L’amministrazione Trump sta ancora una volta spingendo per avere delle porte d’accesso ai dati crittografati, ma alcune aziende di intelligence si sono spinte già più avanti per quanto riguardo i sistemi di protezione.
di Patrick Howell O’Neill
- Il Senato degli Stati Uniti è pronto per una nuova audizione sulla crittografia
- Si può fare una nuova legge che imponga backdoor di crittografia?
- Incontro con un dirigente della azienda israeliana che vende uno strumento per far allontanare le persone dai sistemi crittografici
Supponiamo di essere un poliziotto che vuole intercettare una telefonata crittografata, il tipo di chiamata che miliardi di persone fanno continuamente su WhatsApp. Le intercettazioni telefoniche vecchio stile non funzionano, poiché la tecnologia alla base della crittografia garantisce che non si otterrà nulla.
Si potrebbe provare a hackerare il telefono di qualcuno che ha contatti telefonici con l’”obiettivo” e ascoltare le conversazioni, ma questa è spesso un’operazione complessa e costosa. Oppure si potrebbe legalmente richiedere che la azienda fornitrice del servizio consenta alle forze dell’ordine di vedere i dati crittografati, ma ciò può significare una lunga e costosa battaglia legale.
Questa lunga guerra tra le forze dell’ordine e l’industria tecnologica continuerà durante l’audizione sulla crittografia dei dati prevista davanti al Senato degli Stati Uniti.
Il Judiciary Committee del Senato, presieduto dal repubblicano Lindsey Graham, terrà l’udienza, che tratterà delle tecnologie di protezione, dalle comunicazioni di WhatsApp ai dati sui singoli iPhone. I gestori della privacy di Apple e Facebook saranno tra quelli che testimonieranno accanto al procuratore distrettuale di Manhattan Cy Vance, uno dei più severi critici governativi della crittografia.
L’amministrazione Trump ha regolarmente criticato l’uso della crittografia e in luglio il procuratore generale William Barr ha chiesto l’”accesso lecito” e le backdoor per accedere al sistema crittografico che consentirebbero ai funzionari di vedere i dati privati.
Gli oppositori affermano che queste richieste indeboliscono la sicurezza e la privacy di Internet su tutta la linea, ma ci sono pressioni da entrambe le parti politiche al Congresso per espandere l’accesso ai dati crittografati.
Diversi anni fa il vicepresidente del comitato, l’esponente del partito democratico Dianne Feinstein, ha promosso un controverso disegno di legge per imporre l’accesso al governo. Quel disegno di legge finì per cadere nel vuoto, ma la più grande domanda che ha portato all’udienza di martedì è se emergerà un nuovo disegno di legge bipartisan e, in tal caso, se potrebbe avere il sostegno della Casa Bianca.
Ma mentre questa audizione è l’ultimo capitolo del conflitto decennale tra governo e industria tecnologica, alcune aziende stanno usando tattiche diverse per ottenere l’accesso a dati crittografati e vendono i loro sistemi alle forze dell’ordine e alle agenzie di intelligence.
Tattiche diverse
Dieci anni fa, la crittografia, che implementa la matematica per rendere illeggibili i dati, tranne per il destinatario previsto, era rara tra i normali utenti. Oggi protegge la navigazione web, i messaggi di testo e le telefonate di miliardi di persone in tutto il mondo. Tale protezione si applica ai politici eletti democraticamente e agli attivisti per i diritti umani, ma anche ai terroristi e alle spie, spingendo in tal modo i governi a tentare di violare la crittografia con mezzi legali e tecnici.
Di recente ho incontrato Ithai Kenan, vice presidente di una azienda di intelligence israeliana chiamata Picsix, alla conferenza sulla sicurezza di Milipol a Parigi. Costituita da veterani dell’intelligence israeliana, Picsix è un’azienda decennale specializzata nell’intercettazione di dati come via per risolvere il problema della crittografia (Il suo nome fa riferimento al football americano e si riflette nello slogan dell’azienda: “L’intercettazione perfetta”).
Kenan stava vendendo il nuovo prodotto dell’azienda, uno strumento di intercettazione e manipolazione dei dati noto come P6-FI5. Il dispositivo funziona su intercettazione cellulare GSM, 3G e 4G, il che significa che può intercettare e controllare sia le chiamate telefoniche sia i dati e può essere miniaturizzato per essere trasportato all’interno di zaini o veicoli.
Lo strumento di Picsix crea una torre cellulare falsa che può ingannare il telefono di un bersaglio nella trasmissione dei dati. Il dispositivo non è in grado di leggere i dati crittografati, ma tenta invece una tattica diversa per ottenere informazioni private: rendere le app crittografate difettose o addirittura totalmente inutilizzabili.
È un modo sottile, ma efficace, per allontanare un target frustrato da un’app privata e verso un servizio non crittografato che può essere facilmente intercettato e intercettato. La crittografia stessa non viene mai interrotta: viene semplicemente resa inutile.
“Siamo in grado di manipolare i dati in modo molto selettivo, senza che lo si noti”, ha affermato Kenan. Non bloccheremo completamente WhatsApp, ma consentiremo di effettuare una chiamata WhatsApp e dopo 10 secondi la lasceremo cadere. Forse lasceremo fare un’altra chiamata e dopo 20 secondi interrompiamo anche quella. Alla terza chiamata non riuscita, sono convinto che l’utente effettuerà una telefonata normale e la intercetteremo. È un modo intelligente ed economico per intercettare”.
La modellatura del traffico per incanalare i dati su un terreno più vantaggioso è una tattica di intelligence collaudata e mirata volta a spingere il “bersaglio” su un terreno in cui è più facile attaccare. Questa strategia non intende “impadronirsi” del telefono della vittima, ma può essere altrettanto efficace e più duratura.
Un cavallo di Troia di un’azienda come NSO Group potrebbe garantire l’accesso completo al telefono di un “obiettivo” per milioni di dollari, ma si basa su una vulnerabilità nel codice in esecuzione sul dispositivo: in poco tempo WhatsApp potrebbe rilasciare un aggiornamento di sicurezza che rende l’exploit inutile e il denaro sprecato.
Picsix sostiene che, anche se il suo strumento non avrà accesso ai dati crittografati, la sua utilità non sarà cancellata da un singolo aggiornamento.
La tattica funziona su una miriade di dispositivi, perché mira ai dati piuttosto che all’hardware. Un Samsung Galaxy S10 e un iPhone 11 sono due telefoni enormemente diversi: ogni exploit deve essere adattato a quel target specifico.
“A causa del loro costo, non esiste un produttore che supporti cavalli di Troia per tutti i diversi dispositivi e produttori”, ha affermato Kenan. “Potrebbe esserci software per Android, ma non iOS. Non parliamo nemmeno di tutti gli stravaganti dispositivi che si possono trovare in Cina e in India”.
Comunque, la tecnologia di Picsix può anche reindirizzare i dati di destinazione e iniettare malware su un telefono che utilizza la sua falsa torre. Da quel momento, quei cavalli di Troia da svariati milioni di dollari possono potenzialmente essere utilizzati.
La battaglia più grande
I governi di tutto il mondo utilizzano da anni gli strumenti creati da aziende come NSO Group e Picsix. C’è un’intera industria di intelligence altamente capace e redditizia dedicata a questo compito.
Ma molti alti funzionari di Washington, non vogliono fare affidamento su questi strumenti per accedere ai dati. All’inizio di quest’anno, durante una conferenza sulla sicurezza a New York City, il procuratore generale Barr ha chiesto porte di accesso a dati crittografati e il procuratore americano Richard P. Donoghue ha puntato il dito sui giganti della tecnologia americana.
“Queste aziende stanno commercializzando la sicurezza, anche se lo negano, e impediscono l’accesso ai dati alle forze dell’ordine”, ha detto Donoghue. “Dovrebbero essere perseguibili per legge”.
Per anni, gli esperti hanno messo in guardia contro la crittografia backdoor come soluzione, in quanto minerebbe i vantaggi di sicurezza della crittografia avanzata. Non è chiaro cosa accadrà al Senato degli Stati Uniti, ma ci si può aspettare un dibattito che ricorderà per molti versi le cosiddette “guerre crittografiche” degli anni passati.
(rp)
