Cosa si nasconde dietro la Strategia Nazionale per l’Identità Sicura nel Cyber Spazio?

 

Un passaporto falso è qualcosa abbastanza difficile da ottenere con metodi “buoni”. Una volta che hai trovato chi lo faccia è molto sicuro che ti costi una buona quantità di denaro. E anche avendo pagato un bella somma, nessuno ti garantisce che il passaporto funzioni e si possano evitare tutti i controlli. Con l’anonimato in Internet succede esattamente la stessa cosa: l’anonimato su internet non esiste. Si possono nascondere i passi e cancellare le orme, ma sempre si corre qualche rischio. E mentre quel rischio esista, l’anonimato assoluto è completamente falso. Non esiste nessun sistema sicuro al 100%.

Per gli amanti della paranoia, del panoptico e del progresso verso il Grande Fratello, come non poteva essere diversamente, creano paure ad hoc per dopo nascondersi in essi e lanciare le proposte disciplinare e totalitarie con l’obiettivo di ottenere obiettivi più elevati. Un chiaro esempio lo abbiamo nella Strategia Nazionale per Identità Sicure nel Cyber Spazio, o NSTIC in inglese, che l’Amministrazione Obama sta sviluppando dall’estate scorsa.

La NSTIC, strategia con nome di serie TV o di gruppo musicale per adolescenti, cerca di identificare ad ogni utente su internet. Come lo leggete. Così come lo dicono i liberali spagnoli, sarebbe come se per uscire per strada dovessimo marcare cartellino sulla porta, attivando un sistema di registro di ogni nostro movimento che solo finirebbe una volta che ritorniamo a casa e marcassimo cartellino di nuovo.

Ma ritornando al mondo dei bits, la scusa geniale che dalla Casa Bianca danno è che la NSTIC ci libererà di uno dei maggiori mali della storia della rete: le password.

“ Una volta che l’Ecosistema d’Identità si sviluppi, un piccolo negozio ad esempio, potrebbe risparmiare i costi per sviluppare un sistema di identificazione (login) proprio, potendo portare il suo negozio su internet in modo molto più facile. I consumatori potranno connettersi al nuovo store attraverso una credenziale che già hanno, evitando così l’inconvenienza di creare un nuovo utente e password, mentre aumenta llivello della sicurezza”.

Lodato sia, quindi, l’Ecosistema d’Identità. Ma cos’è precisamente questo Ecosistema d’Identità? Secondo la nota stampa della Casa Bianca sarebbe un insieme di credenziali sicure e interoperabili affinchè tutti gli usuari che vogliano partecipare al sistema possano ottenerle attraverso una grande varietà di dispositivi, come ad esempio installando un software in uno smartphone, in una smart-card o in sistemi che creano password monouso. Lo scopo ultimo, come abbiamo già visto, è che gli utenti debbano usare soltanto uno di questi dispostivi per potersi identificare in qualsiasi posto della rete. Come l’Open-ID, ma in forma “animalesca”.

Come a gennaio diceva il Segretario Statunitense del Commercio, Gary Locke:

“Non stiamo parlando di un sistema controllato dal governo. Di quello che stiamo parlando è di migliorare la sicurezza e la privacy on-line, e ridurre ed incluso eliminare il bisogno di memorizzare decine di password, attraverso la creazione e l’uso di identità digitali di maggiore fiducia”.

Bisogna ricordare che in Spagna esiste la Carta d’Identità elettronica, uno dei maggiori fallimenti per quello che riguarda l’Identità Digitale. Sull’uso della Carta d’Identità elettronica come un sistema di auto identificazione, il responsabile di un’azienda commentava durante un’intervista che:

“Neanche un mese fa abbiamo dovuto mandare una persona a Madrid perché un ministero esigeva la sua firma manoscritta in un contratto”

O meglio ancora:

“Ho clienti che vogliono incorporare sistemi di emissione elettronica di documenti e non lo fanno perché dentro l’amministrazione c’ è qualcuno che dice: è necessario un timbro di caucciù per la validità del processo”.

E questi ci porta a chiederci perché, esistendo già varie cose che funzionano come Open-ID, organizzare un Ecosistema di Identità, se neanche le amministrazioni che dovrebbero promuoverlo lo usano….e se ci chiediamo questo, arriviamo ad un nuovo documento, pubblicato il 23 Marzo dal Dipartimento di Sicurezza intitolato “Facendo possibile la Sicurezza Distribuita nel Cyber Spazio-Costruendo un Cyber-Ecosistema Sano e Resiliente attraverso l’Azione Collettiva Automatizzata”.

Come si può vedere, da solo il titolo serve per farsi parecchi film su teorie della cospirazione. Ma una volta letto il documento, si mostra che di film non ce ne sono. Anche se il gergo militare è degno delle migliori produzioni, e le similitudini tra il funzionamento del sistema immune umano e il modello della sicurezza in rete, con riferimenti espliciti a documentazione e ricerca al riguardo fatte da Microsoft, ricorda molto a quel generale perturbato che non smette di parlare sui fluidi corporali in Dr Strangelove, tutto è reale.

Il direttore  e coordinatore del documento è Philip Reitnger, Sottodirettore della Segretaria per la Direzione della Protezione Nazione, che fu nominato da Janet Napolitano nel 2009. Anteriormente, Reitinger ha lavorato per Microsoft nel campo della sicurezza e la protezione delle infrastrutture.

Il documento è destinato a spiegare come i dispositivi connessi ad una rete possono trasformarsi in difensori sia di loro stessi che della rete intera, basandosi su tre pilastri: Interoperabilità, Automatizzazione e Autoidentificazione.

Come funziona?

Il funzionamento, in linee generali, dell’”ecosistema” potrebbe funzionare in questo modo: un Dispositivo Sano trova un Dispositivo Infettato, il Dispositivo Sano smette di ricevere e inviare informazione da e verso il Dispositivo Infettato e informa ai suoi dispositivi vicini l’identità del Dispositivo Infettato, i Dispositivi Sani che ricevono l’allerta hanno una soglia di difesa per minimizzare le falsi allarme: rimandano ogni azione fino a quando ricevono l’allarme da parte di un numero determinato di dispositivi, una volta superata tale soglia, le comunicazioni si recuperano una volta che il dispositivo è stato disinfettato. In base a simulazioni, questo modello funziona con la partecipazione di solo il 30-35% dei dispositivi di una rete, e si intende per “dispositivi” a parti di pc, telefoni e altri apparecchi elettronici, i programmi informatici come un firewall, verificatori di integrità di schedari, antivirus, sistemi per captare le intrusioni, anti-malware, ecc.

Tale sistema si incaricherebbe di ricompilare dati e informazione con lo scopo di poter prendere la “decisione adeguata” in ogni situazione, inquadrando tutti i dispositivi in qualcuno dei 5 livelli del modello, che vanno da dispositivi individuale e/o con scarsa connessione, fino al livello massimo, formando una rete di dispositivi fortemente interconnessi e con una grande capacità per inviare e ricevere informazione.

Questo modello di cinque livelli è adattato dal documento della NATO “Network Enabled Capability (NEC) C2 Maturity Model”. A più livello più capacità nella presa di decisioni. D’altra parte, il livello massimo include livelli di “interazione tra i dispositivi partecipanti” “illimitati sotto richiesta”, così come tutta l’informazione importante sia accessibile. Cioè, cedere “volontariamente il controllo totale del dispositivo alla “comunità”. Quello che resta nell’ombra è chi o cosa formano tale “comunità”.

 

Quali sono gli obiettivi?

L’inclusione e il raggiungimento massimo, da smart-grid elettriche fino al sistema NextGen di trasporto aereo, includendo tutti i sistemi e dispositivi connessi a internet. E tutto  questo totalmente libero di barriere, motivo per il quale i disegnatori futuri dovranno sapere che tutto sarà condiviso con tutti.

Si cerca anche che il sistema sia ottimizzato affinchè le macchine si possano difendere dalle macchine, mentre che gli umani si potranno dedicare a difendersi da altri umani. Tutto questo è perfettamente intelligibile perché tutti possiamo essere attori nella grande funzione del teatro della cyber-sicurezza.

Finalmente, cerca di assicurare la fiducia dei consumatori, quindi nel documento si raccomanda di cominciare a parlare sull’”evitare che si realizzino transazioni non desiderate” al più positivo “assicurare che si portino a termine le transazioni corrette” che significherebbe,secondo quanto detto letteralmente nel documento

“una maggiore sensazione di sicurezza e di fiducia sulle operazioni di trasporto, energia, sanità, ecc”

Prima parlava di partecipanti o dispositivi “sani”, ma come si distingue un partecipante “sano” da quelli che non lo sono? Secondo il documento, gli umani “non sani” non sono ben coscientizzati sulla necessità della sicurezza, o bene mancano di abilità o bene non sono quelli che dicono di essere. Contrariamente, i partecipanti “sani” avrebbero accesso continuo a formazione e educazione per la coscientizzazione. Da parte loro, i dispositivi “sani” tra le molte qualità dovrebbero essere  estremamente di fiducia e agire tale e quale si spera che agiscano. Solamente farlo così e in qualunque situazione. Come si ottiene? Attraverso il Programma di Software Sicuro del Dipartimento di Sicurezza Nazione, destinato a “minimizzare” vulnerabilità così come a unificare criteri ed evitare l’uso del software proveniente da distributori “non sani”. Chi definisce cos’è “un distributore sicuro di software” è un tema a se-

Come stabilire le buone basi per cominciare?

A pagina 26, il documento lo lascia ben chiaro: filtrano informazione di forma anonima su incidenti e le sue soluzioni, la cui analisi porterebbe a mostrare come gli investimenti cyber sanità possano ridurre i costi dell’operazione. Tutto questo porterà ad aumentare la richiesta di servizi e prodotti per ridurre i rischi dei partecipanti. Ovviamente tutto ben truccato e messo sotto lo slogan della protezione delle libertà.

“Un ecosistema con intervento umano e che sia auto-difendibile, potrebbe forzare gli attaccanti a rischiare di più e aumentare la loro esposizione”. Queste attività, combinate con maggiori attributi, potrebbe aumentare l’effettività dell’applicazione della legge o altre forme di dissuasione. Un sistema sano, in altre parole, rinforza mutuamente la sicurezza, l’uso, la fiducia e la protezione della privacy e le libertà civili.”.

Conclusioni e domande finali

Il documento finisce con parecchie domande sul futuro

Cederanno i proprietari dei sistemi il processo di presa di decisione alla comunità? Chi detta le politiche per gli scambi dell’informazione e il dispiegamento di contro-misure? Quali regimi di responsabilità si applicano a conseguenze collaterali del dispiegamento di contro misure? Quali autorità legali dovrebbero essere obbligati a agire da parte di governi locali e nazionali, così come enti internazionali attraverso dispositivi di proprietà privata o al servizio di interessi privati, per assicurare un maggiore bene cyber-comune?

La prima domanda lascia ben chiaro una delle incognite che si presentano all’inizio: la comunità. Dalla seconda in avanti possiamo indovinare quali sono le reali intenzioni dietro tutta questa strategia, così come le possibili conseguenze. Ma tornando alla famosa “comunità”, si tratta nient’altro che della “Comunità dell’Intelligenza”. Tale comunità ha in Micheal McConnell a uno dei suoi massimi ideologi, per non dire il massimo.

McConnell, conosciuto anche come la “spia numero uno”, fu direttore dell’Intelligence Nazionale, incarico che include le funzioni di assessore principale del Presidente degli Stati Uniti, così come del Consiglio di Sicurezza Nazionale e leader della Comunità d’Intelligenza, un insieme di 16 agenzie federali che orbitano intorno al Dipartimento di Sicurezza Nazionale o dipendono direttamente de esso, dedicate alle relazioni internazionali e la protezione della sicurezza nazionale che include, tra le altre cose, la CIA. Fu anche direttore del National Security Agency, un’agenzia federale “inesistente” fino a che fu dimostrato che esisteva, che è la responsabile della anche “inesistente” rete di spionaggio Echelon, e del suo programma di ascolto e spionaggio senza autorizzazione a cittadini statunitensi.

La NSA, oltre ad operare al margine della maggior parte dei controlli governativi, è anche l’agenzia responsabile dell’implementazione di “porte posteriori” in programmi e sistemi operativi, come quando collaborò con la Microsoft per installare sistemi di controllo nel suo software nel 1999, stabilendo un chiaro precedente per l’attuale DHS Software Assurance Program di cui parlavamo sopra.

Mike McConnell è lo stesso che, approfittando della sua posizione come assessore principale di 4 presidenti degli USA, è da anni che assicura che si sta portando avanti una cyber guerra e che gli USA stanno perdendo. Per evitare questa “sconfitta” non ha dubitato in richiedere la creazione di nuove agenzie federali, così come l’aumento di competenze per quelle già esistenti o acceso libero e completo a ognuno dei bits di informazione che viaggiano in internet, includendo tutti le poste elettroniche, trasferimenti di file o termini di ricerca in modo che la NSA li esaminasse. Da anni anche assicura che il Terrorismo internazionale cerca con tutti i mezzi distruggere la rete aperta e libera, cioè la rete come la conosciamo oggi, e per questo insiste a che siano approvate nuove norme e leggi per aiutare alla sua “protezione” come quella che fu spinta dal Senatore Lieberman, lo stesso che riuscì che Amazon espellesse Wikileaks dal suo cloud e che fornì al presidente degli USA di un bottone per chiudere internet.

In questo modo, creando paure irreali grazie all’esagerazione di minacce esterne, McConnell ha ottenuto la licitazione di ricchi contratti di difesa per l’azienda in cui lavora per il valore di varie migliaia di milioni di dollari, molti di tali contratti considerati come “top secret” e quindi lontani dall’opinione pubblica.

La sicurezza basata nell’oscurantismo non funziona. L’ambizioso e delirante piano per far d’internet un luogo sicuro attraverso l’uso di misure completamente aberranti e estremamente costose, contrasta con la sua dubbiosa effettività. Creare e portare avanti questo tipo di piani che con pretese ci rende più agile le gestioni di linea e aumentano in modo considerevole la “breccia digitale”. A te non piacciono le password? Stai tranquillo ti libereremo da esse, per questo dovrai comprare una scheda, un lettore, installare quattro o cinque applicazioni, scaricare e installare altri 4 o 5 certificati di sicurezza, e solo dopo aver ri-iniziato un paio di volte il pc potrai accedere a servizi così emozionanti come sollecitare la sua vita lavorativa o realizzare la dichiarazione del CUD.

Perché creare e disegnare questo tipo di sistemi ultra costosi per “liberarci” dalle password, quando sarebbe infinitamente più semplice ed economico tendere ponti che coprissero tale breccia digitale? Perché non insegnare ai nuovi utenti digitali non nativi come scegliere una buona password o insegnarli a usare dispositivi elettronici in modo sicuro, o direttamente, promuovere l’uso di software libero e di codice aperto, completamente libero da virus, malware e altre cattiverie del XXI secolo e che, di conseguenza, lasciano tutta quella strategia di delirio della Guerra Fredda in un archivio di carta completamente inutile?

Perché non si tratta in assoluto di “facilitarci” le gestioni. Come bene segnala la fine del documento non si tratta di creare una sensazione di falsa sicurezza. Si tratta di passare dall’”evitare che si realizzino transizioni non desiderate” al più positivo “assicurare che si portino avanti le transizioni corrette”. Corrette per chi? Si tratta di entrare nell’era della trasparenza volontaria, anche se obbligatoria, di quello che se non vuoi un’Identità Sicura è perché stai nascondendo qualcosa e se stai nascondendo qualcosa, sicuramente lo fai perché sei un terrorista.  Si tratta, in definitiva, de andare avanti, ovviamente, progressivamente, verso il totalitarismo e l’assolutismo nel quale tutti saremo i poliziotti dei nostri vicini e dobbiamo trasmettere qualunque attività sospettosa. Tutti saremo parte di un Cyber EcoSistema Sano e Resiliente attraverso l’Azione Collettiva Automatizzata. E se noi non vogliamo parteciparvi, potremo restare tranquilli, che i nostri apparecchi elettronici e software lo faranno per noi.

I nostalgici della Guerra Fredda come McConnell e i suoi giovani ereditari, presenti, in tutto il mondo, si sono impegnati a creare un grande teatro della sicurezza attraverso burattini che controllano a loro piacimento, inventandosi pericoli per poter implementare le loro contorte soluzioni. Quindi è necessario coprire la chiamata “breccia digitale” educando gli “immigranti digitali” affinchè sappiamo che significano le parole “sicurezza in internet”, spiegargli che l’anonimato non esiste e che Internet non è il Far West, evitando in questo modo che ingegneri sociali come McConnell possano manipolare sia a governanti che all’opinione pubblica.

E’ necessario insegnare a usare la crittografia e a difendere il suo uso in modo aperto e legale, perché non arrivi un momento in cui si vieti il suo uso e , quindi, la crittografia solamente sia alla portata di delinquenti.

E’ necessario resistersi ad essere terrorizzati, Evitare che ci venga applicata la terapia della paranoia e la paura, restando prevenuti per evitare che ci usino e ci collochino in prima linea per la difesa di un nemico invisibile.

In sintesi, bisogna evitare che i paranoici impegnati a proteggerci da noi stessi riescano a controllare tutti e ognuno degli aspetti delle nostre vite nascondendosi nel fatto che là in lontananza c’è qualcuno con cattivissime intenzioni e che viene a prenderci. I cattivi, ma quelli veri, sono loro. I paranoici.

 

Fonte: nacionred

Tradotto da FreeYourMind!

 

Advertisements

2 Responses to Cosa si nasconde dietro la Strategia Nazionale per l’Identità Sicura nel Cyber Spazio?

  1. Pingback: Imperio finanziario Gli attacchi hacker al Citigroup mettono a nudo la vulnerabilità della banca. « FreeYourMind!

  2. Pingback: CENSURA IN RETE! « FreeYourMind!

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: