Echelon & Privacy
Qualcuno, tra cui lo scrivente, soffre della non pressante paranoia dell'essere osservato ed analizzato nelle sue comunicazioni digitali. Questo senza limiti particolari, il cellulare, gli SMS, gli MMS, la navigazione Internet, ecc.. Sarà questo stato il frutto di una mia particolare nevrosi? Può essere, anche se potrebbe anche essere il risultato di una strana forma di consapevolezza...
Gennaio 2007
Premessa
Echelon è il nome di un programma internazionale per il controllo delle comunicazioni a livello planetario. Fonti non ufficiali dicono che le sue attività sono dirette dal NSA (National Security Agency) americana, mentre i partner principali di questo consorzio di intelligence sono il GCHQ (United Kingdom Government Communications Head Quarters) inglese, il DSD (Australian Defense Signals Directorate) australiano, il CSE (Canadian Communications Security Establishment) canadese ed il GCSB (New Zeland's Government Communications Security Bureau).
Echelon sarebbe in grado di selezionare e poi registrare la media di 3 miliardi di sessioni di comunicazioni al giorno ivi includendo email, fax, scambi di file su Internet, chiamate telefoniche, trasmissioni satellitari , ecc.. Qualcuno suppone che a tale scopo il 90% del traffico dati su Internet sia sottoposto a filtering.
Il sistema/programma Echelon non è un argomento che il governo americano ama trattare. Nella maggioranza dei casi si limita a glissare sull'argomento aspettando che la classica pigrizia e non curanza degli argomenti tecnici da parte di noi utenti faccia il resto. Sfortunatamente vi sono diverse evidenze non solo che esiste ma che non è unico. Cina, India, Israele, Francia, Germania e Pakistan sono all'avanguardia nel settore del filtraggio dei dati relativi alle comunicazioni digitali ed alla loro registrazione a scopo di prevenzione di reati, terrorismo e comportamenti politici "a rischio".
Metodi di controllo
Ognuno dei paesi membri del progetto Echelon implementa il proprio sistema di controllo e raccolta dei dati per poi condividere i risultati della ricerca e selezione con gli altri. Il filtraggio dei dati dovrebbe avvenire sulla base di potenti sistemi esperti che, basandosi su motori euristici, uniscono metodi sintattici (es. parole chiave, valori di hash, ecc.) e semantici (forme di correlazione tra i termini, riconoscimento vocale e visivo, ecc.) per scegliere i dati da immagazzinare permanentemente. La fonte dei dati sarebbe invece costituita da connessioni privilegiate a dorsali, satelliti ed ogni forma di canale trasmissivo a reti ad altissima velocità che farebbero capo a dei nodi costituiti da super computer sui quali vengono istallati ed attivati i meccanismi software di filtraggio.
Salvaguardare la propria privacy
L'idea che qualcuno controlli quello che vediamo su Internet o quello che ricetrasmettiamo o peggio ancora che lo registri permettendo eventualmente una nostra "classificazione" quale utente sia a livello criminale che sociale o economico è quanto meno sgradevole (almeno così è per me). Neanche il fatto che i servizi segreti del nostro o di qualche altro paese debbano accedere ai nostri dati per salvarci dai terroristi risulta molto convincente per non parlare del fatto che tale "accesso" e conseguente "memorizzazione" sarebbero perfettamente illegali nel nostro paese qualora non avvalorate specificamente dalla magistratura.
Sono quindi necessarie le contromisure ed a prescindere da tutto quello che si dice in giro sulla presunta "potenza di fuoco" di questi spioni virtuali esse esistono e sono efficienti ma richiedono preparazione tecnica ed accortezza dell'utente uniti ai giusti tool.
OSSERVAZIONE #1: E' plausibile che un protocollo ufficiale come SSL e quindi la comune navigazione in HTTPS sia un debole meccanismo rispetto a chi può avere accessi molto privilegiati alla rete e non è escluso, ai server, per cui si sconsiglia di ricetrasmettere dati estremamente importanti con tale sistema (che comunque rimane ottimale per proteggere ad esempio le proprie transazioni bancarie).
OSSERVAZIONE #2: la crittazione dei dati è una buona contromisura a patto che siano rispettati i seguenti punti:
- impiego di algoritmi di crittazione "aggiornati" ossia sufficientemente resistenti in relazione alla corrente potenza di elaborazione dei PC ed ai comuni algoritmi di cracking considerando l'efficacia di queste ultime due caratteristiche moltiplicate almeno per 109.
- Impiego di password randomizzate di lunghezza almeno superiore a 30 caratteri.
- Mantenimento delle password in un apposito sistema di gestione (es. un PC anche di minime prestazioni) assolutamente scollegato da ogni tipo di rete, magari portabile, soggetto a crittazione hardware del file system e possibilmente con accesso vincolato a criteri di identificazione biometrica e smartcard.
- Nelle comunicazioni su Internet impiego su larga scala di meccanismi di tunneling cripto non vincolati a vendor di grosse dimensioni per anonimizzazione e chiusura alla intercettazione.
- Impiego esclusivo di software di crittazione open source analizzato nel codice sorgente e quando possibile customizzato con modifiche di difficile inquadramento.
- Nelle comunicazioni su Internet privilegiare le comunicazioni su tunnel cripto peer to peer a quelle broadcast o aperte come email, news, ecc..
OSSERVAZIONE #3: la semplicità è garanzia di riservatezza. Bisogna privilegiare sempre il sistema di comunicazione più semplice rapportato alla situazione. Maggiore la complessità del sistema, maggiore la possibilità di essere osservati e studiati e maggiore è la possibilità che si crei una breccia nel proprio meccanismo di protezione della privacy.
OSSERVAZIONE #4: la socialità danneggia. Un atteggiamento sociale per colui che ha intenzione di comunicare dati importanti crea sicuramente delle brecce nel sistema di protezione. Bisogna ridurre le comunicazioni private a quelle indispensabili e bisogna comunicare solo con persone determinanti, in altre parole il sistema di comunicazione non deve essere mezzo di espressione dei propri sentimenti o delle proprie passioni.
OSSERVAZIONE #5: la ripetizione danneggia. Ripetere una forma di comunicazione in massima parte uguale a quelle precedenti significa sicuramente aprire delle brecce nel sistema di protezione. Bisogna essere sintetici e poco prevedibili nelle comunicazioni.
OSSERVAZIONE #6: il cambiamento del sistema è alla base. Si deve partire dall'assunto che nessun sistema di protezione è definitivo e quindi va continuamente rinnovato nei seguenti termini:
- le password vanno cambiate almeno una volta a settimana;
- gli algoritmi vanno modificati almeno una volta al mese;
- gli schemi di modifica non devono essere prevedibili.
OSSERVAZIONE #7: il proprio PC privato va collegato ad Internet solo quando serve per il resto va tenuto scollegato fisicamente e spento quando lo si abbandona in luogo sicuro per più di un'ora.
OSSERVAZIONE #8: non vanno istallati server di rete di qualsiasi genere sul proprio PC privato e vanno disabilitate tutte le forme di sharing. Un firewall aggiornato e open source deve attivarsi con la macchina stessa. Qualora sia necessario operare come server o servent in un collegamento P2P è necessario predisporre un altro PC che contenga il minimo indispensabile per operare.
OSSERVAZIONE #9: creare chiasso. Comunicare a chiare lettere e con abbondanza di riferimenti tutti quei dati personali che non si ritengono determinanti ai fini della propria privacy (siti web, email, ecc.) così da creare grande disponibilità di hit inutili o banali per i motori di ricerca in relazione alla propria persona. Mai nascondere esplicitamente qualcosa su Internet. Chi nasconde crea il desiderio di scoprire ed una precisa direzione di ricerca. Se un dato è importante va comunicato velocemente e nel modo opportuno e non dichiarato come nascosto e presente in qualche area protetta (per quanto forte sia la barriera).
OSSERVAZIONE #10: bisogna abituarsi a considerare pubblici tutti i dati che, comunicati o meno, non sono stati esplicitamente protetti.