Sorveglianza di Stato » Il caso di Magic Lantern

Creato dall'FBI agli inizi degli anni 2000, Magic Lantern ha rappresentato una pietra miliare nella storia della cyber-sorveglianza da parte di uno stato nei confronti dei suoi cittadini. Nonostante il suo sviluppo risalga agli albori del nuovo millennio, la sua improvvisa scoperta sollevò interrogativi tecnici ed etici che restano oggetto di discussione ancora oggi.

Il contesto storico

Tra la fine degli anni '90 e l'inizio dei 2000, l'FBI si trovava ad affrontare un problema crescente: i criminali, consapevoli dei tentativi di intercettazione, stavano sempre più utilizzando la crittografia per protegger gli affari e le comunicazioni. Software come PGP fornivano un livello di sicurezza che rendeva difficile intercettare e decrittare messaggi sospetti. L'FBI già si affidava ad altri progetti per la sorveglianza digitale, ad esempio con strumenti quali Carnivore, che permetteva di analizzare il traffico dati direttamente presso i fornitori di servizi Internet. Tuttavia, queste soluzioni richiedevano la collaborazione delle varie società fornitrici dei servizi telefonici, che in alcuni casi si dimostravano riluttanti o sollevavano obiezioni legali e tecniche. Serviva una soluzione che permettesse un passo avanti, bisognava avvicinarsi ancora di più alle fonti.

Cos'è Magic Lantern?

Si trattava di un trojan che, una volta installato su un sistema vittima, intercettava e registrava ogni battitura sulla tastiera (di fatto agendo da keylogger). Il suo obiettivo principale era catturare password e chiavi di decrittazione prima che venissero utilizzate, permettendo agli agenti federali di accedere ai dati cifrati senza dover ricorrere ad attacchi brute-force, oppure intercettare il transito delle mail prima che entrassero nei server dei propri gestori di posta.

Da una sorveglianza "vecchia scuola" allo spyware di stato

Magic Lantern non apparve dal nulla, ma fu il continuo di un tecnologica ben più grande sviluppata inizialmente per supportare Carnivore. Quest'ultimo strumento, il cui sviluppo sembrerebbe risalire al 1995, era un sistema di intercettazione digitale installato presso i fornitori telefonici per monitorare il traffico online, in particolare le email.

Tuttavia, Carnivore richiedeva necessariamente l'accesso alle infrastrutture dei provider e, soprattutto, la loro collaborazione, perciò i federali decisero di sviluppare una soluzione più discreta, ma non meno invasiva.

Di Carnivore parlerò in modo approfondito in un'altra occasione.

Diffusione e metodologie

Secondo quanto trapelato, Magic Lantern veniva inviato ai soggetti ritenuti "di interesse" attraverso email di phishing o tramite allegati malevoli (oggi chiamati comunemente malspam). Sebbene sia noto che l'installazione avvenisse sfruttando "vulnerabilità dei sistemi colpiti", i dettagli tecnici sul funzionamento e sulla raccolta dei dati non sono mai stati dichiarati ufficialmente.

Quanto è stato possibile ipotizzare dalla stampa di settore americana riguarderebbe la possibile ubicazione dei server dell'ufficio federale americano al tempo delle investigazioni. Sarebbe stato ragionevole, racconta Wired in un articolo del 2007 non più disponibile, che i federali avessero utilizzato i loro laboratori in Quantico, Virginia dell'est, come server di cattura del traffico raccolto dai loro strumenti di sorveglianza. Queste supposizioni, naturalmente, non sono mai state commentate né confermate dai portavoce dell'FBI.

La scoperta e le controversie

Magic Lantern venne menzionato per la prima volta in un articolo di Bob Sullivan per il MSNBC il 20 novembre 2001, portando all'attenzione del pubblico l'esistenza di un keylogger sviluppato direttamente dall'FBI. Successivamente, un articolo del 2013 pubblicato sul Daily Host News parlò di come il software potesse essere installato sfruttando vulnerabilità nei sistemi presi di mira online o tramite allegati malevoli inviati via email.

Stando alle dichiarazioni ufficiali, i federali avrebbero utilizzato strumenti come Magic Lantern per condurre investigazioni a seguito di diverse minacce di natura terroristica dirette all'amministrazione di un liceo statunitense.

Le intercettazioni condotte grazie all'uso di Magic Lantern e altri strumenti avrebbero condotto l'FBI al quindicenne Josh Glazebrook, studente presso il Timberline High School di Washington. La scuola aveva denunciato il recapito di varie email minatorie e, da un affidavit depositato al Tribunale distrettuale del distretto di Washington, è emerso l'uso di proetti spyware - come Carnivore - utilizzati con l'intento di raccogliere e contestualizzare i dati raccolti per considerare un dispositivo come "di interesse" o meno.

Grazie ad un decreto emesso da una Corte d'Appello statunitense il 6 luglio 2007, informazioni come siti web visitati o indirizzi IP sono considerabili l'equivalente legale dei numeri di telefono, permettendo al governo di ottenere un'ordinanza dal tribunale per raccoglierli senza giustificato motivo, come sarebbe invece necessario in una perquisizione domestica.

Nel 2002, l'FBI confermerà l'esistenza dello strumento, negandone però l'utilizzo sul campo. Bisognerà attendere fino al 2007 per una dichiarazione ufficiale che confermerà quantomeno l'esistenza di Magic Lantern come parte di un sistema più ampio, reso noto come CIPAV (Computer and Internet Protocol Address Verifier), sviluppato sempre dall'FBI. Questa dichiarazione, tuttavia, non si allargò più di tanto nel descrivere lo scopo di Magic Lantern o del CIPAV, anzi, fu quasi un pretesto per sminuirne l'effettiva credibilità. Essi vennero infatti definiti come parte di un "workbench project", ossia un "progetto ancora in corso di sviluppo", mai sperimentato sul campo.

Implicazioni etiche

Una delle questioni più spinose riguardava l'interazione con i software antivirus.

Ted Bridis, giornalista dell'Associated Press, riferì che Network Associates (società sviluppatrice dei prodotti McAfee) aveva contattato l'FBI per assicurarsi che il loro software antivirus non rilevasse Magic Lantern. Anche se l'azienda smentì questa affermazione, il dibattito sull'effettiva capacità delle aziende antivirus di rilevare il keylogger governativo rimase acceso.

L'uso di spyware commissionati da entità governative pone diverse questioni:

• Backdoor nei software di sicurezza: la possibile collaborazione tra aziende antivirus e l'FBI ha minato la fiducia dei cittadini nei loro prodotti.
• Precedenti per il futuro: Magic Lantern ha dimostrato che le forze dell'ordine erano disposte a usare qualsiasi mezzo per scopi investigativi, aprendo la strada a strumenti più avanzati come i moderni spyware di Stato (es. Pegasus o FinFisher).
• Aspetti legali: la diffusione di malware da parte di un'agenzia governativa solleva interrogativi sul Quarto Emendamento della Costituzione USA (protezione contro perquisizioni e sequestri irragionevoli), nonché sul rispetto del Regolamento Europeo per la Protezione dei Dati.

Magic Lantern in Italia

Nel panorama giornalistico italiano, Magic Lantern fu discusso solo in un paio di occasioni: in un articolo del Corriere della Sera del 2002 e su Focus nel 2004. Dopo queste pubblicazioni, l'attenzione mediatica si affievolì fino a scomparire.

Anche a livello internazionale la discussione su Magic Lantern è svanita quasi del tutto. Su HackerNews, l'ultima menzione del software (escludendo riferimenti all'omonimo firmware fotografico) risale al 2013, con la sola condivisione della pagina Wikipedia da parte di un utente. Ad oggi, nessuno ha commentato quella condivisione.

Curiosamente, il primo articolo che viene citato essere stato il primo a parlare pubblicamente dello spyware, "FBI Develops Eavesdropping Tools" di Ted Bridis per la Associated Press, è ormai introvabile sui motori di ricerca e sui canali ufficiali delle agenzie di stampa.

Solo attraverso una lunga catena di ricerche tra documenti e articoli di giornale è stato possibile recuperarlo:

CRG -- Getting used to the idea of double standards: The underlying maxim is “we will punish the crimes of our enemies and reward the crimes of our friends”

Tariq Ali. On a trip to Pakistan a few years ago I was talking to a former general about the militant Islamist groups in the region. I asked him why these people, who had happily accepted funds and weapons from the United States throughout the Cold War, had become violently anti-American overnight. He explained that they were not alone. Many Pakistani officers who had served the US loyally from 1951 onwards felt humiliated by Washington’s indifference.

Getting used to the idea of double standards: The underlying maxim is "we will punish the crimes of our enemies and reward the crimes of our friends"

Un tramonto fuori dai riflettori

Verso la fine degli anni 2000, a seguito della sua assimilazione all'interno del CIPAV (di cui parlerò approfonditamente in futuro), il focus della sorveglianza digitale si spostò su tecnologie più avanzate, facendo scomparire progressivamente Magic Lantern dal dibattito pubblico.

Se e come strumenti simili siano ancora in uso resta un interrogativo aperto, ma la lezione di Magic Lantern deve continuare a essere un monito su come la tecnologia possa essere utilizzata sia per proteggere che per minacciare le libertà individuali.

Vorrei concludere tentando di controbattere a tutte quelle persone che sarebbero favorevoli, almeno in teoria, ad una sorveglianza massiva - e perché no, da parte del proprio stato - con una citazione di Edward Snowden, che ritengo rappresenti in modo capillare il loro punto di vista sull'argomento: