"E' molto difficile per qualsiasi individuo o gruppo all'interno di una società, proteggere le proprie comunicazioni in modo completo. Può fare uso di crittografia punto a punto, ma questo lascia visibile il percorso delle comunicazioni. Qualunque grado di protezione maggiore, come dei servizi di anonimato, richiede la cooperazione della società, o quanto meno, tolleranza"

Whitfield Diffie, Susan Landau, "Privacy On The Line"

Di Bruce Schneier

Pubblicato originalmente su TheAtlantic.com, il 12 agosto 2013

Immaginate che il governo approvi una legge che richieda che tutti i cittadini portino con sé un dispositivo di tracciamento. Una legge simile sarebbe subito dichiarata incostituzionale. Eppure, tutti portiamo con noi i telefoni cellulari.

Se la National Security Agency [NSA, Ndt] ci richiedesse di darle una notifica ogni volta che stringiamo una nuova amicizia, la nazione si ribellerebbe. Eppure, noi notifichiamo questo a Facebook. Se il Federal Bureau of Investigation [FBI, Ndt] domandasse delle copie di tutte le nostre conversazioni e della corrispondenza, sarebbe irriso. Eppure, noi forniamo copia delle nostre e-mail a Google, Microsoft o chiunque sia il nostro host e-mail; noi forniamo copia dei nostri messaggi di testo a Verizon, AT&T e Sprint; e noi forniamo copie di altre conversazioni a Twitter, Facebook, LinkedIn, o qualunque altro sito le ospiti.

Il modello di business primario di Internet è basato sulla sorveglianza di massa, e la raccolta di intelligence del nostro governo è diventata dipendente dai quei dati. Capire come siamo arrivati fin qui, è essenziale per capire come possiamo recedere dal danno.

I computer e le reti per loro natura producono dati, e le nostre costanti interazioni con loro consentono alle corporation di raccogliere quantità enormi di dati intrinsecamente personali, su di noi e sulle nostre vite quotidiane. A volte produciamo questi dati inavvertitamente semplicemente utilizzando i nostri telefoni, carte di credito, computer ed altri dispositivi. A volte diamo direttamente questi dati a Google, Facebook, iCloud di Apple e così via, in cambio di un qualunque servizio a buon mercato che riceviamo da Internet.

La NSA è anche nel business dello spiare chiunque, ed ha realizzato che è molto più facile raccogliere tutti i dati da queste corporation piuttosto che da noi direttamente. In alcuni casi, la NSA chiede questi dati in modo gentile. In altri casi, fa uso di minacce sottili oppure di pressioni palesi. Se questo non funziona, utilizza strumenti come lettere di sicurezza nazionale.

Il risultato è una partnership per la sorveglianza governo-corporation, che consente sia al governo che alle corporation di ottenere cose che non potrebbero avere altrimenti.

Ci sono due tipi di leggi negli USA, ciascuna progettata per limitare un diverso tipo di potere, leggi costituzionali, che pongono limiti sul governo, e leggi di regolamentazione, che limitano i poteri delle corporation. Storicamente, queste due aree sono largamente rimaste separate, ma oggi ciascun gruppo ha imparato come usare le leggi degli altri per bypassare le proprie restrizioni. Il governo usa le corporation per aggirare i propri vincoli, e le corporation usano il governo per aggirare i loro limiti.

Questa partnership si manifesta in diversi modi. Il governo usa le corporation per aggirare ciò che gli è proibito nelle intercettazioni domestiche sui propri cittadini [Leggi Title III, FISA, Ndt]. Le corporation fanno affidamento sul governo per assicurarsi che possano avere un utilizzo assolutamente libero dei dati che raccolgono.

Ecco un esempio: sarebbe ragionevole per il nostro governo dibattere le circostanze in cui le corporation possono raccogliere ed utilizzare i nostri dati, e fornire delle protezioni contro gli abusi. Ma se il governo sta utilizzando quegli stessi dati per i propri scopi di sorveglianza, ha un incentivo per opporsi a qualunque legge che limiti la raccolta dei dati. E siccome le corporation non vedono alcuna necessità per dare ai consumatori una scelta sulla questione – perchè questo non farebbe che ridurre i loro profitti – neppure il mercato fornirà alcuna protezione ai consumatori.

I nostri ufficiali eletti [politici Ndt] sono spesso supportati, investiti, ed anche sponsorizzati da queste corporation, costruendo quindi un rapporto incestuoso fra corporation, legislatori e comunità dell'intelligence. Gli sconfitti siamo noi, il popolo, che rimaniamo senza nessuno che si batta per i nostri interessi. Il nostro governo eletto, che si suppone debba rispondere a noi, non lo fa. E le corporation, che in una economia di mercato si suppone debbano essere rispondenti ai nostri bisogni, non lo sono. Quello che abbiamo ora, è la morte della privacy – e questo è molto pericoloso per la democrazia e la libertà.

La risposta semplice è di incolpare il consumatore, che non dovrebbe usare telefoni cellulari, carte di credito, le banche o Internet se non vuole essere tracciato. Ma questa discussione ignora deliberatamente la realtà del mondo odierno. Qualsiasi cosa facciamo coinvolge i computer, anche se noi non li utilizziamo direttamente. E per loro natura, i computer producono dati tracciabili. Non possiamo tornare indietro in un mondo dove noi non utilizziamo i computer, Internet oppure i network sociali. Noi non abbiamo scelta se non quella di condividere le nostre informazioni personali con queste corporation, perchè è così che funziona il mondo oggi.

Contenere il potere della partnership per la sorveglianza corporation-governo richiede delle limitazioni sia su quello che le corporation possono fare con i dati che noi decidiamo di affidare loro, sia restrizioni su come e quando il governo può chiedere l'accesso a quei dati. Poiché entrambi i cambiamenti vanno contro gli interessi delle corporation e del governo, noi dobbiamo domandarlo loro come cittadini ed elettori. Possiamo fare attività di lobby sul governo per operare in modo più trasparente – rendere note le opinioni della Corte di Sorveglianza per l'Intelligence Estera sarebbe un buon inizio - e rendere i nostri legislatori responsabili quando non lo fanno. Ma non sarà facile. Ci sono forti interessi che fanno del loro meglio per assicurare che il flusso stabile di dati continui a persistere.

Tradotto con il permesso scritto di Bruce Schneier cui appartengono i diritti di autore.

Link all'articolo originale

Link alla voce di Wikipedia per Bruce Schneier
 

Di Bruce Schneier

Pubblicato originalmente su Forbes.com, il 13 novembre 2006

La scorsa settimana nel tredicesimo distretto elettorale congressuale, il margine di vittoria era di soli 386 voti su 153.000. Ci sarà un riconteggio legale obbligatorio, ma non comprenderà i circa 18.000 voti che sembra siano scomparsi. Le macchine di voto elettroniche non li hanno inclusi nel registro finale, e non esiste alcun backup da utilizzare per un riconteggio. Il distretto prenderà un vincitore da inviare a Washington, ma non sarà perché sono sicuri che la maggioranza ha votato per lui. Forse la maggioranza lo ha fatto, forse non lo ha fatto. Non c'è modo per saperlo.

Le macchine di voto elettroniche rappresentano una grave minaccia per elezioni giuste ed accurate, una minaccia di cui ogni americano – repubblicano, democratico o indipendente – dovrebbe essere preoccupato. Dal momento che sono basate su dei computer, le azioni deliberate o accidentali di pochi possono distorcere un'intera elezione. La soluzione: schede elettorali di carta, che possono essere verificate dagli elettori e riconteggiate se necessario.

Per comprendere la sicurezza delle macchine di voto elettronico, per prima cosa occorre considerare la sicurezza delle elezioni in generale. L'obiettivo di ogni sistema di voto è quello di catturare l'intento di ogni votante e di raccoglierlo assieme a tutti gli altri in un registro finale. In pratica questo accade attraverso una serie di passi di trasferimento. Quando ho votato la scorsa settimana, ho trasferito le mie intenzioni su una scheda di voto cartacea, che è stata poi trasferita in una macchina tabulatrice attraverso un lettore ottico a scansione; alla fine della nottata, i registri delle macchine individuali sono stati trasferiti dagli ufficiali delle elezioni in una sede centrale e combinati in un singolo risultato che poi ho visto in televisione.

Tutti i problemi delle elezioni sono errori introdotti in uno di questi passi, sia si tratti della rinuncia al diritto di voto, voti incerti, macchine di voto rotte, oppure attrezzature di voto. Anche nelle normali operazioni, ciascun passo può introdurre errori. L'accuratezza del voto è quindi una questione di: 1) minimizzare il numero di passi, e: 2) aumentare l'affidabilità di ogni passo.

Molta della sicurezza delle nostre elezioni è basata sulla "sicurezza da interessi concorrenti". Ogni passo, con l'eccezione dei votanti che completano la loro scheda anonima, è monitorato da qualcuno dei partiti principali; questo assicura che frodi di parte – o anche errori in buona fede – siano notati dagli altri osservatori. Il sistema non è perfetto, ma ha funzionato in modo appropriato per un paio di centinaia di anni.

Il voto elettronico è come in iceberg; le minacce reali sono al di sotto della linea di galleggiamento dove non possono essere viste. Le macchine di voto elettronico senza carta bypassano il processo di sicurezza, consentendo ad un piccolo gruppo di persone – oppure anche ad un singolo hacker – di influenzare un'elezione. Il problema è il software – programmi che sono nascosti dalla vista e che non possono essere verificati da un team di scrutatori democratici o repubblicani, programmi che possono cambiare drasticamente i registri di voto finali. E dal momento che tutto ciò che rimane alla fine della giornata sono quei registri elettronici, non c'è modo per verificare i risultati o di eseguire un riconteggio. Ed i riconteggi sono importanti.

Questo non è affatto teorico. Negli Stati Uniti ci sono stati centinaia di casi documentati di macchine per il voto elettronico che hanno distorto il voto a svantaggio di candidati di entrambi gli schieramenti politici: macchine che hanno perso dei voti, macchine che hanno invertito i voti per i candidati, macchine che hanno registrato più voti per i candidati di quanti fossero i votanti, macchine che non hanno registrato per nulla i voti. Mi piacerebbe credere che questi siano tutti errori e non frodi deliberate, ma la verità è che noi non possiamo dire la differenza. E questi sono solo i problemi che si sono evidenziati; è quasi certo che molti più problemi sono sfuggiti a qualsiasi rilevamento perché nessuno vi ha prestato attenzione.

Questo è un fatto sia nuovo che terrificante. Per la maggior parte, e attraverso la maggior parte della storia, la frode elettorale su larga scala è stata difficile; richiede delle azioni che si svolgono in pubblico oppure un governo molto corrotto – o entrambi. Ma il voto elettronico è differente: un hacker solitario può influenzare un'elezione. Egli può fare il proprio lavoro segretamente prima che le macchine siano inviate alle postazioni di voto. E può coprire i propri attacchi completamente, scrivendo del codice che si auto-cancella dopo le elezioni.

E questo assumendo delle macchine per il voto correttamente progettate. Le macchine reali che vengono vendute da società come Diebold, Sequoia Voting Systems, e Election System & Software sono molto peggiori. Il software è mal progettato. Le macchine sono “protette” da chiavi da minibar di hotel. I registri di voto sono conservati in file facilmente modificabili. Le macchine possono essere infettate da virus. Alcuni software di voto girano su Microsoft Windows, con tutti i bachi, crash e vulnerabilità nella sicurezza che introduce. La lista delle pratiche di sicurezza inadeguate sale e sale.

Le società che costruiscono le macchine per il voto contano che tali attacchi siano impossibili perché le macchine non sono mai lasciate senza sorveglianza (e non è così), i supporti di memoria che conservano i voti siano controllati accuratamente (e non lo sono), ed ogni aspetto sia supervisionato (e non è così). Si, mentono, ma mancano anche il punto.

Noi non dovremmo – e non lo facciamo – accettare delle macchine per il voto che un giorno dovessero essere sicure se un lungo elenco di procedure operative viene seguito con precisione. Noi abbiamo bisogno di macchine per il voto che siano accurate a dispetto di come sono programmate, maneggiate, e utilizzate, e che possiamo ritenere affidabili anche se vengono vendute da una società di parte, oppure da una compagnia con possibili legami con il Venezuela.

Suona come un compito impossibile, ma in realtà, la soluzione è sorprendentemente facile. Il trucco è utilizzare le macchine per il voto elettronico come macchine generatrici di schede di voto. Votate attraverso qualsiasi sistema a touch screen desideriate: una macchina che non conserva registrazioni o i registri di come la gente ha votato, ma semplicemente genera una scheda di carta. Il votante può controllare l'accuratezza del proprio voto, quindi processarlo con uno scanner ottico. La seconda macchina fornisce un registro iniziale veloce, mentre la scheda cartacea fornisce la possibilità di riconteggio se necessario. E le schede degli assenti o di backup possono essere contate allo stesso modo.

Potete anche farlo direttamente con le macchine generatrici di voto elettronico interamente e marcare a mano le schede come facciamo in Minnesota. Oppure tenere un'elezione direttamente al 100% via posta come fanno in Oregon. Ancora, la scheda cartacea è la chiave.

Carta? Si la carta. Una pila di carta è più difficile da modificare che un numero nella memoria di un computer. Gli elettori possono vedere il proprio voto sulla carta, a prescindere da quello che accade dentro un computer. E più importante, chiunque capisce la carta. Impazziamo con le bollette del nostro cellulare e gli estratti della nostra carta di credito, ma quando è stata l'ultima volta che avete avuto un problema con una banconota da 20 dollari? Noi sappiamo come contare la carta. Le banche le contano continuamente. Sia il Canada che il Regno Unito contano le schede di voto cartacee senza problemi, e lo stesso fanno gli svizzeri. Possiamo farlo anche noi. Nel mondo attuale di crash di computer, worms ed hacker, una soluzione a bassa tecnologia è la più sicura.

Macchine di voto sicure sono solo un componente di una elezione giusta ed onesta, ma sono una parte sempre più importante. Sono il punto in cui un attaccante dedicato può commettere una frode elettorale nel modo più efficace (e noi sappiamo che cambiare il risultato può valere milioni). Ma noi non dovremmo dimenticare altre tattiche di soppressione del voto: dare alla gente delle indicazioni sbagliate circa il luogo o la data delle elezioni, portare degli elettori registrati al di fuori della loro volontà, avere troppo poche macchine nei seggi elettorali, oppure rendere troppo difficile la registrazione degli elettori. (Stranamente, il voto di persone non eleggibili non è un problema negli Stati Uniti, a dispetto della retorica politica che sostiene il contrario; ogni studio mostra che il loro numero è così basso che è insignificante. E la richiesta di identificativi fotografici in realtà causa più problemi di quelli che risolve.)

Votare è una questione sia di percezione che tecnologica. Non è sufficiente che un risultato sia matematicamente accurato; ogni cittadino deve essere anche confidente che il voto è corretto. In giro per il mondo, la gente protesta e causa disordini dopo un'elezione, non quando i propri candidati perdono, ma quando pensa che i loro candidati abbiano perso in modo ingiusto. E' vitale per la democrazia che un'elezione determini accuratamente il vincitore ed anche che convinca adeguatamente il perdente. Negli Stati Uniti stiamo perdendo la battaglia della percezione.


Tradotto con permesso scritto di Bruce Schneier cui appartengono i diritti d'autore.

Link all'articolo originale di Bruce Schneier

Link alla voce di Wikipedia per Bruce Schneier
 

Di Bruce Schneier

Tre mesi orsono, ho annunciato che stavo scrivendo un libro sul perché la sicurezza esista nelle società umane. Questo è fondamentalmente l'enunciato della tesi del libro:

Tutti i sistemi complessi contengono parassiti. In qualsiasi sistema dal comportamento cooperativo, una strategia non-cooperativa sarà efficace – ed il sistema tollererà i non-cooperativi – fino al punto in cui non siano troppo numerosi oppure troppo efficaci. Quindi, quando le specie sviluppano un comportamento cooperativo, allora si sviluppa anche una minoranza disonesta che si avvantaggia della maggioranza onesta. Se gli individui all’interno di una specie hanno la capacità di cambiare strategia, la minoranza disonesta non sarà mai ridotta a zero. Il risultato sarà che le specie sviluppano due cose: 1) sistemi di sicurezza per proteggere se stesse dalla minoranza disonesta, e 2) sistemi di raggiro per essere parassiti di successo.

Gli esseri umani si sono evoluti lungo questo percorso. I meccanismi di base possono essere modellati in modo semplice. E’ nel nostro interesse di gruppo collettivo collaborare, e questo vale per tutti. L’interesse proprio e a breve termine di un qualsiasi individuo è invece di non cooperare: tradire, nella terminologia della teoria dei giochi. Me se tutti tradiscono, la società collassa. Per garantire cooperazione diffusa e la riduzione al minimo del tradimento, noi collettivamente implementiamo una varietà di sistemi di sicurezza sociali.

Due di questi sistemi si sono evoluti nella preistoria: morale e reputazione. Altri due si sono evoluti appena i nostri gruppi sociali sono diventati più grandi e più formali: leggi e sistemi tecnici di sicurezza. Quello che questi sistemi di sicurezza fanno, realmente, è di dare agli individui degli incentivi per agire nell’interesse del gruppo. Ma nessuno di questi sistemi, con la possibile eccezione di alcune fantasiose tecnologie da science fiction, potranno mai portare la minoranza disonesta a zero.

Nelle società moderne e complesse, molte complicazioni si introducono in questo semplice modello di sicurezza sociale. Le decisioni se cooperare oppure tradire sono spesso prese da gruppi di persone – governi, grandi società, e così via – e ci sono importanti differenze a causa della dinamica all’interno e all’esterno dei gruppi. Molta della nostra sicurezza sociale è delegata – alla polizia per esempio – e diventa istituzionalizzata; anche le dinamiche di questo sono quindi importanti.

Il potere lotta e agisce su coloro che controllano i meccanismi della sicurezza sociale: i “gruppi di interesse” rapidamente devolvono quindi  in “interesse del re” (interesse dei governanti di fatto NDT). La sicurezza sociale può diventare uno strumento per coloro che sono al potere per rimanere al potere, con coloro che sono definibili come “maggioranza onesta” che risultano essere semplicemente le persone che rispettano le regole.

Il termine “minoranza disonesta” non è un giudizio morale; semplicemente descrive la minoranza che non segue la norma sociale. Dal momento che molte norme sociali sono nei fatti immorali, a volte la minoranza disonesta serve come catalizzatore per il cambiamento sociale. Società senza un serbatoio di persone che non rispettano le regole mancano di un importante meccanismo per l’evoluzione sociale. Società vibranti necessitano di una minoranza disonesta; se la società rende le proprie minoranze disoneste troppo piccole, soffoca sia il dissenso, così come il crimine comune.

Tradotto con permesso scritto di Bruce Schneier cui appartengono i diritti d'autore.

Link all'articolo originale di Bruce Schneier

Link alla voce di Wikipedia per Bruce Schneier