1° Pillola Perché dedicare attenzione a mantenere i propri dati personali privati?

L’ho capito bene ascoltando un’intervista a Julian Assange, riportata nell’interessante documentario, girato su un periodo di oltre sette anni, intitolato Hacking Justice. Questa intervista mi ha portato a consolidare una serie di riflessioni.

Nella vita quotidiana abbiamo a che fare con molte persone, di cui incontriamo fisicamente solo una piccola parte. Di queste, la stragrande maggioranza ci influenza e viene da noi influenzata attraverso comportamenti mediati da terzi.
Ad esempio, nell’acquistare un paio di scarpe presso un’azienda di acquisti online, interagisco col fattorino che recapita il pacco (mediando la transazione), ma di fatto invio il denaro al distributore online, che gestirà la divisione tra se stesso, il produttore di scarpe, il fattorino.… Di queste persone, alcune sono potenti, in termini di mezzi finanziari e di influenza, mentre altre lo sono poco o niente.

Per persone con grandi mezzi finanziari, politici  e militari, conoscere significa poter influenzare il comportamento degli altri, che venga fatto in maniera brutale o meno.

Quando esponiamo i nostri percorsi abituali e le nostre attività a persone o organizzazioni con intenzioni di questo genere, stiamo informandoli sulle zone geografiche che percorreremo. Luoghi in cui potremo facilmente essere raggiunti da azioni di influenza più o meno dirette, siano esse pubblicità, messaggi politici, o strategie basate sulla manomissione di un servizio pubblico, atte a generare delle risposte specifiche da parte nostra (e della popolazione, come ad esempio sentimenti di sfiducia).

Quando esponiamo informazioni sui nostri acquisti e attività, stiamo raccontando i nostri gusti e attitudini. Questi possono essere usati per confezionare l’esca adatta ad attirarci verso un certo modo di pensare (indurre un’idea, generare qualunquismo nei più pessimisti, radicalizzazione nei più integerrimi) o una certa attività (acquistare un bene specifico in un luogo specifico, sobillare intolleranza, aderire a un credo a partire da informazioni false o estremamente parziali).
La conoscenza delle attività che si svolge lungo la nostra rete sociale informa su come le nostre idee potrebbero essere condivise attraverso questa stessa parte di società, su chi difficilmente saremmo in grado di influenzare (in particolare chi è poco collegato alla nostra rete), su quali leve insistere per indurre, a livello sociale, la formazione di gruppi isolati e incapaci di comunicare tra loro.

Influenze come queste sono difficili, se non impossibili, da riconoscere, per via del fatto che le informazioni fornite dai singoli cittadini (spesso loro malgrado), e poi aggregate, diventano proprietà privata della piattaforma informatica che le ha raccolte. Esse possono mostrare luoghi e dinamiche sensibili di una società, da influenzare per modificarne il comportamento.

Ma solo chi vi ha accesso e sia dotato di forti capacità analitiche avrà idea di come manovrare gli altri. E si tratta, nota bene, di soggetti privati o apparati statali coperti da segreto. Per tutti gli altri, la risposta a questo fenomeno non potrà che essere quella speculativa (l’immaginazione), con il rischio di  cadere nella paranoia (ma come si fa a saperlo?), oppure si gireranno dall’altra parte.

Questo descritto è tanto uno scenario distopico, quanto una realtà attuale.
L’unico mezzo certo per limitare questa sproporzione di potere e influenza è quello di trattenere le informazioni personali per sé, evitando di condividerle con elementi sociali notoriamente interessati alla collezione di dati e dagli interessi molto diversi dai nostri.

Una delle più concise ed efficaci frasi pronunciate da Edward Snowden, all’indomani delle sue rivelazioni sullo spionaggio di massa, è “Privacy is for the powerless”. Chi ha poco potere è bene che mantenga un certo livello di privacy nei confronti di chi di potere ne ha molto. Non farlo equivale a fornire ingredienti sostanziali a chi ha già abbondanti mezzi di manipolazione sociale, che vanno sempre più prendendo il posto del sistema democratico.
Concludendo la citazione “Transparency is for the powerful”.

2° Pillola Controllare l’attività delle proprie applicazioni – Messaggeria istantanea

Tra le cose da fare per ridurre la quantità di informazioni che rilasciamo online, una cosa sana è usare software Free Licence/Open-Source, piuttosto che software a codice proprietario. Si intende, strumenti i cui codici siano verificabili dal pubblico. Ciò dà la possibilità a specialisti terzi, esterni al fornitore del software, di verificare cosa questo software farà una volta installato sul vostro telefono o computer. Per esempio verificare che esso non trasmetta dati e metadati personali, o che la cifratura per comunicare su internet non sia fallata (come è stato documentato ad es. per Whatsapp).
Un esempio nel caso della messaggeria istantanea è quello di rimpiazzare il software WhatsApp con l’analogo, ma Open Source, Signal.

3° Pillola 5 criteri da considerare per un software – Un caso sulla messaggeria istantanea

In riferimento alla sostituzione di WhatsApp con Signal (vedi Pillola 1), qualcuno si chiederà: Telegram non va bene lo stesso?
In effetti Telegram è un altro software di messaggeria istantanea, Open Source, molto diffuso.
Ci sono però almeno altri 5 elementi da considerare quando scegliamo una applicazione Open Source.

1) Sia il Client che il Server sono Free licence/Open Source?
L’applicazione che installiamo sul nostro dispositivo (computer/smartphone) si chiama Client (ovvero si comporta come un cliente). I clienti si inviano/ricevono messaggi grazie all’intermediazione di un dispositivo speciale presente in rete chiamato server (sempre a disposizione per servire i client, sempre acceso e disponibile).
Sia client che server funzionano sulla base di un software che può essere Free licence/Open Source o meno.
Nel caso di Signal sia client che server sono Open Source, nel caso di Telegram, solo il client lo è.

2) Quali metadati sono raccolti?
Nel mentre che inviamo un messaggio, il nostro dispositivo elettronico può raccogliere una serie di metadati, vale a dire informazioni del contesto come ad es. il luogo in cui ci troviamo, la durata delle comunicazioni, i contatti presenti nella nostra rubrica.…
Telegram dichiara di condividere con il suo server una quantità di metadati molto più vasta rispetto a Signal (il quale tratterrebbe sul server solo l’informazione sul fatto che vi siate connessi o meno in un determinato giorno).

3) Il codice è stato testato a dovere?
I codici di buona parte delle applicazioni usate quotidianamente sono molto lunghi. Lunghi abbastanza da richiedere anni affinché i programmatori possano verificare che il programma sia ben scritto e che possano eliminare la maggior parte o tutte le falle (bugs) di sicurezza.
Buona parte dei blocchi di codice usati da Signal è stata usata e testata ampiamente, poiché gli stessi vengono usati in diverse altre applicazioni, da un’ampia comunità informatica. Il codice di Telegram, dal suo canto, è stato sviluppato servendosi meno di blocchi già testati in precedenza dalla comunità, per cui è più impegnativo, da parte della comunità informatica, verificarne la solidità.

4) Riponiamo fiducia in chi gestisce il nostro server?
L’uso di un servizio su internet implica una serie di passaggi di informazioni. Se le informazioni vengono trasmesse dopo adeguata criptazione, sarà difficile per qualcuno che intercetti la comunicazione, capirci qualcosa. Nonostante tutto, a un certo punto di questa serie di passaggi, sarà necessario riporre fiducia nell’attività svolta da qualche operatore. Per esempio: anche se il codice del server è OpenSource, dovremmo fidarci del fatto che esso non sia stato modificato prima di installarlo sul server, oppure del fatto che il server non sia compromesso a sua volta dal punto di vista hardware. In sintesi: non può esserci certezza assoluta del fatto che tutto vada come atteso. Quello che si può fare, è cercare di capire se il fornitore del servizio è affidabile e competente.

Nel caso di Telegram, il principale finanziatore della piattaforma è un magnate russo.
Nel caso di Signal, esistono molti finanziatori della piattaforma (non saprei dirvi quali e quanti). Soprattutto, il software e la sua equipe di programmatori sono riconosciuti come affidabili da giornalisti e informatici di fama mondiale impegnati nella difesa della libertà di stampa.

5) Il nostro client ha a che fare con un server centralizzato, decentralizzato o distribuito?
Il server in attesa di servire il client che è installato sul nostro dispositivo, è lo stesso che serve anche tutti gli altri dispositivi esistenti che usano lo stesso software (si intende tutti gli altri telefoni e computers)? In questo caso si parla di server centralizzato. Se invece diversi clients sono serviti da diversi server, si parla di server distribuiti o decentralizzati. E’ chiaro che, per terzi che volessero appropriarsi di informazioni presenti o in transito su un server, riuscire a manometterne uno centralizzato può essere più fruttuoso che investirsi nella manomissione di una moltitudine di server, il cui contenuto individuale è una magra quantità di informazioni personali. Naturalmente a tal proposito rientra la fiducia che possiamo riporre in coloro che gestiscono il server (4).

Sia Telegram che Signal usano server centralizzati. Un’alternativa decentralizzata Free Licence/Open Source è la coppia Element (il client) – Matrix (il server).

Maggiori informazioni in Mini-Guida alla Protezione dei Dati Personali: https://miniguide.minifox.fr/

In copertina: Graffiti in Shoreditch, London – Zabou (Wikimedia Commons)