Tra PlayStation, chat e crittografia: spunti di riflessione su rete e misure antiterrorismo

Le misure in materia di cybersecurity alle quali il Governo sta lavorando a seguito dei tragici eventi di Parigi alimentano da giorni un dibattito acceso soprattutto a seguito delle dichiarazioni di esponenti dell’Esecutivo, non ultimo lo stesso Presidente del Consiglio Matteo Renzi, dalle quali si evince un approccio orientato all’allargamento del raggio d’azione delle capacità di monitoraggio e intercettazione anche degli spazi di comunicazione digitale in capo alle autorità. All’Italian Digital Day di Venaria Renzi aveva già espresso il suo favore verso la possibilità di “mettere in comune tutte le banche dati, far sì che ogni telecamera sia a disposizione della forza pubblica per poter dire che in quella situazione riconosco una persona, io sono per taggare i potenziali soggetti”, mentre il Ministro della Giustizia Andrea Orlando ha aperto la scorsa settimana al monitoraggio dei messaggi scambiati dagli utenti di piattaforme come quelle messe a disposizione da PlayStation e chat riferite a software utilizzati per lo scambio di file musicali online. In ultimo, ieri Il Messaggero ha dedicato l’apertura del quotidiano al piano che sarebbe in discussione a Palazzo Chigi per reagire ad un eventuale attacco terroristico, indicando tra le misure al vaglio la possibilità di “oscura temporaneamente le comunicazioni Web” in casi estremi, accentrando le decisioni nelle mani del governo e aggiornando il dpcm del gennaio 2013, il testo che attualmente regola la cybersecurity in Italia. Delle implicazioni tecniche, della realizzabilità pratica e delle ricadute su diritti fondamentali come quello alla privacy che potrebbero avere tali misure si è discusso nella puntata del 29 novembre di Presi per il Web, trasmissione di Radio Radicale che ha avuto come ospiti il deputato di Alternativa Libera Massimo Artini, il giornalista Arturo Di Corinto e Corrado Giustozzi, informatico esperto di crittografia e membro del del Permanent Stakeholders’ Group di ENISA, l’agenzia europea per la sicurezza delle informazioni e le reti.

La domanda di sicurezza, il bisogno di libertà: i nostri contributi a un dibattito sempre più complesso La rete tra orrore e distorsioni, Prof. Gambino: “Disumanizzare la tecnologia espone a nuovi pericoli” Antiterrorismo, Genchi: “Mappiamoci tutti. Giusta l’idea di Renzi”

Le chat – In apertura Fulvio Sarzana, conduttore della trasmissione insieme a Marco Scialdone, ha proposto una panoramica degli strumenti di comunicazione dei quali si è parlato in questi giorni: “Quali sono le tecnologie, i software e le chat che possono essere utilizzate dagli affiliati a Daesh per comunicare, sia in ottica di organizzazione interna che verso l’esterno? E quali sicuramente non lo sono? Dopo gli attentati di Parigi si sono diffuse notizie spesso incontrollate soprattutto in merito alla possibilità che i terroristi avessero potuto utilizzare la PlayStation 4 per delle comunicazioni. La notizia è stata smentita e deriva da una svista di un giornalista di Forbes in merito a dichiarazioni del Primo ministro belga. Cominciamo con i social network: è utilizzato sicuramente Twitter, non solo per le rivendicazioni, ma anche come strumento per fornire indicazioni sui luoghi dove è possibile parlare in maniera più sicura; durante le azioni della polizia in Belgio si è scoperto ad esempio che alcuni account jihadisti nascevano e morivano in pochi minuti durante i quali si generava un numero di followers altissimo. In sostanza, questi account apparivano, lasciavano pochi messaggi con informazioni in codice e poi sparivano. Altro strumento di sicuro utilizzo è Telegram, sistema di messaggistica inventato dal russo Pavel Durov, la cui fortuna deriva in primis dal fatto che non è una tecnologia americana e quindi attrae un pezzo di mondo che vuole restare fuori dal sistema NSA, e in secondo luogo dall’utilizzo di un sistema di crittografia punto-punto, che consente a due persone di comunicare senza passare per server centrali che potrebbero essere intercettati. Anche Rita Katz, animatrice del sito di intelligence Site, ne ha confermato l’utilizzo degli affiliati a Daesh a partire da settembre”. “Cosa sicuramente non viene utilizzato?”, ha proseguito Sarzana: “Sicuramente Facebook e Instragram. Cosa infine resta nel dubbio? La stessa la PlayStation, che consente di avviare conversazioni molto riservate e difficilmente intercettabili perché la Sony, dopo i pesanti attacchi hacker subiti di recente, ha potenziato i sistemi di protezione delle chat interne; inoltre, a complicare il quadro, c’è il fatto che molti giochi della piattaforma sono riferiti a guerra e violenza, e quindi intercettare conversazioni riferite alla pianificazione di azioni terroristiche in un contesto nel quale si parla massicciamente di bombe e armi per gioco è molto difficile. La Sony ha tuttavia annunciato di aver predisposto filtri calibrati sia su utenti che su nazioni. Ultimo strumento di potenziale utilizzo, menzionato appunto dal Ministro Orlando, sono le chat associate ai software peer to peer utilizzati per scaricare musica. Esse sono di due tipi: in primo luogo le Internet relay chat, come quella di eMule, che consentono di scambiare opinioni su quanto si va a scaricare; è privata e difficilmente intercettabile. La seconda e più pericolosa tipologia è rappresentata dalle chat anonime di software come ad esempio iMule e Free Net, che utilizzano un sistema di crittografia punto-punto di fatto inintercettabile”. Per Giustozzi “è un po’ qualunquista parlare di comunicazioni in generale, perché ci sono due classi di comunicazioni da tenere presente quando si parla di terrorismo: quelle strategiche e quelle tattiche. Non dobbiamo cioè confondere le comunicazioni orientate a pianificare le azioni e quelle che invece avvengono durante le azioni stesse. I mezzi utilizzati sono completamente diversi. Un altro concetto è che chi pianifica non si preoccupa tanto di non essere intercettabile, ma di non essere percepito. Nel senso, si cerca non tanto il canale cifrato, ma quello insospettabile, il pizzino insomma funziona meglio dell’sms. Probabilmente si usano la chat, ma sul campo conviene andare con dei walkie talkie”. Sulla possibilità di crearsi da soli uno strumento, il presupposto è che “di solito la soluzione artigianale è molto meno sicura di quanto è già sul mercato, ci sono precedenti di indagini andate a buon fine proprio grazie a sistemi di crittografia deboli creati apposta per alcune azioni. E spesso le cose messe sotto gli occhi di tutti si nascondono meglio delle altre, vale a dire: se uso programmi con crittografia forte divento un sospetto, quasi meglio usare canali aperti e meno sospettabili. Esistono certamente programmi con crittografia forte e canali cifrati e che solo con tanto impegno e tanti soldi si possono superare. Importante vedere casi specifici su come le evoluzioni dei sistemi cambino la loro intercettabilità, come successo per Skype, dapprima un sistema di telefonia peer to peer e basato su nodi della rete ben diversi da server centrali, organizzazione che faceva sì che gli stessi gestori del servizio non avevano modo di fornire collaborazione alle forze dell’ordine in chiave di intercettazione. Quando Microsoft ha acquistato il servizio, ha invece centralizzato su server specifici la comunicazione, ribaltando il quadro. Ora Skype non è più a prova di intercettazione, ma è stata necessaria un’azione enormemente complessa e costosa perché fosse così. Per riprendere una battuta, che tanto battuta non è, di qualche tempo fa di un mio amico, scegliere WhatsApp o Telegram significa scegliere se essere intercettati dagli americani o dai russi”. La legge  – Sul versante normativo, Artini ha affermato che “se l’idea è quella di concentrare tutti i poteri nella presidenza del consiglio, in realtà è già così a fronte del dpcm del 2013. Il punto è che questa cosa non funziona se rimane solo a quel livello. Al netto del Cnaipic, struttura che al momento risponde meglio di tutte in questo ambito e che non è integrata nel sistema del dpcm, le iniziative di sistema non sono abbastanza sviluppate e non lo sono a più livelli. La promessa di 150 milioni di euro sembra niente rispetto a quello che servirebbe, basti pensare che Israele investe in questo tipo di programmi 4 miliardi di euro l’anno, per quanto sia un esempio estremo. Dal 2013 ad oggi è stato prodotto solo il quadro strategico che è un buon testo ma resta pura accademia. Il problema attuale è che c’è una sovrapposizione di competenze e un livello operativo basso, anche a livello ministeriale non ci sono linee guida o gerarchie funzionali che permettano di rispondere a delle minacce. Gli strumenti e i poteri per spegnere Internet esistono già, ma non avrebbe senso per il singolo attacco, ma solo in caso di grave crisi cibernetica. A mancare è anche una sensibilizzazione di massa e una proceduralizzazione con protocolli precisi su quali comportamenti adottare in caso di attacco, lacune presenti anche in molti ministeri”. “L’Europa – ha dal canto suo ricordato Giustozzi – si è da poco dotata di una cyberstrategy nella cui premessa si legge che non c’è bisogno di nuove leggi per il cyberspace, le leggi che ci sono bastano già”. “Per quanto riguarda le comunicazioni in Internet – ha affermato Di Corinto – la quantità di comunicazioni che avviene giornalmente in rete è tale che non esistono ancora dei modelli predittivi e interpretativi in grado di ricavare delle configurazioni significative che permettano di individuare i pericoli prima che si verifichino gli attentati. Bisogna dire una cosa molto semplice: oggi conviene tenere alta l’attenzione su quello che su Internet si fa perché seguire le tracce di qualche delinquente significa attaccare il problema alla base. Mentre la possibilità di spegnere Internet non è credibile, anche e soprattutto alla luce della quantità e rilevanza di infrastrutture critiche che proprio tramite le connessioni vengono gestite. Il punto è avere l’intelligence sul campo, avere un’idea di cosa sta succedendo nelle periferie e capire perché c’è qualcuno che ci odia a tal punto da volerci ammazzare al bar”. Punto di vista sposato da Giustozzi: “Quello che è difficilissimo da fare è pescare nel mucchio, le intercettazioni di massa non sono utili a prevenire un crimine. Si sprecano soldi e risorse, mentre l’intelligence si fa mandando le persone sul territorio, è impensabile controllare tutto stando dietro a una scrivania. In questo contesto, non ci sono scorciatoie tecnologiche”. Dubbi sul funzionamento del riconoscimento facciale sono stati infine espressi da tutti gli ospiti, in primo luogo perché il soggetto da intercettare e riconoscere deve essere precisamente a favore di telecamere ed essere già schedato, in secondo luogo perché, come ha sottolineato Di Corinto, “è questo un sistema che permette di rintracciare chi ha commesso un crimine ma ha scarsa efficacia in termini di prevenzione. Senza contare che non si deve sottovalutare la possibilità che l’incrocio di dati raccolti in momenti diversi, per scopi diversi e presenti in banche dati diverse possa rappresentare uno scavalcamento di garanzie costituzionali. Esiste – ha proseguito – un articolo 14 del codice privacy che stabilisce che nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati volti a definire il profilo o la personalità dell’interessato. Concetto ribadito nella Carta dei diritti in Internet, diventato punto di riferimento per il legislatore da pochi giorni. Gli attentati di Londra del 2005 sono stati fatti pur se nel centro di Londra c’erano migliaia di telecamere accese”. 30 novembre 2015