Testimonianza di Snowden al Parlamento Europeo

Lo scorso dicembre la Commissione per le libertà civili, giustizia e affari interni del Parlamento Europeo ha inviato ad Edward Snowden alcune domande nell’ambito dell’inchiesta sulla sorveglianza di massa dei cittadini europei.

Snowden ha deciso di partecipare con una diretta video, che non è ancora stata resa pubblica, ma è disponibile una trascrizione di domande e risposte riprodotta alla fine di questo articolo e scaricabile anche in formato PDF tramite il link nell’IFRAME di Scribd.

La lettura del testo è molto interessante: non contiene nulla di nuovo, ma fa il punto sulla posizione di Snowden e sulle sue motivazioni.

Dal punto di vista tecnico questo passaggio è degno di nota:

The good news is that there are solutions. The weakness of mass surveillance is that it can very easily be made much more expensive through changes in technical standards: pervasive, end-to-end encryption can quickly make indiscriminate surveillance impossible on a costeffective basis. The result is that governments are likely to fall back to traditional, targeted surveillance founded upon an individualized suspicion. Governments cannot risk the discovery of their exploits by simply throwing attacks at every “endpoint,” or computer processor on the end of a network connection, in the world. Mass surveillance, passive surveillance, relies upon unencrypted or weakly encrypted communications at the global network level.

Come molti esperti del settore ripetono da tempo, la cifratura dei dati è utile; per citare un esempio, si veda il discorso di Mikko Hyppönen sulla NSA.

La sicurezza è fatta anche di buone abitudini, quindi è bene abituarsi ad utilizzare i protocolli S (https, smtps, imaps, pop3s) che implementano TLS/SSL come trasporto per i dati. Probabilmente la prima volta che si implementa TLS sulla posta elettronica ci sarà un po’ da lottare perché il certificato potrebbe non essere generato da una CA riconosciuta e il client (MUA) potrebbe evidenziare l’errore in maniera intimidatoria, tuttavia una sessione TLS basata su un certificato auto-emesso è molto meglio che nessuna sessione TLS. Se poi la sessione si basa sulla forward secrecy (disponibile anche a livello SMTPS), tanto meglio.

Su un dispositivo mobile i protocolli S dovrebbero essere pensati come obbligatori: vale la pena di verificare se la configurazione dell’apparecchio sia corretta. Nei Wi-Fi pubblici è molto più facile intercettare il traffico, quindi se si usa la crittografia si rende la vita difficile a chi vuole ficcare il naso negli affare legittimamente privati delle persone.

Dal lato del SysAdmin, l’implementazione dei protocolli S deve essere parte integrante dell’installazione standard, come il firewall o l’antispam: non c’è più nessuna ragione valida per non usare quei protocolli. Anche in questo caso, all’inizio è una rottura di scatole perché bisogna farsi le ossa, ma se un SysAdmin non vuole imparare le novità forse potrebbe andare a fare l’utente e lasciare il posto ai volenterosi 🙂

Edward Snowden Testimony to European Parliament Inquiry on Electronic Mass Surveillance

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento