Sicurezza

Programmatori “coraggiosi”: opensource in difesa della privacy

L’Eurispes.it propone un percorso conoscitivo di quei programmi, strumenti o applicazioni pensati per offrire maggiore sicurezza nel Web. Dopo il client di posta elettronica tedesco Tutanota, la nostra attenzione si è focalizzata su un progetto analogo, ProtonMail, ideato da un gruppo di giovani ricercatori del CERN di Ginevra.
di Biagio Tampanella
22 settembre 2015

Nell’attuale dibattito su privacy e Internet c’è forse un tassello mancante. Quanto sono informati o si informano gli utenti sui rischi della Rete e sull’utilizzo dei propri dati di navigazione da parte di soggetti terzi? Quanta conoscenza si ha degli strumenti prodotti in opensource o da programmatori “coraggiosi” a difesa della nostra privacy?
L’Eurispes.it propone un percorso conoscitivo di quei programmi, strumenti o applicazioni pensati per offrire maggiore sicurezza nel Web.

 

ProtonMail è un client di posta elettronica molto particolare che offre un servizio di email criptate. I creatori sono un gruppo di giovani ricercatori del CERN di Ginevra e il progetto che hanno avviato è analogo a quello di Tutanota, già segnalato e analizzato in un precedente focus de LEurispes.it.

Nella moderna era delle informazioni esistono numerosi servizi digitali che ci vengono offerti da società private in maniera totalmente gratuita.

Molti di noi spesso si sono posti la seguente domanda: come fanno queste società ad offrire servizi di altissimo livello in maniera gratuita? Che cosa ci guadagnano? Quali benefici trovano nell’offrire gigabyte su gigabyte di archiviazione dati, che occupano lo spazio di migliaia di server, se i consumatori non pagano nulla?

La risposta è abbastanza semplice, anzi è ormai ritenuta così ovvia (e quindi banale) che abbiamo perso di vista la sua enorme portata epocale.

Il motivo per cui questi servizi sono gratuiti è perchè il prodotto siamo noi stessi.

I guadagni di queste società si basano essenzialmente sulle inserzioni pubblicitarie mirate ed efficaci. I nostri dati online sono fonte di ricchezza perchè producono valore per queste aziende che riescono a mirare le loro pubblicità adattandole alle esigenze di ciascun cliente, aumentando i profitti. Gli avvisi sono più efficaci, e pertanto hanno maggior valore, quando sono mirati a determinati clienti in un determinato periodo di tempo.

Ad esempio, sembrerebbe che le donne tendono a sentirsi meno belle all’inizio della settimana: perchè non aumentare quindi gli annunci pubblicitari, che appaiono su una pagina social dell’utente donna di turno, che mostrano prodotti di bellezza il lunedì?

Se sei un appassionato di giochi al computer, perchè non farti visualizzare gli annunci pubblicitari dei nuovi giochi messi in commercio?

Gli esempi condotti sono meramente semplificativi rispetto alla complessa realtà.

Qualcuno potrebbe anche replicare (e di solito lo fa) dicendo che alla fine fa comodo visualizzare annunci pubblicitari in base alle proprie preferenze. Oppure dichiarando di non avere nulla da nascondere. Giusto. Ma come la mettiamo se (scenario possibile) ad un colloquio di lavoro si viene scartati perchè dal proprio profilo “digitale” emerge che si è appartenenti a un determinato gruppo religioso, oppure a causa di qualsiasi altro aspetto relativo alla propria privacy di cui però non abbiamo nulla da nascondere? È solo un esempio, ma forse rende l’idea.

Le nostre ricerche sul browser, le nostre coordinate GPS, quello che digitiamo sulla tastiera, i nostri filmati youtube preferiti, gli argomenti preferiti durante le nostre chat con gli amici, le nostre abitudini religiose, e chi più ne ha più ne metta, sono diventati un calderone di informazioni. Queste informazioni hanno un valore perchè parlano di noi.

Tornando all’argomento principale di questo articolo, ossia i servizi di posta elettronica, la constatazione più lampante è che i servizi email tradizionali, oggi usati, sono paragonabili a quello che, un tempo, erano le cartoline. Perchè le cartoline? Perchè le email sono inviate in chiaro, cioè leggibili all’interno dei server che le conservano (e su cui transitano), così come le cartoline potevano essere lette dal postino o dal personale dell’ufficio postale.

Anche qui, molti replicheranno che non provano disagio a immaginare che un sistema informativo automatizzato analizza il contenuto dei nostri dati al fine di elaborare statistiche e profili digitali, e nessuno vuole obbligarli a cambiare idea: ma cosa fare per chi, invece, vuole avere la libertà di poter comunicare con i moderni sistemi di comunicazione e allo stesso tempo vedere garantita la propria privacy? Se un paio di decenni fa avessimo voluto scrivere una lettera d’amore personale che volevamo rimanesse privata, l’avremmo inserita all’interno di una busta, o l’avremmo spedita tramite una cartolina? Oppure, se vivessimo in un Paese (si immagini ad esempio la Cina) dove vi è un fortissimo controllo di Internet, ci sentiremmo liberi di esprimere tramite email ad un parente o un amico un personale dissenso politico, senza il rischio di ricevere ritorsioni? A voi la risposta.

Nel giorno di oggi, inviare una email è come inviare una cartolina. Da questa provocazione, gli svluppatori di ProtonMail hanno sviluppato un sistema all’avanguardia che combina vari algoritmi di crittografia, in modo da garantire la privacy dei propri utenti. Per poter raggiungere questo obiettivo hanno operato una campagna di fondi che, fino ad ora, ha raggiunto degli ottimi traguardi e ha permesso loro di proseguire nel progetto.

Il codice di ProtonMail è stato reso, di recente, totalmente open source, aperto quindi ad una ispezione e controllo, ma aperto anche a eventuali contributi da parte di esperti di sicurezza informatica provenienti da tutto il mondo. Gli sviluppatori non hanno reso il codice sorgente aperto sin da subito perchè hanno preferito prima renderlo abbastanza maturo.

Per approfondire il funzionamento ed ogni aspetto tecnico di ProtonMail, invitiamo i lettori a visitare direttamente il sito web ufficiale, www.protonmail.ch. Inoltre, è disponibile online la brillante e interessantissima presentazione (con sottotitoli in lingua italiana) di Andy Yen (il co-fondatore di ProtonMail) da TED, al seguente link: http://www.ted.com/talks/andy_yen_think_your_email_s_private_think_again?language=en

Mossi dalla curiosità di questo progetto, abbiamo raggiunto direttamente il cofondatore di ProtonMail, Andy Yen, e gli abbiamo rivolto alcune domande.

Come è nata lidea di creare ProtonMail e perchè avete scelto questo nome?

ProtonMail è stato di fatto fondato al ristorante nr 1 del CERN. La comunità scientifica del CERN ha sempre avuto una certa sintonia con le tematiche legate ad Internet (ed infatti il World Wide Web è stato creato proprio al CERN nel 1989) così, quando la storia della sorveglianza da parte della NSA è stata resa pubblica, molti di noi si sono indignati del fatto che tale sorveglianza di massa veniva operata sia negli Stati Uniti sia in Europa. Questo ci ha condotto ad agire, convinti del fatto che se non lottiamo per la privacy, nessuno lo farà al posto nostro.

Il nome ProtonMail deriva dal fatto che molti dei primi sviluppatori lavoravano presso il Large Hadron Collider experiment, che è uno dei più grandi collider di protoni al mondo.

Perchè avete deciso di installare i vostri server in Svizzera?

La Svizzera è un Paese dalla lunga tradizione riguardo la privacy e la protezione dei dati. Di conseguenza, ha anche alcune fra le leggi più severe al mondo sulla privacy dei dati, il che offre una protezione aggiuntiva per i nostri utenti. Per esempio, tutte le richieste di accesso devono prima essere vagliate da una regolare corte di giustizia. Questo aspetto, combinato al fatto che siamo tutti scienziati del CERN, ha reso naturale la scelta di posizionare i server di ProtonMail in Svizzera.

È importante comunque evidenziare come la nostra tecnologia di crittografia end-to-end comporta che la scelta della Svizzera come luogo fisico dei server non è poi così necessaria per proteggere i dati dei nostri utenti, considerato il fatto che i nostri server conservano solo dati criptati. Comunque, avere i server in Svizzera male non fa sicuramente, è un valore aggiunto.

Quali saranno le prossime evoluzioni di ProtonMail, quali nuovi servizi avete intenzione di implementare?

Il prossimo passo sarà quello di aprire il nostro servizio a più utenti possibili. Proprio ora, la richiesta è così alta che siamo stati costretti ad implementare una lista di attesa. Abbiamo anche intenzione di offrire ai nostri utenti servizi di storage criptato di file.

Perchè la gente dovrebbe cambiare il proprio indirizzo email passando a ProtonMail?

La forza principale di ProtonMail è quella di combinare un alto livello di sicurezza ad una facilità d’uso. La facilità d’uso è un fattore importante, perchè la sicurezza di un sistema non significa nulla se poi il sistema è così complesso che nessuno vuole usarlo. Con ProtonMail, abbiamo finalmente una soluzione di email criptata sicura e che allo stesso tempo può essere usata agevolmente dal pubblico. Questo significa che ci sono meno rischi che hacker accedano alla vostra email e certamente che potete tenere lontano chiunque voglia spiarvi.

Esistono app in modo che gli utenti possano usare ProtonMail anche tramite i propri smartphone?

Sì, le app sono progettate proprio seguendo la nostra filosofia di semplicità. Pertanto, come per la versione web raggiungibile tramite browser, anche sulle app la crittografia è completamente invisibile nell’esperienza dell’utente, ma comunque presente.

Se la maggior parte delle persone iniziasse ad usare ProtonMail, avreste probabilmente bisogno di maggiori finanziamenti al fine di potenziare la vostra Infrastruttura ICT: considerato che non raccogliere guadagni dagli avvisi pubblicitari (che, come detto, sono assenti), quali sono i vostri piani in modo da poter sostenere le migliori previsioni nella diffusione di ProtonMail presso il pubblico?

Il nostro obiettivo è quello di fornire sempre una versione base di ProtonMail totalmente gratuita, perchè molti degli attivisti o dissidenti (in Paesi come Russia o Iran), che hanno realmente bisogno di veder garantita la propria privacy nell’utilizzo delle email, spesso non possono permettersi di pagare per tali servizi. Al fine di rendere il progetto sostenibile, però, ci affidiamo alle donazioni e inoltre introdurremo delle funzionalità premium ottenibili a pagamento in modo da poter supportare, con tali proventi, le funzionalità che invece sono di base e disponibili per tutti.