mercoledì 25 gennaio 2017

Il ritorno di Lavabit, la casella email a prova di spia che piace a Snowden

repubblica.it
di ROSITA RIJTANO

Chiusa nel 2013 per "proteggere la privacy dei propri utenti", ora è pronta a riaprire e promette di "rendere la cifratura end-to-end una realtà automatica, ubiqua e open source"

LAVABIT è in marcia sulla via del ritorno. Era la posta elettronica cifrata usata da Edward Snowden, il whistleblower che ha avuto il merito di far conoscere al mondo la sorveglianza di massa e indiscriminata portata avanti dall'Agenzia per la sicurezza nazionale statunitense (Nsa). Chiusa nel 2013, ora è pronta a riaprire. Ad annunciarlo è lo stesso fondatore, Ladar Levison, in un post scritto sul nuovo sito del servizio. Una lettera destinata a "cittadini e vecchi utenti", pubblicata il giorno del giuramento del quarantacinquesimo presidente degli Stati Uniti: Donald Trump.

La scelta dei tempi non sembra casuale sottolinea il sito specializzato in tecnologia The Verge, dato che con la sua elezione Trump "ha ereditato un apparato di sorveglianza potente e massivo". Ed è lecito supporre un potenziamento della vigilanza, considerate le prese di posizione del miliardario durante la campagna elettorale. Come la proposta di boicottare Apple fino a che l'azienda non avesse sbloccato l'iPhone dell'attentatore di San Bernardino.

La situazione di certo non migliora più vicino a noi. Con il Regno Unito che di recente "ha concesso alla propria polizia e alle proprie agenzie di intelligence poteri senza precedenti per monitorare i cittadini". Per non parlare degli hackeraggi che mettono continuamente a rischio i nostri dati personali. Un esempio è il caso Yahoo! (ora acquistata da Verizon): oltre un miliardo gli utenti esposti dalla "falla informatica più grande di sempre".

"Molto è cambiato da quando ho deciso di serrare i battenti", racconta Levison, "ma molto non lo è nel nostro mondo post-Snowden. L'email continua a essere il cuore della nostra identità digitale. Ma, come evidenziato da recenti incredibili titoli giornalistici, rimane insicura, inaffidabile e facilmente leggibile da un attaccante".

Nel quadro del braccio di ferro tra autorità Usa e compagnie hi-tech in merito alla protezione della privacy, la storia di Lavabit è una delle più significative. È l'agosto del 2013, siamo in pieno scandalo datagate, quando Levison decide di interrompere il servizio che in quel momento conta circa 410mila utilizzatori. Il motivo? Il governo Usa gli ha chiesto di fornire le chiavi crittografiche del sistema: avrebbero consentito agli agenti di leggere le email degli utenti. Secondo quanto ha ricostruito Wired Usa, l'obiettivo delle autorità era Edward Snowden.

Ma tutto ciò che riescono a ottenere è un documento stampato in caratteri microscopici. Viene giudicato "illeggibile". Le pressioni però non finiscono, così Levison decide di mettere un punto. "Sono stato messo davanti a una decisione difficile", prosegue, "o violare i diritti degli americani e dei miei utenti globali o chiudere. Ho scelto la libertà".

Oggi Lavabit "is back". E si propone di "rendere la cifratura end-to-end una realtà automatica, ubiqua e open source". Perché il sistema sia a prova di intrusioni hanno lavorato sui punti deboli. "Se funzionerà come descritto nel sito - spiega a Repubblica Stefano Zanero, professore associato del Politecnico di Milano -, hanno adottato un'architettura che rende impossibile rivelare la chiave che cifra la connessione tra l'utente e i server della casella di posta". Mentre le chiavi che codificano i messaggi da mittente a destinatario saranno conservate nelle macchine degli utilizzatori, perciò Lavabit non le conoscerà.

"È una lezione importante che le aziende fornitrici di servizi dovrebbero cercare di applicare", conclude Zanero, "limitare la raccolta di dati non solo aiuta a resistere alle eventuali richieste di sorveglianza da parte delle autorità, ma pure a non essere vittime di catastrofici furti di dati da parte di terzi". Inizialmente, Lavabit sarà disponibile solo per chi l'aveva già. Chi vuole un nuovo account deve pre-registrarsi (per un anno: 15 dollari per 5 gigabyte di memoria, 30 per 20; si può pagare anche in Bitcoin).

La resuscitata casella di posta dovrà far fronte alla concorrenza agguerrita di offerte che sono fiorite post ciclone Nsa, come ProtonMail. Ma può contare sulla pubblicità del vecchio fruitore illustre, Snowden: a The Intercept ha rivelato che riattiverà la propria email "anche solo per sostenere il coraggio" dei ragazzi di Lavabit. Per commentare l'effettiva sicurezza del servizio, però, sta aspettando che sia online.