La spinta dell'Ungheria per il controllo delle chat è fallita perché i servizi segreti olandesi si oppongono alla scansione lato client!
Per l'ennesima volta, il Consiglio dell'UE non riesce a trovare un accordo sul controllo delle chat: una grande vittoria per la privacy.
Perché il “controllo della chat” minaccia la crittografia
Il fulcro del regolamento CSA è l’implementazione della “moderazione del caricamento”, o scansione lato client. La moderazione dell’upload è in realtà solo un eufemismo usato dai politici dell’UE per fermare la costante resistenza pubblica contro questa pericolosa legge. La scansione lato client - se richiesta dalla legge - chiederebbe alle aziende tecnologiche di analizzare le comunicazioni alla ricerca di contenuti illegali sul client prima che avvenga la crittografia e di inviare i contenuti sospetti alle autorità. La Presidenza ungherese sostiene che questa soluzione può coesistere con la crittografia Ende-zu-Ende, ma ciò è fondamentalmente falso.
La crittografia Ende-zu-Ende garantisce che solo il mittente e il destinatario possano leggere un messaggio. Tuttavia, con la scansione lato client, i messaggi vengono scansionati prima di essere crittografati, vanificando lo scopo della crittografia stessa. Ciò impone di fatto un indebolimento della crittografia, che sarebbe incredibilmente pericoloso per la nostra resilienza digitale in Europa. Allo stato attuale, non esistono soluzioni tecniche in grado di preservare la sicurezza della crittografia Ende-zu-Ende, soddisfacendo al contempo le richieste della proposta CSA in materia di rilevamento dei contenuti.
Perché questo è più importante che mai
L’attuale proposta del CSA introduce quindi nuovi rischi allarmanti per la sicurezza digitale e la privacy. Imponendo la scansione dei messaggi crittografati, la proposta apre gli utenti a una serie di nuove vulnerabilità.
- I malintenzionati possono rubare i dati prima che siano criptati: La scansione lato client crea l’opportunità per gli hacker di sfruttare le vulnerabilità del sistema e di accedere a dati privati e sensibili prima che siano crittografati.
- Attacchi DDoS (Distributed Denial-of-Service): Più i sistemi diventano complessi, più aumentano i punti di guasto. Implementando la scansione lato client, i fornitori di servizi potrebbero diventare vulnerabili agli attacchi DDoS, interrompendo la disponibilità.
- Manipolazione del sistema CSAM: I sistemi utilizzati per rilevare i contenuti illegali potrebbero essere manipolati, portando a false accuse o allo sfruttamento criminale di meccanismi di rilevamento difettosi.
- Reverse engineering: Il software di scansione potrebbe essere decodificato da hacker o attori statali per aggirare le protezioni di sicurezza, esponendo potenzialmente interi sistemi ad accessi non autorizzati.
- Sfruttamento da parte degli Stati nazionali: Abbiamo già visto come attori sofisticati, come gli hacker statali cinesi, per esempio, quando attaccano Microsoft, sfruttano le backdoor nei sistemi progettati per la sorveglianza legale. L’indebolimento della crittografia o l’introduzione di meccanismi di scansione offrirà ad attori malintenzionati nuove opportunità di compromettere la sicurezza nazionale.
Questi rischi aumentano se la scansione lato client diventa un requisito legale per i servizi di e-mail e chat. Di fatto, la proposta di regolamento CSA dell’UE diminuisce la sicurezza online di tutti, invece di aumentarla.
La Cina ha violato AT&T attraverso intercettazioni legali
Un recente attacco informatico legato ad attori statali cinesi ha messo in luce le vulnerabilità delle reti a banda larga statunitensi, in particolare quelle utilizzate per le intercettazioni legali, come riporta il Wall Street Journal. In questo attacco, gli aggressori cinesi hanno avuto accesso per mesi alle infrastrutture di rete di Verizon Communications, AT&T e Lumen Technologies. Gli aggressori hanno abusato degli stessi punti di accesso utilizzati da queste aziende per collaborare con le richieste legali delle autorità americane.
Se i sistemi destinati a garantire la sicurezza pubblica possono essere violati, come in questo caso, l’introduzione di simili debolezze nella crittografia per i cittadini dell’UE sarebbe disastrosa.
Questo attacco esemplifica il motivo per cui dobbiamo mantenere i nostri sistemi il più sicuri possibile per rimanere resilienti, come evidenziato dai servizi segreti olandesi.
Secondo il Wall Street Journal, gli alti funzionari statunitensi sono dello stesso parere e avvertono che la Cina rappresenta un rischio significativo per l’economia e la sicurezza nazionale, un rischio che non deve essere aumentato indebolendo la crittografia nei nostri sistemi, a prescindere dallo scopo. Brandon Wales, ex direttore esecutivo della Cybersecurity and Infrastructure Security Agency e ora vicepresidente di SentinelOne, ha dichiarato al Wall Street Journal:
“Ci vorrà tempo per capire quanto sia grave, ma nel frattempo è il più significativo di una lunga serie di campanelli d’allarme che dimostrano come la RPC (Repubblica Popolare Cinese) abbia intensificato il proprio gioco informatico”. Se prima le aziende e i governi non prendevano sul serio la questione, ora devono assolutamente farlo”.
Non dobbiamo permettere alle autorità di aprire delle backdoor nelle comunicazioni criptate. Una backdoor è una backdoor e non può essere protetta dagli aggressori statali. La crittografia deve essere forte.
L’opposizione olandese come punto di svolta
Ciò è sottolineato dal rinvio della votazione della scorsa settimana sul regolamento CSA, che è stato annullato con breve preavviso a causa dell’opposizione dei Paesi Bassi, uno Stato membro dell’UE che, come la Germania, è ora saldamente posizionato contro la scansione lato client.
I Paesi Bassi hanno dichiarato chiaramente (fonte olandese):
“L’introduzione di un’applicazione di scansione su ogni telefono cellulare con una relativa infrastruttura di sistemi di gestione creerebbe un sistema estremamente grande e complesso. Questo sistema complesso ha quindi accesso a una grande quantità di dispositivi mobili e ai dati personali in essi contenuti. In ultima analisi, ciò porta a una situazione che l’AIVD ritiene troppo rischiosa per la resilienza digitale”.
Il commento di cui sopra non è stato fatto da qualcuno, ma dall’influente servizio di intelligence olandese. In breve, hanno detto: “L’applicazione di ordini di rilevamento ai fornitori di comunicazioni criptate Ende-zu-Ende comporta un rischio di sicurezza troppo grande per la nostra resilienza digitale”.
L’Ungheria deve essere fermata
I pericoli derivanti dalla compromissione della crittografia sono evidenti. Eppure - e nonostante il fatto che la Corte europea abbia dichiarato illegale la scansione lato client proposta nel Chat Control - l’Ungheria continua a spingere per questa soluzione profondamente sbagliata, ignorando il crescente numero di prove che ne evidenziano i rischi. È allarmante notare che, mentre le critiche al Chat Control continuano, l’opposizione contro il Chat Control si è indebolita. Stati membri chiave come Paesi Bassi, Germania, Polonia e altri hanno espresso una forte resistenza, ma l’Ungheria continua a raccogliere consensi.
I Paesi favorevoli alla proposta, come Spagna, Grecia e Irlanda, potrebbero sottovalutare le conseguenze a lungo termine dell’indebolimento della crittografia.
Ecco la ripartizione attuale delle posizioni degli Stati membri:
-
Contrari: Polonia, Germania, Paesi Bassi, Lussemburgo, Austria, Estonia e Slovenia.
-
Cauto: Cechia, Italia, Svezia e Finlandia hanno espresso la necessità di ulteriori perfezionamenti tecnici.
-
Favorevoli: Spagna, Grecia, Irlanda, Danimarca, Croazia, Cipro, Malta, Lituania, Lettonia e Romania.
È necessaria una maggiore opposizione
La diminuzione dell’opposizione al Chat Control è preoccupante. Ma se da un lato il sostegno alla proposta del CSA sta crescendo, dall’altro le ragioni per opporsi non sono mai state così chiare. Indebolire la crittografia per raggiungere un obiettivo a breve termine comporterà rischi a lungo termine per la sicurezza di tutti gli europei. Sono in gioco l’integrità delle nostre comunicazioni, la sicurezza dei nostri dati personali e la privacy di milioni di persone.
L’UE deve riconoscere che esistono modi migliori per combattere i danni online senza compromettere la crittografia. Le forze dell’ordine possono e devono utilizzare metodi alternativi e più sicuri per affrontare il materiale pedopornografico (CSAM), anziché imporre alle aziende tecnologiche di indebolire la sicurezza dei loro servizi.
La lotta per una crittografia forte continua
La crittografia è la spina dorsale della sicurezza digitale. Protegge le persone dallo sfruttamento criminale, garantisce la privacy delle comunicazioni personali e salvaguarda la sicurezza nazionale. Una volta indebolita, la crittografia diventa vulnerabile allo sfruttamento da parte di chiunque abbia le risorse per trovare e sfruttare le sue falle, che si tratti di criminali informatici o di governi stranieri ostili.
La spinta dell’Ungheria per il controllo della chat deve fallire. La posta in gioco è semplicemente troppo alta per permettere che questa proposta passi senza alcun controllo.
I cittadini europei meritano una crittografia forte e senza compromessi per proteggere la loro privacy, sicurezza e protezione. E noi di Tuta continueremo a lottare per il vostro diritto alla crittografia!