La scorsa settimana, i cittadini russi hanno iniziato a ricevere istruzioni per scaricare un browser web approvato dal governo, o cambiare le impostazioni di base del loro browser, secondo le istruzioni emesse dal Ministero dello sviluppo digitale e delle comunicazioni del loro governo.
Da un lato, questi cambiamenti possono essere necessari ai russi per accedere ai servizi governativi e ai siti web colpiti dalle sanzioni internazionali. Tuttavia, è uno sviluppo preoccupante: la misura provvisoria dello stato russo per mantenere i suoi servizi in funzione permette anche di spiare i russi, ora e in futuro.
Le entità di governance di Internet ICANN e RIPE hanno respinto le richieste dell’Ucraina di revocare i domini di primo livello russi, l’accesso ai root server del Domain Name System e i suoi indirizzi IP. Tuttavia, le sanzioni internazionali hanno pesantemente colpito l’infrastruttura internet della Russia. In parte, questo è successo perché le autorità di certificazione (CA), i notai di fiducia che sostengono la sicurezza dei dati sul web, hanno iniziato a rifiutare gli ordini dai domini che terminano in “.ru“, e hanno revocato i certificati delle banche con sede in Russia. Poiché le CA internazionali come Digicert e Sectigo hanno in gran parte smesso di lavorare per i siti web russi, il governo russo è intervenuto e ha suggerito ai cittadini di installare la sua “Russian Trusted Root CA“.
Mentre le capacità della nuova autorità di certificazione radice russa non sono completamente chiare, il certificato è valido per dieci anni. Ha la capacità non solo di emettere certificati per i domini; può anche ispezionare il traffico degli utenti che comunicano con quei domini.
Il nuovo “Russian Trusted Root CA” non scadrà per 10 anni
Anche se questo nuovo root CA sponsorizzato dallo stato è stato apparentemente spinto dalle sanzioni internazionali contro la Russia, il governo russo ha da tempo mostrato segni di volere più controllo sulle infrastrutture internet. La Russia ha approvato una legge sulla censura di “internet sovrano” nel 2019, e l’anno scorso il governo russo ha fatto un test per vedere se poteva disconnettersi da internet globale.
Internet non è solo linee di trasmissione e centri dati. L’infrastruttura di internet include anche servizi tecnici come i resolver del Domain Name System, le CA, i gateway internet e i registri di dominio. Sarà difficile per lo stato russo creare versioni interamente nazionali e controllate dallo stato di tutti questi servizi. Ma gli incentivi a provare stanno crescendo. Per esempio, il produttore di hardware di rete Cisco ha recentemente tagliato i legami con le aziende russe in risposta all’invasione dell’Ucraina, rendendo chiaro che la Russia non può contare su Cisco per aiutare la sorveglianza e la censura interna (ironicamente, Cisco non ha avuto remore ad assistere altri regimi con la censura, e infatti ha avuto un ruolo centrale nello sviluppo della tecnologia personalizzata necessaria per costruire il “Grande Firewall” della Cina).
Una qualche versione di un internet nazionale autonomo – la cosiddetta “splinternet” – può essere descritta in termini di autosufficienza nazionale, ma inevitabilmente viene con opportunità di sorveglianza statale. La Russia non è il primo paese a provarci. Nel 2019, il Kazakistan ha tentato una sorveglianza a tappeto con un proprio certificato di radice. Lo stato iraniano ha proposto un disegno di legge per controllare i “gateway internazionali“, quindi il traffico in uscita del paese sarebbe diretto attraverso un’agenzia ad hoc controllata dalle forze armate e dalle agenzie di sicurezza. Nell’UE c’è una proposta di rendere obbligatorie le CA governative nei browser, senza possibilità di sfidare o garantire la sicurezza e l’autonomia dei browser – in nome della sicurezza degli utenti. Questi sono tutti tentativi di creare confini all’interno di internet, e stabiliscono pericolosi modelli per altri governi da eseguire.
Non sappiamo quando o se la Russia si disconnetterà da internet all’estero – o se questo è possibile. Ma per il popolo russo, compresi i molti che si oppongono all’invasione dell’Ucraina, la sicurezza digitale è già stata messa a rischio. L’autorità di certificazione che i russi hanno ricevuto l’ordine di installare apre la strada a un decennio di sorveglianza digitale, con il potere di bypassare le misure di privacy crittografica su cui ogni utente di internet fa affidamento.
