Il guaio del nostro tempo è che il futuro non è più quello di una volta.

Paul Valéry

Privacy, game over. E adesso intercettateci tutti

0

Italia: terra di santi, navigatori, poeti, intercettati e intercettatori. Siamo il Paese dove si realizzano più intercettazioni legali al mondo: Vodafone ha dichiarato di aver ricevuto oltre 600.000 richieste in un anno, Telecom altrettanto. Ma siamo anche il Paese che punta, potenzialmente, al record mondiale di intercettazioni illegali. Ai 181 milioni di eventi di intromissione nei dati e nelle conversazioni che ogni anno si verificano in Italia, potrebbero aggiungersene moltissimi di cui non sappiamo niente.

Un rapporto riservatissimo rivela infatti che tutte le comunicazioni degli italiani sono ad alto, altissimo rischio di intercettazione. Siamo esposti ad una tale vulnerabilità di sistema che tutti i nostri dati, telefonate, sms, testi delle mail possono facilmente essere oggetto di intromissione. La denuncia, tenuta sin qui blindata, arriva da una relazione del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti.

Dopo lo scandalo Datagate in tanti si domandano fino a che punto i nostri dati personali siano tutelati. Il garante della Privacy per primo non è più disposto a metterci la mano sul fuoco e dalle prime verifiche in corso, c’è davvero di che preoccuparsi. Il vulnus di sistema va addebitato agli Internet eXchange Point (IXP) e ai sistemi di sicurezza, inefficaci, che dovrebbero proteggerli. Gli Ixp sono delle infrastrutture chiave per il funzionamento di Internet. Si tratta di luoghi fisici in cui convergono tutti i cavi che trasportano i dati degli utenti dei vari Internet Service Provider (Telecom, Fastweb, Vodafone, H3G, etc). In questi luoghi, i dati vengono letti, elaborati e dunque smistati nella Rete. In Italia sono attivi nove Ixp, anche se sono tre quelli fondamentali: uno a Milano (il “Mix”), uno a Torino (il “Top-IX) e uno a Roma (il “NaMex”). A questo nodo si ascrivono “una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi”.

“Tali apparati – si legge nella relazione degli ispettori del Garante – dispongono di funzionalità tecniche che possono consentire di replicare, in tempo reale, il traffico in transito dirottando il flusso replicato verso un’altra porta (port mirroring)”. Nel corso dei controlli questa funzione non era attivata, specificano gli ispettori, aggiungendo però che se qualcuno volesse esaminare il traffico in transito potrebbe farlo “con una certa facilità, attivando la funzione di port mirroring e poi utilizzando appositi strumenti di analisi”. Sarebbe quindi alla portata di tutti duplicare il traffico degli utenti, dirottarlo altrove su grossi database e poi analizzarlo. Certo occorrerebbe avere accesso a queste strutture, ma l’impresa appare di facile riuscita.

“La cosa merita la massima attenzione – continuano gli ispettori – in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti – tra i quali la Pubblica Amministrazione e le imprese – dei principali operatori nazionali”.

Da una decina di anni anche le chiamate vocali (da mobile e da fisso) vengono digitalizzate, trasmesse via web. “Pertanto – prosegue il rapporto – un inadeguato livello di sicurezza può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese”. Tra i 132 operatori connessi al “Mix” di Milano ci sono gli americani At&T;, Amazon, Facebook, Google, Microsoft, Verizon. Si tratta di dati personali, sensibili, anche finanziari. Da lì passano tutte le informazioni sui nostri conti correnti, le transazioni delle carte di credito, lo shopping online.

Oltre che di sicurezza e di privacy, gli ispettori del Garante ne fanno anche una decisiva questione di regole: “Per svolgere la propria attività gli Ixp non hanno la necessità di trattare i dati personali degli abbonati o degli utenti e quindi (…) non assumono la qualifica di titolare del trattamento, in relazione alla quale il Garante potrebbe prescrivere loro direttamente le misure ritenute necessarie o opportune per rendere il trattamento dei dati conforme alle disposizioni di legge”. Possono quindi agire senza un livello alto di controllo.

L’allarme sulla sicurezza dei dati italiani segue di pochi giorni un analogo sos lanciato da Israele, dove ha sede la Lacoon Mobile Security, azienda specializzata in sicurezza informatica. Gli utenti Apple che usano Gmail sui dispositivi mobili rischiano di vedersi facilmente intercettati, dicono gli specialist della Lacoon. Secondo loro, Google non avrebbe ancora implementato una tecnologia di sicurezza capace di impedire ai cyber criminali di visualizzare e modificare comunicazioni cifrate scambiate tra  servizi Google. I siti web usano i certificati digitali per crittografare il traffico dati utilizzando specifici protocolli (Secure Sockets Layer / Transport Layer Security). In alcuni casi i certificati in questione possono essere contraffatti, permettendo ai cyber criminali di decifrare il traffico.

Per risolvere il problema serve un certificato apposito che consenta la codifica solo da parte dell’applicazione legittima. Google lo usa con i sistemi Android, ma non con quelli iOS, quindi un malintenzionato potrebbe perpetrare un attacco di tipo man-in-the-middle per intercettare le comunicazioni criptate. Certamente la vulnerabilità che emerge disegna un quadro inquietante che inficia l’efficacia di qualunque legge sulla privacy. In Italia, oggi, tutti possono intercettare tutto. Forse è per tenere alti i propri standard di sicurezza che in questi giorni la Germania ha imposto ai propri servizi segreti di rinunciare all’informatica e far passare tutte le proprie comunicazioni su carta, reintroducendo anche l’uso delle macchine da scrivere negli uffici. Finché non si sarà trovata una soluzione per i tanti, troppi buchi della rete, il futuro è un ritorno al passato.

Aldo Torchiaro

L'Autore

Lascia un commento