I bit sono bit. Non hanno con sé certificazioni di origine. “Non vengono naturalmente accompagnati da restrizioni di utilizzo, o da informazioni sul loro autore. Ogni tentativo di superare questa limitazione è destinato a fallire”. A dirlo è il guru della sicurezza informatica Bruce Schneier . I bit sono bit, è il suo mantra, e la lezione risulta essere che tra identificazione e attribuzione l’unica scelta possibile è accettare l’anonimato.
Il nuovo lungo intervento pubblicato sul suo blog fa parte di in un botta e risposta che Schneier ha avuto con un altro esperto di sicurezza, Marcus Ranum , a proposito dell’opportunità o meno di meccanismi per eliminare l’anonimato in Rete.
La questione è di estrema attualità: nel dibattito in corso sui reati commessi nel o attraverso Internet, spesso “l’identificazione universale degli utenti è dipinta come il santo graal della sicurezza”, in una logica dalla linearità schiacciante. L’anonimato è cattivo ed eliminandolo potremmo sempre individuare gli autori di cyberattacchi o di semplice spam. Il problema, spiega Schneier, è che non funzionerebbe. L’identificazione universale è impossibile. Così come l’attribuzione, il tentativo cioè di sancire a priori che qualcuno sia responsabile per determinati computer o server o settori di Internet.
Se da un lato, infatti, l’anonimato resta una necessità della Rete, soprattutto nei casi in cui serva per combattere contro censura e oppressione, dall’altro ogni tentativo risulterebbe, se non tecnicamente impossibile, quanto meno eccessivamente costoso e praticamente inefficace . Non esistono sistemi che non si possano hackerare. Uno schema rigido di identificazione (o attribuzione) non farebbe altro che dare modi diversi ai criminali e agli hacker di aggirare il sistema.
“Le magiche credenziali”, necessarie a stabilire un legame fra le persona nel mondo reale e il netizen, dovranno in ogni caso essere legate a documenti legali (carte di identità, patenti di guida), e dovranno essere utilizzabili anche fuori dalla propria abitazione (con reti WiFi o in Internet Café, tanto per fare degli esempi). Dovranno, inoltre, essere gestite da qualche specie di ente amministrativo. E per tutte queste caratteristiche saranno soggette a furti, smarrimenti e contraffazioni. “Anche ipotizzando un mondo magico in cui ogni pacchetto Internet può essere seguito fino alla propria origine – aggiunge – ci sarà ancora un grande gap tra sapere che un determinato pacchetto ha provenienza da un determinato computer e stabilire che dietro c’era la persona intitolata alla responsabilità”.
“Ogni tentativo di abolire l’anonimato da Internet non avrà alcun effetto su coloro che hanno le competenze (e l’intenzione) per bypassarlo, costerà miliardi e potrà solo avere effetti negativi per la sicurezza”. Accettare questi punti, afferma Schneier arrivando alla proposta sulla linea di condotta da seguire, “accettare che ci sarà sempre anonimato in Internet e accettare di non poter mai sapere da dove vengono determinati bit” significa potersi “concentrare sui problemi che si possono affrontare: software che assicurino sui dati che si ricevono, sistemi di identificazione abbastanza sicuri da rischi. Fare meglio, insomma, di quanto stiamo facendo per migliorare la sicurezza invece di cercare di risolvere problemi insolubili”.
Il problema dell’identificazione e dell’attribuzione è lo stesso dei sistemi di DRM a difesa del copyright : non funzionano perché “come è impossibile rendere specifici bit non copiabili, così è impossibile sapere da dove vengono specifici bit. I bit sono bit”. E così come l’industria musicale ha bisogno di trovare un nuovo modello di business, così la legge e i governi devono capire che non funzioneranno mai i sistemi di identificazione applicati ad Internet e che “nel bene e nel male, qualsiasi cosa tu possa desiderare, ci sarà sempre anonimato in Internet”.
Claudio Tamburrino