UNA GUIDA DI SICUREZZA ONLINE PER ATTIVISTI

 
Agosto 2016. Ryan Rodrick Beiler – ActiveStills

 

Fra crescenti minacce digitali provenienti da Israele e altri governi, singoli attivisti e organizzazioni possono adottare misure concrete per proteggere se stessi e le loro comunità.

 

L’ultimo anno ha visto in tutto il mondo un aumento delle minacce digitali incontrate sia da singole persone che da organizzazioni e quanti lavorano sulla questione della Palestina non fanno eccezione. Nel corso degli ultimi mesi ci sono stati attacchi contro siti del movimento di boicottaggio, disinvestimento e sanzioni (BDS), email minatorie agli attivisti e emergono nuove informazioni sulla capacità di sorveglianza di Israele.

“Gli ultimi attacchi informatici contro il BDS sembrano fare parte di una guerra in piena regola di Israele contro il movimento e comprende: una repressione legale di stampo maccartista, l’uso dei servizi di intelligence e ancora più fondi per la propaganda ‘brand Israel'” – ha detto Mahmoud Nawajaa, coordinatore generale del Comitato nazionale palestinese (BNC) di Boicottaggio, Disinvestimento e Sanzioni. “Questi attacchi hanno il sapore della disperazione di Israele, causata dal suo crescente isolamento in tutto il mondo, dopo che per anni ha fallito nell’obiettivo di arginare il crescente sostegno che riceve il movimento nonviolento BDS, considerato un mezzo strategico ed efficace per arrivare ad ottenere i diritti per i palestinesi in base al diritto internazionale”.

A seguito di numerosi nuovi fatti di minacce digitali al BDS e agli attivisti che lo sostengono ho cominciato a parlare con diverse persone del movimento per saperne di più sui problemi specifici incontrati da ognuno. I problemi rilevati variano, così come le minacce che percepiscono nel loro lavoro e nel lavoro di altri, ma tutti quelli con cui ho parlato sono concordi nel riconoscere che le minacce digitali contro il movimento sono in crescita.

Omar Barghouti, un attivista palestinese per i diritti umani e co-fondatore del movimento BDS, mi ha detto che la risposta comune a tali minacce è stata: “rafforziamo ulteriormente la nostra sicurezza elettronica, ma senza farci prendere dal panico o adottare rigide misure al riguardo”. Barghouti dice che un “inaspettato risultato di tali attacchi “è stato quello di sollevare il morale degli attivisti che si sentono più rassicurati circa l’efficacia della campagna per i diritti umani che stiamo conducendo”.

Ma anche se tali attacchi possono essere presi come una vittoria, sono comunque un ostacolo per svolgere un lavoro efficace.

Questo articolo vuole essere un mezzo veloce per affrontare i problemi più ricorrenti. Non è affatto esauriente, ma dovrebbe essere in grado di fornire indicazioni utili per fare i primi passi verso un miglioramento della propria sicurezza digitale sia per i singoli attivisti sia per le organizzazioni.

 

Problema: i siti web di solidarietà sperimentano regolarmente attacchi di negazione del servizio fornito (DDoS).

Come ha riferito nel mese di giugno ‘eQualit.ie’ – un’organizzazione che fornisce sicurezza digitale libera e open source per la società civile – tra febbraio e marzo del 2016 si sono registrati sei incidenti contro bdsmovement.net, il sito web di alto profilo del BNC.

Ali Abunimah di The Electronic Intifada, che ha sperimentato tali attacchi di negazione DDoS, ha osservato che gli attacchi “sembrano essere un altro elemento dello sforzo sempre più aggressivo che fa Israele per mettere a tacere con tutti i mezzi il movimento BDS”.

La relazione tecnica di ‘eQualit.ie’ “rivela una prova significativa che gli attacchi di negazione del servizio fornito (DDoS), effettuati contro il sito principale del movimento BDS e siti web di altri gruppi critici verso l’occupazione israeliana e le violazioni dei diritti umani, sono complessi e altamente coordinati”, ha detto Barghouti. “Stiamo incoraggiando tutti i nostri partner ad utilizzare i servizi anti-DDoS come il Deflect service fornito da ‘eQualit.ie’ e a criptare le proprie comunicazioni ovunque sia possibile”.

Un attacco DDoS può impedire ad un sito web di funzionare in modo efficiente, temporaneamente o in modo definitivo.

Anche se un attacco DDoS può essere lanciato contro qualsiasi sito web, giornalisti e attivisti sono i bersagli più frequenti. E dove una società o governo possono avere le risorse per respingere un attacco del genere, le organizzazioni più piccole o i singoli individui non sanno cosa fare quando ne sperimentano uno.

 

           Cosa si può fare:

• Il servizio eQualit.ie Deflect – impiegato per la protezione di bdsmovement.net – offre una protezione DDoS alle organizzazioni autorizzate a beneficiarne.

• Cloudflare di Project Galileo fornisce una protezione DDoS per i siti web di interesse pubblico a rischio.

• Eseguire regolarmente il backup del sito web è importante e garantisce che in caso di attacco DDoS, i contenuti rimarranno intatti.

• Mirroring è un’altra buona opzione per garantire che i contenuti del sito rimangano online durante un attacco.

Tre anni fa Edward Snowden, facendo trapelare informazioni dalla National Security Agency, dimostrò come gli Stati Uniti e altri governi nel mondo spiano i propri cittadini. Esistevano già prima sospetti e informazioni sul fatto che governi abbiano condotto una sorveglianza sulle comunicazioni digitali dei propri cittadini e di persone in altri paesi.

“I servizi militari e di intelligence di Israele agiscono impunemente. Sembra molto probabile che Israele li stia usando nella sua sorveglianza delle comunicazioni elettroniche e delle telefonate di attivisti BDS nei paesi occidentali, in violazione delle legislazioni di questi paesi” – ha detto Barghouti. “I governi devono agire per proteggere i loro cittadini dalla sorveglianza intrusiva dei servizi di intelligence di Israele”.

Molte organizzazioni e istituzioni stanno lavorando per combattere la sorveglianza con una contestazione del sistema attraverso mezzi legali e legislativi.

Allo stesso tempo, è importante che i singoli individui e le comunità si proteggano, modificando le loro abitudini e/o adottando nuove tecnologie che offrano una protezione aggiuntiva contro lo spionaggio.

Barghouti è d’accordo: “Siamo interessati a far aumentare la consapevolezza del fatto che, mentre è importante adottare misure basilari di sicurezza on-line, Israele ha enormi capacità di cyberwar a sua disposizione così, probabilmente, è in grado di intercettare anche comunicazioni cifrate. Non comunicate via telefono o on-line niente che non siate disposti a lasciare intercettare dai vostri avversari”.

Il tipo di strategia che si dovrebbe adottare dipende da ciò che si sta cercando di proteggere e chi si sta cercando di proteggere, così come dipende da quante energie si è disposti a mettere e dalle probabilità di essere a rischio.

Prima di cambiare i vostri comportamenti, è utile effettuare una valutazione del rischio ponendovi alcune domande riguardo il vostro lavoro e stile di vita.

 

Cosa si può fare:

• App per dispositivi mobili che utilizzano la crittografia end-to-end e consentono agli utenti di riconoscersi l’un l’altro attraverso le impronte digitali comprendono Signal, WhatsApp, e Wire, che hanno anche opzioni desktop e di chiamate vocali criptate. E’ anche possibile aggiungere la crittografia end-to-end su molti strumenti di messaggistica, tra cui Facebook, usando desktop apps Adium o Pidgin così come off-the-record (OTR) di messaggistica.

• E’ importante anche il dispositivo di sicurezza. Capire quanto i telefoni cellulari possano essere insicuri può aiutare a prendere decisioni informate su come utilizzarli a vostra tutela.

• Per maggiori informazioni e guide su come utilizzare alcuni di questi strumenti, vedere Electronic Frontier Foundation’s Surveillance Self-Defense o Security in a Box, un progetto di Tactical Technology Collective and Frontline Defenders.

 

Problema: spesso degli infiltrati entrano nei gruppi Facebook e in altre comunità mettendo a rischio gli individui e le loro reti.

Gruppi di studenti, attivisti e accademici, da tempo hanno espresso il sospetto che gruppi politici anti-palestinesi li stiano spiando. Nel 2014, The Electronic Intifada ha pubblicato documenti che dimostrano che uno studente spiava i membri di una Università della California appartenenti a un gruppo che si occupava di “analisi dei conflitti” chiamato Olive Tree Initiative e abbia riferito la sue osservazioni all’AMCHA Initiative, gruppo anti-palestinese “interessato a portare avanti una serie di iniziative per silenziare e intimidire studenti e insegnanti considerati critici nei confronti di Israele”. L’AMCHA Initiative è stata co-fondata da Tammi Rossman-Benjamin, un docente presso l’Università della California, Santa Cruz.

Online, organizzazioni esperte in tecnologie digitali utilizzano tattiche simili. Canary Mission , lanciata nell’aprile 2015, prende di mira attivisti BDS dei campus, bollandoli con etichette tipo “falso ebreo” con “l’obiettivo dichiarato di negare future opportunità di lavoro agli studenti presi di mira”, è quanto riportato l’anno scorso dai giornalisti Max Blumenthal e Julia Carmel.

Si sono verificati anche diversi incidenti, alcuni pubblicizzati altri no, in cui i membri di gruppi filo-israeliani e agenzie di intelligence si sono camuffati per infiltrarsi in gruppi BDS o filo-palestinesi.

Ho parlato con molte persone esprimendo la preoccupazione che le loro comunità on-line possano essere, o siano state, infiltrate da chi cerca di danneggiarle. La maggior parte di loro ha affermato che questa minaccia proviene da gruppi che, almeno nominalmente, sembrano indipendenti dal governo (come AMCHA).

Quando ho aggiunto una domanda sulla questione: “Pensi di fare attenzione quando accetti nuovi amici su Facebook?” – molte persone hanno ammesso che basano la loro decisione sul numero di amici comuni che hanno con la persona che chiede di aggiungersi piuttosto che su altri fattori più affidabili (come la conferma di un amico comune di conoscere la persona).

   

        Cosa si può fare:

• Quando non è possibile sincerarsi immediatamente sull’identità di persone che fanno richiesta di amicizia – anche se avete molti amici in comune su Facebook – controllare con qualcuno per verificare l’identità della persona.

• Controllate le impostazioni di privacy sul vostro account Facebook. La funzione di controllo della privacy di Facebook (privacy checkup) apre agli utenti, attraverso le varie impostazioni applicate ai messaggi, foto e altri contenuti e permette loro di apportare modifiche, comprese quelle che si applicano a tutti i contenuti più vecchi.

• Considerare l’utilizzo di strumenti di crittografia per ulteriori comunicazioni private. Facebook e altri social network possono a volte essere di vitale importanza per gli attivisti in organizzazioni comuni a molte persone, ma sarebbe meglio che alcune conversazioni si svolgessero utilizzando alcune delle applicazioni di messaggistica più sicure di cui si è accennato.

• Surveillance Self-Defense offre ulteriori informazioni su come proteggere se stessi e la propria privacy sui social network. (protecting yourself and your privacy on social networks.)

 

Problema: gli attivisti a volte ricevono allegati sospetti o link nelle e-mail e hanno dubbi nel valutare se sia prudente aprirli o meno.

In giugno, un certo numero di attivisti filo-palestinesi ha ricevuto email minacciose da un gruppo che si autodefinisce “Brigade Juive” (Brigata Ebraica) che contenevano link sospetti. E’ poi risultato che i link non contenevano virus, è comunque importante essere vigili quando si ricevono link e allegati.

Un contenuto doloso potrebbe comportare enormi rischi per la sicurezza e la privacy del vostro dispositivo. Può consentire a un utente di effettuare registrazione attraverso la vostra webcam o il vostro microfono, può disabilitare le impostazioni di notifica per alcuni programmi anti-virus, registrare ciò che si digita, copiare contenuti, rubare le password e altro ancora.

 

Cosa si può fare:

• Seguite il vostro istinto. Se un allegato o un link vi sembra sospetto, prendetevi alcuni minuti per pensare su chi è il mittente, ciò che dice l’e-mail e su altri indizi contestuali.

• Per ulteriori consigli leggete la guida Surveillance Self-Defense per proteggersi contro i virus. (guide to protecting yourself against malware.)

• Security in a Box contiene una guida per proteggere il dispositivo da virus e hacker. (protecting your device from malware and hackers.)

 

Problema: è difficile convincere la gente ad utilizzare la crittografia.

Una risposta comune alle rivelazioni sulla sorveglianza del governo è: “Io non ho nulla da nascondere.”

Nel contesto statunitense, questa risposta spesso viene fuori da una peculiarità: la percezione che non si stia facendo nulla di sbagliato o illegale e quindi non si abbia nulla da nascondere.

Molto è stato scritto sul fenomeno e un articolo del fondatore di Whisper Systems, importante sviluppatore di Moxie Marlinspike, forse lo spiega in maniera più concisa: “Non sempre sappiamo quando abbiamo qualcosa da nascondere (perché i sistemi di potere e i modelli delle minacce cambiano) e a volte abbiamo qualcosa da nascondere”.

Marlinspike ci ricorda che la libertà di parola ci permette di “creare una piazza delle idee di cui poter utilizzare il processo politico per scegliere insieme la società che vogliamo”, un processo che a volte si traduce in mobilitazione o sostegno per modifiche alla legge e implica dibattiti su ciò che è vietato, qualcosa di cui gli attivisti sono bene a conoscenza.

Parlando con attivisti palestinesi ho scoperto che l’argomento “nulla da nascondere” prende una piega diversa. “Nel movimento, presumiamo che tutto ciò che diciamo e facciamo venga monitorato”, ha detto Nadia Hijab di Al-Shabaka di The Palestinian Policy Network. “Quindi, tutto ciò che facciamo o diciamo è in superficie. Sentiamo di non avere nulla da nascondere. Ma è qualcosa di inquietante pensare che se si scrive a una persona una e-mail, ciò diventa oggetto di monitoraggio”.

Barghouti ha espresso un’opinione analoga: “Da quando abbiamo lanciato il movimento BDS, nel 2005, abbiamo lavorato con il presupposto che Israele può e vuole usare una sorveglianza avanzata per monitorare tutto ciò che comunichiamo. Uno dei principali vantaggi che il movimento BDS ha, tuttavia, è che si rapporta alla ‘Dichiarazione universale dei diritti dell’uomo’, rigetta ogni forma di razzismo e cerca di fare pressione in modo nonviolento sul regime israeliano di occupazione, colonialismo e apartheid al fine di conseguire i diritti dei palestinesi secondo il diritto internazionale, nello stesso modo in cui è stato messo sotto pressione l’apartheid in Sud Africa. Non c’è niente di clandestino in questo”.

Un altro attivista, che vuole rimanere anomino, mi ha detto che in Cisgiordania: “Se hai qualcosa da nascondere sei un militante o stai progettando qualcosa di natura militante. Finché non compi l’azione o non hai intenzione di fare qualcosa, allora non hai niente da nascondere “.

Questo può portare quegli attivisti e giornalisti il cui lavoro è legale o “alla luce del sole” ad avere un falso senso di sicurezza. Israele ha imprigionato con violenza giornalisti, attivisti e accademici solo per aver pubblicato commenti su Facebook.

Inoltre, in un contesto in cui gli attivisti possono essere visti come militanti solo perché utilizzano tecnologie che aumentano la privacy, può nascere un dilemma difficilissimo: usare la crittografia e correre il rischio di essere etichettati, o non farlo, con il rischio di finire nei guai.

“Non tutti gli strumenti o le stesse tecniche sono applicabili ad ogni situazione”, ha detto Morgan Marquis-Boire, un ricercatore in pensione del Citizen Lab dell’Università di Toronto – “Ciò che funziona per i giornalisti che lavorano su fughe di notizie negli Stati Uniti non può funzionare per un attivista dei diritti umani nella [regione del Medio Oriente e del Nord Africa]”.

Un’idea su cui molti sostenitori della privacy concordano è che quando più persone adottano la crittografia, il suo uso si normalizza; in altre parole, più persone la usano, tanto più difficile diventa per gli altri accusarci di compiere reato.

“Alcuni criteri si basano sul principio che le persone non si distinguono in mezzo alla folla”, ha spiegato Marquis-Boire. “In situazioni delicate, in cui qualcuno è probabilmente sotto esame, osservarne l’uso di alcuni strumenti di sicurezza potrebbe essere visto come un comportamento sospetto. In questi ambienti l’uso di un comune software [come WhatsApp] costruito per offrire una marcata sicurezza potrebbe essere meno sospetto”.

Per quelli di noi che sono meno a rischio, utilizzare la crittografia può essere un atto di solidarietà. Ecco come questa pratica può riuscire nei fatti: nel 2004 è venuto fuori un progetto italiano chiamato Cryptokitchen con il proposito di incoraggiare l’adozione di massa di PGP. Si tratta di un programma di crittografia che fornisce privacy e autenticazione per posta elettronica e altre comunicazioni. Il gruppo di attivisti che ha creato Cryptokitchen adotta la parola d’ordine: “Crypto-Recipes per le masse, le ricette e la crittografia per tutti!”

L’idea era quella di praticare e diffondere l’uso della crittografia mediante l’invio reciproco di innocue (e deliziose!) ricette – Un’idea che forse i palestinesi potrebbero prendere in considerazione.

Non vi è alcuna soluzione ‘una-taglia-uguale-per tutti’ a questi problemi, ma esistono soluzioni a piccoli passi, per migliorare la nostra consapevolezza e sicurezza digitale (e la sicurezza di coloro che ci circondano) e creare uno spazio sicuro in cui svolgere il nostro lavoro.

 

       Risorse:

• Access Now’s Digital Security Helpline offre assistenza 24 ore su 24 a esponenti della società civile di tutto il mondo, gratuitamente.

• Il Digital First Aid Kit è utile per coloro che, con competenze di sicurezza digitale, sono stati incaricati di aiutare persone o organizzazioni. Ha lo scopo di fornire un supporto preliminare a persone che incontrano i tipi più comuni di minacce digitali.

• La guida Surveillance Self-Defense della Electronic Frontier Foundation è disponibile in 11 lingue e ha lo scopo di aiutare gli utenti a proteggersi dalla sorveglianza digitale.

• La Tactical Technology Collective offre una serie di utili guide studiate per aiutare gli utenti a migliorare la propria sicurezza e la privacy.

• Security in a Box contiene risorse di sicurezza digitali e guide in 17 lingue.

• L’Holistic Security Manual mira ad aiutare le persone a creare un processo per sviluppare o migliorare le strategie personali per la sicurezza.

• Zen and the Art of Making Tech Work for You è una risorsa della comunità costruita appositamente per donne e attivisti trans.

• Me and My Shadow consente agli utenti di scoprire e eliminare le tracce digitali che si lasciano alle spalle.

• LevelUp fornisce risorse a coloro che cercano di insegnare la sicurezza digitale alle loro comunità.

• May First/People Link “si occupa della creazione di movimenti che facciano avanzare l’uso strategico e il controllo collettivo delle tecnologie per lotte locali, trasformazione globale e emancipazione senza confini” e offre risorse altamente raccomandate ai suoi membri.

Trad. Simonetta Lambertini.

Fonte: https://electronicintifada.net/content/guide-online-security-activists/17536

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Protected by WP Anti Spam