Cosa sarà l’Internet del futuro? Il rischio Grande Fratello è più reale che mai?
8 min letturaBalcanizzazione di Internet
L'unica vera certezza venuta alla luce nel corso del WCIT tenuto a Dubai è la tendenza comune di molti governi nel perseguire una frammentazione di Internet. Questo tipo di approccio non deve, però, essere visto solo nell'ottica politica, come controllo e repressione della dissidenza - certo alcuni dei governi che la auspicano sono notoriamente poco avvezzi ad accettare un dissenso politico interno e si muovono rapidamente per sopprimerlo o depotenziarlo - ma bisogna considerarlo anche nella prospettiva di una tutela della sovranità interna rispetto ad istanze colonialistiche provenienti da altri paesi, principalmente gli Usa.
Ovviamente non si tratta di giustificare un approccio rispetto ad un altro, ma di comprendere quale è la situazione per poter provare a capire come sarà l'Internet del futuro.
Deep packet inspection
Allora, poiché abbiamo già parlato di WCIT, possiamo ricordare che nell'incontro a Dubai ha avuto un ruolo fondamentale ITU, l'International Telecommunication Union, cioè l'organismo delle Nazioni Unite che si occupa della regolamentazione del traffico telefonico transfrontaliero.
Il nuovo regolamento approvato al WCIT (anche se firmato solo da circa metà dei partecipanti), concede a ITU un mandato in materia di sicurezza informatica e di spam, ma il collegamento con la notizia dell'approvazione del nuovo standard Y.2770, avvenuta nel corso del WTSA-2012 (l'assemblea mondiale per la normalizzazione degli standard delle telecomunicazioni), ha contribuito ad alimentare diffuse preoccupazioni.
Stiamo parlando del DPI, ovvero deep packet inspection, il cui nome deriva dal fatto che i dati in rete viaggiano sotto forma di pacchetti che poi vengono ricomposti dal destinatario. Ogni pacchetto è composto da un header, un'intestazione che consente l'instradamento dei dati (e che in genere non contiene informazioni sul tipo di contenuto del pacchetto), e poi dai dati veri e propri. Quindi deep indica che l'analisi dei pacchetti (packet inspection) va oltre l'intestazione fino al contenuto delle informazioni.
ITU ha approvato lo standard per l'ispezione approfondita dei pacchetti di dati che viaggiano in internet, a fini di sorveglianza!
Si tratta di un documento tecnico rivolto a tecnici che lavorano nel settore delle telecomunicazioni, che si occupa di fare in modo che tutte le apparecchiature di diversi produttori lavorino insieme senza problemi. I clienti, cioè gli Isp, i fornitori di servizi online, potranno quindi utilizzare e scegliere dei prodotti di sorveglianza con la certezza che funzioneranno con qualsiasi altra apparecchiatura, senza quindi dover cambiare parte dei loro equipaggiamenti. Tutto ciò avviene nell'ambito dell'NGA (next generation access), cioè lo sviluppo di nuove apparecchiature per l'infrastruttura internet a banda larga. In pratica, per farla breve si tratta dello sviluppo di apparecchiature specifiche per i router, e le infrastrutture di internet, di nuova generazione!
Potenzialità del DPI
Per comprendere le implicazioni di questo standard, conviene chiarire cosa si può fare con il DPI.
Con il nuovo standard i sistemi di sorveglianza saranno in grado di rilevare e riconoscere il traffico bittorrent e p2p, streaming video, trasferimento di file e telefonia vocale. È previsto anche opzionalmente l'ispezione del traffico cifrato. Il nuovo standard prevede la possibilità di bloccare il traffico dati di uno specifico formato, compreso il traffico Ftp. Il gestore di un normale blog per aggiornarlo usa l'Ftp, e lo standard Y.2770 ne consente il blocco, così l'Isp potrebbe impedire ad un gestore di blog il caricamento di nuovi contenuti online.
Ancora, il DPI consentirà di verificare se il contenuto è soggetto a copyright, potendo addirittura rimuovere l'audio da un video (ad esempio una musica commerciale inserita su un video amatoriale).
Insomma, si tratta del sogno proibito di ogni censore online. Il DPI consente una granularità elevata di controllo dei contenuti che viaggiano in rete, permettendo agli Isp di collezionare ed analizzare il traffico di milioni di utenti simultaneamente, nonché di bloccare alcuni di questi contenuti, e il tutto senza alcun rallentamento del traffico.
La cosa non sorprenderà, ma il documento in questione è scritto da un ingegnere cinese, e non possiamo non ricordare che sono stati proprio i Russi e i Cinesi a chiedere nell'ambito del WCIT l'adozione di uno standard in materia di sorveglianza online. La proposta russa è stata poi stralciata, ma è un dato di fatto che in quei paesi la sorveglianza in rete è una realtà capillare.
In pratica chiedono di estendere al mondo intero quello che già fanno in casa loro!
Preoccupazioni per la privacy
Dello standard approvato da ITU, ciò che maggiormente desta preoccupazioni è l'assenza di garanzie per la privacy degli utenti. Ovviamente si tratta di un documento tecnico, per cui le garanzie dovrebbero essere poste a livello politico e normativo, ma il semplice fatto che tale standard potrebbe essere imposto come obbligatorio nelle apparecchiature di telecomunicazioni per le reti NGA non può non destare grave allarme. È ovvio che si tratta di uno strumento che una volta inserito nella apparecchiature potrebbe portare facilmente ad abusi.
Un punto che quasi mai viene tenuto in considerazione quando si tratta di progettare sistemi intercettabili, è che introducendo in un sistema una backdoor si inserisce in esso una vulnerabilità che potrebbe essere sfruttata anche da terzi per motivi illeciti. Ed anche le informazioni raccolte dai governi per motivi legittimi potrebbero sfuggire al controllo e finire nelle mani sbagliate. Una problematica poco sentita dai 'controllori': si tratta di danni collaterali, oppure semplicemente di arroganza nel presumere la capacità di poter gestire il sistema?
Eppure da anni rimbalzano in rete le notizie di perdite di dati da parte di fornitori di servizi online oppure di grandi multinazionali che operano nel web e che conservano dati degli utenti, compresi i clamorosi casi di perdita di dati di carte di credito (basta cercare 'data breach card processor'!).
Ovviamente l'utilizzo di sistemi DPI per la sorveglianza comporta numerosi problemi in materia di privacy degli utenti, ma un sicuro vantaggio per chi gestisce il sistema. Infatti, mentre ogni sistema di sorveglianza o di tracciamento basato sui cookie (in genere a fini pubblicitari) lascia delle tracce specifiche (appunto il cookie), il DPI non lascia alcuna traccia sul computer dell'utente, il quale non è in grado in alcun modo di rendersi conto che le sue comunicazioni elettroniche sono controllate.
Il DPI, inoltre, si presta a molteplici usi, sia per il controllo politico della dissidenza online, sia per una analisi comportamentale degli internauti a fini di profilazione e quindi per veicolare pubblicità personalizzata.
Lo strumento è quindi molto appetito sia da governi che aziende, e ciò che manca per la sua massiccia adozione è solo una legislazione che sollevi gli Isp da responsabilità verso gli utenti, principalmente per violazione della privacy. Da anni il discorso del controllo dei cittadini è entrato nell'agenda dei politici, e in genere viene affidato a tecnici, con tutte le conseguenze del caso. Un esempio eclatante è il body scanner, utilizzato in molti aeroporti, anche europei: una forma di controllo invasivo non molto diversa dalla deep packet inspection.
Applicazioni DPI
Già oggi esistono molte applicazioni per la DPI. Alcuni provider infatti la usano per la gestione del traffico (traffic shaping), al fine di evitare congestioni sulle loro reti. L'Isp può quindi identificare le applicazioni, ed eventualmente ridurre la banda per quelle che ne sono particolarmente fameliche, tipo il p2p. Oppure semplicemente deprioritizzare quelle applicazioni in concorrenza con le proprie (tipo il voip), o velocizzare alcune applicazioni in caso di abbonamenti a pagamento. Gli Isp utilizzano il DPI anche per motivi di sicurezza, per eliminare spam o virus dal traffico Internet.
In materia di intercettazioni delle comunicazioni online esistono alcuni divieti in alcuni paesi, ma le leggi non sono adeguate, e consentono fin troppo spazio alle sperimentazioni degli Isp. Ad esempio è noto che negli Usa si intercettano le comunicazioni grazie al CALEA Act, che di recente è stato esteso anche alle telecomunicazioni. In alcuni casi è possibile avviare l'intercettazione anche senza un mandato di un giudice, per un periodo fino ad un anno.
In Russia è attivo dal 2000 il SORM2 (System for Operative Investigative Activities), che consente l'intercettazione di comunicazioni telefoniche e telematiche. Le legge russa prevede l'obbligo per gli Isp di installare un dispositivo che instrada le comunicazioni verso la polizia, inoltre è previsto il blocco dei contenuti pedopornografici, di quelli che pubblicizzano droghe e che invitano al suicidio. Di recente una sentenza della Corte Suprema ha sancito che gli Isp devono bloccare i contenuti illegali, altrimenti ne rispondono direttamente.
In Cina probabilmente esiste il più esteso controllo delle comunicazioni elettroniche, che si esplica a mezzo di numerose leggi e regolamentazioni. Il controllo della dissidenza politica si realizza non solo attraverso il blocco dei contenuti ma addirittura a mezzo di disinformatori di Stato che si occupano di bombardare il sito, il blog, il forum dove quella notizia fuori dal coro è riuscita a sfuggire alla censura di Stato, così screditandola, insinuando il dubbio che sia falsa, che sia strumentalizzata, che sia posta per altri reconditi fini. Esemplificativo è il caso di un incendio in una scuola, ritenuto pericoloso perché potrebbe minare la fiducia nelle istituzioni è che è stato raccontato come un episodio dovuto all'incuria dei bambini che usano fuochi artificiali illegali. Insomma il governo fa vera e propria controinformazione.
Il White Paper cinese del 2010 chiarisce ampiamente che secondo il governo cinese la conoscenza non è per tutti, quindi occorre un paternalistico controllo delle informazioni online per impedire che quelle illegali arrivino ai cittadini, laddove il concetto di illegalità è ovviamente fin troppo ampio (es. dire falsità, diffondere informazioni tese a disgregare l'unità della nazione), a ricomprendere tutto ciò che il governo non gradisce.
In Cina gli Isp sono responsabili dei contenuti immessi dagli utenti in rete, per cui sono invogliati a censurare tutto ciò che è semplicemente dubbio. La Cina è un caso unico, nel quale il controllo è capillare al punto che l'Internet cinese di fatto è un network chiuso con pochi punti di accesso verso l'internet mondiale, in modo da poter controllare tutto ciò che entra e che esce.
Ma in Cina si sono anche resi conto dell'importanza di Internet dal punto di vista economico, per questo motivo non la bloccano del tutto (anche perché un blocco totale porterebbe alla protesta anche dei navigatori per diletto, che si aggiungerebbero ai dissidenti politici). E per venire incontro alla crescente fame di notizie da parte del popolo, il governo ha cominciato anche a diffonderne direttamente in inglese così distogliendo i cittadini dai siti stranieri.
Più che un monitoraggio, si tratta di un vero e proprio indottrinamento propagandistico!
Questa breve e non esaustiva rassegna di casi di monitoraggio dei contenuti in rete è relativa ad applicazioni di DPI.
Qual è, invece, la posizione dell'Europa? Il dibattito sul DPI si può dire iniziato col pacchetto Telecom, e generalmente la posizione della Commissione europea è nel senso di imporre agli Isp la trasparenza: il fornitore deve comunicare al cliente se applica particolari forme di gestione del traffico. Nel corso del 2012, però, si è svolta una consultazione tra le quali domande vi era una specifica sulla necessità o meno di regolamentare il DPI.
Il problema per l'Unione europea è che aprendo le porte al DPI diventerebbe impossibile realizzare un mercato digitale unico per tutti i paesi dell'Unione. Insomma, non si tratta tanto di tutela dei diritti dei cittadini quanto piuttosto di un problema economico!
In conclusione l'impressione è che stiamo viaggiando speditamente verso un futuro tale da far impallidire il Grande Fratello, dove i governanti si arrogano il diritto di limitare sempre di più le libertà dei cittadini per motivi economici o politici. L'unica certezza è che si tratta di un argomento davvero troppo importante per poterne lasciare la regolamentazione a tecnici ed ingegneri, senza un trasparente ed approfondito dibattito democratico.