Internet globale passa attraverso gli Stati Uniti, con larghezza di banda tra diversi continenti specificati.

La slide 41 della presentazione trapelata è presumibilmente utilizzata per introdurre il programma PRISM alle persone alla NSA. Se le aziende stessero volontariamente passando dati privati in massa come da opzione 1 di cui sopra, questa diapositiva – percorsi e larghezza di banda di routing Internet in tutto il mondo – sarebbe rumore del tutto irrilevante per la presentazione. Tuttavia, se l’opzione 2 fosse vera, questa particolare diapositiva sarebbe assolutamente fondamentale per capire come e perché il programma ha funzionato. Non sarebbe in grado di fare buon uso della analisi dei dati senza comprendere le limitazioni di come vengono raccolti i dati, e questa diapositiva risponde a questa domanda perfettamente, anche se a un livello elevato.

Questo ci porta alle seguenti conclusioni:

  • Le ordinanze del tribunale FISA che richiedono la divulgazione di informazioni specifiche per utenti specifici non sono PRISM. Esistono, ma sono del tutto irrilevanti per questa discussione.
  • Le nove società denominate come “fornitori” non hanno giocato il ruolo attivo che la parola implica, o qualsivoglia parte attiva.

Quindi, in conclusione,

PRISM sembra essere un metodo di analisi delle intercettazioni massive di Internet di cui già sapevamo, un metodo di analisi che in particolare si rivolge al traffico da e per nove i servizi di comunicazione social.

Questo è ovviamente ancora solo speculazione sulla base dei dati attualmente disponibili, ma è il modo nel quale tutti i pezzi del puzzle finora sembrano combaciare.

Le conclusioni precedenti che la privacy è vostra responsabilità, ed i pericoli dell’utilizzo di un servizio centralizzato, beh, tali conclusioni rimangono completamente. Ma l’idea iniziale che i servizi centralizzati sono stati complici dello spionaggio governativo pare essere caduto. Parte attiva o meno, però, la parte più importante qui è che sei ancora intercettato. Sei ancora in corso di intercettazione quando usi questi servizi , a prescindere da chi fa efffettivamente le intercettazioni e chi assiste e chi no.

In una certa misura, la crittografia probabilmente potrebbe mitigare la situazione. Sapete come crittografare tutto il traffico e dati? Lo fate? Se la vostra risposta è no, la vostra vita sociale viene salvata sui file dell’odierna Stasi , che – tra l’altro – era un abbreviazione tedesca per Ministerium für Staatssicherheit, traducendo letteralmente National Security Agency.

Traduzione a cura di Mauro Pirata del Partito Pirata Italiano

Rick Falkvinge

Rick is the founder of the first Pirate Party and a low-altitude motorcycle pilot. He lives on Alexanderplatz in Berlin, Germany, roasts his own coffee, and as of right now (2019-2020) is taking a little break.
arrow