Il giornalismo nell’era della crittografia

6 Aprile 2018 • Digitale, In evidenza, Ricerca sui media • by

bluecoat.com / Flickr CC / BY-SA 2.0)

È “tempo che i giornalisti cifrino tutto”, raccomandava Kate Krauss su Wired nel marzo del 2017. Negli anni successivi alla pubblicazione delle rivelazioni di Snowden, le tecniche di crittografia applicate al giornalismo sono oggetto di grande interesse e strumenti come Telegram, Signal o WhatsApp hanno conquistato le prime pagine dei giornali. Molti strumenti sicuri di questo tipo sono ora a disposizione dei giornalisti e non (solo) per quelli che si occupano di giornalismo investigativo in Paesi ad alto rischio. Non servono lunghe ricerche su Internet per scoprire diverse iniziative di Ong o think thank che offrono “cassette degli attrezzi” per i giornalisti che desiderano muovere i primi passi nel campo delle tecnologie della comunicazione cifrata, come, per esempio, il programma Surveillance Self-Defense della Electronic Frontier Foundation, o altri, come questo o questo.

L’era della “crittografia per tutti”?
“Indipendentemente dal tipo di giornalismo di cui ti occupi, è nel tuo interesse provare almeno a sperimentare la crittografia e la cybersecurity prima di trovarti ad averne effettivamente bisogno”, suggeriva Lauren Kirchner sulla Columbia Journalism Review nel 2013. Ma siamo davvero entrati nell’era della diffusione su larga scala della crittografia nel giornalismo? In che modo le parti interessate rendono “proprie” queste nuove tecnologie? A questo punto della nostra ricerca non abbiamo l’ambizione che essa sia già rappresentativa, tuttavia possiamo far luce su questo fenomeno grazie ad alcuni elementi del lavoro che stiamo conducendo con NEXTLEAP, un progetto di ricerca europeo incentrato proprio sui protocolli di messaggistica sicura.

NEXTLEAP non si concentra esclusivamente sui giornalisti e il loro uso della crittografia e, adottando gli approcci degli studi sulla scienza e la tecnologia (STS), il nostro progetto mira a fornire una descrizione analitica approfondita di un settore in rapida evoluzione – quello della “crittografia per le masse” – tramite interviste con sviluppatori, trainer di sicurezza digitale, Ong e fondazioni, nonché utenti con differenti profili. Al momento, e da quando NEXTLEAP è partito nel 2016, abbiamo intrapreso alcuni periodi di ricerca etnografica “dal vivo” e online con alcuni team di sviluppatori e abbiamo condotto 53 interviste semi-strutturate. Fra questi ci sono anche diversi giornalisti europei e mediorientali, il cui ambiente di lavoro può essere definito rischioso, soprattutto in contesti nazionali come quello ucraino, iraniano o egiziano. Finora la nostra ricerca suggerisce che, nonostante un certo scetticismo nella professione, l’adozione della crittografia è associata ad un sentimento di responsabilità condivisa.

La crittografia e i suoi limiti
Secondo i risultati preliminari del nostro progetto, gli strumenti di messaggistica di crittografia forte sono utilizzati principalmente per motivi organizzativi, per esempio come alternativa a Google Groups o alle mailing list. Molti di questi sistemi, infatti, sono dotati di funzioni utili come le “chat di gruppo”, che permettono conversazioni collettive. A questi vanno aggiunti quei progetti che offrono uno storage sicuro dei dati, come per esempio SecureDrop, che mira a creare collegamenti sicuri ed efficaci fra i giornalisti, le loro fonti o i whistleblower.

Tuttavia, il nostro lavoro mostra anche che un importante numero di utenti intervistati che non padroneggia i dettagli tecnici (fra questi molti giornalisti) è anche scettico nei confronti di questi strumenti presi nel loro complesso. Questo punto conferma i risultati emersi da uno studio precedente presentato alla conferenza IEEE su Sicurezza e Privacy nel 2017 e dedicato proprio all’uso degli strumenti crittografici end-to-end (un protocollo di crittografia in cui solo le persone che comunicano possono leggere il contenuto del messaggio, ndr): lo studio concludeva che la maggior parte degli utenti non crede che gli strumenti di sicurezza possano offrire un buon livello di protezione dagli avversari “potenti e ben informati”, come gli Stati o i giganti della rete. A questo proposito, uno dei nostri intervistati, un giornalista europeo che si occupa di conflitti in Medio Oriente, ha fatto notare come uno strumento di comunicazione davvero sicuro dovrebbe far sparire ogni singola traccia di una conversazione e non solo cifrarne il contenuto.

Più utenti più sicurezza
Tuttavia il potenziale politico di questi strumenti non passa inosservato, così come le loro capacità di empowerment dei cittadini. La necessità di diffondere su larga scala le tecniche di crittografia, con lo scopo di renderle ancora più sicure, applicandole a strumenti di messaggistica designati specificatamente al grande pubblico, non è sfuggito all’attenzione dei nostri intervistati, che vi vedono un argomento a favore. In questa prospettiva, l’utilizzo della crittografia è inteso come un gesto da “buoni cittadini” che uniscono le forze con un importante numero di azioni simili.

Infatti più utenti scelgono gli strumenti di crittografia end-to-end, più l’adozione di questi diventerà sicura per tutti, specialmente per gli utenti ad alto rischio, la cui libertà, e spesso la cui vita, potrebbero dipendere proprio da questo. Per esempio, un giornalista residente in Austria (quindi “a basso rischio” secondo i nostri criteri), specializzato in questioni tecnologiche, ci ha confidato: “Immaginiamo che io non abbia nulla da nascondere, ma uso lo stesso le app di crittografia end-to-end. Così facendo, usando queste applicazioni, sento di aiutare qualcuno, come i whistleblower che, al contrario, devono nascondersi, quando uso la crittografia per tutte le mie comunicazioni”. Ricorrere alla crittografia “di massa” sarebbe quindi ancora una volta una questione di responsabilità condivisa. Un trainer e consulente di sicurezza, che supervisiona i giornalisti che lavorano in zone ad alto rischio come l’Ucraina, al riguardo ha aggiunto, intervistato per la nostra ricerca: “più persone usano la crittografia più dispendioso sarà per i governi leggere tutto. Non stiamo parlando di raggiungere il 100% di sicurezza, perché questo semplicemente non esiste! Stiamo parlando di far sprecare loro tempo e denaro per decifrare la nostra roba e alla fine far leggere loro inviti a mangiare una pizza con gli amici”.

Alcuni consigli per i giornalisti
Basandoci non solo sul materiale raccolto sui giornalisti, ma più globalmente sulla complessità di quanto ottenuto fin qui, crediamo di poter trarre alcuni insegnamenti dai nostri risultati preliminari, che potrebbero essere utili per i giornalisti nel loro approccio agli strumenti di crittografia. Quello che occorre in primis è adottare un approccio olistico alla sicurezza online: poiché gli strumenti non sono mai sicuri al 100%, dobbiamo ripensare e modificare il modo in cui solitamente usiamo le tecnologie, la comunicazione e l’informazione come strumenti di supporto alla professione giornalistica, dal telefono al computer, dalla fotocamera ai servi di archiviazione.

I nostri modelli di utilizzo, in particolare, possono essere problematici nel tempo: un giornalista in viaggio in un Paese con un contesto politico teso – a causa per esempio della sua cronologia di navigazione, dell’attività su Facebook, o delle parole chiave usate su un motore di ricerca – può mettere le sue fonti in pericolo, o divulgare inconsapevolmente informazioni confidenziali. Occorre quindi fare attenzione alle nostre abitudini sul web e sui social network usando in maniera intelligente il set di parametri relativi alla confidenzialità e cancellando regolarmente i cookies e la cronologia nel nostro browser.

Il noto mantra “non ho niente da nascondere” si è dimostrato problematico per gli utenti di Internet – soprattutto per i giornalisti, che fanno parte di una complessa rete comunicativa che include anche i loro colleghi, le redazioni, le fonti, i differenti macchinari utilizzati e i luoghi dove lavorano (come caffè o aeroporti con una rete WiFi pubblica). Poiché il livello di rischio è relazionale e condiviso, occorre allineare le nostre pratiche al più alto livello di rischio per poter assumere di essere sicuri. Nel nostro ambito di lavoro abbiamo visto come la stessa comunità tecnica non abbia piena fiducia nelle soluzioni tecnologiche esistenti; ci sono ancora diverse vulnerabilità e problemi crittografici irrisolti, specialmente per quanto riguarda i metadati.

Anche se protocolli specifici vengono fissati e standardizzati (attraverso processi istituzionali o de facto), gli strumenti di per sé non potranno mai garantire sicurezza e anonimato assoluti per i giornalisti e le loro fonti se questi non sono accompagnati da un contesto legale che supporti la protezione del diritto degli utenti alla privacy e alla crittografia. Tale questione è stata recentemente sollevata, per esempio, dal Consiglio Nazionale Francese per gli Affari Digitali (Conseil national du numérique).

Fare giornalismo nell’era post-Snowden
I nostri risultati preliminari, che abbiamo tracciato in questo articolo, mostrano che l’era della crittografia pone in modi innovativi una questione che è al centro delle preoccupazioni dei giornalisti sin dagli albori della professione: confidenzialità e protezione delle fonti. I giornalisti – e non solo quelli investigativi che lavorano in Paesi ad alto rischio – ora hanno a portata di mano una gamma di opzioni fra le quali scegliere quelle che meglio si adattano alla loro particolare situazione, il che li porta a riflettere sull’evoluzione di nozioni come fiducia e responsabilità collettiva. Una riflessione che di certo diventerà sempre più articolata nel momento in cui, nell’era post-Snowden, la crittografia è diventata una questione politica e uno strumento sempre più disponibile al grande pubblico.

Quale livello di autonomia per quale soluzione tecnica?
I più popolari sistemi di messaggistica cifrata, come Telegram, Signal o Wire, hanno un importante e crescente numero di utenti. Tuttavia si basano su un’architettura tecnica centralizzata – il che vuol dire che i dati transitano attraverso un punto di passaggio obbligatorio (in genere una server farm sotto il controllo dell’azienda che fornisce il servizio). Tuttavia, alcuni sviluppatori oggi stanno sperimentando soluzioni decentralizzate che possano essere utilizzate efficacemente dai giornalisti. Queste architetture tecniche alternative garantiscono maggiore autonomia agli utenti, consentendo loro di gestire e controllare i propri dati e metadati.

Il principale sviluppatore dello strumento di messaggistica sicura ChatSecure afferma a questo proposto: “so che ci sono organizzazioni di giornalisti che gestiscono server propri. Mi piacerebbe permettere alle persone di gestire il più possibile l’infrastruttura attorno ai loro dati. Ci sono altri grandi strumenti per la cifratura, […] ma in ogni caso non si possiede mai davvero i propri dati, dato che tutti i metadati sono controllati da un sistema centrale”. Inoltre, ci sono soluzioni cloud-based come Pixelated, dove la responsabilità resta nelle mani del servizio di hosting più che in quelle degli utenti individuali. Infatti, e nonostante la sfida della comunità tecnica al cloud, questo tipo di strumento può essere prezioso per gli utenti, come i giornalisti, che rischiano di ritrovare i loro device sotto controllo.Uno degli sviluppatori di Pixelated spiega: “immagina di essere un giornalista. Se viaggi per un reportage e attraversi dei confini probabilmente non hai sempre a portata di mano un device affidabile, e forse nemmeno lo vuoi avere. Quindi ecco che ha senso avere un [mezzo di comunicazione] gestito da un host e poter dire, solo temporaneamente o in modo permanente, metterò la mia fiducia, I miei dati più sensibili […] sul web”.

Per qualsiasi giornalista privo di particolari capacità tecniche la scelta fra questi diversi strumenti e l’acquisizione della capacità di usarli può essere difficile. Tuttavia due cose gli renderanno il compito più facile nel prossimo futuro: una più chiara consapevolezza delle esigenze professionali e dei propri “avversari” da una parte, e, dall’altra, la recente tendenza degli sviluppatori a lavorare per rendere queste soluzioni più adatte e accessibili al grande pubblico.

Articolo pubblicato originariamente in francese e disponibile qui. Traduzione a cura di Giulia Quarta

Tags:, , , , , , ,