Le retrovie dell'FBI non aiuteranno nessuno - nemmeno l'FBI
L'FBI è stata di recente nelle notizie con la sua campagna per costringere le aziende tecnologiche a modificare i loro metodi di crittografia. Come funziona la crittografia, ed è davvero sicura? Come funziona la crittografia, ed è davvero sicura? Leggi di più per rendere più facile spiare i messaggi degli utenti. Secondo l'FBI, questo è un cambiamento di senso comune: dopo tutto, i criminali si affidano a questi servizi crittografati per comunicare segretamente, e la Costituzione concede loro il diritto di sequestrare le informazioni (come lettere e documenti) quando viene presentato un mandato legale.
Quindi, perché non dare all'FBI la possibilità di leggere documenti crittografati?
Se non riusciremo a prendere questi provvedimenti, avverte l'FBI, criminali e terroristi continueranno a 'fare buio' - per spostare il loro traffico verso piattaforme di messaggistica anonime che non possono essere sorvegliate accuratamente. Questo, dicono, lascia l'equilibrio del potere nelle mani delle persone cattive. Il governo del Regno Unito ha fatto avvertimenti altrettanto terribili Perché Snapchat & iMessage potrebbe essere bandito nel Regno Unito Perché Snapchat & iMessage potrebbe essere vietato in Gran Bretagna Parlando con una stanza piena di attivisti di partito a Nottingham, il primo ministro David Cameron ha dichiarato che la crittografia per i messaggi sarebbe vietata se il suo partito avesse ottenuto la maggioranza alle prossime elezioni generali. Leggi di più .
Secondo il regista dell'FBI James Comey:
“M.O. dell'ISIL è quello di trasmettere su Twitter, convincere la gente a seguirli, quindi spostarli su Twitter Direct Messaging” per valutare se sono una recluta legittima, ha detto. “Quindi li spostano in un'app di messaggistica mobile crittografata, quindi diventano oscuri per noi.”
L'FBI non sta facendo neanche chiacchiere inutili. La prossima battaglia nella guerra per la privacy sta accadendo, in gran parte in segreto, ad Apple, Inc. L'amministratore delegato, Tim Cook, ha espresso dichiarazioni sempre più arrabbiate sulla privacy degli utenti, tra cui:
“[T] qui c'erano voci e cose scritte sulla stampa che la gente aveva backdoor ai nostri server. Niente di tutto questo è vero. Zero. Non permetteremmo mai che ciò accada. Avrebbero dovuto portarci fuori in una scatola prima di farlo.”
Le voci circolano da un po 'di tempo che l'FBI sta tentando di fare pressione sull'azienda per aggiungere “back-porte” alla crittografia nei loro prodotti e servizi (come l'iPhone e iMessaging). Ora, ci sono alcune prove pubbliche che ciò si sta verificando. Il Dipartimento di Giustizia ha emesso un'ingiunzione del tribunale ad Apple, chiedendo di consegnare i registri di messaggi in tempo reale tra due sospetti in un caso di criminalità con armi e droga. Apple ha rifiutato, dicendo che anche loro non possono crackare la crittografia degli utenti - dopotutto, questo è il punto.
La risposta dell'FBI e del DoJ è stata che stanno prendendo in considerazione l'idea di portare Apple in tribunale, presumibilmente per tentare di ottenere un ordine del tribunale per costringere la società a fare backdoor della crittografia. ZDNet avverte che se ciò dovesse accadere, Apple potrebbe essere costretta a capitolare. Non sarebbe stata la prima volta che succedesse qualcosa del genere: nel 2014, Yahoo è stata finalmente in grado di discutere i suoi rapporti segreti con la FISA con il PRISM, il programma di sorveglianza governativa rivelato da Edward Snowden Hero o Villain? L'NSA ha moderato la sua posizione su Snowden Hero o Villain? L'NSA moderò la sua posizione su Snowden Whistleblower Edward Snowden e John DeLong della NSA apparvero nel programma di un simposio. Mentre non c'era dibattito, sembra che l'NSA non dipinga più Snowden come un traditore. Cosa è cambiato? Per saperne di più, torna nei primi anni 2000. Quando ha rifiutato di consegnare le informazioni degli utenti, Yahoo si è trovata di fronte a multe enormi e segrete - $ 250.000 ogni giorno, raddoppiate ogni mese. Per il contesto, la multa giornaliera avrebbe superato il PIL mondiale di $ 74 trilioni di dollari in poco più di due anni.
Problemi di implementazione
Anche ignorando le varie preoccupazioni morali e costituzionali con questo genere di cose, ci sono anche molti problemi tecnici con la proposta. Da quando l'FBI ha iniziato a spingere per le loro backdoor di crittografia, un certo numero di ricercatori della sicurezza si sono fatti avanti per evidenziare alcuni difetti di base nell'intero concetto.
Per cominciare, qualsiasi esperto di sicurezza tradizionale ti dirà che il “backdoor sicuro” che Comey vuole in realtà non esiste. Il direttore della Federal Trade Commission ha dichiarato che la proposta è una cattiva idea. Non c'è modo di lasciare una backdoor in uno schema di crittografia forte senza danneggiare seriamente la sicurezza generale. Cryptosystems che hanno quella proprietà semplicemente non esistono. La crittografia non è qualcosa che può essere voluta all'esistenza.
TechDirt ha un articolo meraviglioso che strappa questa idea a parte. Una citazione di scelta:
“[I] è abbastanza sorprendente che Comey continui a insistere sul fatto che quelle brillanti menti della Silicon Valley possono cospargere di polvere magica di folletto e dargli quello che vuole, ma allo stesso tempo afferma che è troppo difficile perché l'FBI effettivamente quantifica quanto grande è il problema della crittografia per le sue indagini. Inoltre, non può nemmeno fornire un singolo esempio del mondo reale per cui la crittografia è stata un vero problema.”
Anche se un tale sistema potesse essere creato, c'è un altro grave difetto: daremmo quella chiave al governo. Lo stesso governo che non può nemmeno tenere al sicuro i propri archivi del personale. Qual è l'Hack OPM e cosa significa per te? Che cos'è Hack OPM e cosa significa per te? Per diverse settimane, le notizie che escono dall'Office of Personnel Management (OPM) sono peggiorate costantemente, in seguito a un attacco di proporzioni storiche. Ma cosa è successo veramente, e cosa puoi fare a riguardo? Leggi di più, e sono passati mesi o anni senza accorgersi che erano stati violati. Edward Snowden, un appaltatore, uscì con i dettagli dei rapporti più delicati della NSA. Quante ore pensi che sarebbe necessario per il governo cinese ottenere una copia della chiave? Quanti giorni fino a quando non compare sulla rete scura Come trovare siti di cipolle attive (e perché dovresti desiderare) Come trovare siti di cipolle attive (e perché potresti desiderare) I siti di cipolla sono ospitati sulla rete Tor. Ma come trovi i siti di cipolle attivi? E quali sono quelli a cui dovresti andare? Leggi di più e qualsiasi hacker semi-competente può accedere al conto bancario di chiunque? Gli standard di sicurezza del computer all'interno del governo americano non sono nemmeno abbastanza vicini da affidare loro la sicurezza dell'intera Internet.
Falsi scopi
C'è un problema più ampio, tuttavia, che va dritto al cuore dell'intero argomento: vale a dire, che questi tipi di backdoor non risolvono realmente il problema di cui l'FBI è presumibilmente preoccupato. La giustificazione dell'FBI dipende da gravi minacce - non da spaccio di droga e da spacciatori di stupefacenti, ma da terroristi e trafficanti di esseri umani. Sfortunatamente, queste sono le persone che saranno meno toccate da questi backdoor.
Terroristi e criminali non ignorano la crittografia. Coloro che usano la crittografia lo fanno apposta, per evitare la sorveglianza. È ingenuo pensare che non si accorgano quando l'FBI riuscirà a ottenere una specie di backdoor. Terroristi e trafficanti d'armi non solo continueranno a utilizzare un iMessenger backdoor: passeranno a programmi di chat crittografati How To Secure & Encrypt Your Chat di messaggistica istantanea Come proteggere e crittografare le chat di messaggistica istantanea Leggi di più sviluppato in altri paesi, o al software open-source di cui possono verificare la sicurezza. Quelli vulnerabili alle backdoor saranno quelli troppo disinformati per usare una migliore sicurezza del computer - ovvero, piccoli criminali e la maggior parte dei cittadini rispettosi della legge.
Le backdoor crittografiche sono molto più utili per ficcanaso su tua nonna che per lo snooping su ISIL e molto probabilmente l'FBI lo sa. Quindi prendi i loro terribili avvertimenti sui terroristi con un granello di sale delle dimensioni dello Utah.
L'FBI sosterrà, naturalmente, che non ci sono problemi di privacy sollevati per i cittadini rispettosi della legge. Dopotutto, avrebbero comunque bisogno di un mandato per accedere a queste informazioni, proprio come farebbero per cercare casa o schedari. Tuttavia, questi non sono i giorni innocenti, disinformati prima che la Snowden trapelasse.
Sappiamo dell'esistenza di corti segrete che emettono mandati segreti basati su prove segrete. Questi tribunali non si rifiutano di emettere warrant, perché questo non è il loro scopo. Sono timbri di gomma in tutto tranne il nome. Chiederci di fidarci della nostra privacy per un tale sistema è attivamente offensivo.
Ecco l'esperto di sicurezza Bruce Schneier Esperto di sicurezza Bruce Schneier Su password, privacy e fiducia Esperto di sicurezza Bruce Schneier su password, privacy e fiducia Ulteriori informazioni sulla sicurezza e sulla privacy sono disponibili nella nostra intervista con l'esperto di sicurezza Bruce Schneier. Leggi di più esprimendo una visione simile sul suo blog, Schneier su Sicurezza,
“Immagina che Comey abbia ottenuto ciò che voleva. Immagina che iMessage e Facebook e Skype e tutto il resto degli Stati Uniti abbiano la sua backdoor. L'agente ISIL direbbe al suo potenziale reclutatore di usare qualcos'altro, qualcosa di sicuro e non fatto dagli Stati Uniti. Forse un programma di crittografia dalla Finlandia, o dalla Svizzera o dal Brasile. Forse i segreti dei mujahedeen. Forse qualsiasi cosa.”
Una storia di sorveglianza
Questa non è la prima volta che varie agenzie governative hanno provato qualcosa di simile. Negli anni '90, l'amministrazione Clinton tentò di costringere l'industria tecnologica a installare hardware di sorveglianza nei propri dispositivi - il cosiddetto “Chip Clipper,” che consentirebbe alle agenzie governative di aggirare una forte crittografia.
Anche in questo caso, sono state rilevate vulnerabilità nel sistema, rendendo i dispositivi meno sicuri e consentendo ai criminali di aggirarli in ogni caso. La proposta è stata sconfitta. In un'analisi chiamata “Chiavi sotto zerbini: imporre l'insicurezza richiedendo l'accesso governativo a tutti i dati e le comunicazioni,” più di una dozzina di ricercatori della sicurezza affermano che la nuova proposta sarebbe ancora peggiore. Dall'astratto:
“Venti anni fa, le forze dell'ordine facevano pressioni affinché i dati e i servizi di comunicazione richiedessero l'ingegnerizzazione dei loro prodotti per garantire l'accesso alla legge a tutti i dati. Dopo un lungo dibattito e profonde previsioni sui canali di applicazione che si oscurarono, questi tentativi di regolamentare l'Internet emergente furono abbandonati.
Negli anni successivi, l'innovazione su Internet è fiorita e le forze dell'ordine hanno trovato nuovi e più efficaci mezzi per accedere a quantità di dati enormemente più grandi. Oggi ascoltiamo nuovamente le richieste di regolamento che prevedono la fornitura di meccanismi di accesso eccezionali.
In questo rapporto, un gruppo di scienziati informatici e esperti di sicurezza, molti dei quali hanno partecipato a uno studio del 1997 su questi stessi argomenti, si è riunito per esplorare i probabili effetti di imporre mandati di accesso straordinari. Abbiamo scoperto che il danno che potrebbe essere causato da requisiti di accesso eccezionali delle forze dell'ordine sarebbe ancora più grande oggi di quanto sarebbe stato 20 anni fa.”
Troppo per troppo poco
Per riassumere: backdoor crittografia sono una cattiva idea, tecnicamente e praticamente. Non risolvono i grossi problemi delle forze dell'ordine, ma ne creano di nuovi per i consumatori e chiunque altro faccia affidamento sulla sicurezza. Costringerli all'industria sarà costoso oltre ogni immaginazione e non otterremo quasi nulla in cambio. Sono una cattiva idea, proposta in malafede. E, con un po 'di fortuna, il crescente clamore delle voci contro l'idea farà cessare loro ancora una volta.
Cosa pensi? Il governo dovrebbe avere il potere di compromettere la crittografia? Fateci sapere che ne pensate nei commenti!
Crediti immagine: bloccando la porta di Mopic tramite Shutterstock
Scopri di più su: Privacy online, Sicurezza online, Sorveglianza.