spionaggio elettronico i buoni e i cattivi.




da boiler.it
21.06.2006 

FOCUS: Sicurezza
Spionaggio elettronico, buoni e cattivi
Un giornalista infiltratosi alla Conferenza mondiale sugli Intelligence Support Systems ci racconta tre giorni di appostamenti e conversazioni rubate da cui esce un quadro piuttosto deprimente. Calea e i suoi più potenti frutti tecnologici sono inadeguati a catturare le persone che più di tutte andrebbero catturate. Il progetto delle “intercettazioni legali” è enorme, irragionevolmente costoso, controverso, ricoperto da una segretezza non necessaria e spesso inutile contro i sospettati più importanti che dice di voler colpire.
Dai telefoni alla Rete
di THOMAS GREENE

CRYSTAL CITY, Virginia – Il cupo corridoio dell’albergo era pieno di colletti bianchi che se ne andavano in giro dando l’aria di starsene sulla difensiva. Si muovevano in gruppetti di intimi che aggiravano un estraneo o un gruppo rivale in maniera guardinga, come fanno i gatti. Parlavano bisbigliando. Si guardavano le spalle nervosamente quando ricevevano chiamate sui loro cellulari e poi fuggivano velocemente nelle proprie stanze.
Erano funzionari governativi, capi di compagnie telefoniche, ufficiali dell’esercito, spie e poliziotti dell’agenzia a tre lettere, riuniti tutti da venditori che fanno affari nel settore del moderno equipaggiamento per la sicurezza. Il mio compito era capire quali fossero le loro intenzioni.
Si erano riuniti per la Conferenza mondiale sugli Intelligence Support Systems (Iss), una mostra mercato delle ultime novità nel campo delle intercettazioni nelle comunicazioni di massa, che si è tenuta a Crystal City, un sobborgo di Washington D.C., nello Stato della Virginia. Convenientemente situata tra il Reagan National Airport e il Pentagono, Crystal City è un luogo artificioso dominato da centri congresso e alberghi e predisposto per ospitare la relazione infinita, e spesso segreta, tra l’esercito statunitense e la sua miriade di rifornitori, gruppi di pressione, consulenti e addestratori. Vanno e vengono: civili che usano l’aeroporto, personale militare che prende la metropolitana per il Pentagono, con Crystal City come punto di intersezione in un circuito a forma di otto in costante attività.

Tornando allo stretto corridoio d’albergo, i venditori mostravano i loro stand esibendo gli ultimi gadget della sicurezza elettronica di massa: macchinari in grado di rovistare nel flusso di dati di milioni di sottoscrittori – kit industriali per l’intercettazione e l’analisi dei pacchetti di dati, per le intercettazioni radiofoniche e il riconoscimento vocale e di parole-chiave.
Queste strumentazioni sono una manna per l’industria degli hardware per le comunicazioni, manna offerta dalla U.S. Communications Assistance to Law Enforcement Act del 1994, o Calea, che stabilisce che tutte le nuove attrezzature delle compagnie telefoniche debbano essere “amichevolmente spiate” o, secondo un popolare eufemismo, “rispettose del Calea”.
Ne è seguito un mercato favorevole alle vendite con i costruttori delle apparecchiature che hanno cercato di imporre al pubblico i loro kit con eccezionale ottimismo. Il picco delle vendite ha superato i soliti limiti di affidabilità, scalabilità, costo totale di proprietà ed è aumentato il ricorso ai metodi di vendita più sotterranei del commercio di massa - che è obbligato dalla legge e finanziato da coloro che pagano le tasse e che non hanno il potere di rivedere i contratti e valutare i vari costi e benefici per la società.

Mentre le compagnie telefoniche statunitensi sono ben avvezze agli obblighi imposti dal Calea (progettato originariamente per rendere le reti dei telefoni mobili “amichevolmente spiabili” come la linea telefonica fissa), la commissione federale per le comunicazioni ha dichiarato di avere l’autorità di estendere il decreto alle attrezzature Voip e agli internet provider. Questa estensione è stata attaccata in corte federale, e il conflitto si è risolto con l’inserimento di una semplice espressione, all’interno del testo legislativo, che esenta i provider dei “servizi di informazione” (a differenza dei servizi di comunicazione) dagli obblighi del Calea
E’ possibile che solo i servizi Voip che utilizzano la rete telefonica pubblica saranno interessati dal Calea, lasciando in chiaro le apparecchiature Voip peer-to-peer e i provider dei servizi di informazione. La decisione verrà presa nel giro di pochi mesi.
Nonostante questa incertezza, i provider dei servizi di informazione (e le università) sono diventati nuovi possibili acquirenti per l’industria delle misure di sicurezza e la voce che corre unanime e sonora è: “Calea sta arrivando, ed è meglio essere pronti.”

Sorveglianza non sempre lecita

Nelle sale della conferenza i venditori esponevano le loro soluzioni per “intercettazioni legali”. Tra il pubblico c’erano rappresentanti di governo e della legge provenienti da nazioni, generalmente responsabili, del Nord America e dell’Europa occidentale, ma anche numerosi rappresentanti di Stati mediorientali, asiatici e africani, palesemente autoritari. L’espressione “intercettazioni legali” può avere un senso negli Stati Uniti, in Canada e in Europa, ma, dopotutto, si trattava della conferenza mondiale sugli Iss con partecipanti provenienti da più di trenta paesi.
C’era Narus, il costruttore del kit accusato da Mark Klein che si dice venga utilizzato impunemente dall’Nsa presso numerosi impianti dell’At&T, per la sorveglianza di massa e dei servizi internet ad uso domestico, e - si vanta la compagnia - da Telecom Shangai “per bloccare chiamate internet ‘non autorizzate’”.
C’erano colossi europei come la Ericsson e la Siemens, giganti americani come Raytheon e giganti un po’ più piccoli come VeriSign e Agilent, oltre a una vasta gamma di aziende più piccole e più specializzate nel settore della sicurezza come Verint, Narus e simili. Queste offrivano attrezzature e servizi in grado di qualsiasi tipo di intercettazione radiofonica o telematica, con interfacce e strutture di database progettate per gestire e inviare non solo informazioni ma “dati agibili”, adeguatamente organizzati e formattati per consentire una facile prosecuzione del lavoro.

Alcune sessioni della conferenza, stando al programma, erano “aperte solo ad agenti di polizia”. Ma non veniva fatta alcuna discriminazione tra le agenzie di polizia più coscienziose delle nazioni democratiche e quelle provenienti da aree in cui sono comuni pratiche più oscure.
L’ultima cosa che le persone coinvolte volevano era della pubblicità. Sfortunatamente dovevo fare il mio lavoro, sebbene difficile; la stampa era stata ostinatamente invitata a non partecipare, e i tentativi di Wired News di accreditarsi per l’evento erano stati respinti con fermezza. La mia prima giornata trascorreva in attesa nelle zone dell’albergo aperte al pubblico. Nella lobby, due uomini in abito elegante e con accento caraibico venivano incalzati da un venditore americano. I caraibici si erano irrigiditi quando mi ero avvicinato e, circospetti, avevano abbassato la voce. Avevo nascosto il naso tra i miei fogli ed ero rimasto in ascolto.
Non ho mai capito quale fosse esattamente il problema, ma era ovvio che ce ne fosse uno. Il venditore aveva concluso berciando: “Sono felice che abbiamo avuto l’opportunità di incontrarci di persona; non è una conversazione che avrei voluto fare per telefono, per ovvie ragioni”. Tutti avevano riso di cuore.
Il secondo giorno, era arrivato il momento di fare la mia mossa. Ero andato al tavolo per la registrazione e avevo richiesto un badge e un passi gratuito per la stampa. “La conferenza non è aperta alla stampa” mi aveva spiegato il receptionista con un tono flautato e un sorriso androide. Una guardia della sicurezza in uniforme aveva fatto un passo in avanti, per sottolineare il concetto. Mi ero ritirato, ferito ma non piegato.
Quella sera al bar, le cose si erano fatte interessanti. Era entrato un gruppo di individui legati al Pen Link e ai sistemi di sorveglianza elettronici Lincoln. Dopo aver chiacchierato per un po’ del più e del meno, mi ero spostato al loro tavolo. Sebbene mi fossi qualificato come giornalista, un entusiastico rivenditore di attrezzature aveva deciso di parlare lo stesso. Avevamo bevuto molto, perciò non farò il suo nome.
“Non sono molto preoccupato per le cimici in America e in Europa – avevo detto a uno degli ingegneri della Pen-Link – ma mi chiedo se vi crea qualche problema considerare ciò che questa tecnologia può fare nelle mani di governi oppressivi che non hanno alcuna supervisione giudiziaria, nessun parlamento indipendente.”
“E tu pensi, anche solo per un minuto, che Bush lascerebbe che la questione legale gli ostacolasse la sorveglianza? Deve prevenire un attacco terroristico che tutti sanno che sta per arrivare. Farà qualsiasi cosa riterrà utile. E così faresti anche tu. Perciò perché rompi le scatole a questi ragazzi?”
“E’ una questione legittima. – avevo insistito – Questa è roba potente. Nelle mani sbagliate, potrebbe distruggere gli oppositori politici; potrebbe rendere impossibile contestare il potere dello stato. Lo stato, in pratica, saprebbe tutto. Le persone verrebbero imprigionate per aver solo pensato di compiere un crimine."
“Non stai ascoltando. – aveva risposto – L’Nsa sta utilizzando questa roba, la Dea, i servizi segreti, la Cia. Mi prendi in giro? Loro non ti rispondono. Fanno quel diavolo che gli pare con questa roba. Sei davvero tanto ingenuo? Adesso, lascia perdere questi ragazzi; creano un prodotto, e basta. A loro non interessa cosa succede dopo. Hai davvero bisogno di educarti.”

IL TERZO giorno, l’ultimo della conferenza, non avevo niente da guadagnare a lavorare nelle retrovie, e quindi niente da perdere se fossi stato cacciato, perciò avevo superato l’androide e la guardia in uniforme. Nessuno mi aveva fermato. Avevo chiacchierato con i venditori. Avevo preso delle brochure dai loro tavoli e nelle sale della conferenza. Mi ero intrattenuto nella veranda e avevo fumato insieme ad altri aficionados del tabacco.
La migliore conversazione che ho avuto è stata con Robert van Bosbeek della polizia nazionale olandese. Gli avevo chiesto se era stato tentato di acquistare qualcosa.
“Non molto, – aveva detto ridendo – ma è sempre bene vedere cosa è in offerta. In sostanza, noi siamo tre o quattro anni avanti rispetto a tutte queste apparecchiature.” E aveva spiegato che in Olanda le intercettazioni nell’ambito della comunicazione utilizzano strumentazioni avanzate e sono piuttosto consuete, eppure, in pratica, meno problematiche che in molti altri paesi. “Il nostro sistema legale è più trasparente – aveva detto – perciò possiamo fare ciò di cui abbiamo bisogno senza controversie. La trasparenza rende l’applicazione della legge più facile, non più difficile.”
Entro mezzogiorno della terza giornata, l’atmosfera della conferenza si era andata rilassando. L’ultima cosa di cui avevo bisogno era il pacchetto proibito, con il Cd che conteneva le slide delle presentazioni. L’avrei avuto a dispetto dell’androide. In effetti, tramite l’androide.
Aspettavo nella lobby. Un gruppo di coreani stava scendendo le scale. La maggior parte dei coreani è affascinata dagli stranieri che riescono a borbottare anche solo poche parole della loro madre lingua, perciò ho chiacchierato con loro per un po’ e ho chiesto se potevo copiare il cd della conferenza sul mio computer portatile. Erano felici di accontentarmi.
Naturalmente quest’oggetto proibito non conteneva nulla che ne potesse giustificare il divieto ai giornalisti.
Un partecipante mi aveva detto che durante una presentazione, era nata una discussione sull’eventualità di invitare la stampa nelle future conferenze sugli Iss. Alcuni credevano che la segretezza portava solo alla speculazione che in genere, per il commercio, è peggio di fatti concreti. Altri ritenevano che i giornalisti fossero troppo ignoranti in materia per scrivere con cognizione di causa dei rapporti segreti tra grande impresa e forze di polizia e che dovrebbe venire raccontato loro il meno possibile nella speranza che non abbiano nulla da scrivere. A giudicare dalla mia personale esperienza, è chiaro che abbia avuto la meglio questa seconda linea di pensiero.
Mentre alla conferenza c’era poco o niente che valeva la pena tenere segreto, il senso di paranoia era costante. La guardia in uniforme posta all’entrata era lì per intimidire, non per proteggere. Le restrizioni per i civili che partecipavano alle sessioni erano – presumo – una bassa operazione di marketing per giustificare i 6.500 dollari che ciascuno doveva pagare per entrare, e che facevano prospettare informazioni segrete che l’utente medio della rete non poteva conoscere.

In conclusione, tutta questa attrezzatura per la sorveglianza diventa inutile grazie a semplici precauzioni come Voip criptati, un buon funzionamento delle reti virtuali private,dei proxies e dei protocolli Secure Shell per la navigazione web, dell’instant messaging, delle internet relay chat, di webmail e simili. Il servizio Voip di Skype è criptato ma a codice chiuso. Poi ci sono SpeakFreely, un’applicazione Voip peer-to-peer a codice aperto, Zfone, un plug-in Voip criptato a codice aperto, ideato dal capo della PGP, Phil Zimmermann; Invisible IRC, una Internet Relay Chat proxy a codice aperto che presenta caratteristiche per rendersi anonimi e per la criptazione, oltre ad altri trabocchetti troppo numerosi da elencare.
Il mito popolare del law enforcement vuole che i criminali stiano diventando sempre più sofisticati nell’utilizzare la tecnologia moderna, perciò la polizia deve acquisire strumenti più sofisticati per catturarli. Pressoché in ogni dichiarazione o discorso del Dipartimento di Giustizia riguardo il Calea troviamo varie versioni di questo mito. Ma questi strumenti – specialmente nel regno Ip – non sono sofisticati tanto quanto sono complicati e costosi. Essi sono una cattiva alternativa al vecchio lavoro di investigazione che consumava le scarpe e comportava lunghissimi tempi d’attesa in posti scomodi come le automobili. L’impulso principale dietro questo feticcio del law enforcement è la pigrizia, ed è una brutta tendenza: più poliziotti abbiamo che armeggiano con i computer, meno ne abbiamo a fare lavoro di gambe.
La conclusione è che i criminali ordinari saranno quelli più suscettibili alla sorveglianza elettronica, a distanza, mentre i cattivi, esperti di tecnologie sofisticate, continueranno a operare al di sotto del radar. Calea e i suoi più potenti frutti tecnologici sono inadeguati a catturare le persone che più di tutte andrebbero catturate. Il progetto delle “intercettazioni legali” è enorme, irragionevolmente costoso, controverso, ricoperto da una segretezza non necessaria e spesso inutile contro i sospettati più importanti che dice di voler colpire.
Esso rappresenta una minaccia tremenda ai diritti umani e alla dignità in paesi privi di misure legali adeguate, e invita ad abusi occasionali nei paesi che ne hanno. I suoi costi vengono pagati dai cittadini che sono deliberatamente tenuti allo scuro del prezzo che stanno versando, di quanto il Calea sia realmente efficace nel combattere il crimine e di quanto sia suscettibile all’abuso. Ed è così che tutti i personaggi coinvolti vogliono mantenerlo. Cosa che, com’è ovvio, costituisce proprio il motivo per cui l’opinione pubblica dovrebbe saperne molto di più, anche se ciò richiede il ricorso a tattiche grossolane come auto-invitarsi alla conferenza delle spie.