anarchia tecnologica

Privacy e sicurezza: alla ricerca di un compromesso senza sacrificare la crittografia

La lettera aperta a Facebook da parte dei Governi di Usa, Uk e Australia per chiedere di sospendere l’implementazione degli algoritmi di crittografia nei sistemi di messaggistica rischia di creare una situazione ancora più pericolosa di quella attuale. Un’anarchia tecnologica che farà male a tutti. Vediamo perché

01 Nov 2019
Davide Giribaldi

Governance, risk and Information Security Advisor


Il bilanciamento tra privacy e sicurezza delle informazioni da un lato e tutela dell’interesse pubblico e della sicurezza nazionale dall’altro è uno degli aspetti più delicati dell’era digitale.

Per imporre regole ad internet, tuttavia, la soluzione migliore non sempre è quella legislativa, sia perché non sempre è chiaro se i politici abbiano davvero cognizione di cosa stanno chiedendo, sia perché anche implementando regole più o meno strette prima o poi ci sarà una “soluzione tecnologica” per aggirarle.

Di sicuro, a rendere il mondo un posto più sicuro – in salvo da criminali e pedofili – non sarà l’indebolimento della crittografia, come hanno più volte chiesto i Governi, ultimo in ordine di tempo quello americano, insieme a Regno Unito e Australia: si dovrebbe, anzi, rafforzarla ed estenderla al numero maggiore possibile di strumenti di comunicazione.

Il corto circuito tra sicurezza e privacy

Proteggere la sicurezza delle persone garantendo allo stesso tempo la loro privacy è una delle sfide più complesse degli ultimi anni anche perché molto spesso i risultati sono stati deludenti, non tanto per limiti tecnologici quanto per l’impostazione “business oriented” di tutte le tech companies che operano sul web e che hanno dimostrato nel tempo di non farsi scrupoli a sacrificare la nostra privacy per il proprio interesse economico.

I Governi, dal canto loro, sono sempre più preoccupati dalle crescenti difficoltà ad accedere alle informazioni di cui necessitano per monitorare attività sospette o per prevenire abusi o crimini.

E in questo scenario, nelle scorse settimane il Procuratore Generale americano William Barr insieme a rappresentanti dei Governi di Regno Unito e Australia, ha inviato una lettera aperta a Facebook per chiedere di sospendere l’implementazione degli algoritmi di crittografia nei sistemi di messaggistica di proprietà della azienda.

Una lettera che, come vedremo, rischia di creare una situazione ancora più pericolosa di quella attuale.

Il ruolo della crittografia per sicurezza e privacy

Le rivelazioni di Edward Snowden del 2013, lo scandalo Cambridge Analytica del 2015 e per certi versi l’adozione del GDPR nel 2018 hanno contribuito alla creazione di una diversa coscienza e all’adozione di comportamenti a tutela della riservatezza dei nostri dati, tra questi la diffusione su larga scala della crittografia che nel giro di pochissimi anni è diventata il caposaldo per la sicurezza delle informazioni e per la difesa della nostra privacy.

In realtà seppur sicurezza e privacy siano termini molto vicini tra loro, la tendenza più diffusa è quella di confonderli. E’ quindi opportuno ricordare che la sicurezza in prima battuta garantisce il controllo degli accessi alle risorse di un’organizzazione, mentre la privacy si riferisce alla relazione esistente tra la stessa organizzazione che raccoglie e detiene le informazioni ed il proprietario di queste ultime.

L’adozione di tecniche di crittografia, il cui obiettivo è quello di offuscare il contenuto delle informazioni in modo da renderle incomprensibili a persone non autorizzate, è sorta dall’esigenza di tutelare diversi tipi d’interesse tra cui il principale è quello di garantire a chiunque la libertà di espressione.

Le possibili ripercussioni dell’indebolimento della crittografia

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

I rappresentanti dei governi di Usa, UK e Australia hanno chiesto formalmente e in maniera vagamente intimidatoria a Mark Zuckerberg di fermare l’adozione della crittografia end to end dalle sue piattaforme, argomentando su questioni del tutto lecite e particolarmente sensibili per l’opinione pubblica come la lotta al terrorismo ed il contrasto agli abusi sui minori, senza tenere conto delle possibili ripercussioni di tale proposta e scatenando reazioni molto contrastanti tra loro.

In realtà già nel 2018 il governo inglese aveva tentato senza successo di proporre il cosiddetto “Ghost Protocol”, un sistema che se implementato, avrebbe potuto consentire alle agenzie governative di spiare le comunicazioni private inserendo un utente fantasma per ogni attività potenzialmente interessante dal punto di vista investigativo, ma la lettera del 4 ottobre pone l’accento su alcuni aspetti decisamente più inquietanti come l’esplicita affermazione secondo la quale “le aziende non dovrebbero progettare i loro sistemi in modo tale da impedire alle forze dell’ordine d’investigare pericolosi criminali“.

Chi farà le spese dell’anarchia tecnologica

Nella primavera di quest’anno Facebook aveva annunciato l’intenzione di unificare Whatsapp, Instagram e Facebook Messenger per realizzare una piattaforma estesa di comunicazione in grado di intercettare quasi 3 miliardi di utenti attivi nel mondo ogni giorno, estendendo la crittografia end to end per ora solo implementata su Whatsapp.

Come tutti sappiamo l’uso della tecnologia è universale ed è quindi estremamente complesso distinguere chi usa il web per fini assolutamente leciti, come nel caso ad esempio degli attivisti o dei giornalisti che operano in aree del mondo dove la libertà di espressione non è ancora garantita, dai criminali che sfruttano le vulnerabilità dei sistemi per compiere atti illeciti o si nascondono nel crescente rumore di fondo del web.

L’attività delle agenzie governative e degli investigatori a caccia di malintenzionati è certamente complessa, basti pensare che ogni minuto su internet vengono inviati 188 milioni di email, 29 milioni di messaggi WhatsApp e 243 mila foto su Facebook.

Durante il 2018 nella sola Gran Bretagna è stato possibile condurre in arresto 2500 persone accusate di reati sui minori, mentre negli Usa la stessa Facebook ha inoltrato 16,8 milioni di segnalazioni al National Center for Missing and Exploited Children, ovvero il 90% di tutte le segnalazioni dell’anno.

La crittografia ha complicato questa attività, ma la richiesta di USA, UK ed Australia potrebbe significare la fine di qualsiasi tipo di tutela per chiunque, soprattutto perché installare delle backdoor “governative” sui sistemi o peggio ancora indebolire le chiavi di encryption dei dati, significherebbe il proliferare di una sorta di anarchia tecnologica in cui a subirne le conseguenze sarebbero solo ed esclusivamente gli utenti meno esperti, che non dimentichiamolo, rappresentano però non meno del 90% degli accessi quotidiani su internet.

La crittografia end to end è attualmente uno degli accorgimenti in grado di alzare notevolmente il livello di sicurezza, non è l’unico e certamente non rappresenta da sola il massimo livello di protezione, però è pur sempre un ottimo livello di difesa nei confronti di intrusioni indesiderate nei nostri dati. I messaggi crittografati con questo metodo vengo suddivisi in piccole parti e protetti da una chiave publica ed una privata che è (o meglio dovrebbe essere) contenuta solo nei dispositivi degli utenti che scambiano tra loro i messaggi.

Backdoor e decodifica dei messaggi

L’inserimento di backdoor consentirebbe l’accesso a chiunque fosse in possesso delle autorizzazioni di decodificare i messaggi e anche considerando che le cosiddette chiavi siano nella sola disponibilità delle autorità governative non è tecnicamente possibile garantire che non siano a loro volta sottratte o che siano utilizzate per fini diversi da quelli autorizzati per legge.

C’è inoltre un altro aspetto da tenere in considerazione, tutte le aziende da Facebook a Google ed Apple hanno l’interesse economico e reputazionale ad implementare le crittografia sui loro sistemi, i motivi sono essenzialmente 3:

  • pur limitando l’accesso ad alcune informazioni, la crittografia garantisce comunque la raccolta di metadati utili al loro business;
  • potendo dimostrare di non avere accesso al contenuto dei dati limitano il perimetro di responsabilità sia nei confronti delle norme come il GDPR che nei confronti degli utenti in caso di class action;
  • hanno utenti in tutto il mondo, comprese le zone a più alto rischio per la tutela della libertà di espressione, una possibile debolezza a vantaggio di qualche stato canaglia o di azioni repressive potrebbe avere effetti devastanti sulla loro reputazione e di conseguenza sui loro affari.

L’approccio alla privacy di Apple e Facebook

Apple, storicamente ha sempre considerato i suoi prodotti come “chiusi” verso l’esterno e quindi poco vulnerabili, anche quando dopo la morte di Steve Jobs ha cambiato strategie di vendita si è sempre distinta per un approccio quasi maniacale nella tutela della privacy dei propri utenti.

Il caso più clamoroso è forse quello del 2015 quando per lungo tempo si difese dalle pressioni dell’FBI che pretendeva la decodifica e la consegna dei dati dell’iPhone appartenuto ad uno dei killer della strage di San Bernardino, rifiutandosi di collaborare in nome del principio di tutela alla riservatezza delle informazioni dei propri clienti.

Non dimentichiamo però che la causa tra FBI e Apple si è conclusa con un nulla di fatto proprio perché la stessa FBI ha ritirato la denuncia dopo essere riuscita con altri metodi ad avere le informazioni contenute nell’iPhone di San Bernardino.

Diametralmente opposto l’atteggiamento di Facebook, che ha iniziato a considerare la privacy solo a seguito dello scandalo Cambridge Analytica che pur non essendo stato l’unico a colpire l’azienda di Zuckerberg in questi ultimi 5 anni ha suscitato il clamore maggiore.

Era pertanto inevitabile aspettarsi che la risposta alle ultime richieste fosse di assoluta chiusura “Siamo fortemente contrari ai tentativi del governo di costruire backdoor perché minerebbero la privacy e la sicurezza delle persone ovunque nel mondo”.

Un compromesso tra privacy e sicurezza

La situazione è davvero delicata ed è molto complesso bilanciare tutti gli interessi in campo, non so se sia possibile stabilire un compromesso tra privacy e sicurezza ma non credo che la via della legiferazione da parte dei governi sia la più adatta anche alla luce del costante e veloce progresso delle tecnologie.

Chi ci garantisce ad esempio che i computer quantici che saranno sviluppati nei prossimi anni non saranno in grado di decifrare chiavi di crittografia in pochi secondi rispetto alle attuali centinaia di anni per aprire quelle mediamente più complesse? La tecnologia fa passi enormi in direzioni che non sempre è possibile prevedere per questo credo che allo stato attuale delle cose la crittografia non solo vada tutelata, ma estesa quanto più possibile ai sistemi di comunicazione ed anche se so perfettamente che questo potrebbe significare la riduzione di capacità delle istituzioni d’indagare su determinati crimini, temo che indebolirla possa portare ad effetti più devastanti sul nostro futuro di utenti connessi.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articoli correlati