Progetto Winston Smith

Il Progetto Winston Smith (PWS) è un progetto informatico ed informativo per la difesa dei diritti civili in Internet nell'era digitale. Nasce nel 1999 come associazione anonima, ed è caratterizzato dalla mancanza di un'identità di riferimento fisica.

Progetto Winston Smith (PWS) sito web
URL	www.winstonsmith.info
Tipo di sito	privacy diritti digitali diritto alla conoscenza
Registrazione	no
Commerciale	no
Proprietario	associazione anonima
Lancio	1999
Stato attuale	attivo
Slogan	Scolleghiamo il Grande Fratello

Il nome è ispirato al protagonista del romanzo 1984 di George Orwell. Il riferimento alla distopia orwelliana è supportato dal motto del PWS: "Scolleghiamo il grande fratello", che affianca l'altro motto, più generalista, di "La paranoia è una virtù".

Il PWS si pone obiettivi sia pratici che informativi, sensibilizzando gli utenti della Rete sui rischi legati alle violazioni della privacy in Internet e alla libertà di parola. Operativamente si impegna nella diffusione di strumenti informatici che garantiscono agli utilizzatori la riservatezza delle comunicazioni, l'anonimato in rete e la libertà di parola utilizzando tecnologie che impediscono la censura.

Da aprile 2009 è iniziata una collaborazione con PeaceReporter. Il PWS ha spiegato alla cooperativa di giornalisti il funzionamento delle tecnologie d'anonimato, necessarie per garantire una diffusione dell'informazione non censurata, producendo una pagina esplicativa sul loro sito: I principi dell'informazione libera online^[1][2].

Il PWS ha realizzato e gestisce le iniziative:

Il convegno eprivacy

il convegno annuale dedicato ai problemi della privacy nell'era digitale^[3]

Il premio Big Brother Awards Italia

È un premio "in negativo" che viene assegnato a chi più ha danneggiato la privacy^[4]

Il progetto Privacy Box

Il progetto che si propone di realizzare un'appliance per la privacy: ovvero realizzare una scatola con un solo bottone, da tenere sempre accesa, che collegata alla ADSL fornisca un firewall, servizi di rete locale, il server web, il server di posta, e nel frattempo lavori anche per il bene di tutti facendo girare un anonymous remailer od altri servizi per la privacy^[5].

Il progetto novantacinquepercento

realizzare un'alta affidabilità per mezzo di componenti "casalinghi" (tipicamente con un'affidabilità inferiore al 95%) così da bloccare le violazioni quotidiane alla privacy causate da una data retention selvaggia^[6].

Obiettivi del Progetto Winston Smith

La tesi sostenuta dal PWS è: Il Grande fratello descritto nel romanzo di George Orwell sta prendendo forma gradualmente, passivamente e con l'accettazione da parte delle persone. Il modo con cui viene inserito gradualmente nelle vite è molto spesso quello della falsa dicotomia "è giusto sacrificare la propria privacy in cambio di una maggiore sicurezza".

Le parole di esperti di sicurezza come Bruce Schneier, e fatti deplorevoli come lo Scandalo Telecom-Sismi, provano piuttosto la tesi che una entità che possa controllare le telecomunicazioni acquisisce un potere totalitario de facto, indipendentemente dalla situazione politica e da altri elementi al contorno. Ai fini della sicurezza delle persone, la sola esistenza di un tale organo di controllo è un elemento di insicurezza.

Poiché gli organi di potere e l'ignoranza in materia di sicurezza dei cittadini spingono ad un uso del tecnocontrollo sempre più lesivo per i diritti umani, il PWS provvede a diffondere strumenti che proteggano l'utente a priori da questi rischi. Questi strumenti esistono grazie al fatto che Internet si basa su tecnologie aperte.

La sicurezza individuale si può ottenere solo con un uso di strumenti di protezione installati sul proprio computer: non la si può delegare a terze parti, come, ad esempio, gli Internet Service Provider o i gestori di servizi Internet.

La cifratura e l'anonimato tecnologico sono i due strumenti che il PWS vuole diffondere. Ottenerle è possibile tramite software che rispetta le linee guida del software sicuro, che sono:

• Il software utilizzato (sistema operativo compreso) deve essere a codice aperto, così che l'utente, se in grado di farlo, possa verificarne il comportamento effettivo.
• gli algoritmi di crittografia utilizzati devono essere pubblici. In questo modo la comunità può effettuarne l'analisi matematica (crittanalisi) e lo studio di potenziali attacchi, al fine di consentire un continuo miglioramento.

Se una di queste condizioni viene a mancare il software non può ritenersi sicuro, perché affidato a Sicurezza tramite segretezza, che non si è mai rivelata un paradigma valido ai sensi della scienza della sicurezza. Vicende come JAP^[7], PGP 5.x e 6.x^[8] hanno dimostrato l'inaffidabilità di questo modello.

Per coerenza con le tecnologie divulgate, il sito del PWS non è esposto su Internet, ma su Freenet all'URI freenet:USK@RU-C2q5kN7K62WO3seMMjSTUY8izF2vCFyVFOnLf~Q0,wxvGO2QMT6IN9c7dNUhHeHnXVVwhq8YLbQL~DlMA7YE,AQACAAE/pws/3

È tuttavia presente un mirror aggiornato su Internet per favorire una maggior accessibilità.^[9]

Per lo stesso motivo, per contattare collettivamente i membri del PWS non si utilizza un indirizzo e-mail convenzionale, ma il nym alias ws@nym.panta-rhei.eu.org, la chiave PGP è pubblicata su keyserver^[10].

Le risorse del progetto

Per garantire l'anonimato in rete, ci si affida principalmente alla tecnologia delle Mix-net studiata da David Chaum nel 1981. Queste tecnologie richiedono che le risorse degli utenti siano usate in modo collaborativo. La condivisione reciproca delle risorse, per mezzo di algoritmi sicuri, garantisce che un attaccante in grado di controllare la rete passivamente (leggendo tutto il traffico in ogni segmento) ed attivamente (potendo generare del traffico arbitrario), non riesca a scoprire l'identità di un individuo che si protegge all'interno di una mixnet.

Anonymous remailer, TOR e Freenet si basano su questi concetti evoluti e rielaborati negli anni.

Il funzionamento di queste reti si basa sulla collaborazione e sulla fruibilità di risorse condivise. Per garantire una parte delle risorse necessarie al funzionamento, il PWS collaborando anche con altre entità della Rete mette a disposizione 8 server dedicati alla fornitura di servizi per la privacy e l'anonimato^[11].

La proposta di legge contro la Data Retention

Durante il convegno annuale organizzato nel 2005 da Bileta,^[12] associazione attiva dal 1986 per lo studio delle leggi legate alla tecnologia sul territorio irlandese e inglese, il PWS ha presentato uno studio sulla data retention^[13].

La data retention è la raccolta automatizzata di dati al fine di poter supportare gli organi di indagine in caso di eventuali investigazioni. Prima delle riforme sulla sicurezza, era necessario un decreto emesso da un Pubblico Ministero per la raccolta di dati ai fini investigativi. Con la decentralizzazione delle tecnologie dovuta ad Internet, numerosi privati si sono trovati investiti della responsabilità della raccolta obbligatoria e generalizzata dei dati personali.

La raccolta di dati automatizzata in Internet è possibile anche con l'uso di software liberamente distribuito, come Wireshark o tcpdump, distribuiti per consentire ai tecnici il funzionamento della rete e le attività di manutenzione. La data retention obbligatoria per legge viene alimentata tramite sistemi dedicati di raccolta dati installati presso i provider di comunicazioni e di telefonia.

La raccolta dei dati personali è vietata in Europa ai sensi della libertà e segretezza della corrispondenza.

Per questi motivi è stata studiata una proposta di legge che regolasse la collezione dei Log, dei Backup e che definisse quali dati informatici vanno considerati dati sensibili, in modo da consentire ai tecnici le verifiche di funzionamento, ma di impedire che i dati personali possano essere acceduti da estranei non autorizzati ed utilizzati per fini commerciali.

La proposta di legge^[14] è stata presentata in parlamento dall'On. Maurizio Turco nel 2006 come DDL N.1728/06.

La proposta di legge non è stata mai discussa, ed è decaduta con la fine anticipata della legislatura. Prima del 31 dicembre 2007, data di scadenza del Decreto legge 144/2005 (il cosiddetto Decreto Pisanu), è stato prorogato il termine di raccolta dei dati personali per motivazioni di contrasto al terrorismo internazionale^[15].

La proposta di legge è stata ripresentata il 29 aprile 2008 su iniziativa dall'On. Matteo Mecacci come DDL N.257.

La conferenza eprivacy

eprivacy è la conferenza annuale organizzata dal PWS. È stata la prima conferenza in Italia a trattare tematiche di privacy in Rete. Gli interventi sono tenuto da giuristi e da tecnici.

Edizione	Anno	Sede	Tema
I	2002	Firenze, Università degli Studi	E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo millennio. Si è occupato della L. n. 675/1996, delle spinte politiche che influenzavano la creazione di leggi a vincolo della rete, Freenet, PGP/GPG, Anonymous remailer, steganografia.[16].
II	2003	Firenze, Palazzo Vecchio	Difesa dell'identità e della libertà d'espressione di fronte alla richiesta di sicurezza. Si è occupato di data retention, TCPA, analisi del proprio modello di minaccia per definire uno standard minimo di sicurezza personale, firma digitale, crittografia in quanto strumento base per assicurare la difesa degli utenti[17].
III	2004	Firenze, Palazzo Vecchio	Data retention e diritto all'oblio. Si è occupato di data retention, RFID, diritto all'oblio in ambito informatico, della sorveglianza come risposta al terrorismo, p2p anonimo e di abusi legali legati alla videosorveglianza, di tecnologie decentralizzate.[18]
IV	2005	Firenze, Palazzo Vecchio	Data retention e privacy in rete. Si è occupato di Darknet, venne presentato il progetto P-Box, Software libero, responsabilità civili a seguito di violazioni della privacy, dello standard OpenPGP, studio di una legge per la regolamentazione della raccolta automatizzata di dati, Biometria[19].
V	2006	Firenze, Palazzo Vecchio	Non è stato deciso un tema portante. Si è occupato di Spyware, Trusted Computing, DRM, il broglio potenziale sullo scrutinio elettronico, minacce di privacy derivate dai motori di ricerca.[20].
VI	2007	Firenze, Palazzo Vecchio	Controllo sociale e tecnocontrollo. Si è occupato di: VOIP, identità personale e identità digitale, accessibilità, articolato Tanga[21] e incidenti informatici.[22]
VII	2008	Firenze, Palazzo Vecchio	Obiettivi raggiunti e mancati, in un anno in cui la percezione della privacy è aumentata, sia dal punto di vista civile che istituzionale.[23]
VIII	2009	Firenze, Palazzo Vecchio	Verso il controllo totale. La disponibilità dei cittadini nel sacrificare i propri diritti civili (online) è straordinariamente alta, questo consente a tecnologie irrispettose di questi diritti di proliferare.[24]
IX	2010	Firenze, Palazzo Vecchio	Deanonimizzazione e Censura. Hanno sbagliato tutto? Abbiamo sbagliato tutto?? L'anonimizzazione dei dati personali tramite la rimozione di dati identificativi è una delle pietre fondanti del quadro tecnico e legislativo, sia italiano che comunitario ed internazionale. Dati personali e sensibili anonimizzati vengono abitualmente elaborati, scambiati e commercializzati in maniera legale anche in Italia.[25]
X	2011	Firenze, Palazzo Vecchio	Cloud computing e Privacy. I confini, una volta chiaramente percepibili, tra noi stessi e la Rete, stanno cambiando, spostandosi e contemporaneamente diventando indistinti. Il successo delle comunità sociali sta rendendo confuso il confine tra la persona digitale e la Rete. Il Cloud Computing, il SaaS (software as a service - software come servizio) e l'utilizzo sempre più diffuso di apps su smartphone e pad modificano radicalmente i rapporti di interdipendenza tra i cittadini della Rete e chi fornisce loro software e servizi. Nel modello Cloud l'utente non possiede, non controlla e non conosce il software che usa, che è sotto il totale controllo dei fornitori di servizi Cloud.[26]
XI	2012 spring	Firenze, Palazzo Vecchio	Privacy + Trasparenza = Libertà. Il CFP dell'edizione 2011 terminava: "... e se l'Io digitale è formato dai nostri dati, sia quelli pubblici ma soprattutto da quelli che manteniamo privati, perderne il controllo equivale ad un dissolvimento della persona digitale nel mare non più limpido ma infido di una Rete formata da fornitori e consumatori, e non più da individui." Il tema, riferito al Cloud ed alle comunità sociali, era centrato su due fenomeni singoli, epocali certo ma delimitati, e proponeva lo studio dei loro effetti. Ma se facessimo un passo indietro? Esigere di mantenere privato ciò che il privato Cittadino non vuole divulgare del suo essere (Privacy), ed esigere la più totale accessibilità dei dati e dei processi, sia delle pubbliche amministrazioni sia degli individui che scelgono liberamente di essere pubblici servitori di uno Stato fatto di Cittadini (Trasparenza).[27]
XII	2012 autumn	Firenze, Palazzo Vecchio	E-government & e-democracy: prospettive ed implicazioni sulla privacy
XIII	2013 spring	Firenze, Palazzo Vecchio	Analogico e digitale: obblighi, diritti e certezze: il difficile rapporto tra Cittadino e Stato in un mondo unificato. Durante il Convegno è stato presentato il software GlobaLeaks . L'utilizzo corretto del software prevede di collegarsi in maniera sicura da un computer affidabile. A questo scopo HERMES - Centro Studi Trasparenza e Diritti Umani Digitali ha distribuito ai partecipanti ad e-privacy una chiavetta USB già configurata contenente la distribuzione live GNU/Linux TAILS.
XIV	2013 autumn	Milano, Università Bocconi	Accesso all’informazione e privacy tra open data e Datagate
XV	2014 spring	Firenze, Palazzo Vecchio	La privacy che verrà - Le esigenze di riservatezza e di tutela nel mondo delle tecnologie usate (ed abusate) compulsivamente.
XVI	2014 autumn	Cagliari Mediateca del Mediterraneo
XVII	2015 spring	Roma, Camera dei Deputati	La trasparenza e la privacy: il bilanciamento tra le necessità di trasparenza e pubblicità, e le aspettative di rispetto della privacy, dell’anonimato e della segretezza.
XVIII	2015 autumn	Cagliari Mediateca del Mediterraneo	Captatori Informatici e società civile: una convivenza possibile?
XIX	2016 spring	Pisa, Università degli Studi di Pisa	SPID ed Identità Digitale: Mercificazione, risorsa, opportunità o pericolo? Un confronto tra l’identità digitale realizzata dallo Stato Italiano rispetto alle idee ed alle realizzazioni precedenti di tecnologi, legislatori e filosofi Lo SPID (Sistema Pubblico di Identità Digitale) è il tema guida di "e-privacy 2016", l'evento che da sempre anticipa i nuovi temi sulla tutela della privacy e dei diritti civili digitali. Il problema dell’identità digitale, che ha permeato il Convegno fin dalle sue prime edizioni, sale, non in maniera imprevedibile, alla ribalta con l’avvio dello SPID. La creazione di una identità “Statale”, di una identità “a pagamento”, una nuova iniziativa digitale italiana parte di una “Agenda Digitale” con un passato pieno di ostacoli, rallentamenti e problemi tecnici, rendono il tema fecondo come pochi altri.
XX	2016 autumn	Roma, Campidoglio	Privacy ed antiterrorismo: “Un equilibrio reale tra obbiettivi apparentemente inconciliabili è possibile?” La continua ricerca di equilibri tra leggi, normative commerciali e diritti civili digitali, ed in particolare la sempre problematica interazione tra norme penali "digitali" e diritti civili "digitali", sarà particolarmente affollata di spunti.
XXI	2017 spring	Lucca, Real Collegio	Parole (ostili) contro la Rete: l’involuzione della percezione della Rete. Da “utopia di condivisione democratica” a “strumento di controllo e covo di criminali”

e-privacy è anche il nome di una Mailing list, l'indirizzo è e-privacy@firenze.linux.it, l'iscrizione è libera e gli archivi sono disponibili online^[28].

Il progetto P-Box

Le tecnologie di anonimato si basano su gruppi collaborativi di utenti che mettono reciprocamente a disposizione le proprie risorse. Una bassa potenza di calcolo ed una connessione casalinga a banda larga sono sufficienti per creare e per accedere a reti anonime. Per semplificare la diffusione delle tecnologie sono state realizzate le P-Box^[29] (Privacy Box), che sono delle appliance, cioè dispositivi piccoli, robusti e di semplice gestione per proteggere la propria privacy.

Sono stati sviluppati tre modelli:

• P-Box Modello I: su una console videoludica Xbox modificata, con sistema operativo GNU/Linux, vengono installati servizi standard e remailer Mixminion
• P-Box Modello II: su un PC Soekris 4501, con sistema operativo GNU/Linux, sono installate applicazioni Mixminion, TOR, Mixmaster e il server di posta Postfix.
• P-Box Modello III: Basata su una Soekris 4801, contiene le stesse applicazioni per la privacy del modello II. Inoltre può essere usata anche come Access Point e contiene server per la posta elettronica IMAP, POP3.

I Big Brother Awards (edizione italiana)

Big Brother Awards (BBA) è un'iniziativa lanciata da Privacy International il cui slogan è watching the watchman worldwide^[30]. Il PWS gestisce la votazione^[31] e la premiazione negativa delle realtà italiane che peggio si sono comportate nei confronti dei diritti umani ^[32][33][34].

Ci sono varie categorie di premi negativi, che si differenziano per il tipo di danno arrecato alla privacy:

• Minaccia da una vita: assegnato all'entità che ha più danneggiato la privacy nella sua vita o carriera.
• Peggiore ente pubblico: assegnato all'organizzazione pubblica (ente governativo, ente pubblico, authority, etc.) che ha danneggiato maggiormente la privacy nell'anno corrente.
• Peggiore azienda privata: assegnato alla società privata che abbia danneggiato maggiormente la privacy nell'anno corrente.
• Tecnologia più invasiva: per una tecnologia che sia stata particolarmente dannosa per la privacy.
• Bocca a stivale: la "migliore" (più terrificante, più ridicola, più sbagliata, più falsamente tranquillizzante) affermazione pronunciata o pubblicata su un tema o fatto riguardante la privacy nell'anno corrente.
• Lamento del Popolo: assegnato automaticamente a chi abbia ricevuto il numero maggiore di nomination, anche in categorie differenti.

Progetto 95%

Il progetto "95%" (Novanta Cinque Percento, NCP, Nessun Controllo sulla Privacy - in inglese Ninety Five Percent, NFP, No False Privacy), è un progetto di sensibilizzazione sulla collaborazione in Rete al fine di evitare Data Retention ed intercettazioni.

Internet è nata come rete libera e decentralizzata, ma l'uso che ne viene maggiormente fatto è affidandosi a pochi fornitori di servizi centralizzati.

Ne è un esempio il numero di utenti che negli anni si è affidato a webmail come Gmail, Hotmail, Yahoo! Mail. Questa tendenza è comprensibile dal punto di vista della fruibilità, perché l'utente ovunque si trovi può accedere ai propri servizi. L'effetto negativo è che i grandi fornitori di servizi gratuiti hanno interesse a profilare gli utenti al fine di fare web marketing sempre più mirato.

Il PWS non vuole identificare in nessuna realtà commerciale un pericolo per la privacy, vuole spiegare che una maggior riservatezza si può ottenere utilizzando un proprio server di posta, una propria webmail, un proprio dominio locale, rimediando alla minore affidabilità delle risorse "casalinghe" con lo scambio di ridondanza con altri pari. Questo è possibile utilizzando software liberamente distribuito e la configurazione può essere automatizzata anche per utenti non tecnicamente competenti.

95% è la percentuale di affidabilità che ha un server casalingo, connesso ad Internet tramite una linea ADSL flat, a dimostrare che non è necessario affidarsi a servizi centralizzati per avere complessivamente un servizio affidabile come quello fornito dai provider commerciali. Da qui parte appunto il progetto 95%, sulle possibilità tecnologiche di fornitura di servizi che un personal computer moderno possiede se utilizzato in collaborazione paritaria con altri utenti.

Il progetto P-Box fornisce (non per caso) una possibile piattaforma hardware per il progetto 95%.

Critiche al PWS

La visione libertaria del PWS, che vede una rete completamente anonima, libera e decentralizzata come unica possibile alternativa ad una rete controllata da poteri totalitari, si scontra con le realtà istituzionali che in questo periodo di transizione, tra la vita senza la rete e la vita influenzata da essa, cercano non di trovare mediazioni ma di utilizzare la Rete non come strumento di libertà ma di tecnocontrollo.

La visione del PWS, dal punto di vista di una parte delle istituzioni e di una parte dell'opinione pubblica, appare estremistica, paranoide ed al limite della sovversione, e viene spesso velatamente criminalizzata.

Chi opera per il PWS vede queste critiche come segno del divario digitale e dell'inconsapevolezza riguardo ai rischi informatici.