Sicurezza vs crittografia. Sfatiamo 8 miti

Privacy, Sicurezza

Ebbene sì, siamo ancora in guerra. Il caso FBI contro Apple ha occupato molti titoli nei media e sembra essere stata una delle più importanti battaglie nell’era della Crypto War II (CWII). Per la cronaca, la prima Crypto War si è avuta alla fine dello scorso millennio quando le autorità americane volevano, tra le altre cose, inserire chip con una backdoor nei telefoni. L’ISIS e la recente ondata di terrorismo hanno riportato ancora una volta in auge la richiesta per vietare una forte crittografia. Il primo ministro inglese David Cameron sta portando avanti una crociata contro i messaggi che le sue spie non riescono a leggere. E dettagli relativi ai fatti di San Bernardino custoditi nell’iPhone che l’FBI voleva aprire hanno posto all’attenzione di molti la questione della “sicurezza” contro la “crittografia”. Una forte crittografia sta del resto diventando la norma e molti servizi la prevedono.

Eschilo aveva ragione quando diceva: “In guerra, la verità è la prima vittima”. E’ arrivato quindi il momento di sfatare alcuni miti che riguardano la crittografia e la sicurezza.

Una forte crittografia serve solo ai criminali

Completamente sbagliato. Ogni persona che usa Internet sta usando una forte crittografia. E’ la base per proteggere le nostre password, le nostre comunicazioni, i nostri dati e l’e-commerce. Molti di noi non sanno neppure che i sistemi forniscono sicurezza come standard. E la crittografia ne è un elemento fondamentale. Internet, come sappiamo, scomparirebbe se togliessimo la crittografia.

Strumenti focalizzati sulla sicurezza come Tor e Signal sono usati dai criminali

Sbagliato nuovamente. È molto pericoloso credere che le persone che si preoccupano della protezione automaticamente debbano essere cattive. Tor viene usato frequentemente da molte persone per lavoro per motivi perfettamente leciti. E molte altre persone usano Tor o Signal per motivi pratici. Senza scordare che questo genere di protezione può rappresentare una questione di vita o morte. Tutti siamo concordi che le autorità dovrebbero avere degli strumenti contro i criminali. Ma cosa dire della polizia in Iran che persegue persone per attività politiche illecite?  Supporteresti ancora le autorità? Non credi che queste persone dovrebbero poter essere in grado di proteggere se stesse?

I terroristi usano la crittografia per nascondersi

Ci sono molti esempi che provano che questa affermazione è sbagliata. Si è scoperto che i terroristi di Parigi hanno usato telefoni ordinari, che sarebbe stato facile ottenere con un mandato. Altri terroristi sono stati controllati dalle autorità e le loro comunicazioni sono state intercettate. Ma le autorità hanno raccolto così tanti dati che non sono poi riusciti ad individuare materiale interessante in tutta quella massa critica. Questo mito sembra avere le sue radici in film come le storie di James Bond, dove il cattivo è un super criminale con tecnologie incredibili. In realtà, i terroristi sono spesso giovani ideologicamente guidati con scarsa op-sec.

Le autorità dovrebbero avere backdoor per i nostri dispositivi e le nostre comunicazioni

Questo sembrerebbe intelligente. Prendiamo i benefici della crittografia forte e lasciamo che i “bravi ragazzi” abbiano accesso così da proteggerci. Giusto? No, sbagliato! Questa è per certo un’idea ingenua. Le autorità hanno in genere fiducia illimitata nella propria capacità di utilizzare tali possibilità solo per motivi legittimi. E di mantenere le chiavi di backdoor sicure e segrete. Ma la realtà è del tutto differente. La domanda non è se queste informazioni sensibili saranno perse o rubate, ma è quando. E il segreto è veramente come la scatola di Pandora. Sia i buoni che i cattivi passeranno attraverso le backdoor una volta scoperte.

La crittografia aiuta i terroristi e i pedofili

Non è una coincidenza che queste due tipologie di criminali continuino a far notizia. Sono ampiamente odiati dalle persone comuni e le autorità cercano di accattivarsi la gente dichiarando che la lotta contro la crittografia è finalizzata a sconfiggere nemici come questi. E’ anche rischioso opporsi stando dall’altra parte perché potesti passare per uno che difende i pedofili. Ma l’uso di backdoor e di una crittografia debole non sarebbe limitato solo a questo target di persone. I documenti di Snowden hanno evidenziato come gli USA usavano ogni metodo possibile per raccogliere informazioni, incluso spiare altri Stati e persino il Climate Summit. E lo stesso vale per altri Stati naturalmente.

Con un mandato, le autorità potrebbero avere accesso a tutti i tuoi dati, compresi i dati crittografati

Se c’e un sospetto fondato di crimine, le nostre case possono essere rovistate semplicemente con un mandato. Questa è una pratica comunemente accettata. Ma le cose si complicano se cerchi di applicare questi principi ai dati digitali. La polizia abbatterà la tua porta di casa se non sei presente per aprirla. Ma non c’è obbligo per te di usare una serratura debole solo perché la polizia potrebbe dover entrare in casa tua per fare indagini. Lo stesso vale per i dati. Un’altra problematica è che esiste protezione contro l’autoincriminazione in quasi tutte le legislazioni. Non puoi essere forzato a fornire informazioni che hai nella tua testa. Ma cosa dire sulle estensioni digitali della tua memoria? Una parte dei contenuti del nostro cervello è rispecchiata nei nostri gadget. Renderli ricercabili va contro la nostra protezione fondamentale contro l’autoincriminazione.

Le autorità non avranno potere contro i criminali se permettiamo la crittografia forte

Naturalmente è conveniente sostenere questo quando si chiedono nuovi diritti, ma ciò è lontano dalla verità. Le autorità possono ancora usare intercettazioni sui telefoni, accedere ai messaggi di testo, installare telecamere nelle case di sospettati o tracciare veicoli. Per non parlare di inserire qualcosa nei loro dispositivi. Un minuscolo pezzo di spyware può vedere attraverso la crittografia, poiché i dati hanno bisogno di essere decrittografati dal dispositivo prima che vengano presentati all’utente. Inoltre, i metadati sulle persone con cui i sospettati stanno comunicando sono tipicamente accessibili nonostante la crittografia. Sia tramite intercettazioni o facendo ricerche tramite il service provider.

Le autorità vogliono solamente ridurre i nostri diritti fondamentali per ottenere più potere

Questo è il tipico modo miope di vedere le cose. Non si può negare che possa esserci un granello di verità in questo, in alcuni casi.  Ma non è il driver principale. È chiaro che tutti gli attori nella “crypto war” hanno una cosa in comune: vogliono fermare il terrorismo e altri tipi di crimine, e assicurare che le autorità abbiano strumenti adeguati per farlo. Le autorità sono senza dubbio mosse da un reale desiderio di rendere la nostra società più sicura. La crypto war riguarda i metodi che possiamo usare per non ledere troppo il nostro diritto alla privacy.

Articolo tratto da ‘Security vs encryption – time for some myth busting’ di Mikael Albrecht, Security Specialist dei Labs di F-Secure.

 

Immagine di dominio pubblico di un fotografo anonimo

Continua a seguirci sul blog Safe&Savvy per restare informato sulle ultime news in tema di security.

Valuta questo articolo

0 voti

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: