Il caso Mitto AG surveillanve - o perché non dobbiamo mai usare la crittografia backdoor.
Un singolo dipendente ha fatto trapelare dati sensibili ai servizi segreti, potenzialmente anche alla Russia.
Sorveglianza della Mitto AG
Ilja Gorelik, cofondatore e direttore operativo di Mitto AG, avrebbe aiutato società private di sorveglianza e agenzie governative a tracciare le persone attraverso i loro telefoni cellulari.
La fuga di notizie pubblicata dal Bureau of Investigative Journalism e Bloomberg News accusa la società svizzera Mitto AG di aver aiutato a localizzare i telefoni cellulari e ottenere informazioni in operazioni di sorveglianza in tutto il mondo.
La tecnologia per migliorare la sicurezza
Il paradosso nel caso della sorveglianza della Mitto AG è che in realtà la tecnologia fornita dovrebbe aiutare a proteggere i dati segreti - non permettere la sorveglianza.
Mitto AG offre servizi di messaggi di testo in tutto il mondo in modo che i servizi online fossero in grado di offrire verifiche via SMS al momento del login. Per accedere a un account online, per esempio, non si usa solo una password, ma anche un codice che viene inviato tramite un messaggio di testo.
Mitto AG ha contratti con i provider di tutto il mondo per inviare messaggi di testo in grandi quantità. Grandi aziende tecnologiche come Google, WhatsApp, Microsoft e Twitter erano clienti di Mitto AG. Quest’ultimo ha smesso di collaborare con Mitto AG recentemente a causa dell’indagine in corso nella presunta sorveglianza di Mitto AG.
A causa della sua attività, Mitto AG lavora con aziende di telecomunicazioni in oltre cento paesi e ha accesso all’infrastruttura di comunicazione mobile in numerosi paesi del mondo, anche in paesi come l’Afghanistan e l’Iran.
Tecnologia usata per la sorveglianza
Ma dalla fine dell’anno scorso, la Mitto AG è sottoposta a seri sospetti: invece di aumentare la sicurezza per gli utenti, il co-fondatore Gorelik avrebbe usato l’accesso all’infrastruttura di telefonia mobile per permettere a terzi di monitorare gli utenti di telefonia mobile.
A partire dal 2017, ha venduto l’accesso alla rete dell’azienda a società private di sorveglianza, che l’avrebbero usata per operazioni di spionaggio per conto di agenzie statali, secondo Bloomberg.
Le partnership di Mitto con i fornitori di telecomunicazioni gli hanno permesso di sfruttare alcune vulnerabilità consolidate da tempo nel protocollo (Signaling System 7, o SS7) che sta alla base di gran parte delle comunicazioni internazionali. Tramite SS7 le persone possono essere localizzate e informazioni come la cronologia delle chiamate lette dai loro telefoni.
Nel 2017, un rapporto del Dipartimento della Sicurezza Nazionale degli Stati Uniti ha notato quanto siano gravi le vulnerabilità di sicurezza in SS7: Terze parti possono determinare la posizione fisica dei dispositivi mobili o intercettare o reindirizzare messaggi di testo e conversazioni a causa delle vulnerabilità in SS7.
Questi problemi sono noti da tempo, ma a causa dell’età di SS7 - è stato istituito negli anni ‘70 - è complicato, se non impossibile, risolvere i problemi.
Questo è anche uno dei motivi per cui Tutanota non supporta i messaggi di testo per l’autenticazione a due fattori. Invece, si consiglia vivamente di utilizzare U2F (token hardware) come migliore pratica per aumentare la sicurezza del login.
Spionaggio per molti paesi
In un caso specifico nel 2019, i sistemi di Mitto sono stati presumibilmente utilizzati per localizzare il telefono di un alto funzionario del Dipartimento di Stato americano, secondo Bloomberg. Non è chiaro chi ci fosse dietro l’operazione. Inoltre, il rapporto cita il caso di una persona nel sud-est asiatico la cui sorveglianza avrebbe coinvolto l’invio di comandi di sistema per leggere messaggi di testo.
L’intera gamma di società di sorveglianza e servizi segreti con cui Mitto AG ha collaborato non è ancora chiara. Tuttavia, è venuta alla luce anche una connessione esplosiva con la Russia.
Il giornale svizzero Tages-Anzeigerha pubblicato collegamenti commerciali con la Russia. Secondo il rapporto, Mitto è la società madre al 100% di una sospetta società di comodo a Mosca, che è stata fondata proprio nell’anno in cui sono iniziate le attività di sorveglianza: il 2017.
Secondo il Tages-Anzeiger, Mitto AG è l’intero proprietario della società di Mosca chiamata Tigokom. Lo scopo della società è elencato nel registro commerciale russo per “attività nel campo delle comunicazioni senza fili”. La sede di Tigokom è una singola stanza in un piccolo edificio di uffici in posizione centrale a Mosca.
Per l’esperto di intelligence Erich Schmidt-Eenboom, la rivelazione ha destato dei sospetti: “Questo fa sorgere il sospetto che i servizi russi possano aver ricevuto informazioni da Mitto”, dice Schmidt-Eenboom al Tages-Anzeiger. “Ora le autorità svizzere devono intervenire per chiarire questo sospetto”.
Mitto AG nega lo spionaggio
La Mitto AG nega di essere impegnata nel business dello spionaggio e della sorveglianza. Mitto non ha gestito un dipartimento che dà alle società di sorveglianza l’accesso all’infrastruttura di telecomunicazione per monitorare le persone, e non lo farà, dice. Un’indagine interna è stata avviata per chiarire le accuse.
Secondo Bloomberg Mitto AG ha detto in una dichiarazione:
“Siamo scioccati dalle affermazioni contro Ilja Gorelik e la nostra azienda. Per essere chiari, Mitto non organizza e non gestirà un business separato, una divisione o un’entità che fornisce alle società di sorveglianza l’accesso alle infrastrutture di telecomunicazione per localizzare segretamente le persone attraverso i loro telefoni cellulari, o altri atti illegali. Mitto inoltre non condona, supporta e permette lo sfruttamento delle reti di telecomunicazione con cui l’azienda collabora per fornire servizi ai suoi clienti globali”.
Lezione imparata
Così com’è, il caso di sorveglianza di Mitto AG mostra quanto sia pericoloso se le aziende hanno accesso a dati sensibili.
È bastato un solo uomo - certo, quest’uomo era il co-fondatore della società, ma sempre un solo uomo - per far trapelare i dati di localizzazione dei cittadini a società di investigazione privata. Questa forma di sorveglianza potrebbe essere presa da un best-seller di spionaggio, eppure è presumibilmente accaduta nella realtà.
La ragione stessa per cui questa fuga di dati sensibili è stata possibile in primo luogo sono debolezze di sicurezza - o vulnerabilità - nel protocollo SS7.
Questo dimostra chiaramente che dobbiamo proteggere i dati ogni volta che è possibile, anche e soprattutto dalle aziende che gestiscono tali dati.
Crittografare tutto
Il caso Mitto AG è un altro esempio del perché non dobbiamo mai fare la crittografia backdoor.
La crittografia Ende-zu-Ende è il miglior strumento che abbiamo per proteggere i dati sensibili. Non solo dalle autorità, ma anche da attori malintenzionati che potrebbero cercare di accedere ai nostri dati personali.
Ancora una volta, la Mitto AG è la prova che una “backdoor solo per i buoni” - come le autorità chiedono regolarmente - non è semplicemente possibile. Non appena c’è una backdoor, un attore malintenzionato arriverà e ne abuserà.
La crittografia Ende-zu-Ende non deve mai essere violata.