http://www.monde-diplomatique.it/LeM...01lm24.01.html

Quando una dittatura crolla, si fatica a comprendere come sia potuta durare. In Libia, in Egitto o in Tunisia, la risposta si trova in parte nel controllo sistematico delle comunicazioni. Ciò grazie a strumenti messi a disposizione da imprese statunitensi ed europee, adottati da clienti spregiudicati e applicati in un terreno fertile per testare le loro tecniche.


di Antoine Champagne *

Dopo la caduta di Tripoli, in visita a un centro di ascolto per la popolazione, la giornalista del Wall Street Journal Margaret Coker ha potuto constatare come tutto era sotto controllo: internet, telefoni cellulari e connessioni (web e telefoniche) satellitari. In alcuni dossier figuravano, tra le altre cose, e-mail o estratti di conversazioni degli oppositori al regime di Muammar al Gheddafi. Sulle pareti del centro, le locandine dell’impresa che aveva messo in piedi l’impianto: Amesys, una filiale della società francese Bull (1). Le Canard enchaîné avrebbe in seguito rivelato che alla Direzione dell’informazione militare (Drm) francese era stato raccomandato di contribuire alla formazione di «controllori» libici (2). In Siria è invece una dotazione statunitense a permettere al regime di Bashar al-Assad di censurare la rete e recuperare a suo piacimento username e password dei cittadini, per accedere alla loro posta elettronica o ai loro account sui social network Facebook e Twitter. Uno strumento particolarmente efficace per ricostruire le relazioni di un avversario che abbia sostegni interni o esterni. Le tecnologie utilizzate portano il nome rassicurante di Deep Packet Inspection (Dpi). Quando qualcuno invia un’e-mail, decine di dispositivi si danno il cambio per consegnarla. Consultando semplicemente l’indirizzo di destinazione, questi ultimi non badano al contenuto e la trasmettono direttamente al vicino; passo dopo passo, l’e-mail arriva a destinazione. Come ha spiegato Jonathan Zittrain, esperto di diritto della rete, «è un po’ quello che accade in una serata in compagnia di gente educata. Se siete troppo lontani dal bar e c’è troppa gente perché possiate avvicinarvi, chiedete al vostro vicino di farvi arrivare una birra. Lui lo chiede al suo vicino che, a sua volta, è ancora più prossimo al bar, e così via. In definitiva, la vostra richiesta arriva fino al bar e la birra torna per lo stesso tragitto. E dal momento che le persone sono educate, nessuno avrà bevuto dal vostro bicchiere (3)». Ma grazie al Dpi si fa strada una diversa concezione del web. Senza dubbio meno cortese. Cosa direste se il vostro vicino controllasse la vostra ordinazione e iniziasse a farvi la morale? O se decidesse di modificare il contenuto del vostro bicchiere, per versarvi dell’acqua o una sostanza euforizzante più forte? Questo è esattamente ciò che permettono di fare le tecniche del Dpi: leggere il contenuto delle informazioni, modificarle, inviarle a qualcun altro… Su questo mercato, Amesys non è di certo isolata. Qosmos, un’altra società francese, si è fatta recentemente «pizzicare» da Bloomberg. L’agenzia di stampa americana ha infatti rivelato che la società aveva fornito alcune sonde Dpi a un consorzio incaricato di attrezzare la Siria sullo stesso modello della Libia di Gheddafi (4). In Cina, le tecnologie Dpi sono al cuore del grande firewall che permette al governo di censurare le conversazioni e di spiare i cittadini. Sapere chi scarica cosa Come ha dimostrato la recente divulgazione da parte di WikiLeaks di numerosi documenti segreti di queste società, il controllo delle reti di comunicazione rappresenta «una nuova industria segreta che interessa ben venticinque paesi. (…) Nelle vicende di spionaggio tradizionali, le agenzie di sicurezza come l’Mi5 britannico mettevano sotto controllo il telefono di una o due personalità importanti. Ma nel corso degli ultimi dieci anni, i sistemi di sorveglianza massiccia e indiscriminata sono divenuti la norma (5)». In precedenza, il Wall Street Journal aveva pubblicato più di duecento documenti di marketing di trentasei società che proponevano diversi strumenti per il controllo e per la pirateria alle autorità americane per l’antiterrorismo (6). Negli Stati uniti, il Dpi conosce il suo momento di gloria nel maggio 2006 quando Mark Klein, già professionista presso At&t (importante fornitore di accesso a internet americano), esce dal silenzio. Denuncia l’installazione presso il suo ex datore di lavoro, e dunque al cuore del web statunitense, dei prodotti della società Narus. Prima committente, l’illustre National security agency (Nsa), che ha sviluppato negli anni ’80-’90 il progetto Echelon (7). Il motto di Narus: «See clearly. Act swiftly» («Vedere chiaramente. Agire rapidamente»). Creato nel 1997, questo editor di tecnologie Dpi, con i suoi centocinquanta dipendenti, ha fatturato 30 milioni di dollari nel 2006 ed è stato riacquistato da Boeing nel 2010. I suoi prodotti sarebbero stati installati in Egitto all’epoca di Hosni Mubarak (8). Nel flusso di informazioni che transitano in rete gli operatori delle telecomunicazioni vedono passare siti, e-mail, discussioni in tempo reale, scambi vocali, video, discussioni asincrone, dati grezzi, etc. La gran parte di tali flussi è scambiata in chiaro, in forma non crittografata. Diventa dunque assai facile, per il pirata della domenica come per i servizi di sicurezza nazionale, metterli sotto controllo. Ma anche alcuni soggetti privati trovano un interesse in queste tecnologie. Gli operatori di telecomunicazioni come Free, Sfr o Orange iniziano infatti a protestare perché vedono passare, sulla loro rete, masse di dati provenienti da utenti che non pagano per questo stesso trasporto. Per esempio, gli internet service provider (Isp) trovano fastidioso pagare per i video di YouTube, che sono obbligati a fornire ai propri abbonati. Da qui l’idea di fatturare un supplemento al trasmettitore di dati o al fruitore finale, o ancora di limitare selettivamente alcuni flussi privilegiandone altri. È per questo che è essenziale valutare con precisione cosa circola nella rete. Allo stesso modo gli operatori di telefonia mobile, per cercare di limitare i loro costi di infrastruttura, hanno deciso di fornire ai loro utenti solo un accesso sorvegliato alla rete. Non permettono, per esempio, a chi utilizza telefoni «intelligenti» di procedere a scambi di file peer-to-peer (P2P) o di utilizzare dispositivi per la comunicazione vocale o video come Skype. È ancora una volta la tecnologia Dpi a permettere loro di praticare il monitoraggio e la gestione dei flussi, di concedere una «banda passante» superiore ad alcuni servizi (per esempio gli editor). Ciò in contraddizione con il concetto di «neutralità della rete», per cui il ruolo dell’Isp è quello di far transitare tutti i dati richiesti senza alcuna discriminazione. Applicato alla navigazione sul web, il sistema Dpi permette di tenere traccia di tutto ciò che vi si fa. I professionisti del marketing si fregano le mani sognando di sfruttare questi dati. Orange ha recentemente lanciato un’offerta «Orange préférence» – basata sul Dpi – che si propone, con l’accordo dell’abbonato, di monitorare i siti web che questi visita per proporgli, in seguito, offerte commerciali dal target ultra mirato. Cosa che permette agli Isp di diventare redditizi almeno quanto Facebook e Google. A patto che tali programmi di fidelizzazione-monitoraggio attraggano abbonati; a questo scopo sarà sufficiente dichiarare che i dati sono protetti per farne un prodotto perfettamente commercializzabile. Il lettore curioso potrà consultare la pagina «Data privacy» del sito Gfk, un gruppo internazionale di ricerca in marketing azionario di Qosmos: se è vero che questa richiama, banalmente, i cookies degli utenti di internet, omette di spiegare che utilizza anche, per «tracciare» i visitatori delle pagine web, una tecnologia Dpi, apparentemente «anonimizzata» da un codice noto solo al gruppo stesso. Gfk è presente in più di centocinquanta paesi, che non sono solamente grandi democrazie… Il Dpi attira anche le società di aventi diritto e i titolari dei diritti d’autore in lotta contro il commercio di file «illegali» su reti P2P o su siti di download diretto, del tipo di Megaupload. Sapere precisamente quale internauta sta cercando di scaricare questo o quel film o file musicale, e riuscire a bloccargliene l’accesso, può essere fatto solo con una struttura di controllo «profonda» e distribuita sull’insieme dei punti di scambio di dati rappresentati dagli Isp. Altro mercato ovvio per la tecnologia Dpi è senza dubbio quello del controllo legale. A volte, la polizia ha bisogno di ascoltare ciò che fa un privato cittadino, per esempio nel quadro di un’indagine giudiziaria, sotto il controllo di un giudice e, in Francia, della Commissione nazionale di controllo delle intercettazioni di sicurezza. Tuttavia si tratta di un mercato di nicchia, che riguarda una minima parte della popolazione. A meno che non si conti su un nuovo colossale aumento dei fondi destinati all’antiterrorismo, sembra saggio, per le aziende del settore, ricercare altre opportunità di business. È qui che intervengono i governi degli stati di polizia, che vogliono sorvegliare l’intera popolazione. Grazie a questi paesi, i software di sorveglianza sono testati sulle dimensioni reali di un’intera nazione. La Tunisia di Zine el-Abidine Ben Ali beneficiava anche di sconti per quei sistemi dove erano ancora impiantate microspie. Riguardo Amesys, la Libia è stata senza dubbio un test a grandezza naturale di ciò che è in grado di fare (o meno) il suo software Eagle (9). Alcatel fa lo stesso in Birmania (10). Poco a poco, lo sfruttamento dei dati raccolti grazie al Dpi facilita gli arresti. La tortura fa il resto, i carnefici riprendono le buone, vecchie tecniche che conoscono e che portano risultati. Probabilmente incuriosito dalla presenza massiccia di imprese europee in questo tipo di mercati, il Parlamento europeo ha votato una risoluzione destinata a vietare la vendita all’estero di sistemi di sorveglianza delle chiamate e dei messaggi telefonici, o di controllo mirato della rete, se tali sistemi sono utilizzati per contravvenire ai principi democratici, farsi beffe dei diritti umani o della libertà di espressione (11). Il 1 dicembre 2011, il Consiglio dell’Unione europea, inasprendo le misure restrittive contro il regime siriano, ha proibito anche «l’esportazione di sistemi e software destinati al controllo di internet e delle comunicazioni telefoniche». Ma la fornitura di prodotti per l’intercettazione globale resta insufficientemente inquadrata sotto il profilo giuridico. Per i produttori è facile, è proprio il caso di dirlo, scivolare tra le maglie della rete. Tanto più che le legislazioni sono diverse. Che le autorizzazioni date dai governi non sono rese pubbliche. E che software di questo tipo non sono considerati in senso stretto come armi.