Nel futuro del web controlleremo i nostri controllori?

Dopo lo scandalo NSA

Quelli che proponiamo in collaborazione con Mit Technology Review, la rivista Mit per l’innovazione sono due articoli scritti da David Talbot a due giorni di distanza. Il primo, “Gli ingegneri progettano un internet completamente criptato” riguarda l’intenzione di lavorare ad una rete che sia completamente criptata, in risposta allo scandalo Nsa. Il secondo “L’anonimato dovrebbe far parte di Internet” parla di come Tor, The Onion Router, attualmente uno strumento di protezione della privacy, possa diventare uno standard di internet.

Gli ingegneri progettano un internet completamente criptato

In risposta al grido di protesta generale sulla sorveglianza di massa eseguita dalla National Security Agency (Nsa) su internet, gli ingegneri che sviluppano i protocolli che stanno alla base di internet sono immersi in uno sforzo per criptare tutto il traffico Web, e si aspettano di presentare il sistema rinnovato alla fine del prossimo anno. Lo sforzo dell’Internet Engineering Task Force, o Ietf, un’organizzazione non ufficiale di ingegneri che cambia il codice di internet e funziona per consenso di massima, coinvolge l’Http o hypertext transfer protocol (protocollo di trasferimento di un ipertesto), che disciplina lo scambio di informazioni tra i browser Web di telefoni e computer e i server che contengono i dati del sito che si sta visitando.

I documenti trapelati, portati alla luce dall’ex collaboratore della Nsa Edward Snowden, suggeriscono che l’agenzia raccolga e memorizzi abitualmente enormi quantità di informazioni dalle principali piattaforme di cloud computing e da operatori wireless. Oggi, gran parte del traffico Web tra i dispositivo e i server Web non è crittografato, a meno che i siti web scelgano di utilizzare una variante del protocollo Http chiamato Https, il quale comprende una fase della crittografia chiamata Transport Layer Security; questo è comunemente utilizzato da banche, siti di e-commerce, e da alcuni grandi siti, tra cui Google e Facebook (Se l’indirizzo di un sito web inizia con “Https://” è già crittografato).

Il cambiamento avviato dall’IEFT introdurrebbe la criptazione di default per tutto il traffico internet, e il lavoro per realizzarla nella prossima generazione di Http, chiamata Http 2.0, sta procedendo “freneticamente”, spiega Stephen Farrell, un informatico del Trinity College di Dublin che fa parte del progetto. La speranza è preparare un capitolato che sia pronto alla fine del 2014. Starebbe poi ai website adottare la tecnologia, un’operazione che non è obbligatoria.

(Foto Flickr Pedro Moura Pinheiro)

Molti esperti hanno fatto notare che lo spionaggio su internet viene effettuato perché è un’operazione molto semplice. Alcuni sostengono che, complicando la vita a agenzie di sicurezza nazionale come la Nsa, queste potrebbero concentrarsi maggiormente su problemi legittimi piuttosto che sull’accaparrare tutto e fare domande solo dopo. (si veda “Bruce Schneier: Lo spionaggio della Nsa su di noi ci mette a rischio” e “La fuga di notizie della Nsa non ha intaccato la crittografia, ma ha evidenziato sistemi comuni per aggirarla“). «Penso che potremo fare la differenza nel prossimo periodo per rendere la criptografia molto diffusa nel Web e nella posta elettronica», sostiene Farrell.

Lo Ietf, infatti, si sta avvicinando alla fase finale, spiega, che riguarda l’aumento della sicurezza nelle e-mail e nel traffico di messaggi istantanei, due obiettivi chiave per la sorveglianza della rete. Al momento, i protocolli esistono per crittografare le comunicazioni mentre si spostano: per prima cosa dal dispositivo al vostro provider di posta elettronica, quindi al provider di posta elettronica del destinatario e infine al telefono del destinatario o al computer.

Il problema è che spesso i protocolli necessari per la crittografia non sono impostati correttamente e quindi non funzionano tra i diversi server di posta elettronica, come quelli di piccole organizzazioni, oppure quando passano da grandi servizi criptati, come Gmail, a quelli di una piccola azienda o istituzione. Quando questo accade, l’indirizzo e-mail finisce per essere inviato “in chiaro” perché i protocolli di posta elettronica danno priorità alla consegna attuale rispetto a tutti gli altri interessi, inclusa la crittografia, anche se in realtà stava funzionando. “Penso che si possa fare di meglio”, dice Farrell, per rendere l’installazione più semplice e controllabile.

In qualche modo si tratta di un dietro-front, perché un anno e mezzo fa un gruppo all’interno dell’Ietf aveva deciso di non includere la crittografia di default nell’Http. Ciò che rende il compito difficile, sostiene Farrell, è la parte statica delle pagine Web che vengono “nascoste” o memorizzate su server locali più vicini all’utente. Il caching è problematico perché il contenuto della memoria si trova tra il browser e il server, ed è tipicamente mantenuto “in chiaro”, o non crittografato, in modo che possa essere identificato. Per sua natura, la crittografia fa sì che ogni pezzo di contenuto appaia unico. “Il problema è che se si inizia la criptografia il caching diventa più difficile”, spiega Farrell. “La sfida tecnica è, come ottenere il vantaggio della sicurezza mantenendo il vantaggio del caching? E’ su questo che si sta lavorando”.

Una serie di altre possibili strade tecniche per la restrizione della privacy su Internet è stata illustrata in un recente post sul blog di Tim Bray, che ha contribuito a sviluppare la chiave di diversi protocolli web e ora lavora su Google. Ha frequentato una riunione Ietf tenutasi a novembre a Vancouver (si veda “Time for Internet Engineers to Fight Back Against the Surveillance Internet“). Bray non si è fatto intervistare, ma ha illustrato la rilevanza di questi sforzi nel suo post. «Alla fine della giornata questo diventa un problema politico [e] non un problema tecnologico, ma dato che qualsiasi cosa può essere fatta a livello tecnologico, molte persone che possono farlo sono qui», ha scritto, riferendosi agli ingegneri e produttori di browser che frequentano lo Ietf. Jari Arkko, presidente dell’Ietf ed esperto di architettura di Internet per Ericsson Research, sostiene che nessuno dovrebbe nutrire illusioni su correzioni tecniche rapide. “Devo essere onesto e aperto, qui la tecnologia è solo una parte del problema”.

Il funzionamento di Tor, spiegato da torproject.org

L’anonimato dovrebbe far parte di Internet

I principali ingegneri di internet hanno chiesto ai creatori di Tor– un software di rete progettato per rendere privata la navigazione web – di valutare l’ipotesi di fare della tecnologia uno standard per Internet. Se ampiamente adottato, un tale standard renderebbe più facile includere la tecnologia per i prodotti di consumo e di business che vanno dai router alle app. Questo permetterebbe, a sua volta, a molte più persone di navigare nel web senza essere identificate da qualcuno in grado di spiare il traffico internet.Se il confronto porterà a dei frutti, si potrebbe arrivare alla seconda maggiore iniziativa dell’Internet Engineering Task Force (Ietf) in risposta alla massiccia sorveglianza della National Security Administration. Lo Ietf sta già lavorando per criptare i dati che scorrono tra il vostro computer e i siti web che visitate (si veda “Gli ingegneri progettano un internet completamente criptato“). La collaborazione con Tor dovrebbe aggiungere un ulteriore livello di sicurezza e di privacy. Quando Tor è utilizzato con successo, i siti web che si visitano non conoscono l’indirizzo esatto e la giusta posizione del vostro computer e nessuno, guardando il traffico del computer, potrebbe sapere dove state navigando, un livello diverso di protezione che va oltre il criptaggio delle comunicazioni.

Stephen Farrell, uno scienziato informatico del Trinity College di Dublino, crede che trasformare Tor in uno standard che interoperi con altre parti di internet potrebbe essere meglio che lasciarlo lavorare come un strumento a sé stante che richiede l’azione delle persone per eseguire azioni speciali. “Credo che ci siano dei benefici che potrebbero andare in entrambe le direzioni”, sostiene Farrell. “Penso che altri membri dell’Ietf potrebbero imparare cose utili dai protocolli progettati dagli ideatori di Tor, che hanno affrontato interessanti sfide, rare nella pratica. Gli ideatori di Tor potrebbero ottenere interessamento e coinvolgimento da parte dei partecipanti all’Ietf che hanno molta esperienza dei sistemi su larga scala. Andrew Lewman, direttore esecutivo di Tor, racconta che il gruppo sta valutando questa possibilità. “Siamo sostanzialmente nella fase del ’Vogliamo fare qualcosa insieme?’ Non è chiaro se lo faremo, ma vale la pena analizzare per vedere di cosa si tratta. Aggiunge legittimità e convalida tutte le ricerche che abbiamo fatto”. D’altra parte, aggiunge: “I rischi e le preoccupazioni riguardano gli sviluppatori che sarebbero obbligati a ridiscutere tutto quello che abbiamo fatto, spiegando perché abbiamo preso certe decisioni. Rischiamo anche di indebolirci”, dice, perché le compagnie di terze parti, applicando Tor potrebbero, aggiungere le proprie modifiche.

L’Ietf è un’organizzazione informale di ingegneri che cambia il codice Internet e funziona per consenso di massima.I provider di servizi internet, le aziende e siti web non sono tenuti ad attuare tutte le norme standard dell’Ietf; anche se gli standard di sicurezza sono applicati, non possono essere ampiamente distribuiti. Ad esempio, anni fa, l’Ietf ha creato uno standard di criptografia per il traffico Web tra il computer dell’utente e i siti Web visitati. Anche se questo standard, Https, è costruito nella maggior parte dei software per servire le pagine web e la navigazione sul Web, solo le banche, siti di e-commerce, e una serie di grandi siti come Google e Facebook hanno scelto di utilizzarlo effettivamente. L’Ietf spera di rendere tale criptografia predefinita per un futuro standard di comunicazione web noto come Http 2.0.

(Foto Flickr Bob Mical)

The Tor Project è un gruppo no-profit che riceve finanziamenti dal governo e da privati per produrre il suo software, che viene utilizzato dalle forze dell’ordine, giornalisti e anche criminali. La tecnologia inizialmente è nata dal lavoro della US Naval Research Laboratory finalizzata a tutelare gli utenti militari (si veda “Dissent Made Safer“). Quando qualcuno installa Tor sul proprio computer e si prendono altre precauzioni, si fornisce quel computer di una directory di relay, o punti della rete, i cui proprietari si sono offerti volontari per gestire il traffico Tor. Tor poi controlla che il traffico dell’utente richieda ulteriori passaggi attraverso Internet. Ad ogni sosta, il precedente indirizzo del computer e le informazioni di routing vengono criptati, cioè la destinazione finale vede solo l’indirizzo del più recente relay, e nessuno di quelli precedenti.

La diffusione di notizie da parte di Edward Snowden, un ex collaboratore della Nsa, suggeriscono che aggirare Tor è stato uno degli obiettivi della Nsa, e che l’agenzia aveva avuto un certo successo (si veda “Anonymity Network Tor Needs a Tune-up to Protect Users from Surveillance“). “Noi siamo circa 10 persone, e le agenzie hanno miliardi di dollari e cercano di interrompere la nostra tecnologia”, spiega Lewman.