Data la sua illustre e di alto profilo precedente carriera nella Big Tech, la presidente di Signal Meredith Whittaker potrebbe avere un'idea diversa di chi siano i "bravi ragazzi" rispetto alle altre persone.
Inoltre, altri potrebbero non credere che esistano i "buoni ragazzi" quando si tratta di consentire a qualcuno di tentare di violare la crittografia universale online.
Ma Whittaker, che è responsabile di un'app, Signal, che sta lavorando molto duramente per posizionarsi come "capofila" dei messenger rispettosi della privacy e della sicurezza, o lo fa per profonda convinzione o non ha altra scelta che farlo (data la natura di Signal): difende la crittografia.
Lo sfondo: lacune di sicurezza e backdoor di crittografia
Questa volta si tratta di una violazione della sicurezza, secondo quanto riferito, perpetrata da hacker cinesi che hanno preso di mira diverse società di telecomunicazioni e ISP statunitensi.
Da qui il riferimento ai “bravi ragazzi”:Whittaker significa che se gli Stati Uniti costruiscono backdoor crittografiche in Internet, non c’è modo di garantire che solo gli Stati Uniti possano sfruttarle.
A questo punto sembra quasi superfluo spiegare ancora una volta perché ciò accade e come funzionano la crittografia, Internet e i vari attori statali e criminali veri e propri. Ma per le persone sullo sfondo – e questo include molti legislatori e politici in tutto il mondo – forse bisognerebbe dirlo ancora “più forte”:
Una volta sovvertite e interrotte, le backdoor crittografiche servono chiunque sia abbastanza intelligente da usarle - e questo chiaramente non include solo il governo o gli hacker governativi in generale.
La posta in gioco: oltre la comunicazione privata
E non sono solo i messaggi privati, le chat e simili a dipendere da una crittografia forte e affidabile, ma anche i conti bancari, le aziende e quindi il loro sostentamento.
Eppure molti governi in tutto il mondo stanno lavorando duramente per indebolire la crittografia per soddisfare la necessità, spesso puramente politica, di avere accesso alle comunicazioni di tutti in ogni momento - e nascondendo questo dietro la maschera di un presunto obbligo per le forze dell'ordine di occuparsi di cose come essere in grado di affrontare il terrorismo e gli abusi sui minori, come avviene oggi.
Whittaker ha pubblicato un articolo su quella che ha definito una campagna di intercettazioni cinese "catastrofica e massiccia" che presentava una "vasta raccolta" di traffico Internet americano. Ha aggiunto il proprio contributo: "Se l'intera comunità tecnica afferma che la legislazione ChatControl dell'UE e leggi simili rappresentano una seria minaccia per la sicurezza informatica, allora non stiamo esagerando per quanto riguarda gli effetti."
Contesto storico e quadro normativo
L' articolo del Wall Street Journal a cui si riferiva affermava che gli hacker cinesi avevano "compromesso i portali di intercettazione (sistemi di intercettazione telefonica) richiesti dalla legge statunitense" - e avvertiva: "Tenetelo a mente quando un governo farà la prossima cosa: richiederà backdoor per la crittografia".
La storia è anche un buon esempio di come funzionano i sistemi di intercettazione telefonica per le telecomunicazioni e i fornitori di servizi Internet negli Stati Uniti.
Il Communications Assistance for Law Enforcement Act (CALEA), approvato nel 1994, consentiva alle forze dell'ordine di intercettare l'allora nascente settore della telefonia cellulare. E ora sembra che qualcuno li abbia ascoltati senza un mandato – almeno senza un mandato emesso dai tribunali statunitensi.
CALEA ha lo scopo di "facilitare la condivisione dei dati dei clienti con le forze dell'ordine e i governi (statunitensi)". Ciò significa che i fornitori di Internet e di telecomunicazioni hanno accesso ai dati dei propri clienti, fino al traffico e alla cronologia di navigazione, e che, quando richiesto, tali dati vanno, beh, alle forze dell'ordine.
Questa è un’altra di quelle leggi approvate decenni fa, agli albori di ciò che oggi conosciamo come Internet e la rete di servizi e piattaforme che si sono rapidamente diffusi al suo interno.
I rapporti rilevano inoltre che l’“indagine” è ancora nelle fasi iniziali. Ma se si scopre che dietro ci sono i cinesi, chissà se un tribunale l’ha effettivamente approvato o se dietro c’è un governo.
Ma, per parafrasare il punto di Whittaker, questa volta non sono gli Stati Uniti.
La conclusione potrebbe essere che è ora di smettere di parlare dei “buoni ragazzi” – o di ridefinire il messaggio – quando si tratta di indebolire con apparente nonchalance la crittografia per il bene della politica attuale da cui tutti su Internet dipendono per la sicurezza e la privacy.
Dopotutto, non si tratta di scienza missilistica, ma solo di buon senso (tecnico):i bravi ragazzi sono quelli che sostengono la crittografia forte. I cattivi sono quelli che vogliono indebolirli – o li hanno già indeboliti attraverso leggi oscure come quella che ora viene ricordata agli americani dalla copertura giornalistica del presunto attacco informatico cinese.
Da un lato del dibattito sulla crittografia ci sono i funzionari che spingono per backdoor crittografiche, avvolte nella retorica rassicurante della “sicurezza nazionale” e della “prevenzione del crimine”. Tuttavia, chiunque abbia anche solo un briciolo di conoscenza su come funziona la sicurezza digitale sta urlando a squarciagola: “Non fatelo, idioti!” Ma ehi, quando mai il buon senso ha sfidato le norme governative?
Il pendio scivoloso dell'accesso
Mettiamo in chiaro una cosa. Nel momento in cui crei una backdoor nella crittografia, potresti anche consegnare le chiavi a ogni hacker, stato canaglia e adolescente annoiato con un laptop e rancore. L’idea che una backdoor possa essere costruita solo per i “bravi ragazzi” è così preziosa che dovrebbe essere incorniciata in oro e venduta su Etsy come una reliquia retrò dell’ingenuità politica.
La storia ci insegna cosa succede quando apri la porta sbagliata: entrano tutti.Ricordi quando gli strumenti di hacking della NSA furono trapelati "accidentalmente" nel 2017? Questo piccolo incidente ha scatenato un’ondata globale di attacchi ransomware che hanno paralizzato ospedali, aziende e governi. Se l'agenzia di spionaggio meglio finanziata al mondo non riesce a tenere i suoi giocattoli sotto chiave, come può questa backdoor essere accessibile solo al "personale autorizzato"?
No, una volta compromesso un sistema, non importa quanto nobili siano le tue ragioni, hai consegnato le chiavi di Internet a chiunque possa scassinare la serratura. E credetemi, c'è sempre qualcuno che può farlo.
L'apocalisse finanziaria che hai ordinato è in arrivo
Parliamo di soldi. Perché se c'è qualcosa che spinge le persone a sedersi e a prenderne atto, è la vista del loro saldo bancario che crolla.
Viviamo in un mondo in cui tutto, assolutamente tutto, dipende dalla crittografia.Ogni acquisto online, ogni segreto commerciale, ogni transazione finanziaria. Le multinazionali crittografano i propri dati non per scherzo, ma perché sono in gioco miliardi di dollari. Se si indebolisce la crittografia, si indebolisce la fiducia in queste transazioni e all’improvviso diventa un gioco facile per chiunque cerchi di rubare velocemente un miliardo. Gli hacker causeranno il caos e le aziende perderanno denaro più velocemente di quanto riescano a riparare i buchi. Fiducia? Scomparso. E con esso trilioni di dollari in stabilità economica. Ma certo, alcune backdoor per combattere il crimine. Ne vale la pena, non è vero?
Privacy vs. sicurezza: la scelta sbagliata che tutti amano fare
Per chi tiene il punteggio, ecco il classico argomento “dobbiamo scegliere tra privacy e sicurezza”. Avviso spoiler: non è una scelta. In realtà, è la falsa dicotomia più falsa che esista. L’affermazione secondo cui dobbiamo sacrificare la nostra vita privata per il bene della sicurezza è tanto vecchia quanto falsa. Non è solo pigro, è pericoloso.
Il fatto è che una crittografia avanzata protegge entrambi. Questo è il punto. Non devi scegliere! Una solida crittografia tiene lontani i malintenzionati dalla tua posta elettronica e, sì, li tiene lontani anche dalle infrastrutture critiche. Pensa alle reti elettriche, ai sistemi idrici, alle centrali nucleari: piccole cose del genere. E ogni volta che qualcuno dice questa assurdità di “privacy contro sicurezza”, ciò che sta realmente cercando di fare è distogliere l’attenzione dal fatto che una crittografia avanzata rende entrambe possibili. Indebolire la crittografia non aumenta la sicurezza: la distrugge, per tutti.
Quando la fiducia muore, Internet se ne va
Non dimentichiamo la piccola cosa della fiducia. Sai, la cosa su cui dovrebbe essere costruita l'intera Internet. Se seguiamo il percorso delle backdoor crittografiche imposte dal governo, il cittadino medio si sentirà come se andasse in giro con un enorme bersaglio sulle spalle. Le persone smetteranno di fidarsi dei servizi online per mantenere i propri dati al sicuro. E cosa fanno le persone quando non hanno più fiducia nelle istituzioni? Cercano alternative: alternative meno sicure e più pericolose. All’improvviso, le forze dell’ordine non danno più la caccia solo alle menti criminali, ma anche alle nonne che usano le VPN per inviare denaro ai loro nipoti per i loro compleanni.
In un mondo in cui tutti sono paranoici e nessuno si fida della propria tecnologia, Internet non sta diventando più sicura, ma piuttosto più caotica. In bocca al lupo alle forze dell'ordine.
fonte