«Libertà e diritti? Tocca sudarli. Anche in rete» Infoaut intervista Autistici/Inventati
Ripubblichiamo un’intervista che InfoFreeFlow ha fatto ad A/I a partire dal nostro comunicato relativo alla situazione che si è venuta a creare dopo la chiusura di Lavabit e Silent mail.
«Non pensiamo la nostra struttura come una risposta al controllo statale, ma più in generale come l’unica cosa decente venutaci in mente per garantire libertà d’espressione ed evitare la profilazione selvaggia da parte di aziende e governi». Sono queste le prime parole digitate da uno dei ragazzi di Autistici/Inventati appena cominciamo la nostra chiacchierata in una delle chat room del loro network. Una precisazione necessaria, sopratutto dopo che gli scossoni del terremoto Snowden hanno cominciato a sentirsi anche in Italia.Sono i primi giorni di agosto quando Lavabit e Silent Mail,due provider statunitensi di posta orientati alla tutela della privacy, vengono costretti a chiudere i battenti a causa delle minacce dell’NSA. Centinaia di migliaia di utenti restano improvvisamente senza strumenti di comunicazione sicura e molti di loro si rivolgono ad AI in cerca di una soluzione alternativa. In poco tempo il collettivo viene sommerso da un’ondata di richieste d’iscrizione ai suoi servizi. Un fatto che ha segnato un momento di difficoltà per la crew di hacker nostrani, tanto da determinare la temporanea sospensione dell’apertura di nuovi account. Ma che ha anche alimentato un forte dibattito in seno ai partecipanti del progetto sulle prospettive da intraprendere. È difficile per adesso dire come il datagate cambierà le esperienze di comunicazione autogestita. Autistici sa solo che potrà affrontare le nuove sfide all’orizzonte con una certezza che l’accompagna da più di 10 anni: quella di non essere un semplice servizio di posta ma una comunità. Che oggi ha bisogno del supporto di tutti quelli che si sentono di farne parte.
IFF – Dopo la chiusura di Lavabit la quantità d’iscrizione ai vostri servizi è stata tale da costringervi a sospendere temporaneamente l’apertura di nuovi account. Nella decennale storia di AI fatti di questo tipo si erano verificati solo di fronte ad eventi repressivi di estrema gravità (come il crackdown Aruba). Perché avete definito quest’ondata di richieste «preoccupante»?
Joe – Partiamo da quest’ultimo punto. Preoccupante è il fatto che ci sia gente che per le sue necessità non ha alternative rispetto ad Autistici/Inventati. Se nel tuo modello di comunicazione c’è un singolo point of failure siamo immediatamente di fronte ad un problema. Se cioè c’è un solo bersaglio da colpire, è più facile prenderlo di mira. In questo momento di fatto sono rimaste poche o nulle alternative “commerciali” che oltre ai loro servizi offrano anche la possibilità di usufruire del diritto alla privacy. Detta in altro modo sono rimaste poche alternative commerciali che non collaborino fattivamente con i servizi segreti americani.
Ginox – Oltre a questo è preoccupante che le persone che ci richiedevano un servizio si fidassero di noi solo perché avevano trovato il nostro link da qualche parte in rete. Questa dinamica riproduce un meccanismo di delega che in buona sostanza sposta solo il problema della privacy sul lato tecnico o sulla necessità immediata di trovare un’altra mail. Ma il punto da affrontare è politico: riguarda sia il rapporto tra gli americani ed il proprio governo, sia tra il resto del mondo e gli Stati Uniti.
Pepsy – A quanto detto da Joe aggiungerei anche che l’ondata era “potenzialmente” preoccupante perché Lavabit al momento della chiusura dichiarava 410.097 utenti.
IFF – Ma quante sono state le richieste di iscrizioni che avete ricevuto in quel periodo? Di quali numeri stiamo parlano?
Ginox – La curva oscilla a seconda dei lanci giornalistici sull’argomento in cui in qualche modo venivamo citati. Nello specifico, subito dopo la chiusura di Lavabit ci sono arrivate, diciamo, 10 volte il tasso di richieste che riceviamo di solito. Abbiamo registrato picchi di 200 richieste in coda giunte in poche ore, principalmente di mail. Eravamo ad un bivio: potevamo scegliere se accogliere tutti a caso oppure soffermarci a riflettere sul senso di quanto stava accadendo. Abbiamo scelto la seconda strada.
Joe – Vorrei aggiungere che tecnicamente non avremmo avuto particolari problemi a gestirci questo flusso improvviso di richieste.
Ginox – Si, sarebbe bastato prendere altri server, ma avremmo avuto sicuramente qualche difficoltà a gestire l’helpdesk. Questo tipo di scelta però non avrebbe rappresentato una soluzione.
Pepsy – E poi siamo abituati a confrontarci sempre quando c’è qualche problema, fa parte del DNA di A/I. Lo facciamo sia internamente sia attraverso i comunicati sia su cavallette.noblogs.org, dove cerchiamo un feedback dalla comunità.
Ginox – Noi vorremo che emergesse bene la contraddizione generata dalla chiusura di questi servizi commerciali. Dato che la natura del nostro progetto è differente, abbiamo pensato di prenderci del tempo: i nuovi utenti si relazionavano con noi come se fossero dei clienti e quindi ci è parso il caso di mettere in campo un momento di chiarimento. La nostra comunità resiste ai problemi repressivi o di censura perché ha delle affinità e sa unirsi nelle difficoltà. Qui invece ci sembrava che molte delle persone che richiedevano di poter utilizzare i servizi si fossero spostate da Lavabit senza battere ciglio, esattamente come avrebbero fatto con noi se ci fossimo trovati nella medesima situazione.
Joe – Infatti tra i commenti al post sul blog in cui spiegavamo che le attivazioni erano temporaneamente sospese, puoi trovare anche quelli che dicono: «Ma io vi pago!». No, non funziona così, ovviamente. Ed abbiamo cercato di ribadirlo.
IFF – Quest’impennata di richieste è arrivata solo dopo la chiusura di Lavabit (e quindi anche dopo la sovraesposizione mediatica che avete avuto sul Washington Post e sul New York Times) o anche già con l’esplosione del “datagate”?
Pepsy – Qualcosa si era cominciato a vedere già nella fase immediatamente successiva alla rivelazione di PRISM al grande pubblico.
Joe – Si, ma c’è stato un trend costante di crescita delle richieste anche prima del datagate. Poi senza dubbio con le dichiarazioni di Snowden le richieste sono aumentate. In particolar modo dopo che il sito prism-break ci ha indicato come una delle possibili alternative gratuite.
Ginox – Nella quasi totalità dei casi si è trattati comunque di richieste provenienti da utenti statunitensi.
IFF – AI è probabilmente il network autogestito più importante d’Europa. È risaputo che le Forze dell’ordine avanzino spesso richieste di log o di informazioni relative agli utenti della vostra piattaforma. Dopo il datagate avete ricevuto più pressioni rispetto al passato? È cambiato qualcosa nell’atteggiamento delle FdO?
Ginox – Non sappiamo dirlo ancora. Senza dubbio l’esposizione mediatica a cui siamo stati sottoposti negli ultimi tempi avrà modificato la percezione che hanno di noi i “servizi”. Vedremo in futuro se questa cosa avrà delle conseguenze o meno. Ora come ora non è successo nulla di nuovo, né abbiamo registrato pressioni più esplicite del solito. Di tanto in tanto i nostri server sono oggetto di sequestri clamorosi. Solitamente però quelle che riceviamo dalle FdO sono richieste di routine: riguardano acquisizioni di dati che non abbiamo. Normalmente il tutto finisce con un fax dove comunichiamo che non siamo in possesso delle informazioni che ci vengono richieste.
Joe – La nostra strategia di fondo è quella di non tenere in memoria alcuna informazione utile alla profilazione degli utenti, secondo quello che per noi è semplice rispetto delle libertà individuali e buon senso. Va anche sottolineato però che in Italia le indagini tendono ormai a concentrarsi direttamente sull’utente piuttosto che sul servizio, ricorrendo anche a malware per compromettere il computer dell’indagato e tenerlo sotto controllo a sua insaputa (la nostra legislazione li chiama “captatori informatici”). L’utente finale di solito è l’anello debole della catena e le FdO nel 99% dei casi preferiscono prendere direttamente da lì le informazioni che gli servono. L’intento è duplice: da una parte raccogliere elementi probatori dall’altra portare avanti attività d’intelligence attraverso cui ricostruire gli insiemi relazionali del soggetto interessato. È anche per questo motivo che periodicamente insistiamo sul fatto che la tutela della propria privacy non può essere delegata a nessuno. Neanche a noi.
Ginox – Tutte le polizie europee mostrano un’attenzione crescente per i “captatori informatici”. La prassi è simile alle intercettazioni ambientali, ma con molte più implicazioni, poiché si va a mettere mano su quello che in seguito potrebbe essere utilizzato come prova in caso di processo. Il che e’ una pratica piuttosto discutibile. Per ora questi oggetti sono equiparati ad un’intercettazione, ma in maniera sufficientemente ambigua per farne uno strumento agile per le FdO, e con pochissime garanzie per gli indagati.
Pepsy – Ci sono numerose aziende anche italiane specializzate in questo genere di lavori.
Joe – Già. C’è un mare di consulenti che fanno il lavoro sporco per le procure (salvo poi mettersi le magliette hacker quando vanno ai meeting della comunità).
Ginox – In Italia il mercato della sicurezza informatica decolla intorno al 2000. Andrea Pompili, autore del libro Le Tigri di Telecom, security manager dell’azienda arrestato all’interno dell’inchiesta Telecom-Sismi, spiega bene l’atmosfera che si respirava all’epoca. Dalle sue ricostruzioni appare chiaro come quello della sicurezza sia un mercato pompato dove qualsiasi minchiata può fruttare un sacco di soldi. Cerchiamo di capirci: i “captatori informatici” non sono nulla di nuovo se non rimaneggiamenti di idee partorite in passato dal giro hacker: non fanno nulla di diverso da, che so Dark Comet o lo storico Back Orifice o altri rat (categoria di software per controllare da remoto un computer). La differenza è che oggi il commercio di questi gingilli per le intercettazioni viene infiorettato con un “marketing dell’emergenza”. Pensiamo per esempio al tormentone della cyberwar. La richiesta di questi strumenti va di pari passo con la scoperta di Stuxnet o di Flame, due malware utilizzati in operazioni di intelligence in medio oriente. Da allora tutti i governi stanno cercando di attrezzarsi. Una storia interessante in termini di malware e polizia e’ il caso tedesco, smascherato dal Chaos Computer Club.
Joe – Già. La cyberwar e’ un concetto indefinito, rarefatto, aleatorio. Una buzzword che non si capisce bene cosa indichi e che come tale di norma viene utilizzata da gente che non ne conosce il senso, non sa di cosa sta parlando e quindi usa il latinorum.
IFF – Dopo la chiusura di Lavabit e di Silent mail anche Riseup ha preso parola pubblicamente. In un suo recente comunicato ha affermato che sta ridisegnando l’architettura del suo network in modo da renderla ancora più sicura. L’obbiettivo è quello di non trovarsi in una situazione simile a quella di Lavabit, ovvero essere obbligati a scegliere tra due mali minori: collaborare con l’NSA o dover spegnere l’infrastruttura. Anche voi avete in programma qualcosa di simile o pensate che sia sufficiente il piano R* da voi implementato ormai diversi anni fa?
Joe – Riseup in questo momento sta lavorando ad un progetto che includa la crittografia end-to-end e che renda impossibile, anche allo stesso gestore del servizio, sapere cosa transita sui suoi server. Per fare questo però è necessario proporre nuovi strumenti agli utenti. Senza dubbio noi ora non forniamo crittografia end-to-end trasparente. Se vuoi cifrare la posta devi essere tu a farlo. Mi spiego meglio: ad oggi se un utente riceve in chiaro una mail su un server di AI, io in quanto amministratore sono in grado di accedere al contenuto di quella mailbox. Se tu invece attivamente scambi email solo in forma cifrata con GPG, allora neanche io ho la possibilità di leggerla. Questo non toglie che sui nostri server le caselle di posta si trovino su dischi cifrati: anche in caso di sequestro risulta molto difficile accedere a quei dati. È il motivo per cui consigliamo di scaricare la posta e non lasciarla sui server. Ed è un consiglio valido in generale, non solo per i nostri utenti.
Ginox – Stiamo osservando e studiando le soluzioni disponibili per capire come affrontare questi problemi, consapevoli del fatto che non avremo una soluzione pronta tra due mesi. Quello illustrato da Joe però è il punto della questione che Riseup sta affrontando: se anche gli amministratori di un network non hanno alcun accesso ai dati degli utenti allora non c’è profilazione possibile, né nulla di utile che possa essere richiesto in tal senso.
Joe – E così facendo viene resa ancora più complicata l’intercettazione dei dati in transito su Internet, cosa che sappiamo bene – e PRISM l’ha confermato – essere un bel problema.
Ginox – Si tratta di un progetto sicuramente più avanzato del Piano R* che abbiamo attualmente implementato e che nasceva da un contesto diverso. Noi, per la nostra “esperienza repressiva” negli anni passati ci siamo posti il problema di distribuire i server, cioè decentralizzare la struttura, e di oscurare un po’ le cose per rendere bassa la probabilità che un sequestro porti al server giusto. Loro adesso stanno affrontando un altro pezzo del problema.
IFF – Autistici vive da anni di donazioni e contributi economici volontari. Prima mi raccontavate però che dopo quanto accaduto ad agosto alcuni utenti si sono detti disponibili a versare una quota annuale obbligatoria per mettervi nella condizione di continuare ad erogare i servizi e mantenere la vostra policy in fatto di privacy. Non pensate che questa opzione renderebbe più semplice affrontare la situazione d’emergenza che state attualmente attraversando?
Ginox – No, non vogliamo che le persone pensino di poter comprare libertà e diritti. Quelli tocca sudarli. È il motivo per cui eravamo in imbarazzo in questi giorni a rispondere alle richieste di attivazione: capivamo che ci trovavamo di fronte a questo ragionamento, magari fatto in buona fede ma che non va nella direzione in cui ci muoviamo noi. Non ci interessa mettere quote fisse o far diventare Autistici il nostro lavoro: non saremmo più in grado di essere credibili. Se agli utenti di Lavabit da noia aver perso un servizio utile, se si sentono privati di un loro diritto… beh, andassero nel Maryland a prendere a pietrate la sede dell’NSA e non si limitassero a cercare di comprare una mail da un’altra parte.
Joe – Tocca essere pronti ad agire in prima persona, senza deleghe. In un mondo di spettatori e votanti questo spesso è spiazzante. Il problema che sta a monte è proprio il concetto malato di democrazia che è filtrato alla gente: passa tutto per la delega, mentre perfino i teorici della democrazia borghese ti direbbero che questa è una baggianata. Poi c’è anche l’atteggiamento capitalista del mi-serve-qualcosa-e-quindi-lo-compro. Che in effetti, vedendo il mondo intorno è un meccanismo universale. Noi ovviamente ci opponiamo a questa visione. Inoltre credo sia più interessante fornire servizi ad un attivista ucraino per cui 15 euro sono una cifra significativa, piuttosto che alla middle class statunitense per cui 15 euro sono facili da spendere. Ci sono quindi ragioni pratiche e politiche per non accettare questo ragionamento.
Pepsy – Diciamo che non abbiamo simpatia per la mercificazione in genere.
IFF – Com’era ipotizzabile qualcuno ha colto al balzo la palla del “datagate”. La settimana scorsa Kim Dotcom ha lanciato una campagna di marketing per pubblicizzare un nuovo servizio di mail sicura. Così facendo ha scelto di continuare a battere quella strada che a gennaio aveva portato all’apertura di Mega, alla cui base sta un’idea semplice: gli utenti in internet non hanno alcuno status giuridico. La loro privacy non è protetta da alcun tipo di tutela legale. Chi desidera ottenere riservatezza in rete deve quindi acquistarla. Mi pare che questa dinamica presenti delle ambivalenze. Da una parte è innegabile che l’affermazione di questo modello d’impresa sancisca definitivamente la privatizzazione della privacy: questa smette di essere un diritto e viene garantita solo in quanto bene scarso, in quanto servizio erogato dietro compenso da attori privati. Con una metafora potremmo dire che anche in rete l’accesso alla cittadinanza è ancorato al reddito. Allo stesso tempo però il fiorire dell’industria della privacy rende accessibile la crittografia per le masse e più complicato il lavoro delle agenzie di law enforcement. Lo stesso caso di Lavabit è paradigmatico: fa riflettere come, nonostante la supremazia tecnologica, la più grande super potenza del mondo abbia avuto bisogno di ricorrere a pesanti intimidazioni di fronte ad uno strato di cifratura. Per altro senza nemmeno riuscire a conseguire il suo obbiettivo. Che ne pensate? Non credete che questo fenomeno possa avere anche ricadute positive?
Joe – Mi pare chiaro da quanto detto prima che crediamo che il problema della privacy sia più politico che tecnico. Quindi non penso che l’industria della privacy risolva alcunché, dato che abbiamo a che fare con un antagonista con risorse sostanzialmente illimitate e con cui ogni “corsa agli armamenti” promette poche speranze di vittoria. La soluzione tecnica non può che essere parte della soluzione. E sospetto fortemente che sia una parte abbastanza secondaria. Poi mi aspetto che un po’ di gente crei servizi per riempire questo vuoto del mercato. Ci saranno quelli con buone intenzioni (come Lavabit) e quelli che sono interessati solo ai soldi, in stile Kim Dotcom. Nello specifico le iniziative di “mister Mega” hanno uno scopo fondamentale: parargli il culo mentre conta i nostri soldi. Di fronte ad un’entità come l’NSA della privacy degli utenti a lui non frega nulla: basta guardare com’è fatto mega.co.nz per capirlo. E comunque dal punto di vista dell’utente significa mettere la tua privacy nelle mani di un ente privato che ha interessi diversi dai tuoi. Io personalmente non mi fiderei mai :-)
Ginox – L’uso della crittografia di massa è sempre stato legato allo sviluppo del commercio elettronico. Negli anni ’90 la crittografia viene strappata all’NSA ed ai militari perché il mercato aveva bisogno di soluzioni per garantire la sicurezza delle transazioni, altrimenti non sarebbe mai potuto decollare. Credo che questa sia un’ambiguità irrisolvibile che però lascia aperto il nodo politico della questione, come diceva anche Joe. Così va il capitalismo: distrugge valore per creare profitto, dalle macerie di una cosa ne crea un’altra e apre degli spazi di mercato.
Joe – Posso fare una postilla che mi viene spontanea? È veramente divertente vedere come funziona bene il “libero” mercato. Tanta gente nel mondo vuole ottenere un servizio di posta sicura.. e la loro migliore opzione è un gruppo di attivisti anticapitalisti italiani? Beh, non mi pare esattamente un prototipo di efficienza.
Pepsy – Sulla deficienza del mercato sono d’accordo. Un po’ meno sull’esempio fatto da Joe perché tutto sommato lo tsunami di richieste non è ancora arrivato: evidentemente non siamo la sola alternativa. La necessità di mail sicure d’altra parte viene gestita direttamente anche da enti e società private.
Ginox – La Germania per esempio sta tentando a sua volta un approccio diverso. Non so se definirla una barzelletta, un moto d’orgoglio o qualcosa da buttare sul piatto della diplomazia. La proposta del governo tedesco di offrire ai suoi cittadini servizi “made in Germany” è un po’ l’equivalente del dire: «Non fatevi spiare dall’NSA! Fatevi spiare solo dai nostri servizi segreti!» Si tratta quindi di una soluzione che tecnicamente non risolve nulla, però sposta il soggetto in campo e delinea un’inversione di tendenza: si passa da un attore privato ad un ritorno dello stato nella gestione delle comunicazioni.
IFF – In un certo senso potremmo dire che anche la Germania sta perseguendo una balcanizzazione di Internet seguendo l’esempio russo e cinese (fatte le debite differenze ovviamente)?
Ginox – Si, qualcosa del genere, pur elaborando risposte diverse rispetto a Mosca e Pechino.
Joe – Anche perché una balcanizzazione in stile cinese in Europa non potrà mai funzionare a meno che non si voglia creare uno spaventoso effetto recessivo in uno dei pochi settori floridi dell’economia occidentale. In realtà io credo che quella del governo tedesco sia stata una mossa per dare un contentino ad un’opinione pubblica inferocita ed allo stesso tempo uno stratagemma per avere un argomento di trattativa con gli Stati Uniti.
Pepsy – Da parte mia credo che la rete sia sempre stata balcanizzata. Rispetto ad Internet c’è ancora troppa mitologia: quella di una rete “anarchica” che porta libertà. Una mitologia che cela le internet iraniane, nord coreane e cinesi e che allo stesso tempo ci fa però dimenticare che fino all’altro ieri anche in Italia bisognava dare i documenti per accedere ad un hotspot wifi pubblico. Una mitologia insomma che nasconde il fatto che la rete ha dei padroni, da sempre.
Ginox – Internet riflette rapporti di forza materiali: più si espande e più si lega al reale rispetto a quando era composta da qualche milione di utenti. Nel mondo reale i soldi contano e le aziende si mangiano a vicenda. È il capitalismo baby! Il mercato è una parte importante e aggressiva della rete: è stata una scelta precisa quella di smettere di sovvenzionare Internet con soldi pubblici e fare in modo che soggetti privati la lottizzassero. Finanza e politica vanno a braccetto, la rete tende a polarizzarsi verso grossi soggetti così come il capitale tende a concentrarsi in grossi monopoli e cartelli, o a essere terreno di bolle e speculazioni. La bolla delle dotcom ha anticipato quella immobiliare a dimostrare la fragilità di questa costruzione. La privacy e’ un mercato come un altro, dove c’è un bisogno il mercato accorre. I flussi di bit vanno a coincidere con i flussi finanziari. Segui quest’ultimi e capisci dove si concentra il potere. Sebbene il meccanismo sembri rodato e inarrestabile, in realtà va spesso in crisi e va avanti ad azioni di forza e calci in culo, con una certa tendenza al cannibalismo. E quando si crea una contraddizione c’è spazio per inserirsi. Questo sarebbe paradossalmente un buon momento per far nascere nuovi server autogestiti o progetti simili. Non saprei se ci sono soggetti interessati a farlo.
IFF – Quindi secondo voi le rivelazioni di Snowden rappresentano un punto di forza per chi lotta per i diritti digitali?
Ginox – Non solo per i diritti digitali. È un momento di forte imbarazzo per il governo americano. Se lo superano illesi allora ne usciranno fortificati. Altrimenti qualcuno se ne gioverà e credo che all’orizzonte si possono anche aprire spazi per le esperienze di comunicazione autogestita (a patto di saperle cogliere ovviamente). In generale poi è interessante che un impiegato metta in crisi una struttura da miliardi di dollari.
Pepsy – Ed è sempre un bene che ci sia il fattore umano che manda all’aria il sistema alla faccia degli incubi tecnologici. In questo caso è stato mosso un primo piccolo passo essenziale nella direzione giusta: certe tematiche stanno cominciando ad uscire dall’ambito underground.
IFF – In che modo gli utenti possono aiutarvi in questo momento?
Pepsy – Diciamo che ci piacerebbe che i nostri utenti imparassero a non delegare a noi la difesa della loro privacy.
Joe – Senza dubbio possono donare, mica ci fa schifo!
Ginox – Si, ma quello possono farlo sempre. Nell’immediato i nostri problemi sono principalmente di relazione verso l’esterno. Chi utilizza i nostri servizi e vuole aiutarci può farlo diffondendo un semplice messaggio: ovvero che Autistici è in primis una comunità e non semplicemente un servizio mail. Poi certo, una crescita di consapevolezza tecnica sarebbe una cosa auspicabile e sempre utile. Sopratutto nel momento in cui ti rendi conto che dall’altra parte non si risparmiano.
InfoFreeFlow (@infofreeflow) per Infoaut
“Freedom and rights? You have to sweat blood for them! On the internet, too.” Infoaut interviews Autistici/Inventati
What follows is an interview InfoFreeFlow made with A/I after the statement we published on Lavabit and Silent Circle’s decision to shut down their mail services.
“We do not conceive our structure as an answer to state control, but more in general as the only decent thing coming to our mind that could guarantee freedom of expression and avoid uncontrolled profiling by companies and governments”. These are the first words typed to us by one of the Autistici/Inventati fellows in a chat room of their network. A necessary clarification, especially after the fallout of the Snowden bombshell started to be felt also in Italy. In the early days of August, Lavabit and Silent Mail – two privacy-oriented US webmail providers – were forced to shut down because of NSA threats. Hundreds of thousands of users were suddenly left without tools for safe communication and many of them resorted to A/I looking for an alternative solution. Within a little while, the collective was flooded with subscription requests for its services. An event that marked a moment of difficulties for our local hacker crew, to a point when the opening of new accounts had to be temporarily suspended. This fueled a heated debate among those participating in the project on what next steps to undertake. It is difficult, for now, to say how datagate will change the self-managed communication projects. Autistici only knows that it will be able to face the new challenges on the horizon with a certainty maintained for more than 10 years: that of being not a mere webmail service but a community. A community that now needs the support of anyone feeling to become part of it.
IFF – After the closure of Lavabit you were flooded with subscription requests to your services which forced you to temporarily suspend the opening of new accounts. In the ten-year long history of AI such outcomes did only happen in front of repressive events of utmost seriousness (like the Aruba crackdown). Why did you deem this groundswell of requests as “worrisome”?
Joe – Let’s start from this last point. What is worrisome is the fact that there are people that for their own needs do not have any alternative to Autistici/Inventati. If there is a single point of failure in your communication pattern, we are immediately facing a problem. That is, if there is a lone target to strike, it is easier to take aim at it. Actually, right now there are few or no “commercial” alternatives left that provide the means to enjoy privacy rights in addition to their services. To say it in another way, there are few business alternatives left that not willingly co-operate with American secret services.
Ginox – Yes. Besides this, it’s worrisome that people who requested a service from us were trusting us only because they found our link somewhere on the web. These dynamics reproduce a mechanism of delegation that actually only relocates the problem of privacy on the technical side or on the immediate need of getting another mail service. But the issue we need to face is political: it concerns both the relationship between American citizens and their government, and the relationship between the rest of the world and the United States.
Pepsy – I would add to what Joe said that the onslaught was “potentially” worrisome because Lavabit, when it was about to close, declared 410.097 users.
IFF – But how many subscription requests did you receive during that period? How big numbers are we talking about?
Ginox – The range has varied according to the media press releases on the issue in which we were quoted in some way. If we want to be specific, immediately after Lavabit was closed, we received a ten-fold higher rate of requests than the ones we usually get. We recorded peaks of 200 requests – all within a few hours – mainly regarding the mail service. We had arrived at a cross-road: we could choose either to randomly accept everyone or take a moment to reflect on the meaning of what was happening. We chose the latter option.
Joe – I would like to add that technically we would not have had any particular problem in managing this abrupt flow of requests.
Ginox – Yes, getting other servers would have been enough, but we would have definitely been having some problems managing the help desk. Still, this kind of choice would have never been a solution.
Pepsy – And still we are always accustomed to debate when there is some problem, it is part of the A/I DNA. We do it both internally and through the statements on cavallette.noblogs.org, where we are looking for feedback from the community.
Ginox – We would like the contradiction produced by the closure of these commercial services stand out well. Since the very nature of our project is different, we took our time: the new users were relating to us as if they were clients, so we thought that a moment of clarification was appropriate. Our community is resisting repressive and censorship issues because it has affinities and knows how to unite when faced with difficulties. But now it seemed to us that many of the people requesting to use the services moved to us from Lavabit without blinking, exactly as they would have done if we had been facing a similar situation.
Joe – Actually, among the comments of the blog post in which we explained that activations were temporarily suspended you could also find people saying: “But I can pay you!”. No, it does obviously not work that way. And we tried to state this once again.
IFF – Did this outburst of requests come after the closure of Lavabit (and then following the media exposure you had in the Washington Post and New York Times) or did it already begin with the “Datagate” outbreak?
Pepsy – Yes, something had already started immediately after the PRISM disclosure to the general public.
Joe – Yes, but there had been a steady increasing pattern of requests even before Datagate. Then, without doubt, there has been an increase in requests since the statements by Snowden. Especially after we were mentioned by the prism-break website as one of the potential free alternatives.
Ginox – In almost all cases, we are dealing with requests coming from American users.
IFF – AI is probably the most important self-managed network in Europe. It is a well-known fact that police services often ask for logs or information concerning the users of your platform. Were you subjected to harder pressure after the Datagate? Has something changed in the attitude of police services towards you?
Ginox – We cannot tell yet. Surely, the media exposure we had recently could have changed the perception that the “services” have of us. We’ll see in the future if this will bring about any consequences or not. As for now, nothing new has happened, and we didn’t notice any harsher pressure than usual. Every now and then, our servers are targeted for clamorous seizures. Usually, those carried out by the police services are matters of routine: they concern the acquisition of data we do not own. Normally, it all ends with us sending a fax in which we state that we do not own the information they request from us.
Joe – Our core strategy is that of never storing any information that could be useful in user profiling, which in our opinion is plain respect for individual freedom and good sense. However, we should also emphasize that in Italy investigations tend to directly revolve around the user rather than the service provider; also by resorting to malwares that damage the computer of the person under investigation and control her without her knowledge (our legislation calls them information collectors). Usually, the end user is the weak link and the police services prefer in 99% of the cases to seize the information they are after directly from that user. They do so out of two reasons: on one hand to collect evidence, and on the other to further supply intelligence activities with information in order to map the relational network of the subject under scrutiny. It is also for this reason that we periodically insist on the fact that the safeguarding of one’s own privacy cannot be delegated to anyone. Not even to us.
Ginox – All the European police forces show a growing interest towards “information collectors”. The procedure is akin to those for field interception, but with a lot more implications, because you have to to handle what may be later used as proof in case of a trial. This is a quite controversial practice. In the meantime, these things function akin to wiretapping but in such an ambiguous way making them a handy tool for the Police, and with very few guarantees for people under investigation.
Pepsy – There are many specialized companies in these kind of activities, also Italian ones.
Joe – For sure. There is a whole slew of consultants that do the dirty work for the prosecutors (but then wearing hacker t-shirts when they go to the community’s meetings).
Ginox – The market of computer security in Italy took off around year 2000. Andrea Pompili, author of the book Le Tigri di Telecom (The Tigers of Telecom) and security manager of that company who was arrested during the Telecom-Sismi inquiry, explains well the mood at that time. From his reconstructions, it looks clear that the security market is hyped up and any crap can turn into plenty of money. Let’s try to be clear: the “information collectors” are nothing new but the reorganization of ideas by the hacker scene long since developed. They do nothing different from, let’s say, Dark Comet or the historic BackOrifice or other rats (a category of software made to remotely control a computer). The difference is that today the commerce of these interception knick-knacks is embellished with the “marketing of emergence”. Just think about the buzzword of the cyberwar. The requests of these tools go hand in hand with the discovery of Stuxnet or Flame, two malwares used in intelligence operations in the Middle East. Ever since, all governments are trying to equip themselves. An interesting story concerning malware and police is the German case, exposed by the Chaos Computer Club.
Joe – That’s its. The cyberwar is an undefined, rarefied, uncertain concept. A buzzword that doesn’t provide any understanding and usually uttered by people who are using abstact words when they niether know its meaning nor what they are talking about.
IFF – After the closure of Lavabit and Silent Mail, also RiseUp made a public announcement. In a recent statement they affirmed that they were re-designing the architecture of their network in order to make it even more secure. The goal is to not find themselves in a situation akin to that of Lavabit, i.e. having to choose between two lesser evils, in other words, to cooperate with the NSA or being forced to shut down the infrastructure. Have you got something similar coming up as well or do you think that the R* Plan you implemented several years ago is enough for now?
Joe – Right now, RiseUp is working on a project that includes end-to-end cryptography and makes it impossible to know what passes through the servers, even for the manager of the service. Still, in order to do this it is necessary to offer new tools to the users. Without a doubt, we do not provide transparent end-to-end cryptography at this moment. If you want to encrypt your mail you are the one who has to do that. Let me explain myself better: today, if a user receives an unencrypted e-mail on one of our servers, I as an admin can access the contents of those mailboxes. If you on the other hand actively exchange only encrypted mail with GPG, then not even I can read it. In spite of all this, the mailboxes on our servers are located on encrypted drives – even in the case of a seizure, it would be very difficult to access that data. This is the reason for which we suggest to download your mail and not to leave it on the servers. And that is a generally effective move, not for our users only.
Ginox – We are examining and studying the available solutions to understand how to face these problems, knowing as a fact that we would not have a ready solution within two months. Yet, what Joe did expose is the matter RiseUp is facing: if not even the admin of a network has any access to the users’ data, then no profiling can exist, nor anything useful that could be requested for that purpose.
Joe – And by doing this the wiretapping of data crossing the Internet (that we know well, and PRISM confirmed it, to be a big problem) is made even more difficult.
Ginox – We are talking about a project that is surely more advanced than the Plan R* we have running now and that was born in a different context. We, due to our own “repressive experience” in the past years, questioned ourselves on how to distribute servers, to decentralize the structure that is, and to darken things up a bit to keep the possibility low for a seizure to lead to the right server. RiseUp are now facing another piece of the problem.
IFF – As you were telling me before, some users declared their availability to submit an annual mandatory fee – unlike the current situation in which donations to the AI structure are volontary – to put you in the condition of keeping on providing services and maintaining your policy in terms of privacy. Don’t you think that this option would make it easier when facing the emergency situation you are in right now?
Ginox – No, we do not want people to think they can buy freedom and rights. You have to sweat blood for that. This is the reason for our embarrassment during those days while replying to activation requests: we realized that we were facing this way of thinking, probably done in good faith, but nevertheless in another direction than the one we are moving towards. We are not interested in setting fixed charges or making Autistici our work: we would loose our credibility. If the Lavabit users are annoyed for the loss of a useful service and have the feeling of being deprived of a right of theirs… well, why don’t they go to Maryland to throw stones at the NSA headquarters instead of just trying to buy a mail service somewhere else?
Joe – You’ll have to be ready to act in first person, without proxies. In a world of spectators and voters this is often rather puzzling. Really, the problem behind it all is the tainted concept of democracy that people are imbued with: everything passes through delegation, while even the theorists of bourgeoise democracy would tell you that it is nonsensical. Then there is the capitalist attitude of the I-need-something-so-I’ll-buy-it, which actually (just look at the world around) is a universal mechanism. Obviously, we oppose this vision. Moreover, I think it is more interesting to provide services to an Ukrainian activist for whom 15 euros is a considerable amount, rather than to the American middle-class, for whom 15 euros is easy to spend. There are practical and political reasons then for not accepting this way of thinking.
Pepsy – Let’s say we have no sympathy for commodification in general.
IFF – Feasible as it was, someone seized the moment of the “Datagate”. Last week, Kim Dotcom launched a marketing campaign to advertise a new secure mail service. By doing so, he chose to keep following the path that in January had brought about the opening of Mega, at whose core stands a simple idea: the internet users have no legal status. I think that these dynamics demonstrates ambivalences. On one hand, it is unquestionable that the affirmation of this corporate model definitively makes way to the privatization of privacy: the latter ceases to be a right and is guaranteed only as a scarce good, as a service supplied upon payment by private players. With a metaphor, we could say that also on the web the access to citizenship is pegged to income. Still, at the same time the flourishing of the privacy industry makes cryptography accessible for the masses and complicates the work for the police services. The case of Lavabit is paradigmatic: it makes you reflect on how, in spite of its technological supremacy, the biggest superpower in the world needed to resort to hefty threats in front of an encrypted layer. Moreover, all this without even being able to accomplish its goal. What do you think about it? Don’t you think this phenomenon also may have positive consequences?
Joe – What we were saying before clearly shows that we do believe the problem of privacy to be more political than technical. So I do not think that privacy industry can solve these problems, since we are dealing with an antagonist with substantially infinite resources and against whom any “arms race” has little hopes of victory. The technical solution cannot be anything but part of the solution. And I strongly suspect that to be a pretty secondary part. I also expect that some people will create services to fill this gap in the market. There will be those with good intentions (like Lavabit) and those only interested in money, Kim Dotcom-style. In their specifics, the “mister Mega” initiatives share a fundamental goal: to protect his own ass while he counts our money. In front of an entity like the NSA, he does not care at all about his users’ privacy: it is enough to take a look at mega.co.nz to understand that. And anyway, from the user’s point of view it means to put your privacy in the hands of a private body which has different interests than you. Personally, I would never trust that :-)
Ginox – The use of mass cryptography has always been linked to the development of electronic commerce. In the nineties, cryptography was snatched from the NSA and the military because the market needed solutions to guarantee the security of transactions, otherwise it would never have begun. I think that this is an unresolvable ambiguity that still leaves the political focus of the question open, as Joe was also saying. That’s how capitalism works: it destroys value to create profit, from the ruins of one thing it creates another one and opens up market spaces.
Joe – May I make a spontaneous comment? It is really funny to see how well the “free” market works. Many people in the world want to have a secure mail service… and their best option is a group of Italian anti-capitalist activists? Well, it does not look exactly like a model of efficiency to me.
Pepsy – I do agree on the market’s deficiency while a bit less on the example made by Joe. After all, the tsunami of requests has not arrived yet: clearly we are not the only alternative. The need for secure mail services is after all directly managed also by private bodies and societies.
Ginox – Germany, for example, is trying from a different approach. I do not know whether to call it a joke, a spark of pride or something to throw on the plate of diplomacy. The proposal by the German government to offer to its own citizens some “made in Germany” services is a bit equivalent to say: “Do not allow NSA to spy on you! Let only our secret services spy on you!” We are thus talking about a solution that technically does not make any difference, but that still casts a different light on the question and marks a radical change of direction: moving from a private player to a return of the state in the management of communications.
IFF – In some way, could we say that Germany too is pursuing a balkanization of the Internet following the Russian and Chinese examples (obviously with the due differences)?
Ginox – Yes, something like that, yet developing different responses in comparison to Moscow and Beijing.
Joe – Also because a Chinese-style balkanization would never work in Europe, unless they want to create a dreadful recessive effect in one of the few thriving sectors of Western economy. Actually, I believe that the German government’s move was about giving something to keep an enraged public opinion happy and a trick to have a negotiation topic against the United States at the same time.
Pepsy – From my perspective, I think that the web has always been balkanized. On the Internet there are still too many myths around, such as those of an “anarchic” web that brings freedom. A myth that conceals the Iranian, North Korean and Chinese internets and that at the same time makes us forget that not so long ago, even in Italy, documents were required in order to access a public wi-fi hotspot. A myth, in the end, that hides the fact that the web is ruled by its own bosses, all along.
Ginox – Internet reflects material power relations: the more it expands, the more it links itself to real life in comparison to when it was composed by some million users. In the real world, money counts and the companies swallow each other. It is capitalism, baby! The market is an important and aggressive part of the web: it was a precise choice to stop funding Internet with public money and let private parties parcel it off. Finance and politics go hand in hand, the web tends to polarize itself towards big players, like capital tends to concentrate itself in big monopolies or cartels, or to be the ground for bubbles and speculation. The dot com bubble made way for the real estate bubble which demonstrates the fragility of this construction. Privacy is a market like any other, where there is a need the market rushes in. The bit fluxes coincide with the financial fluxes. Follow the latter and you will know where power concentrates itself. Even if the mechanism looks tested and unstoppable, it actually ends up in crisis quite often and keeps going thanks to acts of force, and tooth and nail, with a certain tendency towards cannibalism. And when a contradiction is created, there is space to insert ourselves. This would paradoxically be a good moment to create new self-managed servers or similar projects. I do not know if there are subjects willing to do so.
IFF – Then, according to you, do Snowden’s revelations represent a strong point for those who struggle for digital rights?
Ginox – Not only for digital rights. It is a moment of strong embarassment for the American government. If they emerge unscathed, they will walk out strenghtened from it. Otherwise, somebody will benefit from that and I think that on the horizon, also opportunities for self-managed communication projects may open up (provided the capacity of seizing these opportunities, obviously). Then, in general, it is interesting that an employee can undermine a structure of billions of dollars.
Pepsy – And it is always a good thing that the human factor screws the system up, in spite of technological nightmares. In this case, a little essential first step in the right direction has been made: some topics are starting to pour out of the underground scene.
IFF – How can users help you at this moment?
Pepsy – Let’s say that we would like our users to learn not to delegate the protection of their privacy to us.
Joe – They can donate without a doubt, surely we are not picky about that!
Ginox – Yes, but they can do that any time. Right now, our problems are mainly concerning our relations with the world out there. Those who use our services and want to help us can do that by spreading a simple message, that is, that Autistici is a community before everything else, and not just a mailbox service. Then sure, a growth in technical awareness would be a desirable thing and an always welcome one. All the more in a moment when you realize that on the other side they are ready for anything.
InfoFreeFlow (@infofreeflow) for Infoaut
