Le confessioni di un hacker: “Tutti possiamo essere spiati, su ognuno di noi ci sono archivi enormi”
È l'11 gennaio 2013, sembra una sera come tante. Micah Lee è seduto al tavolo della sua cucina nel cottage di Berkeley insieme alla moglie e ai suoi due gatti quando riceve una mail crittografata. Il mittente è anonimo. Inizia così la fuga di notizie che ha messo a nudo il sistema di sorveglianza statunitense. Dall'altra parte, infatti, ad aspettare una risposta c'è Edward Snowden, ex membro dell'intelligence Usa e uno più importati whistleblower della sua generazione. "Non sapevo chi fosse ma ho decifrato il messaggio e deciso che lo avrei aiutato", spiega Lee, giornalista investigativo ed esperto di sicurezza informatica, a Fanpage.it.
Inizia così un racconto al contrario per ricostruire l'intricato sistema di sorveglianza governativo in grado di raccogliere dati, leggere messaggi, "trasformare il tuo telefono in un dispositivo di ascolto registrando audio della stanza in cui ti trovi", spiega Lee. Gli antidoti ci sono, la crittografia, l'autenticazione a due fattori, o app come Signal che rendono molto più difficile spiare gli utenti. Eppure c'è ancora poca consapevolezza. "Se le persone davvero vedessero gli enormi dossier di informazioni che le aziende tecnologiche raccolgono su di loro rimarrebbero scioccati…"
Quando hai iniziato a occuparti di sicurezza digitale?
Da adolescente, erano i primi anni 2000. Leggendo i post sui blog ho scoperto che era facile controllare qualcuno, chiunque può spiare le reti Wi-Fi aperte. Quindi, ho iniziato a imparare come difendermi da questi attacchi e ho cominciato a seguire conferenze sugli hacker come Hackers on Planet Earth e DEFCON per saperne di più.
Poi è diventato un lavoro.
Sì, nel 2011 circa, quando ho iniziato a lavorare per la Electronic Frontier Foundation. Ero un tecnico dello staff e parte del mio lavoro era insegnare competenze di sicurezza digitale al pubblico e agli utenti giornalisti.
Pensi che il mondo sia impreparato al “potere” dei dati? Le persone capiscono quanto sono importanti?
Penso che la maggior parte delle persone sia abituata a rinunciare ad un po' di privacy per la convenienza. Ma è una comprensione astratta.
Spiegati meglio.
Se davvero vedessero gli enormi dossier di informazioni che le aziende tecnologiche raccolgono su di loro rimarrebbero scioccati.
È per questo che hai deciso di scrivere Hacking, fughe di dati e rivelazioni?
Diciamo di sì. Ho iniziato a scrivere il libro verso la fine del 2021. Avevo pubblicato un articolo che riguardava un gruppo no vax legato alla campagna di rielezione di Donald Trump del 2020. Nel pezzo parlavo anche di dati compromessi, tra cui centinaia di migliaia delle cartelle cliniche dei pazienti e questo ha portato a un'indagine del Congresso. Era una storia fantastica, ma mi sono reso conto che pochissimi altri giornalisti avrebbero potuto farlo.
Perché?
I dati erano centinaia di migliaia di file JSON e diversi CSV. Ho dovuto usare Script Python per analizzarli, e non tutti i giornalisti sanno come si fa. Eppure hack e fughe di informazioni si verificano ogni giorno.
Prima che Edward Snowden diventasse un informatore, ti ha contattato. Mi racconti cosa è successo?
Alla fine del 2012, alcuni dei miei colleghi dell'EFF hanno avviato una nuova organizzazione chiamata Fondazione per la libertà di stampa. Laura Poitras e Glenn Greenwald erano entrambi membri fondatori del consiglio, io il Chief Technology Officer. Quando Snowden si stava preparando a far trapelare i documenti della NSA, ha deciso di contattarli.
Ma non ha trovato le loro impronte digitali PGP.
Esatto, però ha trovato la mia, ero l’unico ad avercela.
Perché è così importante?
Beh è il modo in cui le persone possono inviare mail crittografate. E infatti nel 2013 mi arriva un messaggio anonimo che ho dovuto decifrare con la mia chiave PGP.
Cosa c’era scritto?
Diceva: “Micah, sono un amico. Ho bisogno di mandare informazioni in modo sicuro a Laura Poitras e solo a lei, ma non riesco a trovare la sua chiave email/gpg. Puoi aiutarmi?” E così ho deciso di dargli una mano.
Perché ti sei fidato? Non sapevi chi fosse.
Chiaramente non ne avevo idea in quel momento che Edward Snowden mi stesse chiedendo aiuto, ma amavo la sicurezza digitale e quindi, anche se non sapevo chi fosse, ero felice di aiutarlo.
Quindi poi è riuscito a contattare Laura Poitras grazie a te.
Sì, io in realtà non sapevo nulla, solo che era un informatore, poi Glenn ha pubblicato il primo articolo di Snowden sul Guardian.
Avevi già ricevuto mail crittografate?
Sì, all'epoca utilizzavo spesso la posta elettronica crittografata.
Chi te le inviava?
Solo nerd della crittografia come me. Avevamo anche eventi chiamati “crypto feste” in cui insegnavamo come creare una mail PGP, visto che era estremamente complicato.
Oggi non più.
No, ora chiunque può facilmente inviare messaggi crittografati utilizzando app come Signal, che però non esisteva nel 2013. Quasi tutti i siti Web ora utilizzano HTTPS, rendendolo molto più difficile spiare il traffico web e rubare le password. Telefoni e laptop hanno un disco crittografato per impostazione predefinita, quindi non è così semplice sbloccare per accedere ai dati.
Ma c’è anche l’altro lato della medaglia.
Certo, d’altro canto le società di sorveglianza private sono molto più attrezzate. Per esempio NSO Group, una società israeliana che produce un potente spyware per iPhone e Android chiamato Pegasus. Lo vendono ai governi di tutto il mondo, compresi i regimi autoritari che prendono di mira gli attivisti per i diritti umani.
Siamo di fronte quindi a un’industria internazionale della tecnologia di sorveglianza.
Sì, NSA e agenzie di intelligence della Russia, Cina, Iran, Corea del Nord, ma anche di altri Paesi stanno ancora cercando di spiare tutti.
In un'intervista hai detto: “Tutto è spiato. Ora il governo può guardare semplicemente le tue mail, i tuoi messaggi di testo o qualsiasi prova digitale che lo sia esiste." È davvero così?
Oggi tutti si affidano alle aziende tecnologiche. Quando invii un messaggio di testo tramite SMS o chiami qualcuno al telefono, passa tutto attraverso il tuo gestore di telefonia mobile che è in grado di spiarti. Lo stesso vale per i servizi di posta elettronica come Gmail o per le piattaforme come X, Facebook, Instagram o TikTok, tutte queste aziende hanno accesso a tutti i tuoi messaggi.
E tutte queste informazioni raccolte possono poi essere condivise con attori terzi?
Immaginiamo per esempio che il governo stia indagando su di te, perché sospetta che tu abbia fatto trapelare informazioni o documenti segreti, potrebbero inviare richieste legali e costringere le aziende a consegnare i tuoi dati. Dipende anche dal Paese in cui ci si trova, ma in generale, le aziende soddisfano le richieste del governo.
Ci sono dei dati? Giusto per capire la portata di richieste da parte dei governi.
Eh, per esempio Google che pubblica rapporti sulla trasparenza. Nella prima metà del 2023 ha ricevuto 436.000 richieste di dati da tutto il mondo.
E le richieste dall’Italia?
Sono state 1.658, considerando lo stesso periodo di tempo.
Quali dati possono acquisire?
Qualsiasi. Perché le aziende tendono a raccogliere più dati possibili.
Come può una persona comune difendere la propria privacy?
È difficile ma ci sono alcune cose che fanno la differenza, per esempio usare app di messaggistica crittografate come Signal. Come tutte le altre aziende deve rispondere alle richieste di dati da parte del governo, ma, a differenza di altre, hanno progettato il loro servizio per raccogliere il minor numero di informazioni possibile sugli utenti.
Per esempio?
L'unico dato che sono in grado di fornire è la data di creazione dell'account e la data dell'ultimo accesso.
Immaginiamo invece che qualcuno abbia installato uno spyware sul mio telefono, come faccio a scoprirlo?
È complicato e dipende dal tipo di spyware. Ci sono quelli più economici, gli stalkerware, sono app dannose installate spesso da un partner violento. Ma anche gli spyware costosi, come Pegasus, che è quasi impossibile da rilevare.
Quindi?
La risposta breve è che non puoi scoprire in modo affidabile se il tuo telefono è sotto sorveglianza. Invece è meglio concentrare gli sforzi sulla prevenzione.
Mi fai qualche esempio pratico?
È importante utilizzare un passcode complesso, ci sono anche app apposta come iVerify.
Quali informazioni potrebbero raccogliere?
Se qualcuno riesce a installare spyware come Pegasus sul tuo telefono, può accedere a tutti i dati, possono acquisire anche screenshot o trasformare il tuo telefono in un dispositivo di ascolto registrando audio della stanza in cui ti trovi, persino tracciare la tua posizione fisica.
Abbiamo visto, grazie al caso Snowden, che non è necessario essere un politico o un informatore per finire nel mirino, come vengono scelti i soggetti da spiare?
Dipende. Varia molto a seconda di dove vivi. Potresti essere un bersaglio a causa dell'azienda per cui lavori, per la tua religione, o perché sei attivo in politica. Di solito le persone emarginate sono sempre quelle più colpite dalla tecnologia di sorveglianza.
La crittografia è oggi una forma di resistenza alla sorveglianza governativa?
Direi che è uno dei modi principali per resistere alla sorveglianza. Personalmente mi assicuro che quasi tutti i miei dati siano crittografati
Per esempio?
Invece di Gmail utilizzo un servizio di posta elettronica chiamato Proton Mail. Non è perfetto, ma almeno so che se Proton Mail riceve una richiesta di dati dal governo, l'azienda può consegnare solo copie crittografate dei miei messaggi.
Proviamo a fare un salto nel futuro, qual è lo scenario peggiore?
Direi l’ascesa globale del fascismo, del capitalismo, il cambiamento climatico che avanza e l’aumento della teconologia della sorveglianza. Questo è lo scenario peggiore e purtroppo è anche la direzione in cui stiamo andando adesso.
Il migliore invece?
Sarebbe fantastico se un giorno avessimo una vera privacy e una politica anticoncorrenziale, regolamenti negli Stati Uniti e in tutto il mondo, e un ordine internazionale in grado limitare chi ha il potere, comprese le agenzie e società di sorveglianza come NSO Group. Ma abbiamo bisogno di molta più democrazia affinché tutto questo diventi una realtà.
A proposito di futuro, che impatto avrà l’intelligenza artificiale sulla sorveglianza digitale e sulla privacy?
Ecco questo è un tema che viene sottovalutato, ma è importantissimo. Le società di intelligenza artificiale stanno già raccogliendo un numero spropositato di dati generati dagli utenti per addestrare i loro modelli. Stiamo entrando in un’era in cui le persone dovrebbero essere consapevoli che tutto ciò che pubblicano verrà monetizzato, forse anche illegalmente, ed è ora di iniziare a pensare a come reagire.
E il riconoscimento facciale?
Ti consiglio un libro sul tema, si chiama “Il tuo volto ci appartiene” di Kashmir Hill. È la storia di Clearview AI, una società di riconoscimento facciale fondata da americani di estrema destra. Uno dei fondatori, un negazionista dell'Olocausto ha detto che voleva avviare una società di riconoscimento facciale per deportare gli immigrati. Oggi Clearview AI è una delle più grandi aziende di riconoscimento facciale ed è ampiamente utilizzata dalle forze dell'ordine, anche per i controlli doganali negli Stati Uniti…
Quale social network è il più pericoloso per la privacy?
Direi tutti i principali social network aziendali, come X, Facebook, TikTok. Penso sia una buona idea fare attenzione a quello che si pubblica, magari è anche il caso di tornare indietro ed eliminare i vecchi post.
Tre consigli che lasci ai nostri lettori per tutelare la loro privacy?
Primo: abbandona le tue vecchie app di messaggistica per Signal, e in generale crittografa tutto quello che puoi. Secondo: utilizza un gestore di password in modo che ogni account abbia una parola d'ordine forte e attiva l'autenticazione a due fattori ovunque puoi. Infine installa gli aggiornamenti software.