MEGA 2

Alla fine arriva il servizio di Kim Dot Com, e ne parlano tutti. Non c’e’ da stupirsi, perche’ quel tizio i guai se li cerca. O meglio: ha ragione da vendere. E quando dico che ha ragione, intendo proprio dire che ha ragione in tutto. Solo che si sta scontrando con un problem”ino”, ovvero che GLI USA vogliono tutti i dati del mondo sul proprio territorio per darci un’occhiatina.

Innanzizutto, perche’ Kim dot com ha ragione:

Su MEGAupload i suoi utenti facevano anche pirateria. Aha. Ma questo era un problema degli utenti, non suo. Lui forniva un servizio di cloud.
Megaupload era l’unica piattaforma del genere a permettere un accesso diretto alle varie major, produttori di software ed altro di accedere ai sistemi e di eliminare con le proprie manine contenuti piratati.
L’ FBI ha prima chiesto di conservare un file come prova di un crimine, poi ha arrestato Kim Dot Com pretendendo che lui sapesse del file e non l’avesse mai rimosso. Solo che dopo aver avuto la notifica di una prova, chi ne ha accesso e’ obbligato a tenerla.
L’assalto alla casa di Kim Dot Com e’ stato fatto mentendo sulla natura del pericolo, inventando non meglio precisati “doomsday device”, e come se non bastasse senza i requisiti legali per poterla fare.
L’ FBI non ha mai consegnato alla difesa copie dei server per gli incidenti probatori.
L’ FBI si rifiuta di fornire gli indizi che proverebbero le accuse o i sospetti verso Kim Dot Com.
La detenzione di Kim dot Com e’ stata illegale per via dell’ Habeas Corpus vigente in Nuova Zelanda.
Kim Dot Com e’ un ingenuo, e pensa davvero che il problema siano le lobby americane e la RIAA, mentre non ha capito quale fosse il punto: TUTTI i grandi servizi di cloud oggi hanno base negli USA o sono accedibili dagli USA perche’ di proprieta’ di aziende USA.

Questo significa che il governo USA puo’ ficcare il naso in qualsiasi dato. E questo e’ il principale motivo per il quale il cloud di Kim Schmitz fu chiuso: conteneva troppi dati su cui troppi volevano ficcare il naso, ma molti di quei dati non erano accessibili alle persone giuste.

Kim Dot Com pero’ ha reagito in maniera furbesca: ha usato la notorieta’ datagli dall’inchiesta e una certa genialita’ nello sviluppo si software per volgere la cosa a suo -e probabilmente nostro (mio e vostro) – vantaggio.

Essenzialmente, tutte le accuse contro Kim Dot Com erano basate sul fatto che lui conoscesse il contenuto dei dati scambiati sulla piattaforma. Quello che ha fatto e’ stato di sviluppare un nuovo servizio che cripti i dati E2E, cioe’ il dato viene criptato nel browser, inviato mediante comunicazione criptata, e poi viene salvato sul disco in maniera totalmente criptata.

In questo modo, neanche Kim Schmitz puo’ sapere per che cosa utilizzino lo spazio i suoi utenti: egli puo’ dire di vendere spazio di archiviazione (vero), e puo’ contemporaneamente affermare che non era a conoscenza del contenuto del suo sistema, e che sono i suoi fruitori a commettere delle infrazioni, ammesso che avvengano.

Ora, so che si sono dilettati ingegneri e giornalisti a discutere sulla sicurezza del servizio o sulla possibilita’ di bucarlo. Ma questo e’ in gran parte irrilevante. Il punto non e’ SE Kim Dot Com possa o non possa fare un servizio del genere. Il punto e’ che l’idea e’ lanciata, e da ora in poi la concorrenza dovra’ adeguarsi e garantire la stessa cosa agli utenti, non fosse altro che per garantirsi contro inchieste giudiziarie.

Il punto non e’ “SE”, il punto e’ “CHI”. Anche Ubuntu One usando CouchDB su https trasmette in criptato, ma poi dicono https://one.ubuntu.com/help/faq/what-security-and-privacy-policies-does-ubuntu-one-have/

We do not store your files encrypted in our data storage since we need them unencrypted in order to send them to the people you choose to share with. If you are concerned about storing your files unencrypted in the Ubuntu One cloud, you could always store the files already encrypted so Ubuntu One never sees the plain text files.
Questo significa che se avete dei file su Ubuntu One, per dirne una, il governo USA ve li ha letti. E’ suo diritto e lo fanno, e hanno leggo ad hoc per poterlo fare.

Lo stesso dicasi per dropbox: https://www.dropbox.com/help/27/en

Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so). But that’s the rare exception, not the rule.
In soldoni: non salvano criptato neanche loro.

Box.com e’ ancora peggiore perche’ a volte non viene criptato neanche tutto il traffico. E cosi’ via. In definitiva, il primo a creare un servizio per il quale nessuno riesce piu’ a ricostruire il messaggio tranne voi e’ MEGA.

Ripeto: magari MEGA ha ancora dei difetti o dei bachi, anche se li sta chiudendo a velocita’ impressionante, ma il punto non e’ che lo stia facendo. Il punto e’ che ha lanciato l’idea.

Fare Big Data su dati da attaccare con brute force , specialmente in determinate quantita’, e’ ancora fuori dalle capacita’ di un governo, anche quelli USA. Specialmente se poi i 3/4 sono film e mp3. Il punto diventa che , qualsiasi cosa MEGA abbia fatto, e’ stato quello di rendere disponibile al grande pubblico una tecnologia che gli permette di criptare senza fare niente.

Moltissimi di coloro che hanno recensito MEGA hanno parlato di tutto (interfaccia grafica, velocita’, capacita’) , omettendo di specificare questa feature. Che e’ importante per due motivi:

Libera il fornitore di spazio di archiviazione dalla responsabilita’. Il fatto di sapere, o di accusare di il cloud provider di aver saputo delle attivita’ criminali. E’ ancora una delle poche giustificazioni legali per la chiusura di grandi servizi: tu sai, quindi tu sei complice. Se effettivamente Kim Dot Com e’ riuscito a sviluppare una tecnologia che lo mette al riparo da queste conseguenze legali, c’e’ da aspettarsi che si propaghi.
Mette in difficolta’ le infrastrutture governative che intendono fare Data Attraction(1) per avere i dati di mezzo mondo in casa. Sebbene esistano tecniche di attacco anche per algoritmi complessi, pensare di rompere milioni di chiavi su miliardi di file non e’ una prospettiva accettabile per i governi.
Di fatto, quindi, MEGA ha davvero fatto qualcosa di grosso. Non e’ possibile dire quando arrivera’ davvero a tutti la possibilita’ di criptare E2E i propri dati senza dover lavorare per questo come utenti, ovvero in che modo e’ possibile farlo senza per questo dover configurare la crittazione (che e’ gia’ possibilissimo, ma nessuno lo fa per pigrizia).

Adesso e’ solo una questione di tempo: o Kim Dot Com viene fatto fuori in qualche modo, e allora tutti si spaventeranno, oppure memori del fallimento del primo tentativo la smetteranno e lo lascieranno morire, ma ormai c’e’ qualche milione di persone che, seguendo Kim Dot Kom , adesso si pongono il problema della crittazione sugli storage online.

Anche se Kim Dot Com rimanesse col numero di clienti di oggi, sarebbe comunque un bel cono d’ombra , anche perche’ per scelta (Kim Dot Com ha capito il gioco) il nuovo MEGA non ha server negli USA.

Di certo c’e’ una battaglia in corso, e la cosa buffa e’ che la stampa specializzata ne parla ignorando sempre e comunque il punto importante: la crittazione E2E , senza alcuno sforzo dell’utente, abilitata per default e obbligatoria sul servizio.

Uriel

(1) Data Attraction e’ l’atto con cui si finanzia un servizio gratuito al preciso scopo di attrarre utenti, al preciso scopo di prendere i loro dati. Il servizio non ha alcuna ratio economica se non di raccogliere i dati degli utenti. Davvero credete che certa gente viva di Reclame?