La sicurezza deve essere una priorità

Professor Zimmermann, c'è davvero bisogno di proteggere le nostre telefonate contro le intercettazioni?
Certamente. Il progetto PGP nacque per proteggere i diritti umani dai governi totalitari, e difende le email, ma da ancor più tempo io avrei voluto proteggere le telefonate allo stesso scopo. Però non si poteva: mancava la potenza di calcolo nei PC, mancava l'Internet, mancava un modo per inoltrare le telefonate attraverso la Rete. Ora che tutto questo è possibile si può e si deve fare.
Quindi lei non ha fiducia nel suo governo? O in tutti i governi?
Ovunque nel mondo, una persona può avere fiducia assoluta nel suo governo in carica, ma non può essere certa del prossimo governo. Soprattutto, però, la cifratura della telefonia proteggerà la gente per bene, compresa la polizia, dalla criminalità organizzata. Le intercettazioni oggi sono troppo facili. Una volta bisognava attaccarsi ai cavi del telefono con due pinze, e lo faceva solo la polizia su mandato di un magistrato. Oggigiorno le conversazioni si possono intercettare restando all'estero.
Come?
Basta far arrivare un virus sul PC di uno degli interlocutori. Viene installato un programma, uno spyware, che registra quello che diciamo in documenti digitali formato WAV, i quali verranno poi scaricati e ascoltati dall'altra parte del mondo. I criminali in questo modo ascoltano i consulenti che discutono con gli amministratori delle aziende, e sanno in anticipo che ci saranno delle fusioni a muovere la borsa valori. Ascoltano la polizia discutere con gli informatori e sanno come vengono protetti i testimoni dei processi criminali. Volendo, scoprono gli orari nei quali i nostri bambini escono da scuola...
I "cattivi" usano programmi per estrarre informazioni dalle telefonate intercettate?
Non ancora. Il riconoscimento e la trascrizione automatica della voce sta facendo passi da gigante, ma per adesso è gente che ascolta con le proprie orecchie.
Chi sono questi criminali?
La mafia russa è molto attrezzata. Non so perché siano loro piuttosto che, tanto per dire, la mafia italiana, la quale è rimasta molto indietro. Comunque, oggi le maggiori organizzazioni si trovano all'Est.
Ma se la telefonia su Internet è tanto pericolosa, non ci basta tornare alla telefonia fissa?
È troppo tardi per rimettere nella scatola di Pandora questo particolare genietto. Oggi sono le compagnie telefoniche stesse a inoltrare su Internet le telefonate.
Non esistono già meccanismi di protezione contro le intercettazioni? Protocolli, misure di sicurezza?
I protocolli esistenti sono insufficienti. I protocolli vengono disegnati da comitati di ingegneri, per assenso collettivo. Le migliori misure di protezione invece sono quelle evolute per competizione tra proposte concorrenti. Per esempio, le telefonate VoIP che si fanno attraverso il popolarissimo programma Skype sono protegge con cifratura a chiave, ma la chiave è quella dell'azienda Skype. È la stessa sicurezza che c'è un un albergo, dove la direzione ha le chiavi di tutte le stanze. Se questa chiave centrale viene violata.. Una buona architettura di sicurezza userebbe invece chiavi individuali generate dai calcolatori degli interlocutori. Per le telefonate inoltrate dalle compagnie telefoniche su Internet il protocollo più usato è lo SDES: un metodo incredibilmente stupido in cui ogni server coinvolto riceve una copia delle chiavi. Immaginate di essere un attivista tibetano in Cina: crederete di star parlando in sicurezza mentre la vostra voce viaggia sui server del governo...
Cosa può fare il privato cittadino per proteggersi? Lei, in persona, cosa fa?
La sicurezza dovrebbe essere una funzione standard nei prodotti informatici che compriamo, ma purtroppo non lo è e quindi dobbiamo prestarci attenzione noi. Se la sicurezza fosse presa in considerazione avremmo già sepolto Windows. Io uso un Mac come personal computer e FreeBSD sui miei server. Quanto alle difese contro la criminalità organizzata, è davvero difficile e io personalmente ho rinunciato: servono risorse ingentissime. Un messaggio email può venir reso segreto cifrandolo e facendolo rimbalzare attraverso più server su Internet, ma si perde l'immediatezza, quindi questo metodo non può difendere le telefonate.
Eppure sono pochissime le persone che fanno attivamente qualcosa per tutelare la propria privacy. Al contrario, oggi i giovani riempiono siti come Facebook o MySpace di informazioni personalissime: gusti sessuali, preferenze politiche, dati e foto degli amici.
Lo fa anche mia figlia, ma io credo che sia un gravissimo errore. La gente per bene ha un atteggiamento di naturale fiducia, e poi rischia conseguenze severe. La nostra privacy viene continuamente abusata: vengo da Londra, dove ho visto migliaia di telecamere a circuito chiuso, e adesso stanno aggiungendo software per il riconoscimento dei volti. Presto si saprà automaticamente quante volte due persone si sono trovate nel medesimo albergo allo stesso momento. È il grande fratello!
Una buona protezione contro le intercettazioni non aiuterà alcuni tipi di criminali?
È un prezzo inevitabile da pagare, ma non è grave. Oggi i servizi segreti cercano e scoprono schemi e ripetizioni. Per esempio, si accorgono se un certo telefono in Pakistan chiama sempre un certo telefono a New York e immediatamente quello ne richiama altri dieci. Certo, gli piacerebbe conoscere il testo della comunicazione, ma il testo probabilmente è una frase in codice come "la torta di matrimonio sarà pronta sabato". Ascoltandolo non scopriranno niente di nuovo; persino l'evento a cui si stanno riferendo i criminali probabilmente non avverrà sabato prossimo...

*** Box: Philip Zimmermann

Philip Zimmermann è il più famoso esperto di crittografia al mondo. Caso raro, non si tratta semplicemente di uno studioso, ma di un attivista dei diritti civili molto conosciuto e apprezzato nell'ambiente. Negli anni Ottanta, Zimmermann scrisse e pubblicò Pretty Good Privacy, un programma che consente a qualsiasi privato cittadino di difendere i propri dati (documenti digitali, posta elettronica eccetera) in modo estremamente sicuro. Governi totalitari, dittature e tirannie, grazie al programma, si trovavano improvvisamente incapaci di violare la privacy e i segreti dei loro cittadini, anche quando sequestravano i loro PC. Fu però soprattutto il governo degli USA a combattere la diffusione del programma: lo FBI e la NSA fecero tutto il possibile per mettergli i bastoni tra le ruote. Il timido accademico però montò una difesa leonina, Appellandosi alla costituzione (dove il diritto di parola è sancito), Zimmermann riuscì a mantenere in commercio il suo programma all’interno degli Stati Uniti. La potenza del programma è tanto alta, tuttavia, che la sua esportazione venne equiparata a
quello del traffico d’armi da guerra e per questo Zimmermann corse il rischio di finire dietro le sbarre. Per aggirare il divieto, la casa editrice interna del Massachussets Institute of Technology (MIT) pubblicò un libro con il
codice sorgente, riga per riga, del programma PGP. Poi ottenne il diritto di esportarlo appellandosi all’insopprimibile principio della libertà di stampa. Un gruppo di attivisti belgi importò il libro e ri-digitò a mano il programma riga per riga, e poi prese a diffondere il programma nel resto del mondo.
Dal 1991 il programma nella sua versione base venne offerto gratuitamente (open source), mentre una versione ricca di piccole comodità venne offerta a pagamento a privati in grado di permettersela ed aziende. Nel 1996, dopo oltre dieci anni di lotte, gli USA lasciarono cadere le accuse contro Zimmermann. Nel 2000 l'allora presidente Bill Clinton firmò un dispositivo di legge che rimuoveva ogni limite all'esportazione di PGP.
Zimmermann è una figura tanto conosciuta nell'ambiente della crittografia da venire citato per nome e cognome nel romanzo Il codice Da Vinci di Dan Brown.

*** Box: Khamsa

Il gruppo Khamsa e la Khamsa S.A. nascono nel 2005 e si occupano di comunicazioni sicure. Il quartier generale è a Lugano, in via Giacometti, ma la società opera anche in Italia e sta pensando di espandersi in altre nazioni europee e negli USA. I laboratori di ricerca e sviluppo coinvolgono circa venti persone tratte dall'Università della Svizzera Italiana (presso il CPStartup) e dal Politecnico di Milano.
L'azienda è titolare di due brevetti internazionali. I prodotti di Khamsa sono incentrati sulla cifratura dei dati e della voce nella telefonia cellulare - comprese l'agenda dei contatti e i messaggi SMS. Khamsa offre anche consulenze, analisi delle vulnerabilità in azienda e supervisione della tutela della privacy. Dal maggio 2008, Philip Zimmermann entra a far parte del board scientifico dell'azienda. L'obiettivo è di integrare il protocollo ZRTP inventato da Zimmermann nelle soluzioni cellulari Khamsa, ZRTP consente di proteggere dalle intercettazioni le telefonate via Internet (VoIP). Entro l'anno, ZRTP verrà proposto come nuovo standard a IETF, l'organismo internazionale che regola Internet, e diverrà parte della definizione della grande Rete