L’invisibilità nel web: tra Virtual Private Network e accordi di intelligence

Sommario: 1. Introduzione – 2. Virtual Private Network – 3. Insicurezza cronica – 4. Gli accordi Five & Fourteen Eyes – 5. Conclusioni

1. Introduzione

La sicurezza informatica è certamente uno dei maggiori problemi che gli utenti di internet devono affrontare durante la loro navigazione. A tale richiesta di maggior tutela sono nati differenti strumenti, tra li quali spiccano i Browser che proteggono l’anonimato come Tor[1]r oppure le famose VPN(dall’inglese Virtual Private Network), le quali invece sostituiscono o criptano l’IP . Entrambi gli strumenti hanno un unico principale obiettivo in comune ovvero quello di proteggere il codice identificativo del computer dal quale si sta operando poiché la scoperta di tale codice potrebbe portare ad attacchi informatici da parte di male intenzionati . Invero senza di esso è pressoché impossibile attuare un’azione offensiva nei confronti, non dell’utente, ma del computer o di una rete. Chiunque abbia una marginale conoscenza del fenomeno  dell’hacking o di sicurezza informatica dunque rispettivamente dei principali strumenti come Kali Linux[2] , Black Arch[3] o semplicemente Ubuntu [4] ricorderà che l’impostazione dell’attacco richiede  tra i tanti elementi anche il set-up  del codice identificativo, che comunemente chiamiamo IP.  

Molte volte quest’ultimo lo si può ricavare anche attraverso le tecniche di social-engeneering[5]. Un esempio di tale tecnica consiste nel contattare, è molto frequente su Facebook, l’utente tramite un profilo falso(tecnica del phishing), al fine di attivare la connessione tra i devices da cui ricavare l’IP della vittima. Altra tecnica consiste nel far cliccare un link, in genere si chiama “immagine”, a seguito di esso si ricaverà l’ IP[6]. La creatività degli hacker ed il fiorire di sempre nuove tecniche  hanno portato l’anonimato a diventare una esigenza imprescindibile alle quali, le aziende, sempre più numerose, stanno cercando di dare risposta tramite offerte sempre più competitive. Tuttavia molte di esse possono nascondere operazioni che potrebbero danneggiare l’utente nel futuro. In questo articolo vorrei concentrarmi sulle VPN, offrendo al lettore una panoramica su di esseri di proseguo si esamineranno alcuni casi e possibili difetti dei virtual private network, si esamineranno le alleanze di intelligence come la Five Eyes  ed infine vi saranno le conclusioni sull’effettiva invisibilità di un utente nel web.

2. Virtual Private Network  

Come si è già detto l’acronimo VPN deriva dall’inglese virtual private network,  tuttavia benché il significato possa risultare alquanto intuitivo, esso non definisce bene il tema dell’articolo. Invero il termine può essere applicato sia in termini prettamente di rete locale, dunque LAN. Si pensi ad esempio alla rete di un’azienda, ma anche anche comunicazioni tra due o  più persone su un social oppure a gruppi privati.  A ben vedere i tre termini “ virtual”,  “ private” e “network” hanno un ambito di applicazione molto ampio.  Il tema non è nuovo poiché già nel 1998 Paul Ferguson e Geoff Huston[7] si interrogarono sul tema.  Attraverso l’analisi dei tre termini, i due studiosi hanno concluso che la VPN può essere definita come “un ambiente di comunicazione in cui l’accesso è controllato per consentire connessioni peer solo all’interno di una definita comunità di interesse, ed è costruito attraverso una qualche forma di partizione attraverso un  mezzo di comunicazione sottostante comune, dove questo mezzo di comunicazione fornisce servizi alla rete su base non esclusiva “ oppure più semplicemente “Una VPN è una rete privata costruita all’interno di un’infrastruttura di rete pubblica, come quella globale di  Internet “. 

Il tema può sembrare spinoso nonché noioso tuttavia è importante comprenderlo poiché sarà importante. Il ragionamento dei due autori  si fonda sul presupposto che il web (la rete delle reti) poggi su una infrastruttura “pubblica”, ovvero i cavi, fili, server, modem ed altro, dove i vari web service condividono gli accessi oppure li danno in noleggio. Ciò inficia, secondo gli autori, sia la virtualizzazione che risulta apparente ma anche il concetto di privato al quale, è loro opinione, sarebbe maggiormente indicato utilizzare il termine discreto. Il termine network invece non risulta particolarmente problematico poiché è semplicemente una “conversazione” tra due o più utenti.

A tale definizione alcuni potrebbero obiettare che l’acquisto completo di un set di networking costituirebbe la creazione di una rete locale. Tuttavia oltre ad essere un esempio marginale, esso è implicitamente escluso dall’ambito dell’articolo poiché non vi sarebbe la necessità per la tutela della privacy poiché sarebbe “esclusa” dal mondo di internet invece nel momento in cui ci si affaccia nel mondo del web, ovvero si vorrebbe dialogare con gli altri, in tali casi il concetto di privacy avrebbe un valore maggiormente propositivo ed attivo. Ulteriormente, ammettendo la  costituzione del network, l’accesso al web dovrebbe passare(salvo rarissimi casi) attraverso i provider, di conseguenza si ritorna alla definizione di Ferguson e Huston. Dunque si è evidenziato che le VPN possono indicare diverse tipologie di comunicazioni. In questo articolo le reti private virtuali prese in esame sono le comunicazioni tra differenti soggetti non appartenenti alla stessa rete ovvero che utilizzano IP Privati, ma le comunicazioni che competono all’utilizzo dell’IP pubblico. Di proseguo, le VPN non si differenziano solo per l’ambito ma anche per il  metodo di costituzione nonché per il protocollo scelto, anche se tutte si basano sul concetto di tunneling, ovvero la creazione di una rete privata per comunicazioni end-to-end. Le tipologie più famose e diffuse sono le seguenti: : Site to-Site VPN(o Secure VPN): si ha quando si stabilisce un collegamento permanente tra due o più sedi, così da creare un’unica infrastruttura virtuale di rete aziendale. In altre parole, permettono di creare tunnel, attraverso reti pubbliche e condivise, fra siti aziendali diversi. Altra tipologia è il Remote VPN (accesso remoto): la connessione avviene da qualsiasi parte del mondo, luoghi pubblici, internet cafè ecc., permettendo di accedere alla rete virtuale aziendale tramite il server di accesso, procedendo poi alla cifratura dei messaggi cosi da garantire  in maniera sicura e protetta la conversazione dunque essere immune da attacchi dall’esterno. Altra tipologia di VPN è il Trusted VPN: sono infrastrutture gestite totalmente dai service provider ai quali le aziende affidano tutto il traffico di instradamento, creando un percorso virtuale unico e dedicato. Quindi i fornitori delle Trusted sono in grado di offrire percorsi alle reti virtuali predefiniti, controllati, protetti e con una qualità del servizio (quality of service) garantite. In genere sono utilizzati per le medie e grandi aziende e si basano sul livello 2 (data link) del modello OSI e permettono di creare reti virtuali che condividono lo stesso network fisico ma i cui rispettivi host non possono sconfinare da una rete all’altra. Esistono anche VPN open source. La più famosa è Open VPN creata nel 2002 da James Yohan[8]. E’ una VPN particolare poiché essendo open source è priva di diritti d’autore nonché modificabile e gratuita. E’ generalmente applicata per i sistemi Linux, infatti ne usa le librerie come quelle inerenti alla cifratura OpenSSL e il protocollo SSLv3/TLSv1. Le modalità predette possono anche mischiarsi dando vita agli Hybrid VPN. Ognuna delle VPN utilizza generalmente dei protocolli differenti, essi garantiscono differenti forme di  cifratura delle comunicazioni tra i  più importanti ci sono il già predetto OpenSSL[9]. Quest’ultima non è altra che una implementazione di altri protocolli come il  SSL/TLS[1]. Mentre  per la tecnica del tunneling i protocolli generalmente usati sono il L2TP, IPsec, Secure Shell (SSH) ed il protocollo Point to Point Tunneling Protocol(PPTP)[10]. E’ superfluo approfondire ogni singolo protocollo, tuttavia va precisato che ogni protocollo, in genere,  lavora su differenti livelli del modello OSI/ISO nonché in genere, completa il proprio sistema di VPN attraverso il server( elemento necessario che può essere sia fisico che virtuale oppure utilizzare servizi come NetOverNet[11] che permette la creazione di un server senza acquistarlo) ad esso , oltre all’ autentificazione, si possono aggiungere ulteriori livelli di certificazioni ed autorizzazioni come “ la firma digitale”. 

Si è visto come esistano varie tipologie di VPN ognuna con differenti caratteristiche che gli users utilizzano al fine di scegliere il migliore strumento maggiormente adeguato per la protezione delle loro comunicazioni nonché in relazione ai loro apparecchi. Di conseguenza, ogni strumento ha le proprie prestazioni. Nell’ambito della letteratura scientifica sono stati condotti molti studi con varie metriche e strumenti, alcuni molto specifici[12][13] [14], tuttavia allo scopo del nostro articolo credo si possa utilizzare un recente articolo di analisi che sintetizza adeguatamente le metriche e lo strumento più importante. A tale punto richiamo il lavoro di Sanel Habibovic[15], il quale si è interrogato proprio sulla misurazione delle VPN nonché su quali strumenti utilizzare. Nel suo studio ha utilizzato le seguenti metriche, ovvero il throughput, esso indica la quantità di dati inviati da un punto all’altro durante un determinato intervallo di tempo. Viene solitamente misurato in bit al secondo (bps). Il secondo criterio è  la latenza (latency), essa è definita come il tempo impiegato per trasmettere un pacchetto in una direzione, ad esempio dal cliente al server. Terzo criterio è la perdita dei pacchetti (packet loss), essa è una metrica che si riferisce a quanti pacchetti sono “persi”, ovvero non sono arrivati ​​dall’origine a destinazione. Ciò può essere causato, ad esempio, dalla congestione della rete ed infine vi è la la gestione dell’inaffidabilità(Unreliability handling), la quale è una descrizione di come la rete gestisce i disturbi, quest’ultimi possono essere naturali oppure artificiali. Si pensi ad un router o server danneggiato non danneggiato oppure obsoleto e non aggiornato. Mentre  circa lo strumento  che Habibovic ha utilizzato esso è iPerf. Esternamente ai criteri dettati da Habibovic è importante sottolineare anche un ulteriore criterio ovvero a vulnerabilità o meglio la forza  della funzione di Hash che cripta una comunicazione. Ad oggi quasi tutti i protocolli utilizzano il  secure hash algorithm (SHA). Quest’ultimo dalla sua nascita nel 1993 ad opera della National Security Agency è stato più volte implementato a causa di continue violazioni, dopo vari steps la funzione maggiormente affidabile sembri essere la  SHA-256[14].

Si farebbe torto se non si concludesse questo punto non  citando le conclusioni di Habibovic, le quali possono essere d’aiuto sia agli esperti informatici che a noi profani. Di seguito sulla base dei risultati  emersi alcuni consigli per la combinazione tra sistema operativo e VPN quando si utilizza la configurazione predefinita sono:

– Se si implementa un servizio VPN su una connessione di rete affidabile in un ambiente Windows, la raccomandazione basata sui risultati di questo studio è di utilizzare WireGuard. Se l’ambiente è basato su Linux, Habibovic consiglia di utilizzare WireGuard. Se l’ambiente è costituito principalmente da dispositivi macOS, si consiglia di utilizzare IPSec.

– Se si implementa una VPN su una connessione di rete in cui è prevista una latenza di 200 ms, in un ambiente Windows, la raccomandazione basata sui risultati di questo studio è di utilizzare WireGuard. Se l’ambiente è basato su Linux si consiglia di utilizzare IPSec. Se l’ambiente è costituito principalmente da dispositivi macOS, il consiglio è di utilizzare OpenVPN.

– Se si implementa una VPN su una connessione di rete in cui è prevista una perdita di pacchetti dell’1%, il risultato mostra che WireGuard offre prestazioni migliori su tutti i sistemi operativi.

In via concludendo, spero di aver tracciato, nei miei limiti, un quadro abbastanza chiaro delle VPN, mostrando superficialmente la complessità e la diversità di tale strumento. Le VPN sono certamente un tool importante per preservare la propria privacy. Tuttavia la stessa potrebbe essere compromessa non solo da azioni di hacking ma anche da operazioni commerciali che potrebbero comportare da un lato un beneficio economico da parte dell’user circa l’utilizzo del tool, in tal caso  le più sospettose sono le VPN free, ma anche la possibilità del possesso di dati criptati ceduti a terzi oppure tramite l’acquisto di una società di VPN. Alcuni esempi dei casi precedenti sono stati il caso Hola

3. Insicurezza cronica

La curiosità circa l’affidabilità delle VPN nel  mantenere segrete le informazioni non è nuova ed una rivista di settore ha provato a verificare quali VPN siano affidabili ed altre meno. Autore di tale ricerca è Rob Mardisalu[16], esperto di cybersecurity nonché fondatore  del magazine ”bestVPN”. La ricerca si basa su  100 VPN le cui modalità di scelta sono state random e per lo più connotate al grado di notorietà. Quest’ultime sono state poi scandagliate al fine di vedere i seguenti criteri: la bandwidth(la larghezza della banda), essa sarebbe la forza della banda di trasmettere le informazioni, di seguito si è scandagliata la conservazione dei marcatori temporali( connection timestamps), di proseguo si è valutata la gestione dell’l’IP e della tenuta dei registri circa  gli url che l’utente visita. In estrema sintesi si è scoperto che ben 27 VPN[17] avevano seri problemi circa la segretezza e la conservazione dei dati. 

Nella buona parte di queste deficienze della cybersecurity si è notato che  è lo stesso utente che acconsente alla conservazione dei dati poiché, semplicemente, non legge il contratto o la policy della privacy. Un caso è la VPN della McAfee dove si chiarisce che la società mantiene i registri per l’ IP, le applicazioni installate ed il timestamp. Se la McAfee tenta di nascondere sotto l’ombrello della sicurezza la conservazione ed il tracciamento di  alcuni dati dell’utente, la Hola VPN [18]semplicemente non fece mistero dei dati trattenuti, ovvero si scopri nel 2014/2015 che la società Hola VPN Ltd con base in Israele vendeva i dati a terzi. Lo scoop iniziò nel dark web, nello specifico nel 8chan forum, ovvero uno dei tanti forum che condividono passioni alquanto macabre, in questo caso uno degli argomenti era la pedofilia. Il forum fu oggetto di molti attacchi DoS dal quale dopo le consuete indagini si scopri che alcuni dati della Hola furono utilizzata attraverso la piattaforma Luminati Network per creare una Botnet. Gli articoli parlano di  circa 9 milioni di utenti o meglio i loro computer trasformati in  “zombie” dando la possibilità di essere veicolo per attacchi hacker. Oltre alle consuete critiche, smentite nonché scuse e riparazioni, si venne a creare un fenomeno sociale chiamato “Adios Hola”[19], ovvero si invitavano gli utenti a lasciare la VPN . Ma i problemi per la società israeliana non erano finiti, infatti tra i partecipanti all’onda web vi fu anche il gruppo  Lulzsec, ovvero un gruppo storico di hacker, la cui “missione” è quella di svelare i problemi di cybersecurity di internet. Il gruppo scopri vari bug nella VPN che lasciavano trapelare i dati nonché danneggiare la privacy delle comunicazioni. La società fu attenta alle considerazioni della comunità degli hacker e rimediò con alcune patch agli errori nonché invitò il gruppo ad aiutarla nella rilevazioni di ulteriori errori.

Il caso della Hola è molto lampante ma non l’unico. Un altro caso fu Pure VPN[20]. Quest’ultima fu fondata  Uzair Gadit, quest’ultimo installò la base in Pakistan poi si trasferì nelle isole vergini ed infine  nel corso del tempo la società cambiò molte altre volte sede e si espanse  fino a quando non venne venduta alla GZ Systems Limited che trasferì la base ad Hong Kong, dove la società opera. La società ha portato Pure VPN ad essere un servizio con una platea di oltre 150 milioni di users in tutto il mondo con Stati Uniti e Francia come i maggiori fruitori ma, giusto per curiosità, non lavora in Cina. Malgrado la società godi di una buona reputazione anche lei non è stata indenne da scandali. 

In tal caso, la scoperta della discrasia tra le policy di privacy ed invece la realtà è avvenuto per un caso di stalking. Nello specifico un ragazzo americano di 24 anni che la cronaca chiama Rayan avrebbe perseguitato una  ragazza su internet. Durante la consumazione del reato, il ragazzo avrebbe utilizzato la VPN per evitare di essere identificato tuttavia alla querela della ex-fidanzata le indagini conseguite dall’FBI  avrebbero fatte emergere i registri dei log. Dunque malgrado il contributo della società alle autorità nelle indagini, d’altra parte la consegna dei registri ostava con le policy propagandata. Un ultimo caso di possibile contraddizione è l’acquisto di una società di VPN da parte di una società, la quale  ha come core business l’utilizzo di dati . Un esempio plastico è l’acquisto della Onavo, società israeliana attiva nel web analytics e nelle VPN, da parte di Facebook. Quando Facebook comprò Onavo nel 2013, per circa 120 milioni di dollari, il social network aveva raffigurato l’acquisto di una parte della società, gli sforzi per costruire “migliore, più efficiente e prodotti di telefonia mobile” tuttavia la piccola società era anche un miniera di dati poiché   al suo apice, Onavo[21] era disponibile sia per Android di Google e iOS di Apple, con circa 33 milioni di installazioni. L’acquistò suscitò molto scalpore sia nell’ambito dei teorici del complotto che ovviamente gridavano al grande fratello di orwelliana memoria sia in tema di Antitrust poiché ad Onavo  seguirono anche gli acquisiti di  whatsapp ed Instagram. Nel 2019[22], il tema era anche oggetto di dibattito tantoché ancora oggi nei continui processi contro la società di Zuckerberg  i procuratori cercano un possibile nesso tra Onavo, Instagram ed Whatsapp per l’imputazione di abuso di posizione dominante

Oltre ai casi di palesi contraddizioni, la ricerca Mardisalu[23] richiama l’attenzione anche sulla possibilità che una società venda o semplicemente condivida un “pacchetto” di dati a  terzi. Su tale punto è importante che l’utente comprenda bene la funzione di tale condivisione. Ad esempio la VPN HotSpot Shield condivide i dati per le analisi sulle proprie piattaforme; Touch VPN invece li condivide anche per analisi marketing, invece Betternet  li condivide semplicemente senza specificare una tipologia specifica. 

4. Gli accordi Five & Fourteen Eyes

Nel precedente punto si è accennato alle discrasie delle società delle VPN ma  si è anche accennato alla possibilità che le società aiutino  le autorità tuttavia d’altra parte le indagini possono trovare molte difficoltà a causa di “paradisi legali”si vedano gli esempi come i casi Surfshark e Express VPN che hanno sede nelle isole vergini. Mentre la più difficile da raggiungere è il paradiso tropicale di Panama che offre  accoglienza a NordVPN. Inoltre a differenza delle isole vergini, Panama non fa parte degli accordi denominati Five Eyes o Fourteen Eyes. 

La storia dei Five e Fourteen eyes come le strutture moderne nasce all’interno del periodo della seconda guerra mondiale. Tuttavia non si può parlare dell’accordo senza dare un contorno storico, cercando nelle pagine della storia le motivazioni. L’avanzare di dittature come il Terzo reich, la dittatura di Mussolini e l’impero di Hirohito avevano crepato la granitica dottrina isolazionista di Monroe[24]. O forse solo il presidente Roosevelt intui’ l’avanzare di un pericolo quando nel 1937 col discorso della quarantena tenuto a Chicago[25] si scagliò contro il Giappone e l’Italia. La  guerra in Manciuria, l’invasione della Cina da parte dei giapponesi e alle scorrazzate di Mussolini e Ciano in territori impervi come la Libia e l’Etiopia avevano danneggiato le relazioni con gli Stati Uniti. In primo facie la popolazione americana non capi poiché la netta maggioranza era a favore di non intervenire nelle questioni di altri paesi. Una voce autorevole di tale filone fu Wilson. Malgrado ciò la storia aveva per la giovane nazione altri programmi. Nel 1940 nacque la triplice alleanza tra Germania, Italia e Giappone con lo scopo, uno dei tanti, di contrastare l’arroganza americana. Nel frattempo, il neo promosso ammiraglio Yamamoto disegnava i podromi dell’operazione Z(o operazione Hawaii). L’avvicinarsi al 6 Dicembre del 1941, ovvero l’attacco di Pear Harbor, furono gremiti di tentativi diplomatici per  evitare il peggio tuttavia nella sera del 6 le ambasciate era già state evacuate e  l’attacco era già iniziato di proseguo l’offerta di continuare le trattative da parte di Roosevelt a Hirohito cadde nel vuoto. L’attacco comandato dall’ammiraglio Chūichi Nagumo, consisteva principalmente in 6 portaerei Akagi (nave ammiraglia), Kaga, Soryu, Hiryu, Shokaku e Zuikaku, con le quali i nipponici volevano sferrare un attacco mortale agli americani. Passata la fase di stordimento ci furono i primi confronti con gli alleati al fine di coordinarsi per contrastare le forze dell’asse. Il 27 Novembre del 1943 al Cairo si tenne la prima conferenza dove  Roosevelt, Churchill ed il generalissimo Ch’ang Kai-shek formalizzarono l’ ”alleanza” contro il Giappone. Dal 14 al 24 Gennaio, all’hotel Anfa di Casablanca si riunirono  Franklin D. Roosevelt, Winston Churchill e i generali francesi Henri Giraud e Charles de Gaulle. Ad essi furono successivamente raggiunti dal generale inglese Harold Alexander e da quello statunitense Dwight Eisenhower. Anche il generale De Gaulle, inizialmente restio a partecipare a questa conferenza, giunse a Casablanca, ma solo il 22 gennaio. Alla conferenza fu invitato anche il capo sovietico Iosif Stalin il quale non intervenne, ma venne tenuto al corrente delle decisioni prese. Venne aggiornato della decisioni anche il leader cinese Ch’ang-Kai-Shek. In tale sede,  i leaders formalizzarono l’alleanza contro le potenze dell’asse. 

Una volta coordinatosi e formalizzata l’alleanza il prossimo passo era la ricerca di informazioni sugli avversari. A tale scopo nel giugno del 1943 venne firmato tra il Generale Geo V. Strong ed il Tenente Generale Joseph t. MCnarney  l’accordo di condivisione e ricerca di informazione tra l’apparato di intelligence americano ed inglese(accordo BRUSA)[26]. Nello specifico alcune unità di intelligence si impegnavano a ricercare, a decriptare nonché a completare(tramite la condivisione) le informazioni sui giapponesi ed italiani. Non è improbabile che tale accordo abbia contribuito all’organizzazione dell’operazione Husky, ovvero lo sbarco in Sicilia, e all’operazione Downfall, ovvero un ipotetico piano d’azione per l’ invasione del Giappone. Il piano non si verificò mai poiché il Giappone capitolò prima a causa delle bombe atomiche sganciate su   Hiroshima e Nagasaki dopo la cruenta battaglia di Okinawa.

Alla conclusione delle seconda guerra mondiale, il reame inglese e la superpotenza americana si avviavano verso la guerra fredda, dunque nuovi avversari, nuovo accordo. Il 5 Marzo del 1946 il colonnello dell’esercito britannico Patrick Marr-Johnson ed il generale Hoyt Vanderberger siglarono l’accordo UKUSA (RegnoUnito/Stati Uniti d’america)[27]. L’accordo, a differenza del BRUSA, era molto più ampio nonché abrogava l’accordo del 43. Esso venne formato senza target specifici come giapponesi od italiani, di concerto si utilizzò una tecnica di delimitazione dei confini operativi, ovvero le due agenzie, la britannica GCHQ e l’americana STANCIB potevano analizzare, decriptare, tradurre ed infine  collezionare informazioni nonché intercettare segnali in tutto il mondo, salvo che nei propri domini. In posizione subordinata e col beneplacito dell’intelligence di Londra si unirono nel 1949 anche l’agenzia del SIGINT canadese mentre nel 1956 l’agenzia di spionaggio della Nuova Zelanda. I cinque occhi o Five Eyes erano al completo. La loro azione si sarebbe mossa sulla famosa  “piattaforma” Stoneghost, ovvero una rete di gestione di informazione da condividere con gli altri partners. Dal 1994, il lavoro delle agenzie sarà più facile poiché si svilupperanno gli “intelink”, un sistema di rete privato dove ogni network viene deputato al trasporto di una data tipologia di informazione. Per curiosità la Interlink-C è deputata alle informazione di  UKUSA. La piattaforma Stoneghost si potrebbe completare con la piattaforma Intellipedia. Esso è un sistema online per collaborazione  e condivisione dei dati utilizzato dalla United States Intelligence Community. Intellipedia iniziò come progetto pilota per la fine del 2005 e, formalmente, annunciato nel mese di aprile 2006 da allora è ancora attivo.

Oltre alla piattaforma non si può non fare riferimento allo strumento di ECHELON[28]. Esso non fu progettato per intercettare un particolare individuo, una e-mail o fax od un link ma con l’intento di avere una portata globale. Il sistema, sembra ancora attivo, funziona indiscriminatamente al fine intercettare quantità molto grandi di comunicazioni. 

Alla base vi sono delle stazioni sparse per il globo che hanno nomi differenti come Cowboy, Waihopai, Yakima o Menwith Hill[29] ad esse sono  collegati  dei satelliti e dei dizionari. Quest’ultimi sono il vero perno del sistema poiché attraverso di essi , i quali hanno gli stessi nomi delle stazioni, si intercettano fasci di comunicazioni sulla base del contenuto dei dizionari, il quale può essere una città, un luogo, un nome, un indirizzo. Se il problema sembra lontano nel 2000 un giovane Antonio Tajani[29] presentò insieme Mario Mantovani e a Stefano Zappalà una interrogazione con avente ad oggetto proprio il programma Echelon. Il programma, anche se scoperto grazie al contributo di Edward Snowden(data gate)[30], potrebbe non essere concluso anzi lo stesso Snowden portò alla luce ulteriori programmi come PRISM, XKeyscore, Tempora e Bullrun, quest’ultimo deputato alla decrittazione  di comunicazioni cifrate, ovvero le VPN. E’ ipotizzabile che Echelon  possa essere ancora attivo oppure abbia  semplicemente il nome, molto probabilmente è in ottima compagnia. 

Tornando all’UKUSA, l’alleanza venne poi ampliata, firmando nuovi memorandum con partner terzi. O meglio paesi alleati che godevano di uno status inferiore confronto ai primi firmatari. Essi, con i primi 5, formarono  inizialmente  ⁱ “Nine Eyes” gli altri quattro furono Danimarca, Francia, Paesi Bassi e Norvegia. Ulteriore espansione fu  con i  “Fourteen Eyes”, costituiti dagli stessi paesi dei Nine Eyes più Germania, Belgio, Italia, Spagna e Svezia. Il vero nome di questo gruppo è SIGINT Seniors Europe (SSEUR) e il suo scopo è coordinare lo scambio di informazioni sui segnali militari tra i suoi membri. Oltre ad essi vi sono le terze parti ovvero dei contributori, il cui numero non è definito. Si preme di  specificare che benché non risulti alcun documento circa gli accordi è facilmente intuibile dalla lettura del trattato che i partners dei Five Eyes siano maggiormente privilegiati confronto agli altri membri della Nine Eyes ed ovviamente quest’ultimi sono favoriti sul marginale dei fourteen eyes. Si pensi all’utilizzo di alcuni programmi oppure a reti di comunicazioni. Ad esempio ai paesi di  Germania, Svezia e Giappone fu permesso di utilizzare XKeyScore e  lo “sportello unico per l’accesso alle informazioni della NSA”, secondo Edward Snowden. 

Nel 2009, venne offerta alla Francia la possibilità di entrare nei grandi 5 . Di contro l’allora presidente francese Sarkozy  chiese una membership eguale tuttavia malgrado il benestare dell’allora direttore della NSA tale richiesta fu respinta dal presidente Obama. Solo di recente, riporta la rivista Formiche[32], che il governo americano avrebbe ipotizzato l’espansione dell’alleanza del nucleo iniziale. Quest’ apertura segna un significativo cambio di visione da quando il nemico sovietico era l’unico, almeno in apparenza, a poter contrastare gli Stati Uniti, mentre adesso con uno scenario geopolitico molto più frastagliato la rosa dei candidati dovrebbe essere idonea a fronteggiare le nuove minacce ovvero lo scenario africano e  lo scenario del sud-est asiatico col principale competitor degli Stati Uniti ovvero la Cina. Di conseguenza una potenziale rosa dei nomi fu composta dai seguenti paesi: Corea del Sud, Giappone, India e Germania. Anche l’intelligence italiana valutò una eventuale ipotesi di candidatura ma l’ipotesi, benché vagliata positivamente dal Copasir, rimase lettera morta. Forse l’unico paese idoneo sarebbe il Giappone tuttavia lo stesso paese del sol levante dovrà valutare bene lo status della membership nonché il contributo che le verrà richiesto. 

Esistono altre formazioni o club di intelligence come il club di Berna tuttavia l’assetto tattico dei Five Eyes è certamente quello più imponente e discusso. Su internet è facile trovare personalità famose oggetto di presunte violazioni dell’alleanza dell’intelligence. Pensiamo al comico Chaplin, alla principessa Diana nonché alla ex cancelliera Angela Merkel. 

In questo punto abbiamo accennato, seppur sommariamente, all’assetto dell’alleanze dell’intelligence. Abbiamo visto le principali tre formazioni ovvero i Five Eyes e le sue espansioni Nine Eyes e Fourteen Eyes. Esse sono la “spada” contro lo “scudo” delle VPN. Di conseguenza anche la locazione della VPN sarà importante al fine di vagliare un reale anonimato. Mi preme specificare che in quest’articolo il principio preso in esame  è la privacy(o discrezione ) tuttavia  ciò non deve deturpare l’immagine dell’intelligence e delle forze dell’ordine che co  l’azione di contrasto ad attività criminali o terroristiche ci aiutano a vivere in una realtà alquanto serena, ciò non toglie che la robustezza delle VPN potrebbe essere messa a dura prova. Pensiamo ai già citati casi di VPN che hanno un fattore di Hash debole oppure mal costruire, ad esso vanno aggiunte pratiche scorrette come privacy policy non rispettate ed infine che i dati possano essere oggetto dell’intelligence se la VPN fosse costruita oppure operasse nell’alleanza dell’intelligence. Ad esempio l’Australia è un membro centrale della Five Eyes Alliance dunque a causa degli accordi di condivisione delle informazioni, i dati  che passano o sono conservati in questo Paese potrebbero essere condivise con i membri che hanno un nulla osta di sicurezza uguale o superiore. Malgrado ciò, il Canada[32] ha dimostrato ripetutamente il proprio impegno a favore di un accesso ad internet libero e illimitato, anche grazie all’iniziativa di fornire un accesso online universale a tutti i cittadini. La la legge canadese offre una solida tutela della libertà di parola e di stampa e il governo ha espresso il proprio sostegno a favore della neutralità della rete. Anche  la Germania ha espresso un forte impegno per il rispetto della privacy e della libertà di parola, ma con evidenti limiti. Infatti, sono state approvate diverse leggi che ampliano i poteri di sorveglianza online, tanto dentro i propri confini quanto all’estero[33]. In altri paesi invece le VPN sono illegali come in Biellorussia oppure fortemente controllate con in Cina o Iran. 

5. Conclusioni

In questo articolo  si è esaminato, per quanto è possibile nelle disponibilità dell’autore, cosa sono le VPN, la loro  struttura, i problemi che potrebbero sorgere nonché le sottili ma importanti differenze tra VPN. Si è poi proseguito con una sommaria introduzione delle alleanze di intelligence, nello specifico si è vista la struttura dell’alleanza Five Eyes e le sue espansioni. Si è visto come i governi siano preparati e potrebbero inficiare la privacy delle comunicazioni attraverso vari programmi come Echelon e Bullrun. Tuttavia abbiamo visto come i programmi generalmente funzionino a dizionario di conseguenza è ipotizzabile un punto di equilibrio tra privacy e sicurezza in un giusto setting up dei dizionari, magari attuabile tramite un controllo da parte del governo o “agency”. Tuttavia ciò non toglie che la sicurezza delle VPN  possa essere inficiata da una eccessiva penetrazione nell’area privata dell’user attraverso un setting inidoneo dei programmi utilizzati dall’intelligence anche in forza da una sperequazione di valutazione di fronte ad una plausibile scenario criminale o contro la sicurezza pubblica.

In conclusione  con l’articolo si è voluto contribuire nei seguenti modi: spiegare   nella maniera più tecnica possibile una VPN, ricordare agli utenti che la prima ed importante difesa della propria privacy viene da essi stessi, utilizzando programmi e strumenti adeguati dunque informarsi sulle varie caratteristiche anche tramite professionisti; prestare particolare attenzione alle scelte di policy adottate dall’azienda che offre il servizio nonché controllare periodicamente se l’azienda sia stata condannata per reati concernenti al servizio in utilizzo nonché eventualmente comprendere le azioni dell’azienda in una visione di riparazione, dunque nella parte  più tecnica si è visto come le VPN non siano perfette, invece nella parte più storica e discorsiva dell’articolo si è visto come la presenza dell’intelligence sia ,ipoteticamente, un avversario temibile della privacy  anche attraverso le VPN. Di conseguenza l’invisibilità è un “super potere” difficile da raggiungere nel web, inoltre per i mali intenzionati la VPN non garantisce la fuga dalla giustizia , tuttavia è chiaro che utilizzando una VPN esterna ai meccanismi delle alleanze di intelligence(o di accordi di polizia) è possibile una maggiore invisilibilità. Vorrei concludere con una riflessione sulla privacy è vero che oggi sentiamo il bisogno di essere invisibili su internet, tuttavia questa invisibilità che non è mai tale, si pensi anche alle famose tracce digitali, è raggiungibile nel suo grado più alto solo attraverso un’azione combinata di browser, VPN, web server ed altre modalità tuttavia paradossalmente con l’ aumentare di strumenti e servizi di protezione della privacy aumenta anche il grado di certezza dell’individuo che utilizza un device, di proseguo anche l’accredito dell’ipotesi di un reato.

Note

[1] Tor browser, è un software libero, rilasciato su licenza BSD, con un’interfaccia di gestione disponibile (Vidalia), che permette una comunicazione anonima per Internet basata sulla seconda generazione del protocollo di rete di onion routing: tramite il suo utilizzo è molto più difficile tracciare l’attività Internet dell’utente essendo finalizzato a proteggere la privacy degli utenti, la loro libertà e la possibilità di condurre delle comunicazioni confidenziali senza che vengano monitorate o intercettate[wiki]. https://www.torproject.org/download/

[2] Kali Linux, Kali Linux è una distribuzione GNU/Linux basata su Debian, pensata per l’informatica forense e la sicurezza informatica, in particolare per effettuare penetration testing. Creata e gestita dal gruppo Offensive Security [wiki] https://www.kali.org

[3] Black Arch BlackArch è una distribuzione GNU/Linux derivata da Arch Linux, è strettamente orientata alla sicurezza informatica, possiede dei propri repository con più di 1800 tools.  https://blackarch.org/

[4]Ubuntu, è un sistema operativo nato nel 2004 e basato su Linux, più precisamente sul ramo unstable di Debian. Ubuntu è prevalentemente composto da software libero distribuito liberamente con licenza GNU GPL. https://www.ubuntu-it.org/

[5]C.Andanagy, Social Engineering: The Science of Human Hacking,II ed.2018

[6]EHI,Hacking, Hacking con kali linux per aspiranti hacker,pubblicato indipendentemente, distribuito da Amazon

[7] P. Ferguson e G.Huston, What is a VPN? (1998).

[8] https://openvpn.net

[9] Sito ufficiale della OSSL,https://www.openssl.org 

[10]C.Doffman,VPN vs. SSH Tunnel: Which Is More Secure?,How to Geek,2015.

[11] Sito web di NetOverNet https://www.netovernet.com/

[12] P.Dymora,M.Mazurek, T.Pilecki Performance Analysis of VPN Remote Access Tunnels  Annales UMCS Informatica AI XIV, 3 (2014) 53–64 DOI: 10.2478/umcsinfo-2014-0014 

[13] F.Sullivan, how to test your vpn speed and how to speed up avpn, How to geek,2021 https://www.howtogeek.com/723924/how-to-test-your-vpn-speed-and-how-to-speed-up-a-vpn/

[14] Al- Abayachi,J.Ellvin L,Evaluetion of VPN ,XAMENSARBETE INOM TEKNIK, GRUNDNIVÅ, 15 HP STOCKHOLM, SVERIGE 2016

[15] Habibovic, Sanel. “VIRTUAL PRIVATE NETWORKS : An Analysis of the Performance in State-of-the-Art Virtual Private Network solutions in Unreliable Network Conditions.” (2019).

[16]R.Mardisalu, 100+ VPN Logging Policies Debunked,BestVPN 2020.https://thebestvpn.com/118-vpns-logging-policy/

[17] Rapporto di the bestVPN(2019) TheBestVPN.com Logging Policy Report (2019) https://docs.google.com/spreadsheets/d/16qBBSEGyJcJUfrv-Xo1uqiiUbr74sIvgKtIX2FLdUm8/edit#gid=0

[18] J.Vincent, Popular Chrome extension Hola sold users’ bandwidth for botnet, The Verge,2015. https://www.theverge.com/2015/5/29/8685251/hola-vpn-botnet-selling-users-bandwidth

[19]Sito web del movimento http://adios-hola.org/

[20] B.clarck, PureVPN’s ‘non-existent’ logs used to track, arrest alleged internet stalker, the nextweb. https://thenextweb.com/news/purevpns-non-existent-logs-used-to-track-arrest-alleged-internet-stalker

[21]S.Schick, The real reason Facebook bought Onavo,fiercewireless,2013. https://www.fiercewireless.com/developer/real-reason-facebook-bought-onavo

[22] MLex,Facebook’s Onavo could be key to monopolization case against the company https://mlexmarketinsight.com/news-hub/editors-picks/area-of-expertise/antitrust/facebooks-onavo-could-be-key-to-monopolization-case-against-the-company

[23]R.Mardisalu, 100+ VPN Logging Policies Debunked,BestVPN 2020.https://thebestvpn.com/118-vpns-logging-policy/

[24] Dottrina Monroe, con questo nome vengono indicati alcuni principi di politica estera, enunciati dal presidente M. nel 1823, in base ai quali si affermava che gli USA non avrebbero tollerato per l’avvenire alcun tentativo delle potenze europee di fondare colonie nel continente americano; che eventuali ingerenze dei governi europei negli affari interni delle nazioni americane sarebbero state considerate dagli USA come una minaccia alla loro sicurezza e alla pace; che a sua volta Washington si sarebbe astenuta dall’intervenire nelle questioni politiche e nei conflitti europei[treccani]

[25]Discorso di Chicago di Roosevelt  https://www.unipa.it/persone/docenti/m/rosanna.marsala/.content/documenti/Discorso-di-F.-D.-Roosevelt.pdf

[26] Accordo BRUSA https://media.defense.gov/2021/Jul/15/2002763671/-1/-1/0/SPEC_INT_10JUN43.PDF

[27] Accordo UKUSA  http://www.intelink.gov Archiviati 2012-02-25 alla Wayback Machine https://media.defense.gov/2021/Jul/15/2002763729/-1/-1/0/NEW_UKUSA_AGREE_10MAY55.PDF

[28] Progetto Echelon https://cryptome.org/echelon.htm

[29] Interrogazione scritta ad opera di Antonio Tafani circa Echelon https://www.europarl.europa.eu/doceo/document/E-5-2000-2469_IT.pdf

[30]E.Snowden, Errore di Sistema, 2019 ed ita Longanesi.

[31] M. Soldi, Five Eyes, perchй gli Usa guardano alla Germania,Formiche,2021 https://formiche.net/2021/09/five-eyes-usa-germania/

[32] Sito web VPNMentor, https://it.vpnmentor.com/blog/le-nazioni-del-five-eyes-o-nine-eyesfourteen-eyes-fondamentale-per-chi-usa-vpn/

[33] D.Fischer,Germany’s New Surveillance Laws Raise Privacy Concerns,Humans Right Watch, 2021.

The following two tabs change content below.

• Bio
• Latest Posts

Vladimir Di Costanzo

Latest posts by Vladimir Di Costanzo (see all)

• Il mistero delle Number Station: i messaggi indecifrabili - 2 August 2023
• Golden Power: storia e disciplina dal Golden Share al Golden Power rafforzato - 23 March 2023
• L’hub del wiretapping e programmi statali: dal Wiretapper’s Ball a Sharp-Eyes e come difendersi - 7 September 2022