Come i governi spiano i vostri download

Le agenzie canadesi hanno effettuato una mostruosa operazione di sorveglianza globale che colpisce gli utenti di famosi siti di file sharing, o almeno questo si afferma in un nuovo report pubblicato qualche giorno fa da The Intercept e la CBC.

Il programma, il cui nome in codice è LEVITATION, è basato su documenti appena diffusi ottenuti dall'ex tecnico della NSA Edward Snowden. È stato creato dal Communications Security Establishment (CSE) canadese per identificare e localizzare utenti intorno al mondo che accedevano a file come "propaganda jihadista" o guide sulla fabbricazione di bombe su siti come Rapidshare o l'ormai defunto Megaupload.

Secondo i documenti, gli analisti del CSE "vedono circa 10-15 milioni" di upload e di download ogni giorno, ma solo "350 download interessanti al mese," il che corrisponde a meno dello 0,0001 percento del materiale ottenuto.

Questa informazione è contenuta in una presentazione PowerPoint che risale al 2012, tuttavia non è chiaro da quanto tempo esista LEVITATION, se venga ancora utilizzato e quali agenzie dei partner del Canada—un gruppo che include gli Stati Uniti, la Gran Bretagna, Nuova Zelanda e Australia, i cosiddetti "Five Eyes"—avessero accesso al programma.

Come funziona LEVITATION

Il nome in codice era già apparso in un documento ottenuto da Snowden sempre nel 2012 e che venne pubblicato nel 2013 da The Globe and Mail, che descriveva il programma OLYMPIA del CSE. OLYMPIA fa riferimento al "Network Knowledge Engine" dell'agenzia, che combina dati ottenuti dai vari programmi di sorveglianza del CSE e database—incluso Levitation—per analisi e individuazione di obiettivi.

Una volta che un utente sospetto veniva identificato da LEVITATION mentre faceva upload o download di file da uno dei file tenuti sotto controllo dall'agenzia, gli analisti del CSE utilizzavano l'indirizzo IP dell'utente incrociandolo con i dati provenienti da altri database di sorveglianza per rintracciare l'attività dell'utente online.

Per esempio, il documento faceva riferimento a un programma operato dall'agenzia di sicurezza digitale britannica GCHQ chiamato MUTANT BROTH. Il programma archivia miliardi di cookie intercettati, "che utilizza per correlarli con indirizzi IP al fine di determinare l'identità di una persona," secondo un report di The Intercept.

"Il CSE sta palesemente spiando l'attività online privata di milioni di persone innocenti, inclusi molti canadesi, nonostante il governo abbia assicurato più volte il contrario," ha affermato David Christopher, portavoce di OpenMedia, un'associazione di supporto alla privacy su internet. "Gli utenti di Internet rispettosi della legge che utilizzano famosi servizi di file hosting si ritrovano ora sotto il microscopio del governo."

L'anno scorso, in questo periodo, era stato diffuso un altro documento del CSE che descriveva nel dettaglio le operazioni dell'agenzia nell'identificazione di obiettivi connessi a WiFi pubblici per tracciare i loro movimenti passati e futuri in tutto il mondo. Il programma era stato provato in un grande aeroporto canadese, e venne durantemente criticato.

Tuttavia pare che il CSE abbia ricevuto almeno due risultati interessanti da LEVITATION, secondo i documenti: in un caso "un video di un ostaggio tedesco ottenuto da un bersaglio prima sconosciuto," e la strategia di cattura di ostaggi di un'organizzazione terroristica.

"È davvero la prima volta che è stata riportata una storia che riguarda il CSE come agenzia principale in un programma di vera e propria sorveglianza di massa," ha affermato Glenn Greenwald, report di The Intercept, alla CBC.

Da dove provengono tutti quei dati?

Piuttosto che monitorare ogni sito di file sharing, il documento parla di una "special source" a cui si fa rifermento solo con il nome in codice ATOMIC BANJO, responsabile della raccolta di "metadata HTTP" da 102 siti di file sharing (Sendspace, Rapidshare e il defunto Megaupload sono gli unici tre nominati per nome).

"ATOMIC BANJO solitamente fa riferimento all'accesso a data store o ai data flow, quindi gli ISP o i data center o qualcosa del genere. Reti di cavi transatlantici," ha affermato Christopher Parsons, di Citizen Lab, esperto di sorveglianza e altre questioni legate alle policy digitali. "L'accesso è dichiarato in termini contrattuali o in pagamenti monetari, o cose del genere. Questo per dire che qualcuno all'interno delle organizzazioni di questa "special source" sono a conoscenza di cosa stia accadendo."

Un esempio è la relazione della NSA con AT&T e Verizon negli Stati Uniti, in cui le due compagnie erano complici nella consegna di dati dei clienti.

Sicuramente questa "special source" è stata usata spesso dalle agenzie di intelligence dei Five Eyes in documenti già diffusi in passato da Snowden come nome in codice per accedere all'infrastruttura delle comunicazioni globali, come i cavi delle fibre ottiche. Per esempio, un documento della NSA descrive un programma chiamato RAMPART che si affida a "Special Source Operations" e per mezzo del quale "dei partner esteri forniscono accesso di cavi e altro per il trasporto, il trattamento e l'analisi."

Secondo un report del 2013 del Guardian un programma della GCHQ chiamato Tempora ha la capacità di raccogliere "enormi volumi di dati ottenuti dai cavi delle fibre ottiche fino a 30 giorni così che vengano setacciati e analizzati."

Per quanto riguarda il CSE, un documento diffuso da Der Spiegel poco tempo fa descrive "una piattaforma di rilevamento di minacce digitali" chiamata EONBLUE. Secondo il documento EONBLUE era stata sviluppata per otto anni quando il documento venne pubblicato nel 2010, ed è costituito da circa 200 sensori utilizzati in giro per il mondo "tra cui la SPECIALSOURCE."

Ciò che rende EONBLUE rilevante, ha detto Parsons, è il fatto che ora sappiamo che "il Canada ha siti intorno al mondo. E in base a documenti precedenti sulle operazioni della special source, spesso vediamo che viene ottenuto l'accesso a grandi volumi di dati. Quindi è possibile che anche EONBLUE venga usato per accedere a grandi quantità di dati."

Una delle capacità di EONBLUE è quella di raccogliere metadata. Non è chiaro come i metadata raccolti da ATOMIC BANJO siano relazionati ai metadata prodotti da EONBLUE.

"Sicuramente è possibile, ma non c'è una prova definitiva che indichi una diretta correlazione," ha detto Parsons.

Secondo Ryan Foreman, portavoce del CSE, "i segnali esteri di intelligence del CSE hanno giocato un ruolo fondamentale nella scoperta di operazioni estremiste con base all'estero per attrarre, radicalizzare e addestrare individui per effettuare attacchi in Canada e altrove. Rispettando la legge, l'intelligence estera del CSE e le attività di cyber-difesa sono focalizzate su entità straniere per proteggere i canadesi contro le minacce, come quelle di terrorismo e attacchi hacker."

Ovviamente l'agenzia non ha risposto alle domande su LEVITATION né sul fatto se il programma sia ancora in uso.