Alla guerra della privacy.

Mi scrivono chiedendo se e’ vero che in Germania si stanno  davvero prendendo dei provvedimenti riguardo alla questione dello spionaggio americano. La risposta e’ che si, siccome la privacy e’ un valore enormemente importante per i tedeschi (dopo Gestapo e Stasi, sono piuttosto “ipersensibili” a riguardo), e dopo una feroce battaglia politica (che peraltro infuria ancora, prendendo di mezzo il BND) che ha condotto all’abolizione del trattato (del 1947) che permetteva agli USA di avere dati sui cittadini tedeschi adducendo “pericoli per le basi americane in Germania”, adesso come avevo previsto [ QUI ] sono passati a criptare tutte le comunicazioni sul suolo tedesco.

Stamattina sull’account GMX che uso per motivi privati e’ apparso  questo messaggio:
Ovviamente il marketing ha VOLUTO buttarla sul nazionalismo, e ha chiamato l’email sicura come “e-mail made in Germany”. Questa scelta non e’ casuale, e fa parte di una strategia INDUSTRIALE che intende portare le aziende tedesche lontane dai fornitori di servizi cloud americani, spingendo l’industria del cloud tedesca.
Prima di continuare  , volevo far presente una cosa: Snowden da solo costera’ 35Bn$ all’industria del cloud americano. http://www.zdnet.com/u-s-cloud-industry-stands-to-lose-35-billion-amid-prism-fallout-7000018974/
E questa e’ una previsione ottimistica. Dico ottimistica perche’ studia SOLO i mercati, e non sa quante spinte governative ci siano in UE ed in ASIA per fermare la migrazione di clienti verso cloud americani. Non tiene in considerazione, cioe’ , tendenze protezionistiche e nazionaliste, che possono trarre vantaggio da queste vicende.
Detto questo, andiamo avanti e verifichiamo che cosa sia questa email “made in Germany”. Di fatto, quando inviate un’email, siete criptati solo da voi al frontend , sia esso il sito web di Gmail o il vostro server SMTP che magari lavora in SSL. Ma poi, come prosegue il viaggio? La verita’ e’ che esso procede via SMTP, ma procede in chiaro, sulla porta tcp 25. Di conseguenza, se vi mettere su un backbone a spiare, quello che ottenete e’ tutta l’email circolante IN CHIARO. (sempre che non l’abbiate crittata voi con gpg/pgp). Questo perche’ ancora le comunicazioni tra server seguono RFC822.

Che cosa fanno allora i provider tedeschi? Semplicemente, hanno “inventato” uno standard proprio, ovvero hanno fatto in modo che tra di loro le email passino SEMPRE in criptato.

Di per se’ hanno affatto modificato alcun protocollo, hanno messo SMTP su SSL. Non  , come suggerivano alcuni gli studi di fattibilita’ di cui parlavo [ QUI ] , stabilito delle VPN ad hoc tra i rispettivi server SMTP, e poi forzato il traffico a passare per il backbone criptato. Hanno scelto il livello applicativo anziche’ delle VPN che potevano stare solo su concentratori. Spego dopo cosa significa.

Quanto “pesa” sul mercato tedesco questa alleanza tra Web.de, T-Mobile, GMX? I numeri sono questi:

Circa i 2/3 delle email tedesche stanno per passare su SSL, end-to-end. Questo significa che fare tapping su un backbone non sara’ piu’ remunerativo come “pesca a strascico” . Ma come se non bastasse, il problema e’ che l’utente non ha alcuna scelta. Che gli piaccia o meno, da ora in poi la sua email viene crittata.
E’ abbastanza chiaro che questa “alleanza” e’ destinata ad espandersi, dal momento che nessuno degli “andere” ISP vorra’ essere da meno. In questo preciso momento , e’ tutto un susseguirsi di comunicazioni per scambiare certificati e crittare il traffico. E’ facile pensare che il 100% del traffico privato wholesale della Germania sara’ criptato entro fine anno.
Forse voi sarete molto concentrati nel cercare di capire se e quanto la cosa sia sicura, ma il punto e’ molto diverso. Il messaggio “tennico” che queste aziende stanno dando e’ molto diverso. Vedete, stanno crittando i backbone. Che cosa significa?
Prendete una Deutsche Telekom. Essa ha sicuramente il possesso dell’infrastruttura fisica su cui poggiano i backbone. Di sicuro, quindi, se non vuole che qualcuno abbia accesso, gli basta negarlo. Anche l’idea del tapping, ovvero che qualcuno si metta ad interrompere il cavo per ascoltare, e’ poco sensata: occorrerebbe sapere di preciso QUANDO una mail passa per QUEL backbone, il che e’ , ai fini pratici, impossibile.

Chi voglia fare quello che fa PRISM deve , per forza di cose, avere un accesso continuo e permanente alle infrastrutture. E puo’ ottenerlo solo inserendo backdoor permanenti nei dipositivi di rete con cui si fanno i backbones, ovvero switch di produzione americana e router di produzione americana. Il messaggio di aziende che criptano E2E sul layer applicativo e’ semplice: non ci fidiamo dei vendor americani che ci hanno fornito i dispositivi di rete che usiamo.

In che modo allora una D-Telekom puo’ temere che qualcuno ascolti permanentemente e per sempre i PROPRI backbones? I bersagli di questa campagna sono quindi due:
  • I peer non tedeschi. Con questa iniziativa stanno dicendo che le grandi industrie tedesche sospettano i peer non tedeschi di usare tecniche di bgp attraction, od altro, allo scopo di impossessarsi del traffico dei residenti. Il messaggio chiaro e’ ” Internet un kazzen, non ci fidiamo dello straniero”. Per essere chiari, Vodafone DE non potra’ mai far parte di un’alleanza “email made in Germany” perche’ non e’ tedesca.
  •  I fabbricanti stranieri di dispositivi. Qui ci va di mezzo il governo tedesco e la buona vecchia Siemens, che ha una gran voglia di rimontare e vendere tutte le infrastrutture di carrier alle aziende tedesche. Poiche’ il pericolo dei peer e’ relativo, la verita’ e’ che se si sceglie di crittare si teme un attacco continuativo, ovvero che ci siano backdoor e sniffer dentro i dispositivi “made in USA”.
 Quant’e’ il costo di questa operazione? Il secondo punto e’ molto piu’ devastante del primo. I veri penetratori del mercato TLC/mobile tedesco sono due, Telefonica e Vodafone. Telefonica e’ presente con O2, mentre Vodafone usa il proprio marchio. Sul piano dei fornitori di dispositivi, abbiamo Checkpoint, Cisco, Juniper, che stanno per avere delle brutte sorprese.
Il fatto che la contromisura avvenga sul piano applicativo, infatti, fa notare una cosa: il messaggio e’ che non si fidano della PROPRIA rete di trasporto, il che significa – dal momento che i cavi sono neutri – che non si fidano dei vendor di dispositivi. Nel bersaglio c’e’ l’industria straniera degli switch e dei router.
Un’altra polemica locale riguarda il BND. La Merkel si e’ in qualche modo “svincolata” da alcune polemiche abbattendo un vecchio trattato che permetteva agli americani di spiare le comunicazioni tedesche “in caso di pericolo per le basi americane in Germania”: sia perche’ la basi oggi sono ridotte al minimo , sia perche’ la Merkel aveva bisogno di una via di uscita rapida, abbattere questo trattato le e’ servito a rifarsi la faccia. Se prima gli americani potevano fare tapping alla luce del sole (e se la polizia li avesse beccati, sarebbe stato legale), oggi e’ un crimine, e DEVONO passare per un giudice tedesco.
Il BND invece e’ piu’ in imbarazzo, perche’ viene accusato di aver cooperato a questa raccolta di dati, e non ha la possibilita’ di compiere azioni eclatanti che ne migliorino l’immagine. Poiche’ la commissione che si occupa di sorvegliare i servizi contiene gia’ tre falchi della privacy, e’ difficile rendere tale commissione ancora piu’ aspra. Il BND ha come unica scelta quella di fare da consulente (attualmente il principale “consulente” del parlamento tedesco e’ il famoso “Chaos Club”(1) )  all’alleanza “email made in germany”.
Ora, voi mi chiederete “ma si fermeranno con l’email?”. No. Tutti e tre i provider di cui parlo hanno servizi di hosting di files. La prossima iniziativa, – e girano le fattibilita’ – saranno i “cloud made in Germany” , e tutti i relativi servizi, tra cui la DE-Mail, la versione locale della “posta certificata”, che qui e’ un servizio wholesale non solo per aziende:
Questo fa capire per quale motivo Obama abbia tanta fretta di archiviare la questione. L’industria americana e quella Inglese(2) rischiano di essere sbattuta fuori da UE ed Asia un insieme di iniziative come questa, che troveranno presto il sostegno del governo, anche se ovviamente non ufficiale. Non si chiama “email sicura”. Non si chiama “email privata”. Si chiama “email made in Germany“. Se non sei tedesco, non sei nel club.
Cosa penso di questo? Penso che usero’ di piu’ la mia email sotto gmx.de, penso che usero’ di piu’ quella che ho come utente T-Mobile. E penso che non saro’ l’unico, dal momento che un nuovo tipo di dittatura sta nascendo nell’era di Internet. Internet porta una nuova politca, dice Grillo, ma quello che forse Grillo non ha in mente e’ che Internet, mentre porta una nuova politica, porta anche una nuova idea di dittatura. Questa:
Il governo ti chiude, e fa una legge che ti vieta di raccontare come ti hanno costretto a chiudere. Questa, signori, e’ dittatura. Una dittatura nuova, una dittatura mai vista prima, una dittatura che usa l’elettronica al posto della polizia politica e chiude i provider d’opposizione come prima si chiudevano i partiti d’opposizione.

Abituati alle dittature del millenovecento, molti non sono ancora abbastanza colti in termini digitali da saper riconoscere le dittature del duemila. Quando chiuderanno i loro laceri libri di storia, si sveglieranno in una realta’ che non gli piacera’ affatto.
Tra le novita’ POLITICHE che arrivano con Internet non c’e’ solo quella di democrazia diretta. C’e’ anche una nuova idea di dittatura, una dittatura che non riconoscerete come tale perche’ non appare come le dittature classiche, una dittatura che riconoscerete solo quando sara’ troppo tardi.
Per cui si: uso con maggiore piacere e convinzione la mia email gmx.de, la mia linea di Deutsche Telekom, che arriva insieme ad email per tutta la famiglia, sono CONTENTO di aver mollato Vodafone DE sia come DSL che email, e si: penso che sia un atto di democrazia.
Penso che si, ci sia un altro secolo di dittature emergenti che andranno combattute. Penso che il Quarto Reich abbia sede questa volta a Waschington. Penso che questa volta Berlino sia dalla parte dei buoni.

Non so, pero’, chi vincera’.

Uriel

(1) Comprensibilmente, il CC ha deciso di non avere una visita della polizei ogni mattina, e ha preferito passare dalla parte dello stato. In definitiva, spesso esponenti del Chaos Club vengono chiamati in parlamento a spiegare questioni di IT ai parlamentari tedeschi che non ne masticano. Una specie di question time ove i parlamentari fanno domande agli hacker per capire cose di cui non sanno nulla.
(2) Tra i risultati pubblici dell’ultimo quarter di Vodafone DE, c’e’ la perdita del 10% degli utenti. I quali temono di essere spiati dagli inglesi. Forse c’e’ stato poco risalto in Italia, ma sui giornali ha campeggiato la notizia che gli inglesi abbiano spiato le comunicazioni della Merkel.