Mentre in Egitto Internet viene bloccata a livello nazionale e alcuni smanettoni mettono in piedi reti alternative per la comunicazione tra gli insorti, riprendiamo un manuale dell’EFF[*] di qualche mese fa e invitiamo tutti a leggerlo e a diffonderlo, anche in altre lingue.
Sei soluzioni tecniche per proteggere la libertà d’espressione nei regimi autoritari
e quattro consigli per aiutare dall’estero
Introduzione
Internet è ormai uno dei mezzi più potenti mai creati per dar voce ai popoli oppressi di tutto il mondo. Purtroppo, le nuove tecnologie hanno anche fornito ai regimi autoritari nuovi strumenti per identificare chi alza la voce contro la censura e la sorveglianza e per compiere rappresaglie contro gli oppositori. Quelli che seguono sono sei consigli fondamentali per chi sta cercando di far sentire la propria voce e non vuole essere vittima della sorveglianza e della censura di uno stato autoritario, oltre a quattro proposte per chi vuole aiutare i cittadini colpiti dalla repressione.
I. Idee per attivisti e per cittadini di regimi autoritari
1. Imparate a valutare il rischio
Il primo passo da compiere per cercare di difendersi dalla sorveglianza digitale e dalla censura è comprendere il concetto di valutazione del rischio. La valutazione del rischio serve a stabilire quali siano i pericoli da affrontare, quanto siano seri e probabili questi rischi e a quali tecniche di difesa sia meglio dare priorità.
Lungi dall’essere garantita da lucchetti e antivirus particolarmente potenti, la sicurezza consiste in una serie di compromessi da trovare per gestire il rischio, come del resto facciamo continuamente nel corso della nostra vita quotidiana. Quando decidiamo di attraversare la strada senza passare sulle strisce, abbiamo fatto un compromesso: soppesando il rischio di essere investiti e la fatica di arrivare fino in fondo alla strada, valutiamo il pericolo osservando la strada per vedere se arrivano macchine. Il bene da proteggere in questo caso è la nostra salute fisica, ma in tutti i casi per ottenere il risultato che desideriamo dobbiamo chiederci quanto sia elevato il rischio di perdere il bene prezioso che si vuole proteggere. Per sapere di più sulla valutazione del rischio, potete consultare questo manuale dell’EFF (in inglese).
2. Attenzione al malware
“Malware” è un termine generico che fa riferimento a virus, worm, trojan, keystroke logger, spyware, rootkit e qualunque altro software che induca un computer a spiare le vostre attività contro i vostri interessi.
Se un governo è riuscito a installare un malware sul computer che usate, tutto il resto non conta: i vostri file e le vostre comunicazioni sono sotto sorveglianza.
Se usate un computer vostro, assicuratevi di installare gli aggiornamenti di sicurezza e di usare un antivirus e un software antirootkit. Tenete conto, comunque, che queste misure garantiscono una protezione limitata. Per un approfondimento su come usare gli antivirus e i firewall, consultate questa guida (in inglese).
È importante considerare che se usate un computer utilizzato da più persone, ad esempio in un Internet cafè o in una biblioteca pubblica, il rischio di essere sorvegliati da un malware è maggiore. Se proprio dovete usare un computer pubblico per trasmettere comunicazioni delicate, sarà meglio utilizzare una chiavetta USB o un CD bootabili (come Incognito) per limitare gli effetti del malware.
Potete usare una USB o un CD bootabili anche per le attività più delicate che svolgete sul vostro computer personale.
3. Scegliete i canali di comunicazione meno rischiosi
Dovreste fare molta attenzione nella scelta dei canali che usate per comunicare con gli altri, che siano o meno coinvolti in attività politiche.
- Parlare di persona è di solito il metodo più sicuro per comunicare (a meno che non ci sia qualcuno che vi osserva o che non siano state nascoste cimici nel posto in cui vi trovate).
- Valutate attentamente i rischi del telefono: quasi tutti gli apparati statali sono in grado di registrare la provenienza e la destinazione di qualunque chiamata, come pure l’orario in cui è avvenuta. Fatto salvo per Stati Uniti e Unione Europea, al momento gli altri stati sono in possesso di tecnologie più limitate, ma su cui non si sa nulla, per la registrazione e l’intercettazione delle telefonate. Si ritiene ad esempio che tutti siano in grado di effettuare intercettazioni, ma che possano intercettare solo un numero limitato di comunicazioni (probabilmente qualche migliaio) in ogni dato momento. Quando un attivista effettua o riceve una telefonata con un apparecchio di sua proprietà, bisogna dare regolarmente per scontato che sarà intercettata.
- Evitare di mandare SMS, che vengono trasmessi in chiaro da tutti i provider di telecomunicazioni di rilievo e possono essere facilmente registrati e analizzati su vasta scala dalle forze dello stato.
- Proteggete le vostre comunicazioni in rete tramite crittazione e scegliendo provider (preferibilmente all’estero) che siano fidati e che non abbiano motivo di collaborare con il vostro stato.
Ecco due strumenti facili da usare per ottenere un certo grado di protezione:
- Usate il plugin OTR per l’instant messaging. Questa è una soluzione semplice se sia voi che le persone con cui comunicate potete installare il software di instant messaging Pidgin (o Adium X per Mac) sul vostro computer. Per sapere come fare, leggete qui. Disabilitate la registrazione delle comunicazioni per assicurarvi che, in caso di sequestro del computer, i vostri discorsi non possano essere ritrovati nell’hard disk.
- Usate un provider di webmail che fornisca una crittazione https. Servizi come RiseUp.net, Autistici/Inventati e altri fanno molta attenzione alla privacy dei loro utenti. Ora Gmail supporta la crittazione di default, ma siete sicuri che alla fine Google non consegnerà le vostre comunicazioni al vostro governo?[1] Ogni volta che inviate o ricevete una mail, assicuratevi che l’indirizzo della pagina della webmail inizi per https. In caso contrario, il vostro messaggio potrebbe essere stato intercettato.
Ma anche se usate un server sicuro (e noi lo raccomandiamo caldamente), questo non basta, perché la vostra sicurezza dev’essere nelle vostre mani, sotto il vostro pieno controllo. Per questo, vi consigliamo caldamente di crittare tutte le vostre mail con GPG (particolarmente facile da usare su Thunderbird con il plugin Enigmail).
- Anche le chiamate in Voice-over-IP possono essere crittate, ma molti servizi VoIP non supportano la crittazione. Due eccezioni sono ZPhone e Skype. Il VoIP non crittato è facilissimo da intercettare, e quindi sono estremamente intercettabili le telefonate che si effettuano dagli Internet cafè e dai phone center.
In realtà non è possibile sapere quanta sicurezza garantisca Skype. L’EFF ritiene che i paesi dotati di servizi di intelligence particolarmente sofisticati troveranno senz’altro un modo per annullare la sicurezza offerta da Skype, mentre quelli meno sviluppati da questo punto di vista potrebbero non riuscirci. Com’è noto, la Cina ha prodotto una propria versione di Skype infettata da trojan, ed è risaputo che nell’architettura di sicurezza di Skype sono presenti diversi punti deboli [2]. È assolutamente plausibile che i servizi d’intelligence di paesi come gli USA, Israele, la Russia o Cuba siano perfettamente in grado di aggirare la crittazione di Skype. Ma per quanto ci è dato sapere quasi nessuno dei paesi meno sviluppati sarà in grado nel prossimo futuro di decrittare le comunicazioni su Skype.
4. Usate la crittazione per evitare la sorveglianza e la censura quando navigate in rete
La censura e la sorveglianza delle connessioni a Internet sono intimamente interconnesse: se le comunicazioni sono censurate, è difficile che non siano anche controllate e interpretate, perché per un sistema di censura è difficile distinguere tra le comunicazioni da bloccare e quelle che possono passare liberamente.
Sono molti i metodi di crittazione che si possono usare per proteggere le proprie comunicazioni dalla sorveglianza e dalla censura. Si possono usare alcuni servizi online che crittano i messaggi di default (v. sopra a proposito dell’instant messaging e della posta elettronica), ma se il vostro scopo è proteggere tutta la vostra navigazione sul web, potete scegliere tra uno di questi strumenti:
- Usate Tor. Tor critta le vostre connessioni e le fa rimbalzare da un angolo all’altro del pianeta prima di farle arrivare a destinazione. Questo strumento facile da usare garantisce un notevole livello di protezione dalle intercettazioni delle forze statali [3]. Il problema principale dell’uso di Tor è che la navigazione è molto rallentata: dovete fare i conti con un rallentamento di dieci secondi o più nel caricamento di ogni pagina.
Se vivete in un paese dove il solo fatto di usare Tor potrebbe essere un motivo per prendervi di mira, arrestarvi, sorvegliarvi o sottoporvi a controlli sgraditi, sarà meglio che usiate Tor in combinazione con un Tor Bridge (v. Sezione 6).
- Usate un proxy crittato o una VPN (Virtual Private Network) per instradare la vostra connessione all’estero. Questo sistema garantisce una protezione leggermente inferiore a quella offerta da Tor ma una navigazione tendenzialmente più veloce. Ecco qualche modo per implementarlo:
- Usate un server proxy con crittazione SSL, sempre tenendo conto che se non sapete da chi è gestito il proxy, a gestirlo potrebbe essere il vostro nemico.
- Se avete accesso a una macchina Linux o Unix all’estero, potete creare in un istante un vostro server proxy crittato usando il programma ssh (installato di default nei sistemi Mac OS X e Linux e facile da installare anche su Windows). Qui due manuali in inglese che spiegano come fare.
- Usate un servizio come Hotspot Shield.
- Usate un servizio VPN situato all’estero. Aziende come Relakks vendono servizi di questo tipo.
Oltre alle misure citate sopra, potrebbe risultarvi utile l’estensione HTTPS Everywhere creata dall’EFF per Firefox, che cerca di fare aprire le pagine web in https anziché in http ogni volta possibile. Questo strumento non va trattato come un sostituto di Tor o come una VPN ma fornisce una protezione aggiuntiva anche in associazione con questi ultimi.
5. Fate attenzione a quel che pubblicate e a dove lo pubblicate
A meno di non essere disposti a correre il rischio di essere presi di mira dalle rappresaglie delle autorità, evitate di pubblicare materiali firmati con il vostro nome o di riferire dettagli che potrebbero ricondurre alla vostra identità. Autistici/Inventati e altri server autogestiti offrono ad esempio la possibilità di avere uno spazio web non associato alla vostra identità.
Evitate di pubblicare materiali tramite servizi di hosting che hanno una presenza commerciale nel vostro paese o che potrebbero collaborare con il governo del vostro paese. Tenete conto del fatto che alcuni stati hanno sottoscritto trattati che li vincolano a soddisfare le richieste delle forze di polizia di altri paesi.
Pubblicate solo tramite servizi che usano l’https. L’indirizzo della pagina da cui lo fate deve iniziare per https e sulla barra degli indirizzi del vostro browser dev’essere visualizzato un lucchetto integro non solo al login ma per tutto il tempo in cui vi trovate in quel particolare sito.
6. Meglio usare un Tor Bridge?
I Tor Bridge sono un modo più discreto di collegarsi alla rete Tor. Normalmente se usate Tor chi controlla la rete potrebbe notare che il vostro computer si è collegato [4]. Usando un Tor Bridge sarà invece molto più difficile capire che state usando Tor.
Se usate Tor e vivete in un paese che storicamente censura Internet, il vostro governo potrebbe bloccare all’improvviso l’accesso alla rete Tor pubblica. In tal caso vi conviene avere l’indirizzo di un Tor Bridge a portata di mano.
Se vivete in un paese dove il semplice fatto di usare Tor potrebbe esporvi ad attenzioni sgradite o peggio ancora, non usate mai Tor senza averlo configurato in modo da connettervi attraverso un Bridge.
Potete trovare informazioni su come configurare Tor in modo da passare da un Bridge qui.
Alcuni indirizzi di Tor Bridge si trovano qui. In alternativa si possono richiedere inviando una mail all’indirizzo bridges@torproject.org e inserendo la riga isolata “get bridges” nel corpo del testo.
II. Come posso aiutare cittadini di altri paesi a sottrarsi alla sorveglianza e alla censura?
Se non vivete in un regime autoritario ma vi piacerebbe aiutare quelli che ci vivono, ecco le nostre raccomandazioni principali per il momento:
1. Attivate un router Tor
Donate un po’ della vostra banda inoltrando il traffico crittato che passa fra i nodi Tor. Seguite le istruzioni sul sito del progetto Tor ma assicuratevi di disabilitare l’uscita dalla vostra macchina a meno che non vogliate fare da exit node (v. sezione 3).
2. Attivate un Tor Bridge
Fate da ponte per aiutare i cittadini di paesi colpiti da intense pratiche censorie e di sorveglianza. Se non sapete decidere fra l’attivazione di un router o di un Bridge, leggete i consigli del Tor Project sull’argomento.
3. Considerate l’idea di fungere da exit node
A differenza dei router e dei Bridge, la gestione di un exit node Tor richiede molta più attenzione, organizzazione e impegno. Gli exit node sono le macchine che fanno uscire il traffico dalla rete Tor per indirizzarlo verso la sua destinazione finale in Internet.
Gli exit node sono cruciali per il funzionamento della rete Tor, ma a differenza del resto della rete, gran parte del traffico che li attraversa non è crittato. Gli exit node sono i nodi della rete Tor che comunicano ufficialmente con il sito web per cui è partita la particolare richiesta illegale dall’Iran o dalla Birmania, sono le macchine che inviano i post dei blog per conto delle voci critiche, quelle che lasciano i log della visita al sito o al server a cui si ottiene accesso. Ma dato che Tor può essere usato per qualunque scopo, è anche possibile che a un exit node arrivino denunce di violazione di copyright, diffusione di spam o attività illecite online di altro genere, e tutte queste violazioni saranno associate con l’indirizzo IP dell’exit node.
Se decidete di fungere da exit node, fate i conti con questo rischio e fate il possibile per non venire incolpati di atti illegali compiuti solo da uno delle centinaia di migliaia di utenti della rete Tor. Per maggiori informazioni, leggete i consigli del progetto Tor sulla gestione di un exit node.
4. Attivate un proxy per i vostri amici
Se avete amici in un paese dove la censura Internet è un problema, potreste attivare un proxy privato per loro. Purtroppo, per farlo in maniera sicura dovete procurarvi un certificato SSL per il proxy, cosa che richiede un certo impegno da parte vostra.
Se sulla vostra macchina gira un sistema operativo basato su Unix, sapete cos’è una shell e vi fidate dei vostri amici, potreste fornir loro una shell sulla vostra macchina in modo da permettergli di crearsi un proxy personale con ssh -D.
Note:
1. Google Gmail è uno strumento adeguato dal punto di vista della sicurezza informatica: fornisce un servizio sicuro di posta elettronica e di instant messaging se si comunica con altri utenti Gmail usando l’https. Il problema di Gmail è però che Google potrebbe essere costretta dalle leggi del vostro paese a consegnare la vostra posta elettronica alle forze statali. Questo rischio è particolarmente elevato nei paesi occidentali e in altri paesi dove Google ha una sede e un’attività aziendale che potrebbero costringerla ad attenersi alle leggi del posto. Per valutare il rischio nel vostro paese, consultate i dati di Google sulla quantità di richieste ufficiali ricevute da ogni stato andando alla pagina http://www.google.com/governmentrequests/ e cliccando su “Data requests”. Notate che i paesi che hanno inviato meno di trenta richieste non sono inclusi nell’elenco.
Servizi autogestiti come Autistici/Inventati e RiseUp.net sono meno esposti alle leggi nazionali, ma considerate che il vostro governo potrebbe considerare sospetto il semplice fatto che usiate una mail su un server del genere. Né Riseup, né Autistici conservano nei loro server dati che possano collegare la vostra identità al vostro utente di posta, ma anche usando questi servizi con Tor ed evitando di collegare pubblicamente la vostra mail alla vostra identità dovete comunque considerare un certo rischio.
Tenete inoltre conto del fatto che se scegliete comunque di usare Gmail dovreste essere molto prudenti nell’utilizzo di altri servizi Google collegati allo stesso account. Per esempio Google Buzz e il vostro profilo personale potrebbero rivelare pubblicamente i vostri contatti di posta elettronica.
2. Tra i vari problemi bisogna citare il fatto che Skype viene generalmente scaricato da un sito http e che l’installazione potrebbe essere manomessa da una terza parte; il fatto che l’azienda che gestisce Skype faccia da intermediaria per l’autenticazione e la certificazione e quindi possa effettuare a sua volta attacchi man-in-the-middle; e il fatto che nel codice di Skype sono stati trovati in alcuni casi bug che permettevano l’esecuzione di codice da remoto. Per un’analisi dettagliata della configurazione crittografica di Skype, v. see http://www.secdev.org/conf/skype_BHEU06.handout.pdf.
3. Sebbene Tor ostacoli le intercettazioni che giungono dalla vostra rete, dal vostro ISP e dal vostro governo, state attenti a non inviare username e password in http://, perché questi dati usciranno dalla rete Tor e raggiungeranno in chiaro il server web che avete contattato. Da questo punto di vista è più sicuro usare un sito https://.
4. Le autorità potrebbero capire che state usando Tor dal fatto che il vostro computer si collega a un numero consistente di indirizzi IP che sono tutti inseriti nella directory pubblica dei nodi Tor.
* Nella traduzione italiana abbiamo aggiunto alcune integrazioni e note aggiuntive.