Lo United Kingdom’s Government Communications Headquarters (GCHQ) ha cercato, con l’operazione Karma Police che prende il nome dall’omonima canzone dei Radiohead, di monitorare le sessioni di navigazione online di ogni netizen del mondo .
L’agenzia di spionaggio britannica è stata direttamente coinvolta nel datagate con NSA, con diverse rivelazioni dell’ex contractor Edward Snowden che la mettevano tra i diretti responsabili di alcune operazioni di intercettazioni di massa condotte soprattutto nel Vecchio Continente. Secondo le ultime rivelazioni sulle attività dell’agenzia di spionaggio pubblicate da The Intercept , tuttavia, sembra che gli obiettivi dell’agenzia di intelligence sarebbero stati molto più estesi dei confini europei: chiunque abbia usato Internet dopo il 2007 in qualsiasi parte del momento potrebbe essere stato spiato e tracciato da GCHQ.
Nelle slide pubblicate da The Intercept vengono infatti delineati i dettagli del programma “Karma Police”, definito dall’agenzia stessa “la più grande operazione a livello mondiale di data mining sul World Wide Web”, che ha l’obiettivo di tracciare potenzialmente le abitudini di “ogni utente visibile su Internet”.
L’operazione è iniziata nel 2007 con l’obiettivo di controllare solo gli utenti delle radio in streaming e verificare come queste potessero essere sfruttate dai gruppi radicali per diffondere i loro messaggi: l’intelligence britannica ha cominciato raccogliendo dati sugli ascoltatori di streaming dedicati a contenuti legati alla religione islamica, risalendo alle loro identità sui social media ed ai loro account Skype.
L’operazione, tuttavia, era stata talmente di successo da convincere la GCHQ ad estenderla agli utenti di altri siti: tra questi Cryptome.org e il sito pornografico RedTube .
In questo modo l’agenzia è arrivata a raccogliere nei propri archivi, già nel 2009, più di 1,1 trilione di “eventi”, così come vengono definite le singole sessioni di navigazione di un netizen. Entro il 2010 queste erano poi cresciute fino a 30 miliardi di record al giorno, arrivando nel 2012 a superare i 50 miliardi al giorno: da questi metadati relativi al traffico Internet, l’operazione Karma Police estrapolava gli indirizzi IP coinvolti, i cookie dei siti navigati (chiamati nei documenti delle spie “eventi di presenza”) ed in base all’incrocio di questi poteva profilare gli utenti ed eventualmente associarli ad indirizzi email ed altri dati identificati raccolti durante la navigazione.
Il tutto, senza una specifica correlazione tra sospettati ed operazione di spionaggio: l’operazione sembra essere stata condotta anche senza considerazione circa l’inefficienza di un sistema che sembra mettere in un grande calderone profili di traffico molto diversi tra loro. Non aiutando dunque molto le possibili indagini o l’identificazione di profili sospetti.
Quel che è più grave è che il tutto è stato condotto senza considerazione per la privacy violata dalle intercettazioni di massa, o senza alcun permesso delle autorità o scrutinio pubblico. D’altra parte anche se l’agenzia di spionaggio parla di “metadati aggregati” è evidente che la quantità di dati sensibili, username, password ecc. raccolti avrebbe avuto bisogno di tutele e avrebbe dovuto comportare un bilanciamento dei diritti e delle istanze in gioco.
Claudio Tamburrino
Ti potrebbe interessare
28 set 2015