Niente da nascondere? Quasi peggio

Patriot Act alle vongole

di

thumbnail

27

mar

2015

Copiamo dagli Stati Uniti il peggio, probabilmente per compiacere una lobby. Non rimane che alzare gli scudi.

Fu nel 2001, sull’onda emozionale degli attacchi alle Torri Gemelle, che uscì negli Stati Uniti il Patriot Act. Siamo stati attaccati nel cuore della nostra nazione, dobbiamo sacrificare un po’ della nostra libertà per essere tutti più sicuri.

Ovviamente gli americani, colpiti, risentiti e patriottici, hanno risposto portandosi la mano al cuore e cantando l’inno nazionale. Risultati? Dopo quattordici anni di cosiddetta guerra al terrorismo, sacrifici delle libertà personali? Gli Stati Uniti sono più sicuri? Più amati nel mondo?

Dopo quattordici anni possiamo dire che sì, ci sono stati attacchi terroristici in vari luoghi, ma sul suolo degli Stati Uniti non si è ripetuto nulla di simile al 9/11. Gli Yankee hanno forse riconquistato qualcosa delle libertà che avevano sacrificato per essere tutti più sicuri?

Mi pare che negli aeroporti i controlli siano sempre invasivi, che il mai troppo acclamato Snowden ci abbia mostrato come l’ingerenza delle Three Letter Agency (di cui la NSA è la più foraggiata) sia sempre più forte, che gli scandali sull’uso esagerato dei propri poteri e della tecnologia da parte degli organi di governo siano oramai all’ordine del giorno: la storia di Equation Group è quasi passata in sordina nonostante la gravità, per non parlare dello hack di tutte le principali compagnie produttrici di SIM:

Grazie al furto di queste chiavi di cifratura [di SIM di 450 operatori in ottanta Paesi], le agenzie di intelligence possono monitorare le comunicazioni cellulari senza chiedere o ricevere l’approvazione da parte degli operatori o dei governi. Detenere le chiavi supera la necessità di chiedere un mandato o ottenere un permesso di intercettare e lascia zero tracce dell’intercettazione sulla rete dell’operatore. lavorare su una quantità massiccia di chiavi rubate permette inoltre alle agenzie di sbloccare comunicazioni cifrate già acquisite e che non avevano la capacità di decifrare.

E la guerra al terrorismo? Tutte le informazioni a cui gli americani hanno potuto accedere gli hanno permesso di catturare Osama Bin Laden a tempo di record? Oppure sono andati alla cieca per anni piantando un tale casino in Medio Oriente da farsi odiare anche da chi li sopportava?

Tutto questo incipit perché il nostro governo adesso agita a gran voce lo spauracchio dell’ISIS. Sono alle porte di Roma, recitano i pennivendoli sui quotidiani. Come facciano a dirlo nessuno lo sa. Me lo vedo Renzi che batte il pugno sul tavolo come Bush e dice Uì ève to fàit AISAIS.

E così, nonostante l’ultimo atto di barbarie accaduto in Italia ad opera di stranieri sia dovuto a hooligan olandesi (e che abbiamo incassato senza troppi problemi, dato che il danno lo paga Sgarbi), ce ne usciamo con un decreto legge che sembra una copia, brutta, del Patriot Act.

Perché? Già certe azioni sono deprecabili se prese sull’onda emozionale, ma così a freddo è semplicemente un’ingerenza illecita, antidemocratica, deprecabile e sbagliata nella vita dei cittadini. Perché non solo si parla di intercettazioni preventive (quindi basta che tu sia sospettato e possono metterti sotto intercettazione con la scusa del terrorismo), ma si parla di una ingerenza totale nella tua vita dando la possibilità allo Stato di venirsi a prendere i dati nei tuoi dispositivi.

Tra gli emendamenti ve ne è uno che permette le intercettazioni “preventive” delle comunicazioni via web dei sospettati di terrorismo, utilizzando programmi per acquisire “da remoto” le comunicazioni su social, come WhatsApp o altre piattaforme. C’è poi la possibilità di conservare fino a due anni i dati del traffico telefonico.

Questo dovrebbe far tremare. Perché un conto è che ti arrivino a casa con un mandato, un esperto in digital forensics e facciano copia dei tuoi computer con tutte le garanzie del caso e dandomi possibilità di vedere e di assistere, magari con un legale, alle operazioni. È una situazione del tutto accettabile in uno Stato di diritto.

Un conto è che qualcuno, a tua insaputa e in assenza anche solo di un avviso di garanzia, inoculi nel tuo computer un trojan e non solo si prenda quello che vuole ma anche lo faccia senza che tu possa controllare le modalità e la regolarità dell’acquisizione dei dati. Quindi se oggi, per enne motivi tra cui lo studio, vado su un sito relativo a movimenti islamisti estremi, divento un soggetto a rischio, posso ritrovarmi nel computer una schifezza come RCS di Hacking Team o FinFisher, con persone che si prendono bellamente i documenti che ho scaricato (e di cui magari mi sarei liberato terminata la mia ricerca) per usarli contro di me.

Questo decreto mi puzza tanto di lobby delle intercettazioni. In Italia oramai non si supera il compenso di due/tre euro per bersaglio al giorno per una telefonica (e il dato è in calo da anni), e il loro numero continua a calare. Dove ancora c’è da guadagnare è sulle intercettazioni IP, dove costi e modalità non sono ancora normate a dovere (e si parla di centinaia di euro al giorno):

[nella] tabella relativa ai bersagli intercettati nell’ultimo triennio distinti per tipologia di intercettazione […] si può osservare un aumento del numero totale dei bersagli intercettati dal 2011 al 2012 pari al 3.7% contro la riduzione, nello stesso periodo, dei costi per intercettazione pari al -3%. È desumibile pertanto una tendenza alla diminuzione del costo medio per bersaglio […]

Solo che moltissimi siti e social network, oramai, utilizzano SSL e quindi ci si ritrova con una marea di dati non decodificabili a priori, non utilizzabili ai fini di indagine. Sarebbe un peccato rovinare un così lucroso mercato!

Cosa c’è quindi di meglio che alimentare l’industria degli 0-day (dove Vupen la fa da padrone) e sfornare a nastro trojan da inoculare nei computer dei cittadini per carpirne le informazioni prima che siano crittografate? Tra il resto, con questi programmi si ovvia anche al problema che le informazioni siano cifrate sul disco; il sistema operativo, per avervi accesso, deve per forza poterle vedere decodificate.

Quindi signori, alzate gli scudi! Tenete OGNI vostro dispositivo protetto mediante endpoint e firewall personali di livello adeguato (non quello di Windows che lo aggirano anche i bambini dell’asilo), sempre costantemente aggiornati (verificando la fonte) e state sempre più attenti alle operazioni di phishing e ingegneria sociale.

È il caso. Anche se non avete nulla da nascondere.




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 3.291 volte | Tag: , , , , , , , , , , , , , , , , , , , ,

Lascia il tuo commento