Colpevole di prossimità di Claudio Agosti

#ijf16

Il bello di non avere un’audience, è che non devi rispettare alcuna aspettativa. E questo lascia lo scrittore con molta più libertà. In questo mio primo pezzo per anedottica magazine, spiego in lingua italiana cosa avverrà al Festival Internazionale del Giornalismo nelle sessioni raggruppate sotto il nome di  Hackers Corner (l’angolo dell’hacker, ma vedremo che più che di hacking si parla di tecnopolitica).

 

L’audience specifica forse non esiste manco più, perchè la diffusione avviene tramite social network che tramite affiliazione ad una testata, quindi per evitare di farti perdere tempo, dichiaro che quel che seguirà parla di: tecnopolitica, profilazione, attacchi informatici. Ho la tendenza di perdere il filo, non produco contenuti professionali e non monetizzo la tua attenzione, quindi posso permettermelo.

Il dibattito attorno alla “privacy”, è fitto di propaganda e discorsi già polarizzati. Ho messo “privacy” tra virgolette perché la parola è fortemente mutata nelle accezioni. Si è passati dalla tutela del trattamento dati personali, a discorsi su sicurezza nazionale e intercettazioni massiccie. Per questo motivo evito di usare la parola con la P. dove possibile. Anche la parola con la S, “Sicurezza”, ha sofferto (ma un po’ di più, diciamo almeno negli ultimi 20 anni) di un inquinamento, passando da essere il significato di “qualcosa di garantito”, tipo, la sicurezza del posto di lavoro, la sicurezza dell’investimento in BOT*, ad essere un condensato ideologico che va dal pubblico decoro fino a Facebook che sorveglia la tua crescita la manipola attivamente per non farti diventare un terrorista oggi ed un sostenitore del miglior offerente domani.

Quindi, P. e S., due faccie della stessa medaglia perché se perdi la prima la seconda è distrutta l’istante succesivo, e viceversa se hai una scarsa S., in un mondo digitalizzato, è la P. la prima vittima. Questa connessione logica è difficile farla capire perché purtroppo abbiamo sofferto di una polarizzazione pregiudizale e di un inquinamento idelogico (almeno nel dibattito mainstream). Sono certo però che dopo questa introduzione arzigogolata il mio pezzo abbia cessato d’essere mainstream. Win-win quindi, mia cara appartenenente ad una minoranza, siamo tornati nella nostra sicura camera dell’eco nella quale predichiamo tra convertiti.

Per offrire al dibattito dei nuovi elementi, ho pianificato una sequenza di 13 interventi da 1 ora, saranno tenuti tutti in inglese, e saranno ad accesso gratuito presso Sala Perugino dell’Hotel Brufani l’8 ed il 9 Aprile a Perugia. Il festival è orientato al giornalismo, ma ha contenuti interessanti per chiunque si occupi di comunicazione online. Accesso gratuito, Perugia, città universitaria, non farai fatica a trovare ospitalità, non hai scuse.

I 13 interventi sono intitolati in inglese  Guilty by Proximity, che traduco ora per la prima volta come “Colpevole di prossimità”, e vorrebbe suscitare nella lettrice l’inquietudine del “ma, significa forse che se fossi in prossimità di qualcosa a rischio, potrei essere sotto attacco?” spoiler alert: sì.

Mi spiace aver ricorso ancora una volta ad una comunicazione emotiva, che fa leva sulla preoccupazione dei chi sta dall’altra parte del monitor, ma quando devi fare un titolo un briciolo di sensazionalismo lo devi mettere. Se fossi stato in una conferenza scientifica, penso il titolo sarebbe stato “diminuzione dei costi dell’attacco informatico tramite scalabilità nell’individuazione di target intermedi” che ammetterai, ha lo stesso potenziale sexy di Carrai a protezione delle nostre infrastrutture critiche. Brr…

Quattro o Cinque interventi della traccia, infatti, parlano di attacchi informatici e come cambiano a seconda delle vittime. Quando ad essere attaccate sono attiviste politiche le tecniche utilizzate sono diverse da quando l’obiettivo è un’azienda. Il contesto personale e sociale conta molto. Per capire lo scenario, ci sarà un relatore che svolge formazione a report dalla Siria, tre stimati esperti di sicurezza informatica italiani, ed una tecnoattivista dalla Macedonia parte di un programma di tutela di donne online (o di altri gruppi in cui il trolling e lo stalking diventano parte dell’offesa, come avviene in Turchia e Russia).

Questi interventi, servono a far comprendere quali tipi di attacchi sono in uso, quanto sono sofisticati e quanto sono mirati. Attacchi informatici, è il tipico grande rischio di cui nessuno si sente veramente a rischio. Ok, forse se hai tendenze paranoidi lo pensi più di altri, ma per via della loro natura invisibile e per via del fatto che tutti hanno preso un virus, ma non faceva altro che mandare spam ed aprire finestre e chiederti soldi, poi hai reinstallato il computer ed alla fine la minaccia informatica non la si percepisce nella sua interezza. E’ una grossa superficialità considerarsi non abbastanza importanti per essere attaccati (perchè quando sarai rilevante per essere attacante, non potrai tornare indietro), ma indipendentemente dalle motivazioni filosofiche ed individuali, rimane una tendenza pericolosa accettare di vivere di una società nel quale il valore principale (parlo dei dati!) viene tenuto sprotetto per incoscienza o per noncuranza.

E sebbene la vicenda del malware di stato (hackingteam) abbia contribuito al dibattito per far comprendere il potenziale distruttivo di un attacco informatico, il fatto che fosse uno strumento utilizzato da forze dell’ordine ha contribuito alla polarizzazione del tema.

Internet è globale, la possibilità che il tuo stato usi/abusi uno strumento contro di te è per due ordini inferiore al fatto che qualcun’altro in Internet compia il medesimo abuso. Il primo ordine di grandezza dipende dalla legittimazione dell’uso: le indagini sono comunque un processo nel quale strumenti costosi sono utilizzati con parsimonia e rendicontazione. Gli abusi possono avvenire, ci si augura i costituzionalisti e gli avvocati lo tengano a mente, ma da parte di uno stato estero, o di una forza non statale, tu sei un elemento senza diritti alla mercè di attaccanti la quale possibilità di essere ritenuti responsabili per le azioni è bassissima.

Il secondo ordine di grandezza dipende dalla debolezza delle piattaforme mainstream alla tutela dei dati. Fintanto sei padrona del tuo computer e del tuo software, hai la ragionevole certezza che essi verranno salvati nel posto in cui vuoi e andranno dove pensi che vadano. Nel momento in cui le app che usi per creare questo matariale (documenti, foto, report, audio, tutto) salvano automaticamente nel cloud, a tua insaputa, e come ci spiegano i rapporti di ADC** e di Forbrukerradet *** anche quello che viene considerato “dato personale” diventa soggettivo ed interpretato unilateralmente da compagnie non soggette alle tue leggi, che dovrebbero essere contrastate da un’istituzione nazionale (Autorità Garante Protezione dati Personali. .. a.k.a. Garante Privacy), ma è piuttosto implausibile che un’istituzione dai poteri limitati, sottodimensionata, faccia le pulci all’ultimo hype della Silicon Valley.

Con il supporto implicito delle piattaforme Android (di più) ed iOS, il malware che percepiamo come azione offensiva e distruttiva della vittima, si è gradualmente mescolato ad applicazioni d’uso comune che si comportano implicitamente come malware, ma non contestate.

Quando l’app del meteo può accedere alla tua scheda SD, al GPS ed all’address book e girare in background, non pensare che il malware debba fare poi tante cose differenti.

Il malware di stato è stato poi battezzato captatore informatico e le tecniche che lo permettono vuoi mica che siano a rischio ? In Italia il dibattito si è rapidamente inquinato da giustificazioni securitarie perché ad eccezione di 3-4 giornalisti gli altri si son limitati a copia incollare la rassegna stampa della società che produce il sistema d’attacco. Anche di questo si parlerà al festival, o meglio, di quello che il leak ha prodotto nell’infosfera.

Sicchè, finora l’articolo parla di metà dell’hackers Corner: come funzionano gli attacchi, perché avvengono, come avvengono. L’altra metà parla di analisi e collezione massiccia dei dati. E’ il business principale di Internet, è uno stillicidio informativo che rappresenta un problema personale e di gruppo.

Stillicidio, è una parola che mi piace associare al mondo delle informazioni, ma siccome viene dalla geologia merita due frasi di spiegazione: la fuoriuscita incostante di una goccia per volta da parte di una falda. Un’infiltrazione. Le stallattiti si formano grazie a questo fenomeno. Immagino che le nostre informazioni siano un po’ la nostra linfa vitale, e questa fuoriesca poco a poco fino a che non siamo completamente clonati in qualche database.

Siccome il più della nostra società dipende dalle informazioni che ci scambiamo (e non parlo della nuova dipendenza da selfie che stai sviluppando, ogni cosa guidata e coordinata, si basa sullo scambio informazioni), stiamo permettendo a startup senza etica ne storia ne contezza di acquisire tutto questo. L’unica fortuna a protezione delle nostre reti (organizzative) è che la conoscenza del contesto è un’informazione che non può essere estratta e clonata ed è fondamentale per poter interpretare le informazioni collezionate, anche nei casi in cui esse sono completamente nelle mani di un cloud provider.

Triva, l’analogia con lo stillicidio è venuta in mente a questi tre studenti d’arte dell’ArtEZ Interaction Design:

 


Metà dell’hackers corner quindi si basa su quello che viene chiamato “politica dei dati”, come i cloud provider monetizzano le informazioni, quali tipi di analisi possono essere fatte, pattern analysis, profilazione, implicazioni dell’avere una società quantificata.

Lo scopo finale di “Guilty by Proximity” è far comprendere che la profilazione massiccia, bistrattata perché meno preoccupante della sorveglianza statale, sia invece il sistema più conveniente per degli attaccanti per ottenere informazioni sui target. La fase di data collection che viene fatta prima di ogni attacco, ora viene già fatte dalle suddette startup o da più consolidate corporation. I cittadini si preoccupano meno di questa sorveglianza, comparata alla sorveglianza statale, perché la forma di potere degli stati nazione è già nota mentre il potere di Google non è ne in letteratura ed a malapena in alcuni dibattiti. La considerazione che da diverse fonti politiche viene, è che comunque gli stati hanno il potere di “metterti in cella” mentre Google no, ok, ma Google può vendere queste informazioni al miglior offerente, sia esso il tuo stato o chi lo sta per invadere, o sia la nuova holding della tua compagnia assicuratrice. Fossero una miriade di sogetti o solo uno, non sta a noi, perché ogni volta che i dati vengono venuti è profitto nuovo, e non c’è niente che impedisca questo mercato completamente irregolato dei profili.

Per come funzionano gli attacchi informatici, il costo di realizzazione di un attacco su un target specifico è maggior di attacchi fatti di una massa, ma se comprometti una massa di utenti non ordinati, ti manca appunto l’informazione di contesto di cui sopra, un aspetto essenziale perché il controllo dell’avversario sia possibile.

Grazie alla profilazione massiccia, è invece possibile avere una lista di target nella prossimità del target finale. Siano esse persone che hanno condiviso la stessa wi-fi, o fossero nello stesso momento in 2 diversi locali associati alla wi-fi, o siano quelli che il target più spesso clicca sui link che condividono. Questi non sono manco dati personali, sono dati aggregati, hanno lo stesso valore della statistica. Non c’è alcuna tutela se non un’autodifesa digitale che ci porta inevitabilmente in una società a due velocitià, tecnocratica, nella quale chi è capace può proteggersi e gli altri no.

Nel momento in cui scrivo, 22 Marzo 2016, 2 esplosioni sono avvenute nell’aereoporto di Bruxelles, davanti a questo fenomeni abbiamo già visto come i diritti vengono consegnati al dio del terrore, mentre la vanna marchi dei big data ti promette che il problema può essere risolto, mentre lo stillicidio continua incontrastato.

@vecna

 

 

* Se qualcuno mi dicesse, 2016 “stai sicuro, investi nei BOT”, penso che effettivamente una botnet accreditata da RBN sia più stabile dei soldi che tengo in Montepaschi.

** Exploring State Practices and Uses of Big Data Technologies, Association per la derechò civiles, che sembra non essere ancora pubblicato (l’ho trovato stampato) ma uscirà da https://www.adc.org.ar

*** http://www.forbrukerradet.no/undersokelse/2015/appfail-threats-to-consumers-in-mobile-apps/

 


 

Claudio Agosti
Claudio Agostihttps://www.hermescenter.org/home/about-mission/people/members/claudio-agosti/
Claudio Agosti è uno sviluppatore software, esperto di privacy e sicurezza informatica. È cofondatore e sviluppatore di GlobaLeaks, piattaforma libera per il whistleblowing. Ora lavora @facebook.tracking.exposed & @invi.sible.link/

Latest articles

Related articles

1 Comment

Leave a reply

Please enter your comment!
Please enter your name here

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.