Sicurezza informatica, battaglia dietro le quinte tra Nsa e colossi della Silicon Valley
E' impasse totale tra il governo degli Stati Uniti e il settore americano più innovativo. Il tema? L'Nsa vorrebbe le chiavi segrete per accedere ai software di codifica delle informazioni sensibili usati dalle aziende
A seguito dello scandalo che ha coinvolto la sorveglianza da parte dell’Nsa (National security agency, Agenzia per la sicurezza nazionale degli Stati Uniti), le aziende tecnologiche statunitensi stanno eludendo dalla supervisione del governo una maggiore quantità di dati, ma fonti statunitensi ed europee fanno presente che tali misure rendono più difficile individuare e risalire ai terroristi.
A stufarsi di questo dibattito, limitato ai politici professionisti di Washington, è stato un barbuto ingegnere della Silicon Valley che all’inizio dell’anno si è alzato in piedi e ha preso di mira l’uomo che stava parlando sul palco.
L’ammiraglio Mike Rogers, direttore dell’Nsa, aveva appena illustrato i motivi per cui è favorevole alla creazione di una nuova compagine legale che consenta al governo di monitorare i dati generati attraverso le reti informatiche statunitensi. A contrastarlo si è levata la voce di Alex Stamos, allora alto funzionario addetto alla sicurezza di Yahoo, che ha condannato senza mezzi termini l’idea secondo cui le aziende tecnologiche debbano costruire nei loro sistemi alcune “back door” (porte secondarie o di servizio per scavalcare in parte o del tutto le procedure di sicurezza, NdT) e offrire così ai governi accesso alle informazioni.
“Se costruissimo di proposito dei ‘bachi’, delle back door o delle passe-partout privilegiate per il governo degli Stati Uniti, credete forse che dovremmo fare la stessa cosa con il governo cinese, il governo russo, il governo dell’Arabia Saudita, il governo israeliano, il governo francese?” ha domandato Stamos. “Perché qui stiamo parlando di circa 1,3 miliardi di utenti in tutto il mondo”.
In un primo tempo, Rogers ha tentato di liquidare l’attacco con una risata, poi però ha ribattuto criticando le affermazioni sul settore tecnologico relative alla responsabilità di proteggere gli utenti dagli occhi indiscreti del governo.
“Questa rappresentazione semplicistica di una parte buona e di una parte cattiva mette noi, in quanto nazione, in una situazione terribile” ha detto Rogers. “Dobbiamo fare i conti con alcune questioni davvero complesse e fondamentali”.
La prova di forza di febbraio è stata una dimostrazione clamorosa dell’impasse tra il governo degli Stati Uniti e il settore americano più innovativo, invischiati nella battaglia sulla codifica ? il software che usa chiavi segrete per proteggere i dati delle carte di credito, i messaggi personali di posta elettronica e i segreti delle corporation dagli attacchi dei criminali informatici. Se da un lato le aziende tecnologiche si stanno orientando verso la codifica, dall’altro Rogers e i massimi funzionari dell’Amministrazione Obama cercano di ottenere il diritto di usare chiavi segrete per individuare e risalire a terroristi e altri delinquenti.
Prima che Edward Snowden con le sue rivelazioni di due anni fa lasciasse trapelare particolari sulle tattiche di sorveglianza di massa dell’Nsa, pochi fornitori di servizi tecnologici utilizzavano la codifica ‘forte’ che criptava le informazioni in modo tale che neppure le aziende tecnologiche e di comunicazione riuscissero a leggerle: iMessage di Apple, Face Time, e Skype di Microsoft. Dopo le rivelazioni di Snowden, però, il settore ha dovuto far fronte all’energica reazione dei consumatori che avevano l’impressione che i gruppi tecnologici fossero stati complici nel consentire il monitoraggio delle loro informazioni riservate.
Ormai la codifica forte sta diventando rapidamente la norma: forse offrirà ai consumatori una maggiore protezione della loro privacy, ma presenta alle agenzie che si occupano dell'ordine anche sfide concretamente più complesse.
Alla fine dell’anno scorso, WhatsApp, l’applicazione di messaggistica di proprietà di Facebook, è passata a un software di codifica forte per gli utenti di Android. Google e Yahoo stanno lavorando a un progetto che, entro la fine dell’anno, consentirà di garantire un livello di sicurezza analogo nei loro servizi di posta elettronica. Di conseguenza, entro la fine del 2015, i loro utenti (nell'insieme due miliardi di account) avranno quanto meno l’opzione di poter crittografare le loro comunicazioni end-to-end.
Questo tipo di codifica, però, può anche rendere invisibili le informazioni che secondo i funzionari governativi sarebbero di importanza cruciale per fare rispettare la legge e per la sicurezza nazionale. Per usare le parole di James Comey, direttore dell’Fbi (Federal Bureau of Investigation) negli Stati Uniti, la diffusione della crittografia ha comportato una sorta di “oscuramento” di ampie aree di Internet, e ha reso più difficile individuare i terroristi e criminali. In Europa – dove la reazione post-Snowden contro la tecnologia statunitense si è fatta maggiormente sentire –, il timore che gli adolescenti usino messaggi cifrati per comunicare con combattenti dell’IS (Stato Islamico dell’Iraq e del Levante, Isis) hanno portato al rischio che vengano varate nuove leggi per arginare l’ondata di messaggi crittografati.
Fino a tempi recenti, la crittografia era una tecnologia così costosa da essere solo raramente utilizzata su ampia scala: essa prevede che gli algoritmi criptino le informazioni in una forma illeggibile, e in seguito le decriptino usando molta potenza di elaborazione.
Il continuo abbassamento dei costi dell’informatica stava già iniziando a incidere su quella situazione, ma le aziende tecnologiche – impazienti di riguadagnare la propria reputazione presso la loro clientela –, hanno abbracciato quella tecnologia. Google ha fatto da apripista, essendo stata umiliata dalla rivelazione che il suo stesso governo, insieme a quello del Regno Unito, aveva forzato la sua rete interna e utilizzato una gran quantità di dati non cifrati. La notizia ha messo in luce un punto vulnerabile nelle difese di un’azienda che si vantava di essere all’avanguardia nel suo settore in fatto di sicurezza. Google ha subito esteso la crittografia alle informazioni che sposta e veicola su larga scala tra i suoi data center e ha lanciato una campagna per convincere anche gli altri a usare la codifica di default.
Mi dispiace, non siamo in grado di aiutarla Se da un lato l’uso più frequente di tecnologie di questo tipo ha reso più difficile la vigilanza illecita del governo e la caccia ai criminali, dall’altro il diffondersi della cosiddetta codifica ‘forte’ o end-to-end ha allarmato sul serio gli organi preposti all’applicazione della legge. Questi sistemi portano la tecnologia a un livello superiore e rendono impossibile la decodifica dei dati perfino alle imprese che li elaborano o trasferiscono: di conseguenza impediscono ai governi di esigere che le informazioni siano messe a loro disposizione. E neppure un’ordinanza del tribunale può servire in tal senso.
Anche Ibm, Cisco e altre aziende che vendono sistemi informatici e di comunicazione alle imprese e ai governi sono stati gravemente colpiti dalle rivelazioni di Snowden. Inoltre hanno alimentato una forte reazione nazionalistica in Cina, dato che gli acquirenti per conto del governo si sono rivolti a fornitori locali di tecnologia, incentivando chi vendeva prodotti tecnologici a emettere garanzie più forti per la sicurezza dei dati.
Quest’anno Ibm ha reagito aprendo la propria tecnologia informatica abituale per consentire ai clienti di utilizzare i propri algoritmi di scrittura in codice, offrendo, di fatto, il pieno controllo sulle informazioni che li riguardano e rendendo impossibile leggerle alla stessa Ibm o a qualsiasi governo esterno.
Big Blue è andata addirittura oltre, concedendo la licenza della sua tecnologia dei chip per server ai produttori cinesi con modalità che in pratica danno loro il controllo totale sulla crittografia: lo afferma Martin Schroeter, direttore finanziario di Ibm, secondo il quale l’intento del provvedimento era ripristinare la fiducia nella tecnologia e nell’affidabilità dell’azienda statunitense.
Altri servizi di dati usati dalle imprese hanno assunto una posizione analoga. Dropbox, uno dei servizi più usati per l’archiviazione dati nel “cloud” ha aperto la sua piattaforma per consentire agli utenti di inserire la loro crittografia. Le aziende tecnologiche affermano che le tattiche di questo tipo garantiscono sia la sicurezza dei dati digitali sia la privacy degli utenti nei confronti dell’ingerenza del governo e dell’intromissione dei criminali informatici sempre più esperti.
Un dirigente di una grossa azienda tecnologica statunitense spiega: “Noi non possediamo le informazioni riservate dei nostri clienti e non vogliamo trovarci nella posizione di essere obbligati a consegnarle al governo solo perché in un dato momento le stiamo elaborando”.
I dirigenti delle aziende tecnologiche sperano che tracciare una linea netta servirà ad affrontare e risolvere altri dubbi relativi ad alcune altre pratiche. Lo scandalo Snowden ha sollevato nuovi interrogativi anche su aziende come Google che si affidano alla raccolta e all’analisi di grandi quantità di dati sui propri utenti per vendere pubblicità.
Un rapporto della Casa Bianca sul caso Snowden ha puntato i riflettori sulle aziende tecnologiche come Google che lavorano con i “big data”: nella Silicon Valley questa è stata considerata un’ovvia brutta manovra da parte di Washington per cercare di distogliere l’attenzione dalla propria indebita sorveglianza, trascinando il settore nel fango. Offrire agli utenti una codifica più elaborata e complessa è un modo per reagire a queste controversie.
Il ritorno delle ‘crittoguerre’ La tendenza alla crittografia che ne è nata è stata vigorosamente criticata dai governi e dagli organismi preposti all’applicazione della legge negli Stati Uniti e nell’Europa occidentale.
Comey, direttore dell’Fbi, ha pronunciato tutta una serie di discorsi criticando Apple e Google per essersi spinte troppo in là con la codifica. In tempi più recenti ha anche detto al Congresso che per la sua agenzia d’intelligence era cruciale potere accedere alle comunicazioni per combattere l’IS, che sempre più spesso fa affidamento su Internet.
In Europa, il passaggio dallo shock provocato dalla notizia della sorveglianza di massa da parte degli Stati Uniti alla pretesa dei governi europei di maggiori diritti per leggere le comunicazioni online è stato rapido e brusco. I servizi francesi d’intelligence hanno ottenuto ampi poteri grazie a un disegno di legge approvato a maggio che ha reso legali le intercettazioni delle telefonate e della posta elettronica. Il primo ministro britannico David Cameron ha proposto di vietare del tutto la codifica forte per “garantire che i terroristi non abbiano un luogo protetto nel quale comunicare”.
Nel settore della sicurezza informatica, tuttavia, molti affermano che un divieto vero e proprio equivarrebbe a rimettere il genio della crittografia nella lampada e dicono che sarebbe impossibile garantire che le tecnologie create per fornire ai governi accesso ai sistemi cifrati non vadano a finire nelle mani degli hacker.
“Ci sono tante minacce in giro, ci sono rischi per la sicurezza delle persone”, afferma Scott Renfro, del team sicurezza di Facebook. “Allo stesso tempo, però, non c’è modo di alleggerire la codifica e renderla disponibile solo per determinati soggetti”.
Whit Diffie, 71 anni, pioniere della sicurezza e co-inventore del criterio di base usato nella maggior parte dei sistemi moderni di codifica, dice che questi ultimi funzionano tanto meglio quanto più “sono semplici”. Ciò significa che è controproducente tentare di incorporare il tipo di accesso speciale che i governi stanno chiedendo.
“Se si compromettono gli strumenti di base, è molto probabile che si renda più agevole lo sfruttamento da parte dei governi stranieri”, afferma.
La battaglia sulla crittografia richiama alla mente gli anni ‘90, quando il governo degli Stati Uniti esercitava pressioni per l’adozione di un chip di silicio che si potesse decrittare a distanza. Ciò accadeva prima che gli Stati Uniti lanciassero la “guerra al terrore”, ma le autorità si stavano già schierando a favore di maggiori poteri per combattere il terrorismo e altri crimini quali i rapimenti.
Il chip Clipper, progettato per le comunicazioni vocali, usava un algoritmo di codifica inventato dall’Nsa. L’idea era quella di depositarne in garanzia la chiave di decodifica fino a quando il governo non avesse ottenuto l’autorizzazione legale per ascoltare una data conversazione. Il chip, annunciato nel 1993, sparì tre anni dopo in seguito alla forte reazione degli attivisti anti-sorveglianza e alla sua mancata adozione da parte dei produttori.
La “crittoguerra” degli anni ‘90 è stata soltanto l’ombra di quella che è adesso, afferma Diffie. “La crittografia è molto importante per l’intera economia digitale. Si è sviluppata enormemente dall’ultima volta in cui abbiamo combattuto questa battaglia, poco meno di 20 anni fa”. Adesso per i governi è molto più difficile opporsi alla codifica, perché “il suo utilizzo è molto, molto esteso”.
Anche il rischio per la sicurezza informatica è proporzionalmente maggiore, visto che stati nazione tra i quali Cina e Russia investono ingenti risorse nello spionaggio informatico e che reti criminali organizzate ben finanziate stanno affinando le proprie capacità.
Nel mondo della tecnologia, tuttavia, sono in molti a sostenere che i governi possano effettivamente avere maggiore accesso alle informazioni rispetto a prima che la crittografia iniziasse a diventare la regola. “Non credo che come per magia siano diventati incapaci di risolvere i crimini”, ha dichiarato il crittografo Bruce Schneier. “Nel mondo in cui viviamo negli ultimi anni sono migliorate parecchio le tecniche investigative e le scienze forensi ? come l’analisi del Dna, delle impronte digitali, e la localizzazione”.
Nessun compromesso in vista Con entrambe le fazioni arroccate su posizioni forti e distanti, tuttavia, risulta molto difficile capire dove si potrà trovare spazio per un compromesso. Come molti dei metodi usati per reagire alla marea di crimini informatici, i tentativi di utilizzare la codifica rischiano di impantanarsi in complessi dibattiti di natura politica e legale proprio mentre gli hacker lavorano alacremente imparando e perfezionando nuovi stratagemmi.
Quest’anno Google si accinge a innescare un nuovo scontro diretto tra gli organi preposti all’applicazione della legge e il settore tecnologico: ciò accadrà con il lancio del suo sistema di codifica end-to-end da usare con il suo browser Chrome. Fonti a conoscenza del progetto hanno sdrammatizzato il suo impatto potenziale, dichiarando che probabilmente soltanto un numero esiguo di utenti ne farà uso.
Molti degli altri servizi dell’azienda fanno affidamento sulla capacità di monitorare le azioni di un utente così da fornire informazioni significative o anche pubblicità – incisivo monito di quanto sia diventato sfuggente il problema della codifica dei dati. Quando risponde alle loro esigenze, perfino le aziende tecnologiche, proprio come i governi, riescono a comprendere la necessità di stabilire alcuni limiti all’uso generalizzato di una crittografia inattaccabile.
Stamos, che ora lavora per Facebook, ha imputato la crisi riguardante la codifica agli organi preposti all’applicazione della legge per quella che pareva un’opzione facile, senza pensare alle conseguenze per la sicurezza degli utenti o al futuro del settore tecnologico. “Richiedere determinate cose come le back door quali ripercussioni può avere sulla competitività del settore tecnologico statunitense, per le altre persone che usano la nostra tecnologia, e per gli altri paesi che chiedono anch’essi ‘porte di servizio’?”
Traduzione di Anna Bissanti (c) 2015 The Financial Times Limited