 |
Questa pagina è stata trascritta e formattata, ma deve essere riletta. | |
| 120 Aggiustare il mondo |
La cifratura dei dati – sia in transito, sia a riposo – garantisce la loro riservatezza e integrità; il sistema può funzionare benissimo anche come strumento di formazione e di educazione alla sicurezza informatica per i giornalisti e gli utenti, dal momento che impone, nel quotidiano, comportamenti destinati ad aumentare, in generale, la sicurezza nelle attività più comuni, soprattutto se effettuate in ambienti ad alto rischio.
Il tutto è fondato su software libero, che permette e garantisce una regolare verifica del codice sorgente e del suo livello di sicurezza, nonché l’assenza di backdoor, ossia di vulnerabilità che permettano l’ingresso surrettizio di terzi nel canale di comunicazione.
SecureDrop nasce, nella mente di Aaron, come un sistema di protezione delle fonti giornalistiche ma, in realtà, dà vita a un intero ambiente informatico sicuro, che elimina completamente le terze parti (ad esempio, un provider che potrebbe custodire i dati): il giornalista e la fonte comunicano esclusivamente attraverso un server che il giornale possiede e che si trova in locali di sua proprietà (un server, per di più, che conserva molte meno informazioni, e file di log, degli operatori “tradizionali”).
L’attenzione alla minimizzazione dei metadati ci fa comprendere, ancora una volta, come oggi i dati esterni – ossia i dati di traffico, le durate delle comunicazioni, il mittente e il destinatario di una chiamata, di una e-mail o di un messaggio – siano ben più importanti dei contenuti stessi delle conversazioni.
La fonte deve accedere a SecureDrop unicamente attraverso TorBrowser, che provvede a mascherare l’indirizzo IP della fonte stessa (quindi, non si può risalire ad alcuna indicazione su chi sia la fonte, a meno che non sia essa stessa a rivelarlo, né da dove stia inviando informazioni).
L’indirizzo IP della rete Tor, il computer e il tipo di browser che la fonte sta usando non vengono in alcun modo registrati, e per ogni fonte documentale vengono memorizzate sul server solamente l’ora e la data di ogni invio.
Quando una fonte invia un nuovo messaggio, l’ora e la data dell’ultimo messaggio vengono sovrascritte, per cui non rimangono metadati in grado di dimostrare il momento esatto del dialogo tra la fonte e il giornalista.
Al contempo, le fonti non possono creare un nome-utente personalizzato, che potrebbe ingenuamente rivelare informazioni su di loro, ma è SecureDrop stesso a generare automaticamente due nomi in codice casuali: uno da mostrare alla fonte, e un altro ai giornalisti che usano il sistema.
Le comunicazioni attraverso SecureDrop sono cifrate in transito, quindi i messaggi non possono essere facilmente intercettati e letti mentre attraversano Internet, e sono anche cifrate sul server, quindi se un attaccante riuscisse a penetrare nel server non sarebbe, comunque, in grado di leggere i messaggi che sono circolati.
Non meno importante, la chiave di decifratura per l’invio a SecureDrop si trova su un computer air-gapped (non connesso in alcun modo a Internet): questo
