Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

 2014  luglio 17 Giovedì calendario

«A RISCHIO EMAIL E TELEFONATE DEGLI ITALIANI», IL DOSSIER SEGRETO SUL TAVOLO DEL GOVERNO

C’è un enorme buco nero nella sicurezza delle telecomunicazioni italiane. Una falla talmente ampia da mettere a disposizione di chiunque volesse attrezzarsi telefonate, sms, email, chat, contenuti postati sui social network. Tutto il traffico online del Paese, insomma. Non si tratta di un allarme generico ma di un pericolo più che concreto, tanto che negli ambienti dello spionaggio internazionale si dà per scontato che l’Italia sia da anni «interamente controllata». Da Nord a Sud. Quello che non si sa, però, è da chi.
A denunciare questo buco è una relazione riservata del Dipartimento attività ispettive dell’Autorità garante per la protezione dei dati personali, inviata al presidente del Consiglio dei ministri, al ministro per lo Sviluppo economico, a quello dell’Interno e al sottosegretario con delega all’Intelligence Marco Minniti. Tre pagine che riassumono un rapporto lunghissimo, stilato dagli ingegneri informatici del Garante tra aprile e maggio dopo lo scandalo mondiale del Datagate del 2013. E nonostante le rassicurazioni del governo italiano, che in quell’occasione, per bocca dello stesso Minniti, aveva detto che «la tutela della privacy delle comunicazioni interne in Italia è garantita con ragionevole certezza».
Tutto ruota intorno agli Internet eXchange Point (IXP) e ai sistemi di sicurezza, insufficienti, che li dovrebbero proteggere. Gli Ixp sono delle infrastrutture chiave per il funzionamento di Internet. Di fatto sono dei luoghi fisici in cui convergono tutti i cavi che trasportano i dati degli utenti dei vari Internet Service Provider (Telecom, Fastweb, H3G, ecc. ecc.). In questi luoghi, i dati vengono letti, elaborati e dunque smistati nella Rete. Per fare un esempio: le informazioni di navigazione di un utente qualsiasi che da rete Fastweb si colleghi con un sito il cui server è ospitato da Telecom, passa necessariamente per uno di questi Ixp. In Italia ce ne sono nove, ma tre sono quelli fondamentali: uno a Milano (il “Mix”), uno a Torino (il “Top-IX) e uno a Roma (il “NaMex”).
«Tali apparati — scrivono gli ispettori del Garante — dispongono di funzionalità tecniche che possono consentire di replicare, in tempo reale, il traffico in transito dirottando il flusso replicato verso un’altra porta ( port mirroring ) ». Nel corso dei controlli questa funzione non era attivata, specificano gli ispettori, aggiungendo però che se qualcuno volesse esaminare il traffico in transito potrebbe farlo «con una certa facilità, attivando la funzione di port mirroring e poi utilizzando appositi strumenti di analisi». Sarebbe dunque un gioco da ragazzi duplicare il traffico degli utenti, dirottarlo altrove su grossi database e poi con calma analizzarlo. Certo occorrerebbe prima entrare dentro queste strutture ma, è proprio questo il punto, la cosa appare tutt’altro che impresa ardua.
«Abbiamo una certificazione di sicurezza Iso27001», spiega l’ingegner Michele Goretti, direttore dell’Ixp di Roma. «E anche l’ispezione del Garante non ha fatto emergere problemi». In realtà non deve essere andata proprio in questi termini se nella relazione c’è scritto che sono emerse «una serie di gravi criticità sulle misure di sicurezza logiche e fisiche concretamente adottate da queste società/consorzi nella gestione dei loro sistemi».
«La cosa merita la massima attenzione — continuano gli ispettori — in quanto si tratta di strutture nevralgiche nel sistema di comunicazioni elettroniche del Paese poiché attraverso questi nodi di interscambio passano enormi flussi di traffico relativo alle comunicazioni degli abbonati e utenti (anche pubbliche amministrazioni e impresi) dei principali operatori nazionali». Da una decina di anni anche le chiamate vocali (sia da fisso sia da mobile) vengono digitalizzate, sono cioè trasmesse via web. «Per tanto un inadeguato livello di sicurezza può riflettersi negativamente sia sui diritti dei singoli cittadini, pregiudicando la riservatezza delle loro comunicazioni e la protezione dei loro dati personali, sia gli interessi istituzionali ed economici degli enti e delle imprese».
Il rischio, secondo Goretti, è molto ridotto: «In linea teorica la possibilità di duplicare i dati c’è. In pratica sarebbe molto complesso farlo e i risultati sarebbero molto parziali: bisognerebbe duplicare i dati di tutti gli Ixp del paese». Cosa complessa ma certo non impossibile, visto che gli hardware ospitati in queste strutture sono di varia provenienza: ci sono, ad esempio, router a marchio Huawei e Cisco, due multinazionali non estranee alle recenti polemiche sullo spionaggio. La manutenzione delle macchine può essere fatta anche da remoto e volendo non sarebbe complicato avviare funzionalità di mirroring e dirottare il traffico copiato.
Tra i 132 operatori connessi al “Mix” di Milano ci sono gli americani At&T;, Amazon, Facebook, Google, Microsoft, Verizon. Giuliano Tavaroli, ex responsabile della sicurezza di Telecom e del Gruppo Pirelli, la vede in maniera a dir poco laica: «Il problema non è se i dati vengano o meno copiati. Questo in fondo starebbe nelle cose, e al massimo bisognerebbe capire chi è che intercetta e perché, visto che in Italia i nostri servizi segreti non dispongono dei mezzi per immagazzinare e analizzare moli significative di dati. Il vero problema è che, considerato il livello scarso di sicurezza di queste strutture, se fossero intercettate in Italia, oggi, non ce ne riusciremmo nemmeno ad accorgere».
Oltre che di sicurezza e di privacy, gli ispettori del Garante ne fanno anche una decisiva questione di regole: «Per svolgere la propria attività gli Ixp non hanno la necessità di trattare i dati personali degli abbonati o degli utenti e quindi (...) non assumono la qualifica di titolare del trattamento, in relazione alla quale il Garante potrebbe prescrivere loro direttamente le misure ritenute necessarie o opportune per rendere il trattamento dei dati conforme alle disposizioni di legge». Come a dire, sono liberi di fare ciò che vogliono, senza essere controllati.