Nella mia biografia su Aaron Swartz pubblicata questa settimana in open access da Milano University Press (scaricabile gratuitamente dal sito dell’editore) e intitolata “Aggiustare il mondo: la vita, il processo e l’eredità di Aaron Swartz”, un intero capitolo, il tredicesimo, è dedicato al rapporto tra il giovane hacker e i sistemi per garantire la riservatezza delle fonti e dei whistleblower, soprattutto quando le persone cercano di rivelare informazioni alla stampa.
Uno dei progetti più importanti dei suoi ultimi anni di vita – l’hacker è morto suicida l’11 gennaio del 2013 – è stato quello di cercare di creare il sistema perfetto che consentisse, sia da un punto di vista della security, sia dal punto di vista dell’anonimato, di comunicare informazioni o trasmettere documenti in un contesto “ostile”, ossia a rischio di sorveglianza e controllo da parte del governo o di terzi.
In particolare, le strategie attorno a SecureDrop e StrongBox racchiudono tantissime idee di Aaron e, subito dopo la sua morte, tali servizi saranno adottati da importantissimi quotidiani in tutto il mondo.
Il tema è, quanto mai, di attualità soprattutto negli Stati Uniti d’America, dove il dibattito circa il ruolo sociale della stampa e i tentativi di sorveglianza da parte delle agenzie anche nei confronti delle fonti dei giornalisti (e dei giornalisti stessi) sollevano costanti polemiche.
Proteggere gli informatori: SecureDrop e StrongBox
La figura del whistleblower – o informatore interno – ossia di quel soggetto che, dall’interno della struttura di un’organizzazione privata o di un ente pubblico, rivela fatti e documenti comprovanti degli illeciti, è sempre stata estremamente affascinante per Aaron.
Whistleblowing nel settore privato: come adeguarsi nel rispetto della privacy
Per pochi mesi il giovane non riuscirà a seguire il caso Snowden, la vicenda di fuga di documenti più nota della storia, ma il tema era, nei suoi ragionamenti, centrale.
In particolare, si era interessato a quali strumenti tecnologici poter fornire a un potenziale whistleblower che avesse intenzione di trasmettere una serie di documenti a un giornalista, a una redazione o all’autorità ma che, al contempo, volesse essere certo di non essere intercettato o controllato nelle sue comunicazioni né che fosse svelata la sua reale identità.
Aaron dedicò, allora, diversi mesi per ideare e progettare un sistema che denominò SecureDrop: una simile architettura avrebbe consentito di comunicare in maniera sicura con specifiche fonti d’informazione – soprattutto redazioni di quotidiani, settimanali e singoli giornalisti – tutelando sia il canale di comunicazione, sia la fonte.
Lo scopo di Aaron era quello di dimostrare, per l’ennesima volta, come un uso intelligente delle migliori tecnologie disponibili potesse contribuire ad alzare barriere protettive abbastanza solide contro tentativi di controllo e di sorveglianza da parte dei governi e dell’autorità.
In questo caso, il sistema era stato pensato – ma non solo – come un sistema open source che editori, redazioni, giornalisti o semplici utenti avrebbero potuto installare sui loro server per consentire a fonti che volessero rimanere anonime di poter inviare documenti a loro avviso utili per una potenziale inchiesta.
Si trattava di un’iniziativa obiettivamente ben progettata, e anche questa fu di grande successo mondiale: sarà adottata, nel corso degli anni, da oltre cinquanta realtà, tra cui The New York Times, The Washington Post, ProPublica e The Intercept.
Le idee di cybersecurity alla base del progetto
La ratio alla base di un simile progetto si fonda su alcuni assunti di cybersecurity che Aaron e il tuo team avevano ben chiari e che misero in pratica.
Innanzitutto, il sistema/server che riceve e tratta le segnalazioni non deve essere gestito da una terza parte, ma deve rimanere di proprietà dell’organizzazione e trovarsi fisicamente all’interno della stessa.
Poi, si deve prevedere un processo rigoroso di minimizzazione dei metadati (le informazioni aggiuntive contenute nei documenti) ed evitare assolutamente di registrare informazioni circa gli indirizzi IP di collegamento, i browser utilizzati e qualsiasi identificativo correlabile a un computer.
La cifratura dei dati – sia in transito, sia a riposo – garantirà, poi, la riservatezza e l’integrità degli stessi; il sistema stesso, dal canto suo, funzionerà come strumento di “formazione” e di educazione alla sicurezza informatica per i giornalisti e gli utenti e imporrà, nel quotidiano, comportamenti che aumenteranno, in generale, la sicurezza nelle attività, soprattutto se effettuate in ambienti ad alto rischio.
Il tutto è fondato su software libero e open source che permetta una regolare verifica del codice sorgente e del suo livello di sicurezza, nonché l’assenza di backdoor, ossia vulnerabilità che permettano l’ingresso surrettizio di terzi nel canale di comunicazione.
La nascita di SecureDrop
SecureDrop nasce, nella mente di Aaron, come un sistema di protezione delle fonti giornalistiche ma, in realtà, dà vita a un intero ambiente informatico sicuro che elimina completamente le terze parti (ad esempio un provider che potrebbe custodire i dati): il giornalista e la fonte comunicano esclusivamente attraverso un server che il quotidiano possiede e che si trova in locali di sua proprietà (un server, per di più, che conserva molte meno informazioni, e file di log, degli operatori “tradizionali”).
L’attenzione alla minimizzazione dei metadati ci fa comprendere, ancora una volta, come oggi i dati esterni – ossia i dati di traffico, le durate delle comunicazioni, il mittente e il destinatario di una chiamata, di una e-mail o di un messaggio – siano ben più importanti dei contenuti stessi delle conversazioni.
La fonte deve accedere a SecureDrop unicamente attraverso TorBrowser, che provvede a mascherare l’indirizzo IP della fonte stessa (quindi non si può risalire ad alcuna indicazione su chi sia la fonte, a meno che non sia essa stessa a rivelarlo, e da dove stia inviando informazioni).
L’indirizzo IP della rete Tor, il computer e il tipo di browser che la fonte sta usando non vengono in alcun modo registrati e per ogni fonte documentale vengono registrate sul server solamente l’ora e la data di ogni invio.
Quando una fonte invia un nuovo messaggio, l’ora e la data dell’ultimo messaggio vengono sovrascritte, per cui non ci saranno metadati a dimostrare il momento esatto in cui la fonte e il giornalista stessero parlando.
Al contempo, le fonti non possono creare un nome utente personalizzato che potrebbe ingenuamente rivelare informazioni su di loro, ma è SecureDrop stesso a generare automaticamente due nomi in codice casuali: uno da mostrare alla fonte, e un altro ai giornalisti che usano il sistema.
Le comunicazioni attraverso SecureDrop sono cifrate in transito, quindi i messaggi non possono essere facilmente intercettati e letti mentre attraversano Internet, e sono anche cifrate sul server, quindi se un attaccante riuscisse a penetrare nel server, non sarebbe comunque in grado di leggere i messaggi che sono circolati.
Ultimo ma non ultimo, la chiave di decifratura per l’invio a SecureDrop si trova su un computer air-gapped (non connesso in alcun modo a Internet): questo computer scollegato dalla rete è l’unico luogo in cui i messaggi SecureDrop vengono decifrati e letti, per far sì che sia molto più difficile, per un possibile attaccante, accedervi.
I contributi sono, poi, accessibili e scaricabili dai giornalisti utilizzando il sistema operativo Tails, che si avvia da una chiavetta USB, non “tocca” il disco rigido del computer e instrada tutto il suo traffico Internet attraverso la rete Tor.
I contributi sono, infine, decifrati su un computer air-gapped che usa anch’esso Tails, e questo procedimento mitiga il rischio che un attaccante possa inviare malware attraverso SecureDrop nel tentativo di infettare la rete principale del quotidiano o dell’organizzazione.
Il collegamento a Tails
La scelta di Aaron di collegare il suo progetto a Tails, un piccolo/grande sistema operativo pensato, e sviluppato, per garantire un alto livello di sicurezza e per essere utilizzato (anche) in contesti dove le attività di sorveglianza e di controllo sono particolarmente pervasive nei confronti di un utente preso di mira, è molto significativa anche in un’ottica di attivismo.
Aaron scelse, infatti, un sistema operativo specificamente progettato per non lasciare alcuna traccia di attività sul computer che lo “ospita” e permette all’utente di installare una copia di Tails su una normalissima chiavetta USB e di usarla ovunque, soprattutto su computer di cui l’utente non conosce l’origine, la provenienza e la configurazione. L’utilizzo tipico, come ben si può immaginare, è sul computer collocato in un Internet Café o nella hall di un hotel, luoghi che Aaron vedeva come facilmente controllabili da un terzo ostile.
Nonostante sia un sistema pensato per dissidenti, per giornalisti controllati da regimi liberticidi, per vittime di reati (ad esempio: di stalking) o, comunque, per persone che non possono permettersi di lasciare tracce delle loro attività, si può rivelare uno strumento assai utile per l’utente itinerante che voglia mantenere al sicuro i suoi dati e le sue attività/comunicazioni.
Aaron, com’è noto, cercava, negli strumenti che utilizzava o sviluppava, come prima cosa la semplicità, e l’uso di Tails è molto semplice ed è alla portata anche dei non-tecnici: si avvia su un computer “ospite”, ma il sistema operativo risiede sulla chiavetta USB in possesso e di proprietà dell’utente. La conseguenza è che si viene a creare una sorta di “computer temporaneo” sulla chiavetta stessa (che si appoggia alla memoria volatile del computer “ospite”) che non lascia alcuna traccia delle attività dell’utente. In pratica, Tails non usa né il sistema operativo presente sul computer che lo ospita, né il suo disco fisso.
Ma vi è di più: Tails, a ogni avvio, si presenta con un ambiente libero da qualsiasi dato generato in precedenza e, quindi, non reca traccia di tutte le attività svolte in passato. In altre parole: non appena si spegne il computer, “svanisce” anche Tails.
I benefici immediati collegati all’uso di una tecnologia per proteggersi
Aaron aveva riflettuto con cura sui benefici immediati di tale sistema: Tails consentiva di non lasciare tracce di tutte le attività che un utente comune avrebbe potuto svolgere nelle ore trascorse di fronte allo schermo di un computer: i siti web che sono stati visitati, i file che sono stati aperti e cancellati, le password che sono state memorizzate e le reti Wi-FI che si sono utilizzate. Tutto, in sintesi, sparisce.
Tails permette, poi, di memorizzare in una cartella cifrata alcuni strumenti utili, o file, che utilizziamo più comunemente o che vogliamo consultare: si usa, in pratica, la stessa chiavetta USB come archivio persistente. Il sistema operativo contiene una selezione di applicazioni pensate per finalità di sicurezza informatica, e tutte queste applicazioni sono già configurate al fine di non lasciare tracce o per garantire il più alto livello di sicurezza possibile. Siamo in presenza di una sorta di security by default implementata e incorporata nel sistema operativo stesso. Si pensi, ad esempio, che tali applicazioni sono automaticamente bloccate dal sistema nel caso cercassero di connettersi a Internet senza utilizzare Tor e, quindi, senza transitare da una rete cifrata. Una delle regole “inflessibili” di cybersecurity alla base dello sviluppo di Tails prevede, infatti, che qualsiasi attività effettuata su Internet debba transitare per la rete di Tor.
Si tratta, in definitiva, di uno strumento multiuso che, banalmente, potrebbe permettere la non tracciabilità, o profilazione, da un punto di vista commerciale/pubblicitario e la gestione di un sito web, o di un blog, con modalità le più possibile anonime.
Il codice sorgente è, ovviamente, pubblico, basato sulla distribuzione Debian e a completa disposizione di tanti ricercatori indipendenti che costantemente verificano che non vi siano backdoor o “trappole” di altro genere per gli utenti incorporate nel codice.
Il New Yorker ricorda Aaron
Nel maggio del 2013 l’importante rivista New Yorker ha annunciato il lancio di Strongbox, una casella di posta anonima sviluppata proprio partendo dalle idee di Aaron Swartz ed eredità delle invenzioni già alla base del progetto SecureDrop.
Si tratta, anche in questo caso, di un sistema di posta elettronica cifrata in grado di ricevere e proteggere i file provenienti da fonti anonime. Il germe di questa idea aveva visto il contributo anche di Kevin Poulsen, ex hacker e redattore di Wired, che aveva conosciuto Swartz quando il sito Reddit era stato venduto a Condé Nast (che possedeva sia Wired, sia il New Yorker).
Sia Aaron, sia Kevin avevano sviluppato questa idea di progettare una casella di posta sicura e anonima per i reportage investigativi; con la collaborazione dell’esperto di sicurezza James Dolan, erano arrivati a crearne una versione stabile nel dicembre del 2012.
Nei mesi successivi, una versione definitiva e funzionante fu proposta al New Yorker, che la implementò e la chiamò Strongbox.
Strongbox, presente e funzionante ancora oggi, è, essenzialmente, un sistema di dropbox sicuro combinato con vari protocolli che servono a rendere i messaggi più difficili da rintracciare.
Per connettersi al sistema, una fonte deve utilizzare, anche in questo caso, la rete di anonimizzazione Tor. Da quel momento può caricare un file e riceve in cambio un nome in codice generato casualmente. I file saranno cifrati e inviati a un server separato dal resto della rete di Condé Nast.
Per poterli visualizzare, i redattori dovranno adottare una serie di precauzioni di sicurezza, tra cui la decifrazione dei file stessi su un computer separato non connesso a Internet e le comunicazioni successive utilizzeranno quel nome in codice.
Il lancio di questa architettura fu effettuato solo pochi giorni dopo che un’agenzia di stampa aveva rivelato come gli investigatori del Dipartimento di Giustizia avessero monitorato le telefonate di alcuni giornalisti per cercare di scoprire le loro fonti.
Strongbox è stato progettato proprio per rendere le testate giornalistiche un po’ meno vulnerabili alle richieste governative o ai controlli aziendali: a meno che una fonte non scelga di identificarsi, nemmeno i giornalisti sapranno chi è e, a differenza di quanto accade con un’e-mail proveniente da un account usa e getta, non c’è un servizio/provider come Google o Yahoo cui chiedere un mandato di comparizione.
Strongbox era utilizzato solo dal New Yorker, ma il codice sottostante, noto come DeadDrop, è oggi disponibile con licenza open source su GitHub.
Il ruolo della stampa e i pericoli di controllo e sorveglianza
Questi progetti sono, negli Stati Uniti d’America, strettamente legati all’idea del ruolo della stampa e la sua funzione democratica e di controllo, un tema che per Aaron era non solo estremamente affascinante ma centrale nella vita democratica di un Paese.
The Freedom of the Press Foundation, negli Stati Uniti, oltre a organizzare dei tradizionali hackaton per testare e migliorare simili sistemi, ha sempre individuato l’impulso di Aaron dietro al progetto SecureDrop come la volontà di ristabilire l’equilibrio tra i Governi e i giornalisti che vogliono comunicare con fonti anonime. E questo, unito a una libertà di stampa molto forte, è visto come un elemento essenziale per una democrazia funzionante.
Si pensi che la Fondazione si è presa carico dello sviluppo e della promozione di simile sistema open source al fine di aiutare le organizzazioni dei media a semplificare il processo di accettazione sicura dei documenti provenienti da fonti anonime.
In questa fase di sviluppo di prodotti pensati per proteggere le comunicazioni, è evidente la volontà di Aaron di entrare anche nell’attivismo pratico e nella resistenza elettronica, ossia la creazione di tools – strumenti utilizzabili anche dal semplice cittadino – per alzare una barriera nei confronti di società, law enforcement e governi che avevano intensificato il controllo sulle comunicazioni dei cittadini. Aveva scoperto, in particolare, che un uso intelligente delle tecnologie esistenti avrebbe permesso, se non un livello di anonimato assoluto, almeno strumenti di difesa particolarmente efficaci in determinati contesti ad alto rischio di controllo e di sorveglianza.
