Quel brufolo rosso e grosso sull’Italia
C’e’ un pallino bello grosso che copre l’Italia nella mappa dei nodi di Xkeyscore [ 1 | 2 ]. Non e’ chiaro se la mappa si riferisca alla dislocazione di server che danno accesso alla struttura, o se descriva l’ubicazione di macchine che analizzano il traffico di rete dei paesi in questione. Se la seconda e il disegnetto delle slides e’ veritiero e i servizi che l’infrastruttura dice di offrire sono realistici: deve esistere un accordo per fornire accesso ai dati relativi. Questo non puo’ avvenire senza che il governo ne sappia e ne abbia saputo qualcosa. Non si finisce nei centri nevralgici di un’infrastruttura di telecomunicazione per caso. Allora sorgono spontanee un sacco di domande. Se questo Xkeyscore si compone di qualche centinaio di macchine sparse per il globo che danno accesso all’analisi del traffico Internet di mezzo mondo, che tipi di dati fornisce l’Italia, in che modo, secondo quale accordo ? Stipulato quando e da chi ? Il problema non e’ cosa da garante della privacy, ma proprio di rapporti tra stati. Se l’Italia partecipa a questa rete di analisi del traffico a che titolo lo fa ? Modello zerbino ? Cosi’ come comperiamo degli F35 dagli stati uniti mentre chiudiamo gli ospedali e le scuole nostre ? O perche’ ci sono degli accordi sull’accesso ai dati ? Noi vi facciamo prendere le informazioni, voi alleati dell’Nsa, che spendete tanti soldini per metterli in ordine, ci fate accedere ogni tanto ? Una mano tra intelligence, sul modello della collaborazione gia’ varata con Echelon. Il BND, l’intelligence tedesca possiede un accordo simile. Prism e’ sul territorio americano, e tentano di giustificarlo con le leggi americane. Questo altro giocattolino sembra posarsi su una fitta rete di collaborazioni internazionali. O altrimenti cosa sono tutti sti pallini ? Che ruolo hanno le ambasciate USA in questa struttura ? Magari siamo noi che interpretiamo male le slides… d’altra parte se i governi non sparassero cazzate a nastro per venire sbugiardati il giorno dopo, uno non dovrebbe tirare a indovinare. E poi e’ il governo americano che mette la pulce nell’orecchio, visto che le loro dichiarazioni ufficiali sono tutte tese a giustificarsi, dicendo “Avete capito male, questo robo non serve a controllare i cittadini americani, noi controlliamo gli stranieri all’estero. Cioe’ noi non e’ che controlliamo gli americani, ma tutti gli altri”. Simpatici no ? Poi si lamentano che tutto il mondo ce l’abbia con loro.
Xkeyscore comunque ha dei risvolti interessanti anche semplicemente a livello di conferme. Appare chiara la criminalizzione della crittografia. La slide “Mostrami tutti quelli che in Iran cifrano le mail con PGP” e’ splendida. Fossi il governo iraniano renderei obbligatorio l’utilizzo della crittografia solo per far salire a qualche decina di milioni i risultati della ricerca. A quel punto l’Iran si sarebbe guadagnato il titolo di stato canaglia a tutti gli effetti. E’ piu’ difficile da interpretare invece la slide sulle vpn, non si fa riferimento a quali tipi di vpn (IPSEC, PPTP, Openvpn, ssh tunnel, tinc, o che altro), cosi’ ad occhio sembra una spacconata quel “so I can decrypt the data”, che magari va letto come “analizzo il traffico, recpurero ip dei due capi della vpn, il tipo e cerco di capire se posso sfruttarne qualche vulnerabilita’”. Si tratta pero’ quasi sempre di man in the middle, cioe’ di inserirsi attivamente all’interno di una connessione dati e non e’ detto che riesca sempre indipendentemente da come e’ configurato il client vpn e non e’ esattamente quanto riportato nelle slides. Boh. La manipolazione del traffico e qualche tipo di attacco mirato in realta’ spiegherebbero anche la slide piu’ sibilinna di tutte per me, la 25, che recita “Show me all the exploitable machines of country X”. Exploitable in che senso e per fare cosa ? Mi owni la macchina ? Mi mandi un malware e mi accendi la webcam senza che me ne accorga ? Mi fai un mitm ? Mi geolocalizzi con google maps e poi arriva la cia e mi porta via, come Abu Omar ?
Se qualcuno di voi ha altre interpretazioni commentate pure, che tanto qui non spiega niente nessuno, tocca districarsi da soli ( se queste sono spiegazioni… [ 1 | 2 ] )
Sarebbe veramente interessante chiarire il senso preciso di questo documento semi tecnico, giusto per capire quanto l’hanno alta questi dell’NSA. Anche se la conclusione della presentazione, con i 300 terroristi arrestati grazie all’analisi del traffico web, da un po’ la misura.
Noi in Italia avremmo una lezione da impartire, con umilta’ si intende, nel nostro piccolo ecco. Lo scandalo Telecom-Sismi e correlati ha messo bene in evidenza come costituire una struttura di controllo elefantiaca, e dai grossi poteri, un paiolo di interessi pubblici e privati, finisca per creare un polo di attrazione irrestibile per tanta brutta gente. Poniamoci per esempio in un’ottica legalitaria e supponiamo che l’NSA abbia veramente arrestato 300 pericolosissimi criminali grazie ai miliardi di dollari spesi per questa mastodontica rete di cui noi conosciamo solo la punta dell’iceberg. Bene, dato che la loro super struttura viene messa in crisi da un solo impiegato che decide di rivelarla al mondo, abbiamo sicuramente altri 1000 Snowden che al posto di dirlo a tutti, hanno rivenduto i propri servizi ad aziende, investigatori privati, trafficanti, mafiosi, politici, finanziarie, banche, agenzie di rating, intelligence concorrente e via di seguito. Quindi avranno arrestato 300 presunti terroristi e favorito 30000 altri personaggi di categorie umane peggiori. Lo scandalo Telecom insegna che l’uso piu’ ghiotto delle interecettazioni e’ lo spionaggio aziendale. Ad esempio se io fossi stato il governo degli Stati Uniti per convincere le grosse multinazionali della rete a collaborare avrei offerto separatamente a ciascuna di loro l’accesso ai dati dell’altra. Tipo avrei promesso a Facebook di farli accedere ai dati che Prism ricava da Gmail e viceversa e poi a entrambe avrei promesso i dati di concorrenti stranieri. Diabolico eh ? Siete fortunati che non lavori per l’NSA. E comunque la lezione in Italia non l’abbiamo imparata , oppure l’abbiamo imparata fin troppo bene, a giudicare da tutte le belle novita’ introdotte dal decreto Monti in termini di sorveglianza e accesso ai dati [ 1 | 2 | 3 ]
Una cosa appare pero’ molto evidente dall’evoluzione del controllo: i tecnici, gli hacker in particolare, dovrebbero smetterla di aiutare i governi a fottersi il resto dell’umanita’ e posizionarsi dalla parte giusta della barricata, o almeno in una posizione piu’ dignitosa. Se trovate un’offerta di lavoro tipo questa, evitate di mandare il curriculum magari.
Agosto 4th, 2013 at 10:55 pm
[…] Da cavallette: […]