Trasparenza e privacy nelle democrazie digitali

Perché ci interessa sapere cosa fa un governo, uno Stato? Cosa accade al suo interno? La prima risposta che ci viene in mente è per controllare che non faccia qualcosa di sbagliato, se non di moralmente riprovevole. O addirittura di illegale. Gli esempi, nella storia delle stesse democrazie, sono innumerevoli. Viene spesso citato, anche in ricerche sull’open government, l’infame “Studio Tuskegee“, l’esperimento portato avanti in Alabama fino agli anni ‘70, in cui si continuò per presunti scopi di ricerca a non curare malati di sifilide anche quando c’era a disposizione la penicillina, finché quello che oggi chiameremmo un whistleblower raccontò tutto a un giornalista….
E i casi simili sarebbero davvero tanti.

Ma il desiderio di un governo aperto va oltre la semplice volontà di smascherare delle malefatte. E’ la convinzione che sia un diritto del cittadino sapere nel dettaglio cosa fa il suo governo e come; vedere se agisce sulla base del mandato ricevuto; se adempie alle promesse. E’ l’idea che questa conoscenza renderà migliori i governi. 

L’accesso ai suoi dati e alla sua documentazione, la conoscenza di quello che avviene negli incontri e nei vertici, la protezione di chi è pronto, dall’interno, a portare alla luce malversazioni o illegalità, appunto i whistleblowers: questi sono alcuni degli elementi che misurano la trasparenza di uno Stato nei confronti dei suoi cittadini.

Questa idea della luce del sole (sunlight, appunto, come la Sunlight Foundation che si occupa di questi temi negli Usa) come il miglior disinfettante della politica viene da lontano, tanto è vero che la frase è attribuita a un giudice americano, Brandeis, vissuto all’inizio del ‘900. Idea che è stata potenziata e rivoluzionata dalla diffusione della Rete e dell’informazione digitale. I Paesi anglosassoni, come gli Stati Uniti, sono certamente alla guida di questa trasformazione, così come nell’applicazione di pratiche e direttive di open government.

Tuttavia ora siamo arrivati a un punto in cui il concetto di trasparenza si è complicato; improvvisamente lo si ritrova inserito in un quadro politico e culturale molto caldo e polarizzato. In un contesto di vere e proprie guerre digitali, passatemi il termine.  Da un lato ci sono i big data, la capacità di aziende e governi di accumulare dati, di correlarli, di creare modelli di previsione. Dall’altro c’è la richiesta di trasparenza da parte di una serie di soggetti non governativi che lo fanno in modo radicale, e in alcuni casi la trasparenza hanno provato a prendersela. E poi ancora, in contemporanea, in una specie di schizofrenia, c’è la tendenza dei governi ad andare verso società sempre più controllate in nome della sicurezza – e di farlo anche in stretta collaborazione con le aziende, già da tempo impegnate ad accumulare dati e a considerarli il nuovo petrolio dell’economia.

Quindi oggi le richieste di trasparenza si scontrano con una tendenza opposta in cui alla fine quello che conta per lo Stato sono le rinnovate, riformulate esigenze di sicurezza e segretezza ai tempi della Rete. E soprattutto le opportunità di sfruttare il giacimento di dati a disposizione costruendo un paradigma di sorveglianza liquida, di panottico personale e autogestito, come lo definiscono Bauman e Lyon in Sesto potere.

Mentre i dettagli della nostra vita quotidiana diventano trasparenti per le organizzazioni che ci sorvegliano, le loro attività sono sempre più difficili da riconoscere. Nel contesto fluido della modernità liquida il potere si sposta alla velocità dei segnali elettronici, e la trasparenza aumenta per alcuni e nello stesso tempo diminuisce per altri”.

Andiamo a fare un esempio concreto di questa complessità. Il governo inglese lancia proprio in questo periodo Care.data, un progetto che vuole mettere a disposizione le cartelle cliniche e i dati sanitari della popolazione britannica al servizio della ricerca scientifica, pubblica e privata. Mai prima d’ora l’intera storia medica della nazione è stata digitalizzata e conservata in un posto. Chi sostiene la creazione di questo database pensa che la condivisione dei dati aiuterà la ricerca sugli effetti collaterali delle medicine e sulle performance dei reparti.  Ma chi si occupa di privacy nota che non ci sarà modo di sapere per l’utente chi sta usando i suoi dati e come. Inoltre pur essendo dati psudoanonimizzati, questo non impedisce in linea teorica, correlandoli con altri, di individuare le identità di singoli pazienti. Aprire questi dati ad aziende senza aver pensato a un chiaro e robusto sistema di salvaguardia per chi sarebbe il titolare di quei dati, cioè il paziente/cittadino, è molto problematico, hanno notato vari esperti. Come se non bastasse, oltre alle aziende, si è fatta avanti anche la polizia, che avrà delle backdoor, delle porte di accesso privilegiate al database, senza necessità di un mandato. Il servizio sanitario nazionale ha dichiarato, dopo gli articoli del Guardian, che le procedure non cambieranno rispetto a oggi. Ma rimane il fatto che se tu crei un database e non hai delle regole chiare su come gestire quei dati e proteggere le informazioni dei cittadini, la tentazione di accedere in modo più diretto, perché tecnologicamente lo puoi fare, sarà fortissima.

Negli anni’90 c’era un movimento, legato a una mailing list, che ha gettato dei semi importanti per la cultura digitale di oggi. Era il movimento dei cypherpunks. Questo quello che dicevano:

La privacy è necessaria per una società aperta nell’era elettronica. Non possiamo aspettarci che governo, multinazionali, o altre grandi organizzazioni senza volto ci concedano la privacy. Dobbiamo difendere la nostra privacy se vogliamo averne alcuna”. Il loro modo di difenderla era scrivere del codice, in particolare della crittografia.

Da questo movimento sono usciti nomi come Jacob Applebaum, sviluppatore di Tor, attivista dei diritti digitali; John Gilmore, fondatore dell’Electronic Frontier Foundation; Philip Zimmermann, creatore del software di crittografia PGP; John Young, fondatore del sito Cryptome, antesignano di Wikileaks; e Julian Assange, fondatore di Wikileaks.

Wikileaks nasce intorno al 2007 con questa dichiarazione di principio: “Crediamo che la trasparenza nelle attività dei governi porti a una riduzione della corruzione, a un miglior governo e a democrazie più forti. Molti governi possono beneficiare da un maggiore scrutinio. Questo scrutinio richiede informazioni”. Wikileaks diventerà molto di più come sappiamo: una macchina che uccide i segreti, come l’ha definita Greenberg, che si sembra sostituire in parte ai media nel ruolo di scomodo cane da guardia del potere.

Ma come tenere insieme trasparenza radicale e privacy? Assange e quel gruppo uscito dal movimento cypherpunk hanno le idee chiare al riguardo. La privacy dei cittadini e la trasparenza delle azioni dei governi non sono in contrapposizione ma sono anzi le facce della stessa medaglia della democrazia nell’era digitale. Un’idea che si ritrova anche in Cypherpunks, il libro recentemente scritto da Assange, con Applebaum e altri.

Da qui, si arriva a Edward Snowden, il whistleblower che ha svelato un lato veramente oscuro delle nostre democrazie digitali, che neanche i più paranoici fra i nerd avrebbero osato immaginare. Ed esattamente queste due facce della medaglia. Da un alto, Stati e agenzie statali così poco trasparenti da aver messo in piedi un sistema di sorveglianza globale e di massa; da aver violato e indebolito gli standard di sicurezza della rete; da aver pescato dati collegandosi direttamente ai cavi; da aver prima imposto collaborazione alle grandi aziende della Rete e poi aver tentato di hackerarne gli stessi sistemi per avere più dati ancora. Dall’altro, la privacy dei cittadini lasciata indifesa e solo protetta dal guscio della crittografia, per quei pochissimi che la sanno o vogliono usare.

Transparent government, not transparent citizens: diceva un rapporto sulla privacy fatto per il governo inglese nel 2011. “La privacy è fondamentale per la trasparenza”, diceva. “La legittimazione dei programmi di trasparenza dipende in modo cruciale dalla capacità di avere la fiducia del pubblico. Perciò la protezione della privacy dovrebbe essere incorporata in ogni programma di trasparenza. I due aspetti sono compatibili fintantoché la privacy è protetta e considerata in ogni passaggio”.

Questo un report del governo inglese, governo che Reporters without borders ha appena definito uno dei nemici della Rete, insieme agli Usa, ovviamente a causa del Datagate. Malgrado le dichiarazioni di intenti, infatti, oggi rischiamo di trovarci nella situazione opposta di cittadini trasparenti e di Stati opachi.

In tutto questo dove sta la politica? Da che parte si vuole posizionare?

Non so se avete letto la testimonianza scritta di Snowden al Parlamento europeo. Dice molte cose interessanti. Ad esempio che nessun governo è stato in grado di dimostrare che quei programmi sono necessari alla lotta al terrorismo. Che la sorveglianza indiscriminata, condotta su “miliardi” di persone – così dice Snowden – ci rende di fatto meno sicuri, perché va a discapito di indagini più mirate e circostanziate. Che il suo effetto sarà concentrarsi più sul dissenso politico che su minacce reali. Che la NSA ha fatto pressioni sui Paesi europei perché indebolissero le difese a protezione della privacy dei loro cittadini.

La politica è in grado di affrontare un simile scenario? Vuole rendere se stessa più trasparente e difendere la privacy dei suoi cittadini? Vorrei concludere con una dichiarazione fatta dal commissario europeo all’Agenda digitale Neelie Kroes quando nel 2010 Wikileaks rilasciò il famoso Cablegate, migliaia di cablogrammi delle ambasciate Usa. Quel caso solleva la questione di come proteggere dati riservati da parte di grandi organizzazioni, nota Kroes. Ma soprattutto sottolinea la necessità per i governi di essere il più possibile aperti e trasparenti. “Penso che si tratti di un valore importante – ha detto – ma ha anche un grosso vantaggio pratico: riduce la quantità di informazioni che richiedono una protezione speciale”.

Infine una nota:

oggi sono vent’anni dall’omicidio Alpi-Hrovatin. Greenpeace ha pubblicato l’indice degli atti riservati o segreti acquisiti dalla commissione parlamentare d’inchiesta sui rifiuti presediuta da Gaetano Pecorella – e chiede la desecretazione degli atti. Articolo21 ha lanciato una petizione al riguardo. Non si può parlare di trasparenza ignorando una questione come questa. L’apertura di quei fascicoli sarebbe davvero un segnale di cambiamento.

(questa è la traccia di  un intervento che ho fatto nell’evento organizzato dal Personal Democracy Forum, sull’open government, il 20 marzo 2014 in un’aula della Camera dei Deputati)

From “Inside Anonymous”: Nerdo and the PayPal attack

inside_anonymous_copertina

(Here’s an exercpt from my ebook Inside Anonymous: A Journey into the World of Cyberactivism – Inform-ant.com, 2013, just published in English)

Almost simultaneously, on the other side of the Atlantic, the case of the PayPal attack in 2010, launched by Anonymous as part of Operation Payback, the DDoS campaign in defense of WikiLeaks, reached its climax. Some young British people have been accused and condemned for that attack: in particular, a 22-year-old man, Christopher Weatherhead, who called himself “Nerdo” online, was convicted of conspiracy to impair computer operations. He has been sentenced to 18 months in prison.

In this case, there is at least one delicate element to be considered and that is, that Weatherhead/Nerdo, who denies a charge of conspiracy, was in fact an IRC administrator and rather than having participated in the attacks, according to the indictment he had instigated them. As The Register wrote “the UK police decided to target the administrators of Anonymous-run channels, focusing on instigators of attacks rather than Anonymous “foot soldiers” otherwise involved in DDoS assaults“.

Was he really an instigator? And what does this mean? “Nerdo wouldn’t attack, he was only an IRC network operator and he did a lot for it. It is unfair to be on trial for something like this”, Highlander, an old anon who participated to Operation Payback, tells me. “He was an IRC administrator and he was a spokesman. They seem to go more after those guys and this proves that they are angry”, Windu, a current IRC administrator himself, confirms. To this day, Weatherhead/Nerdo’s biggest mistake was, for sure, that of having used the same nickname for such a long time or more precisely, of having used the same one he had used as a kid, when he took less care with his anonymity. In this way, the police, and in particular Scotland Yard’s Police Central eCrime Unit was able to trace his identity, after chasing him in the IRC channels.

“We identified their IRC channels and captured several weeks of chat. During that time we looked at the status of nicks such as admins and operators”, former detective Constable Trevor Dickey declared to The Register. “We then did some keyword searching and spent a lot of time looking for social leakage. Combining all these elements, we then identified the nicks of interest and did open source research on them. Weatherhead was easy enough to identify as he had been using the “Nerdo” nick for quite some time”. “We were able to tie their digital identities to real life identities”, added Ray Massie, a computer forensic consultant who led the investigation. “Now that the suspects are in their 20’s, they are security conscious, but when they were kids, they were using the same nick on gaming forums or elsewhere. They have made mistakes.”

The trial for the PayPal attack is also remarkable for the damages estimated by the company at £ 3.5 million. According to the pleadings released by the prosecutor Sandip Patel, the attacks caused “considerable damages” to the firm’s reputation and a loss of trade. More than 100 workers from PayPal’s parent company eBay spent three weeks working on issues related to those attacks. Moreover, PayPal also had to buy additional software and hardware to defend itself against similar attacks in the future.

Windu thinks that the amount of £ 3.5 million is decidedly excessive from all points of view. Also because their website, he says, “was disrupted for a week and they had intermittent issues, but it was not completely down”.
Highlander remembers those days or “good ol’ times” as he calls them. “There were 9,000 people attacking PayPal, 7,000 of them in the hive in other words, connected in a hive mind mode”.

This was a LOIC version that enabled the users who had downloaded the software to connect to an IRC server where a “commander” was leading them automatically to the targets. Therefore, they were all together, launching a hailstorm of data packets that was sending the selected website haywire.
Those who stayed out of the hive did so because they had heavier means: either software like HOIC, which allowed them to launch a DDoS attack independently, or a real botnet.

Gli hacker contro il sindacato

Immagine

Doveva essere una giornata di scioperi e si sono ritrovati a parlare dei loro siti web. Che ieri sono stati attaccati da un gruppo di hacker. FIOM di Milano, ma anche CGIL di Bergamo, di Mantova, di Monza e Brianza si sono risvegliati con la home dei rispettivi siti defacciata, come si dice in gergo. Ovvero al posto dei contenuti originali campeggiavano due facce colorate di Guy Fawkes, la maschera di Anonymous, su uno sfondo suggestivo di pioggia di codici alla Matrix. E poi la scritta: “Hacked by Anonymous #IAG”.

Più sotto un breve ma roboante comunicato che tra le altre cose recitava: “Sta arrivando come l’ira di Dio il vero cambiamento per il popolo italiano; la giovane italia (sic) degli italiani che lavorano (…) Derubati, maltrattati da quei delinquenti che ci governano e da tutte le lobby che li supportano (…) Rivoluzione digitale”. La frase più inquietante era però un’altra: “Database acquisito, tutti i tuoi dati sono andati persi”.

Continua su L’Espresso.

Fastweb, attivazione infinita

Rimango sempre allibita quando un’azienda si comporta come se non fosse interessata all’acquisizione di nuovi clienti. Mi chiedo se non sia l’ennesimo di quei tratti di italianità di cui faremmo bene a liberarci. Lo dico perché le esperienze che ho avuto all’estero di attivazione di servizi filavano lisce come l’olio.

Sta di fatto, e qui vengo al casus belli, che da oltre un mese sto cercando invano di passare da un operatore telefonico (Vodafone) a un altro (Fastweb), senza esserci riuscita. Sinceramente ancora non ho capito quale sia il problema, e soprattutto nessuno mi ha mai detto che ci potesse essere un problema: semplicemente l’attivazione veniva rimandata di dieci giorni in dieci giorni, per difficoltà sempre diverse a seconda dell’impiegato di call center con cui parlavo.

Ironia della sorte, proprio per agevolare il passaggio, inizialmente ho aperto la pratica attraverso un rivenditore di Fastweb, un commerciale in carne e ossa. Ma a quanto pare non è servito a nulla, se non a complicare la faccenda. Morale della favola: quando passate a un nuovo operatore chiedetegli subito dei tempi certi e precisi di attivazione. Se non ve li danno o non li rispettano, tanto vale provare subito con un altro.