Ancora la storia di Prism e Snowden…

Ovviamente adesso che Snowden e’ scappato ci sono tutti i complottari e tutti gli altri che si sono scatenati, e vedo un sacco di cazzate al lavoro su internet. Il problema e’ che tutto quello che e’ vero e’ proprio cio’ che NON si dice. Ovvero cio’ che si dice per sviare l’attenzione su questioni reali.

Per prima cosa, Snowden non e’ una spia di cinesi e russi. C’e’ una ragione molto semplice dietro a questa secca affermazione: i cinesi ed i russi sanno gia’ tutto quello che Snowden ha rivelato, ovvero che gli americani usano i social network e che sia americani che inglesi approfittano della enorme concentrazione di IX (scambiatori di traffico per backbones)(1) attorno alle borse per spiare un pochino tutto il traffico.
In Russia hanno creato appositamente un clone di  Facebook , di Google e di Gmail, idem in Cina, ove hanno Baido, QQ et similia e non lasciano entrare i corrispondenti USA. La decisione e’ politica, ed e’ stata anche al centro di pressioni diplomatiche. Ma nessuno dei due governi ha ceduto, proprio perche’ sanno bene che cosa facciano USA e UK.
Quindi no, non si tratta di una spia perche’ a riguardo i cinesi non hanno proprio nulla da imparare, e lo stesso dicasi dei russi, che probabilmente spiano i cittadini molto piu’ degli USA, e hanno hacker di primo ordine al proprio servizio. E’ assai improbabile che debbano ricorrere a Snowden per sapere che gli USA o l’ UK spiano e come facciano.
Al contrario, tutta l’attenzione su Snowden e’ semplicemente uno sviare l’attenzione, e uno sviarla per il fatto che si e’ fatto pensare che as essere spiata sia la posta di cittadini semplici, cosa che probabilmente non e’.
E’ assai probabile, e la probabilita’ e’ alta per il fatto che “stranamente” nessun esperto stia avanzando la cosa pubblicamente, che lo spionaggio sistematico sia volto al business.
Non parlo per forza di segreti industriali, che essendo coperti da brevetto difficilmente sono utilizzabili, ma di informazioni commerciali. Se voi siete in competizione con un’azienda americana, e mandate al vostro agente l’offerta usando un canale in chiaro, e’ facilissimo che l’azienda USA o UK sappia del prezzo che intendete fare, ed e’ facilissimo che puf, guarda caso, arrivi un’offerta dieci dollari piu’ bassa.
Lo so? Lo so. Per anni lo hanno fatto alla mia azienda, quindi lo so. Ad un certo punto abbiamo sospettato la cosa, abbiamo mandato un’offerta carissima via email, la stessa offerta e’ stata (come al solito) ricalcata al 10% in meno, solo che era il 30% piu’ alta di quella vera , che fu passata dalla sede al venditore che la proponeva al cliente….  a mano. E gli inglesi la presero in saccoccia.
Ma il punto e’ che ci vollero anni prima di capire che in qualche modo una connessione con tanto di VPN venisse in qualche modo spiata.Anni in cui ci si fidava delle VPN, in cui si diceva “ma saremo noi poco competitivi”, anni in cui si cercava di analizzare le carenze dei venditori. No, era semplicissimo spionaggio. Anni in cui ci si fidava di una certa azienda di cellulari che vi forniva anche il sistema di email sicura, con un sistema di VPN sicurissimo, e tutta una serie di features paranoiche per le aziende che vogliono stare sicure, e tutti vi scambiavate le vostre offerte commerciali sui loro server, che si trovavano… si trovavano… indovinate dove. Basto’ cambiare marca di cellulari e farsi i server e tutto quanto in casa su sistemi Linux,in una bella rete chiusa  e puf: le commesse diventarono tutte piu’ facili. Magia dei cellulari “open”.(2)
Lo spionaggio industriale non si attua riguardo ai segreti industriali come li credete voi, per esempio nuove tecnologie o brevetti. Gran parte dello spionaggio industriale consiste nel saper prevedere la data di lancio di un prodotto avversario, nel conoscerne in anticipo il prezzo di lancio, di conoscerne in anticipo le caratteristiche.
Nel caso di aziende di consulenza e sistemistica, si tratta di sapere quante persone offre la concorrenza e con che profili, in modo da non farsi cogliere impreparati su un punto, e specialmente sapere A CHE PREZZO viene offerto qualcosa.
Basta leggere le email della concorrenza per sapere come sta gestendo una trattativa, per esempio.
Questo e’ il punto che si tocca poco:
  • Nonostante la vicenda di Snowden fa pensare immediatamente allo spionaggio industriale, nessuno sta evidenziando il problema cosi’ com’e’. Nessuno sta nemmeno avanzando per caso , su nessun giornale, che forse non viene spiato vostro marito che si fa le seghe su internet, ma la vostra azienda che manda al venditore il nuovo listino prezzi.
  • Nessuno sta spiegando le implicazioni commerciali ed economiche delle cose di cui stiamo parlando. Sembra che le intercettazioni siano fatte sempre e comunque per scopi politici, ma nessuno avanza mai l’ipotesi che ci siano altri fini. Nessun leader si azzarda nemmeno a nominare il vero punto del problema, ovvero che lo spionaggio e’ rivolto PRINCIPALMENTE alle aziende.
Il dibattito e’ sviato furbescamente sulla “privacy”, come se a qualcuno fregasse qualcosa di chi vi scopate e quando, e poi sul terrorismo, dicendo che sono stati catturati 50 terroristi usando Prism (3), e tutto questo per portare via l’attenzione dal vero punto del problema: stanno spiando le aziende.
Spesso il silenzio e’ sospetto. Quando in una foresta tutti gli animali si zittiscono o scappano, probabilmente c’e’ un predatore davvero cattivo in arrivo. Beh, adesso mi sembra sospetto il silenzio degli analisti e degli esperti: NESSUNO sta avanzando il problema dello spionaggio commerciale.
Si tratta di informazioni poco “segrete”. Le aziende si danno da fare nel proteggere le tecnologie e le ricerche, ma se un commerciale deve fare un’offerta, essa puo’ gironzolare per la rete da un server SMTP all’altro, ove normalmente gira in chiaro, e nessuno capisce che se il tuo concorrente legge la tua offerta, la superiorita’ non sara’ tanto tecnologica, ma economica.
So cosa penserete: c’e’ sicuramente una certa leggerezza anche da parte delle aziende, ma se ad un venditore in frenesia proponete di crittare la posta elettronica, con ogni probabilita’ vi dira’ di non fargli perdere tempo, che la battaglia e’ gia’ dura cosi’.
Ci sono aziende, tante, che hanno un dominio pippo.co.uk con un server SMTP inglese, un dominio pippo.de con un server SMTP tedesco, e si fidano del fatto che la mail sia “interna”, senza sapere che dal relay sino al MX il traffico andra’ in chiaro, a meno che non si sia destinata una VPN permanente ad hoc per quel traffico. “Ma noi andiamo su SSL per inviare la posta”, dicono.
E’ sicuramente impossibile sapere quante gare le aziende americane ed inglesi vincano perche’ sono davvero piu’ competitive e perche’ sanno vendere meglio. Potete pero’ verificare nel vostro caso: fatevi un circuito criptato interamente sotto il vostro controllo, evitate di tenere la vostra email in mano ad aziende “che vi danno l’email sicura chiavi in mano”, e provate cosi’.
Provate per una decina di offerte a imporre la criptazione a tutti. Provate ad evitare cloud ibridi, misti, e ad usare solo IT interna. Provate a configurare i cellulari per andare in VPN con il VOSTRO concentratore per scaricare la posta. Se per caso questa cosa vi “porta fortuna”,  beh, forse il sistema di prima era ascoltato.
Ma questo non lo sta scrivendo nessuno dei giornalastri e degli esperti, tranne pochi giornali tedeschi che sto faticosamente imparando a leggere, e uno-due blog supergeek.
Chi e’ allora Snowden?

E’ uno che e’ cresciuto in USA. CHe sin dalle scuole elementari si e’ sentito dire che ogni liberta’ viene dagli USA, che se qualcuno e’ libero e’ merito degli USA, che solo chi ha avuto dagli USA il dono dell’occidente e’ libero e sta bene.

Snowden e’ cresciuto da una nazione la cui industria cinematografica non menziona mai svizzera e scandinavia perche’ non riesce a spiegare come questi paesi abbiano livelli di vita superiori senza averli mai ricevuti in dono dagli USA, senza seguire i loro dettami culturali, senza assomigliare a loro.

Snowden e’ cresciuto credendo che gli USA siano una anomalia storica definitiva, condannati ad essere il bene e a lottare sempre e solo per il bene , per via di une genesi mitologica che vede gli USA come culla di ogni liberta’ e di ogni diritto.

Snowden e’ cresciuto in un paese ove si insegna a scuola che i nativi americani sono morti di influenza perche’ il loro sistema immunitario non era abituato alle malattie europee, mentre gli americani hanno portato la medicina moderna al paese, e quindi anche agli indiani.

Snowden e’ cresciuto in scuole ove si insegna che gli USA siano stati il PRIMO paese occidentale ad abolire la schiavitu’ dei negri, e non l’ultimo.

Snowden e’ nato in un paese ove si insegna che solo gli USA sono buoni per natura, fondazione e filogenesi, e per questo devono tenere sotto controllo gli altri.

Il problema del soldato Snowden e’ stato , molto semplicemente, di scoprire la verita’ e addirittura di scoprire di ESSERE la verita’, una verita’ che e’ stato educato a non credere neppure possibile.

Uriel
(1) I servizi finanziari hanno normalmente degli SLA rigidissmi, da 5/9 a 7/9, con latenze piccolissime, cosi’ attorno alle due borse si e’ sviluppata una concentrazione enorme di backbones. Non si puo’ dire che tutte le strade portano a Roma, ma su internet moltissime strade passano almeno per uno scambiatore sotto il controllo USA o UK per questa ragione.
(2) Oh, magari non era l’azienda di cellulari in se’ che forniva i dati. Magari c’era una backdoor, o qualcosa. Ma sta di fatto che usando la propria vpn e i nostri server, zac: il business divenne piu’ semplice. Forse quei cellulari portavano solo sfiga, e l’azienda non c’entrava.
(3) In UE ne sono stati catturati di piu’ senza usare Prism. Pochi hanno fatto un conto, ma la maggiore quantita’ di arresti per terrorismo islamico non e’ avvenuta in USA, ma in UE.