Vittime collaterali delle operazioni di infiltrazione: I rischi del software a sorgente chiusa
Solo il software open source può essere veramente sicuro
Exclu, An0m, EncroChat
Negli ultimi anni, le forze dell’ordine hanno utilizzato app di messaggistica criptata closed-source e altri strumenti di comunicazione presumibilmente sicuri per raccogliere informazioni e costruire casi contro i criminali. Se da un lato queste operazioni sono riuscite a consegnare i criminali alla giustizia, dall’altro hanno messo in luce i rischi legati all’utilizzo di software closed-source.
L’esempio più recente è il caso di Exclu. L’applicazione crittografica a codice chiuso è stata chiusa dalla polizia a febbraio e i suoi fondatori sono stati arrestati, a seguito di accuse penali. Gizmodoha riferito che la polizia è riuscita a penetrare nell’applicazione e a “leggere messaggi criptati che hanno portato a due grandi laboratori di droga pieni di cocaina, contanti e armi”.
Non si tratta di un caso isolato. AN0M era un’app di messaggistica criptata sviluppata segretamente dall’FBI e distribuita su speciali dispositivi “sicuri”, che consentiva alle forze dell’ordine mondiali di monitorare le comunicazioni degli utenti. Dopo aver elaborato i ricchi dati messi liberamente a loro disposizione, l’8 giugno 2021 queste agenzie hanno eseguito mandati di perquisizione in tutto il mondo e 800 utenti sono stati arrestati con diverse accuse penali.
Un altro caso degno di nota di rimozione di una piattaforma simile è stato quello diEncroChat nel luglio 2022, quando diverse forze di polizia europee hanno collaborato per smantellare il servizio e utilizzare i dati sequestrati per identificare900 sospetti criminali tra gli oltre 60.000 utenti della piattaforma in tutto il mondo.
Il close source è pieno di rischi
Il tema ricorrente è che decine di migliaia di persone innocenti, tra cui medici, avvocati e commercialisti, che si affidano a questi servizi per mantenere al sicuro le loro informazioni sensibili (o quelle dei loro clienti o pazienti), finiscono per ritrovarsi con le loro informazioni private nelle enormi maglie delle indagini criminali e vengono esaminate prima di essere scagionate dalle autorità.
Il software closed source comporta un rischio enorme per i cittadini rispettosi della legge di veder esposte le proprie informazioni sensibili nelle indagini criminali.
Gli strumenti crittografati Ende-zu-Ende possono essere affidabili solo se fanno parte di progetti open source.
Nell’operazione Exclu sting, le autorità olandesi hanno dichiarato che gli utenti legittimi della piattaforma che possono invocare il privilegio legale (ad esempio, avvocati, notai di diritto civile, medici o religiosi) possono contattare la polizia per ottenere la cancellazione dei loro dati, dopo un esame per assicurarsi che non contengano nulla di illegale.
Ancora più inquietante è il fatto che i legislatori di tutto il mondo stiano sfruttando i successi delle indagini criminali come Exclu, An0m ed EncroChat per alimentare il timore che l’unico scopo delle comunicazioni crittografate Ende-zu-Ende in generale sia quello di consentire ai criminali di infrangere le leggi e convincere i loro collegi elettorali ad accettare di applicare backdoor che minerebbero la sicurezza della crittografia Ende-zu-Ende.
In definitiva, tutti questi casi evidenziano i rischi dell’utilizzo di software closed-source, anche se dichiarano di essere sicuri e crittografati. Il software closed-source può essere manipolato dalle autorità per i loro scopi, anche se affermano di essere rivolti solo ai criminali.
Distruggere le organizzazioni criminali è un’ottima cosa, ma in questo processo le forze di polizia non dovrebbero finire per spiare decine di migliaia di persone che non hanno commesso alcun reato, alcune delle quali hanno a che fare con dati sensibili che devono essere protetti.
Conclusione
I rischi del software closed-source sono chiari: le forze dell’ordine sono disposte a sacrificare la privacy delle persone rispettose della legge per catturare i criminali, e il software closed-source rende tutto questo troppo facile.
Una soluzione a questo problema è l’utilizzo di servizi di posta elettronica criptata open-source come Tutanota. Il software open-source consente a chiunque di ispezionare il codice, assicurandosi che sia sicuro, senza backdoor per il monitoraggio degli utenti, e che se le forze dell’ordine o gli attori in malafede cercassero di manipolare il software per i propri scopi, il pubblico lo scoprirebbe immediatamente.
Utilizzando servizi di posta elettronica criptata open-source come Tutanota, gli utenti possono proteggere la loro privacy e garantire che le loro informazioni sensibili rimangano al sicuro. Che siate privati o aziende, è importante scegliere il miglior servizio di posta elettronica che soddisfi le vostre esigenze e protegga la vostra privacy.