Da Wired.it :
Con la scusa del cercare “un miglior equilibrio” tra indagini e sicurezza dei nostri dispositivi, il Consiglio sembra dimenticarsi dei rischi per la nostre vite digitali.
L’emittente austriaca Orf.at ha ottenuto copia di un documento interno del Consiglio europeo datato 6 novembre che mostra una bozza di risoluzione in cui si mette nero su bianco l’ennesimo attacco alla crittografia degli smartphone.
Lo scopo della risoluzione è ribadire e garantire il bisogno per le autorità competenti di avere “accesso ai dati nel rispetto delle leggi e in maniera mirata”, incluso quindi anche il rispetto dei diritti fondamentali e della sicurezza informatica dei dispositivi. Far stare insieme tutte queste cose è quasi una missione impossibile. Il documento parla di “soluzioni tecniche per ottenere l’accesso ai dati crittografati” senza scendere nel dettaglio su quali strategie e tecniche usare.
Nel testo però si fa riferimento a due ostacoli: la cifratura che protegge i dati che abbiamo salvati sui nostri dispositivi — quindi quei dati che sono protetti, per esempio, con full disk encryption e dai nostri codici e password di sblocco — ma anche a tutte quelle app che usano la crittografia end-to-end (e2e) per inviare messaggi e chiamate, una cifratura che permette di leggere i dati solo alle persone che stanno comunicando, tenendo fuori occhi e orecchi indiscreti, sia delle aziende che delle forze dell’ordine. Nel primo caso si tratta di quasi tutti gli smartphone moderni, nel secondo di app come WhatsApp, Signal, Wire, ma anche le chat segrete di Telegram e quelle di Messenger.
Queste soluzioni, prosegue il documento, devono essere sviluppate in stretta collaborazione con i fornitori di servizi di comunicazione, riconoscendo come “non dovrebbe esserci un’unica soluzione tecnica prescritta per fornire l’accesso ai dati crittografati.”
Sicurezza con e nonostante la crittografia
Il documento era già in lavorazione da prima dell’attacco terroristico di Vienna. Si legge che sono state incluse delle modifiche ricevute prima e durante il meeting informale in videoconferenza dei consiglieri per Giustizia e affari interni che si è svolto il 3 novembre 2020. Il meeting però era già previsto almeno dal 29 ottobre, come mostra un documento dell’agenda del meeting.
Le risoluzioni del Consiglio europeo non hanno effetti legali ma sono di solito utilizzate per indicare la via futura su temi e aree di lavoro specifiche, ma possono chiaramente essere usati per invitare la Commissione europea a produrre una proposta di legge. Il titolo della risoluzione strizza l’occhio alle dicotomie che accompagnano il dibattito sulla privacy e la sicurezza da anni: Sicurezza con la crittografia e sicurezza nonostante la crittografia.
In apertura il Consiglio tesse le lodi della crittografia in quanto è effettivamente lo strumento che garantisce la protezione di “governi, infrastrutture critiche, società civile, cittadini e industria garantendo la privacy, la riservatezza e l’integrità dei dati delle comunicazioni e dei dati personali.” Si spinge fino al punto di affermare che “è evidente che tutte le parti beneficiano di una tecnologia di crittografia funzionante.” Visto questo preambolo sembra scellerato anche solo pensare di introdurre soluzioni che indeboliscono la crittografia.
Don’t you dare do any illegal math. https://t.co/iPUwticjjO
— Sarah Jamie Lewis (@SarahJamieLewis) November 8, 2020
I precedenti
La tragedia, però, sembra svolgersi sempre con il solito copione. Già a ottobre, i ministri di Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda (i paesi che compongono l’alleanza di intelligence nota come Five Eyes ndr) hanno pubblicato una richiesta alle aziende tech di sviluppare una soluzione che consenta alle forze dell’ordine di accedere ai messaggi cifrati. Sostanzialmente si chiede di lasciare aperta la porta sul retro di casa delle nostre comunicazioni per permettere che le forze dell’ordine possano entrare quando ne hanno bisogno.
Simili richieste erano state già avanzate anni fa dagli Stati Uniti nei confronti di Apple per ottenere la possibilità di sbloccare e accedere ai dati dell’iPhone 5C dell’attentatore che aveva compiuto la strage a San Bernardino, in California. Ma anche in Europa, Francia e Germania hanno già avanzato richieste simili nel 2016 dopo gli attentati di Parigi dell’anno precedente e di Nizza dello stesso anno. Nell’attacco al Bataclan gli investigatori hanno però scoperto che la cellula islamica comunicava con dei semplici sms.
Attaccare la crittografia non risolve alcun problema
La richiesta di spezzare la crittografia nasce dalle dichiarazioni delle forze dell’ordine e dei servizi di intelligence che si trovano in difficoltà nell’intercettare i messaggi. Eppure, mancando sufficienti dati a supporto di queste dichiarazioni, il quadro che emerge da attività di inchiesta giornalistica e report di associazioni è opposto.
Nel caso di San Bernardino le forze dell’ordine hanno sbloccato il cellulare grazie all’intervento di hacker specializzati. Inoltre in tutto il mondo ci sono aziende che vendono dispositivi e software per l’estrazione di dati dai dispositivi: l’azienda GrayShift è stata beccata a sbloccare persino modelli di ultima generazione come l’iPhone 11 Pro Max. La stessa Europol gestice una piattaforma di ricerca per trovare soluzione contro la crittografia sia per quanto riguarda la minaccia dei ransomware che per quanto riguarda l’estrazione di dati.
Viste queste capacità, l’idea descritta nella risoluzione del Consiglio di trovare “un miglior equilibrio” non sembra essere per niente equilibrata ma rischia di spingere l’ago della bilancia completamente dalla parte delle forze dell’ordine.
A settembre, il giornale Politico ha ottenuto la copia di una bozza preliminare di valutazione delle tecnologie per aggirare la crittografia nelle indagini contro la condivisione di materiale pedopornografico. Tra le soluzioni analizzate, quelle che sembrano essere più promettenti sono quelle che prevedono di analizzare i contenuti delle chat direttamente sugli smartphone prima di inviare i messaggi: è come trovarsi un filtro che monitora ogni nostro messaggio.
Nuovi rischi
Il documento del Consiglio europeo sottolinea come la “la digitalizzazione della società moderna porta con sé alcune vulnerabilità e la potenzialità di essere sfruttata a fini criminali,” ma allo stesso tempo non si rende conto che introdurre forme di chiavi di sblocco universali, introdurre sistemi di monitoraggio in tempo reale dei messaggi prima che siano inviati, o qualunque altra soluzione tecnologica si possa pensare — tipo quella di introdurre di nascosto un terzo interlocutore nella chat cifrata — non fanno altro che aumentare quei rischi per la società moderna di cui tanto sembrano preoccuparsi. Vulnerabilità e strumenti tenuti nascosti dalla National security agency (Nsa) statunitense sono stati scoperti e sfruttati ripetutamente anche da criminali stranieri.
Lo stesso era avvenuto con i software della squadra d’elite della Cia che erano stati pubblicati da Wikileaks con il nome di Vault7. Un report interno ha dimostrato come la Cia fosse stata una sprovveduta nelle pratiche di sicurezza interna. La stessa cosa è avvenuta con l’exploit EternalBlue della Nsa che è stato uno dei tasselli che ha permesso la diffusione di NotPetya, quello che è stato definito l’attacco informatico più devastante della storia. Se le più grandi agenzie di sorveglianza non riescono a tenere sotto controllo il proprio arsenale, come possiamo sperare di affidargli le chiavi delle nostre comunicazioni private?
Ma il problema più grande sembra essere che il Consiglio europeo è consapevole delle difficoltà tecniche e per questo pare suggerire che, dove la tecnologia non arriva per colpa di leggi un po’ troppo stringenti — quelle sui diritti fondamentali? — allora occorre modificare quelle leggi. Risultato: la risoluzione invita anche a “rivedere gli effetti derivanti dai diversi quadri normativi al fine di sviluppare ulteriormente un quadro normativo coerente in tutta l’Ue”.
La guerra alla crittografia torna quindi ciclicamente a destarsi dopo ogni attacco terroristico e ogni volta dimostra la pigrizia degli Stati nel cercare soluzioni rapide a problemi complessi, infischiandosene dei diritti dei propri cittadini. Gli Stati membri sono invitati a mandare ulteriori commenti alla bozza di risoluzione entro il 12 novembre, ma viste le azioni in corso sui temi della condivisione di materiale pedopornografico e sul regolamento europeo contro la diffusione di materiale terroristico online, sembra che oramai dobbiamo prepararci all’ennesimo attacco diretto alla nostra sicurezza.
Potrebbe interessarti anche