Ultime notizie

Apple verso la crittografia backdoor? Secondo round

Il Regno Unito chiede ad Apple una backdoor per la crittografia simile a quella chiesta dall'FBI dieci anni fa. Apple non si arrenderà?

UK vs Apple: In the ongoing crypto wars, Apple must stay strong and fight for people's right to privacy and encryption.

Il governo britannico sta spingendo ancora una volta per la sorveglianza di massa, chiedendo segretamente ad Apple di creare una backdoor nei suoi backup cloud crittografati Ende-zu-Ende. Questa mossa, riportata dal Washington Post, potrebbe avere conseguenze devastanti per la privacy digitale in tutto il mondo. La richiesta arriva tramite una Technical Capability Notice ai sensi del controverso Investigatory Powers Act 2016, noto anche come Snoopers' Charter. Se Apple si adeguasse, minerebbe le protezioni della crittografia e della privacy per tutti gli utenti Apple, non solo per quelli del Regno Unito.

Five Eyes: chi ottiene i dati per primo?

Non è la prima volta che un governo cerca di indebolire la crittografia con il pretesto della sicurezza nazionale. Infatti, l’alleanza dei Five Eyes, composta da Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, è nota per la sua volontà di fare da backdoor alla crittografia.

Nelle guerre di crittografia in corso - iniziate nel momento in cui il PGP è diventato disponibile per tutti all’inizio degli anni ‘90 - i governi di tutto il mondo hanno cercato di costringere le aziende tecnologiche a costruire servizi di comunicazione meno sicuri, in modo che le autorità di polizia potessero trasformare le aziende nei loro piccoli (o grandi) aiutanti quando si tratta di perseguire i criminali. Il problema è che una volta che un metodo di comunicazione è meno sicuro, è meno sicuro per tutti, non solo per i criminali. Comunque sia, i cinque occhi si alternano nel tentativo di costringere le aziende a minare la crittografia Ende-zu-Ende. Sembra che chi entra per primo in possesso dei dati aiuterà gli altri Paesi a ottenere lo stesso risultato.

Comic, der zeigt, wie Apple-CEO Tim Cook das iPhone entsperrt, während das FBI, Hacker, repressive Regime und andere in der Schlange stehen, um Zugriff auf die entschlüsselten Daten zu erhalten. Comic, der zeigt, wie Apple-CEO Tim Cook das iPhone entsperrt, während das FBI, Hacker, repressive Regime und andere in der Schlange stehen, um Zugriff auf die entschlüsselten Daten zu erhalten. Fumetto che mostra il CEO di Apple Tim Cook che sblocca l’iPhone mentre l’FBI, gli hacker, i regimi repressivi e altri ancora fanno la fila per avere accesso ai dati decriptati. In una versione aggiornata di questo fumetto, il Regno Unito dovrebbe mettersi tra Apple e l’FBI.

La protesta dell’opinione pubblica ha fermato la sorveglianza a tappeto

Anche l’UE ha tentato più volte di introdurre la scansione lato client, ma finora non l’ha portata avanti, soprattutto a causa dell’opposizione, anche da parte della Germania, che ha notoriamente affermato : “Non c’è processo ad ogni costo” e l’UE non deve introdurre la scansione lato client.

Per quanto riguarda Apple, anche gli Stati Uniti hanno cercato di costringerla a indebolire la sua crittografia nel 2015/2015. All’epoca, Apple si rifiutò di introdurre la scansione lato client a causa delle proteste dell’opinione pubblica.

Dobbiamo tenere presente che una volta compromessa la crittografia, diventa possibile la sorveglianza a tappeto, ovvero il monitoraggio di ogni cittadino. Qualsiasi backdoor per le forze dell’ordine diventerebbe inevitabilmente una backdoor per attori malintenzionati e regimi autoritari.

Il Regno Unito può decidere della vostra sicurezza?

Quando ad Apple è stata presentata la notizia che il Regno Unito ha intenzione di richiedere l’accesso alla backdoor, Apple ha dichiarato, secondo il Washington Post:

“Non c’è motivo per cui il [governo] britannico debba avere l’autorità di decidere per i cittadini di tutto il mondo se possono avvalersi dei comprovati vantaggi in termini di sicurezza che derivano dalla crittografia Ende-zu-Ende”.

Ma il Regno Unito ha questo potere?

Una fonte sconosciuta ha riferito al Washington Post che il governo britannico chiede ad Apple di fornire alle forze dell’ordine britanniche l’accesso ai backup criptati su cloud degli utenti di tutto il mondo, indipendentemente dal fatto che siano cittadini britannici o meno. Ciò è avvenuto tramite un avviso di idoneità tecnica notificato ai sensi dell’U.K. Investigatory Powers Act del 2016, noto anche come Snoopers’ Charter - la legge sulla sorveglianza più estrema in una democrazia. Questo meccanismo legale obbliga le aziende ad assistere le forze dell’ordine fornendo l’accesso alle comunicazioni criptate, rendendo inoltre illegale la divulgazione di tali richieste al pubblico.

L’ordine del Regno Unito va oltre l’individuazione di account specifici. Richiede una capacità generale di modificare il codice di Apple in modo tale che non sia più solo l’utente a decifrare i propri dati, ma che Apple abbia il potere di decifrare tutti i dati dell’utente e di trasmetterli alle autorità su richiesta, creando un pericoloso precedente per la privacy digitale globale.

Il potere di cui dispone il Regno Unito sembra illimitato. Il WaPo riporta che

”Una delle persone informate sulla situazione, un consulente che consiglia gli Stati Uniti in materia di crittografia, ha detto che Apple non potrà avvertire i suoi utenti che la sua crittografia più avanzata non garantisce più la piena sicurezza. La persona ha ritenuto scioccante che il governo britannico chiedesse l’aiuto di Apple per spiare utenti non britannici all’insaputa dei loro governi”.

Questo è ancora più problematico perché il codice di Apple è proprietario e non è pubblicato come open source. Ciò significa che un cambiamento nel modo in cui la crittografia viene eseguita sui client Apple potrebbe passare inosservato al pubblico per molto tempo.

Un precedente per la sorveglianza di massa

Se Apple cede a questa richiesta, creerà un pericoloso precedente per le aziende tecnologiche di tutto il mondo. Il Regno Unito potrebbe essere il primo a emettere un ordine così ampio, ma di certo non sarà l’ultimo. Una volta che esiste una backdoor, altri governi faranno la fila per chiedere lo stesso accesso. Cina, Russia e altri regimi con un passato discutibile in materia di diritti umani seguiranno senza dubbio l’esempio.

Inoltre, all’interno della cosiddetta alleanza di intelligence “Five Eyes”, esiste una lunga storia di accordi di condivisione delle informazioni. Se il Regno Unito riuscirà a costringere Apple a introdurre una backdoor, è molto probabile che gli altri membri di questa alleanza richiederanno le stesse capacità di monitoraggio. Allo stato attuale, le richieste del Regno Unito rappresentano un’ampia spinta delle agenzie di intelligence a erodere la privacy digitale ovunque.

L’opposizione

Nel momento in cui è stata diffusa la notizia della richiesta del Regno Unito di inserire il backdoor nella crittografia di Apple, l’opposizione ha iniziato a lanciare l’allarme, anche negli Stati Uniti: il senatore Ron Wyden (Oregon), un democratico della commissione Intelligence del Senato, ha dichiarato al Washington Post:

“Trump e le aziende tecnologiche americane che permettono a governi stranieri di spiare segretamente gli americani sarebbe inconcepibile e un disastro senza precedenti per la privacy degli americani e la nostra sicurezza nazionale”.

Le sue preoccupazioni sono giustificate, dato che i Paesi Five Eyes hanno spesso collaborato ai programmi di sorveglianza, come dimostrato dalle rivelazioni di Edward Snowden. La backdoor voluta dal Regno Unito non sarà limitata alle autorità britanniche, ma sarà presto sfruttata dai servizi di intelligence di tutte le nazioni alleate.

Meredith Whittaker di Signal, una delle migliori alternative a WhatsApp, ha dichiarato a WaPo:

“L’uso delle Technical Capability Notices per indebolire la crittografia in tutto il mondo è una mossa scioccante che posizionerà il Regno Unito come un paria della tecnologia, piuttosto che un leader della tecnologia”. Se attuata, la direttiva creerà una pericolosa vulnerabilità della sicurezza informatica nel sistema nervoso della nostra economia globale”.

Matthias Pfau, CEO di Tuta Mail, aggiunge:

“Abbiamo assistito a richieste di dati criptati ancora e ancora. Abbiamo anche visto che queste richieste sono state sempre respinte. Insieme alla comunità della privacy ci uniamo e difendiamo il nostro diritto alla privacy. I governi non devono costringere le aziende tecnologiche a indebolire la sicurezza da cui tutti dipendiamo, soprattutto ora che le minacce informatiche sono in continuo aumento. Noi lottiamo per il diritto alla privacy dei nostri utenti con la crittografia Ende-zu-Ende e continueremo a farlo, indipendentemente da ciò che i governi potrebbero chiedere”.

È interessante notare che l’agenzia statunitense CISA ha appena emesso il suo più forte endorsement a favore della crittografia a causa dell’hacking cinese dei provider di telecomunicazioni americani che consente alla Cina di monitorare le chiamate e i messaggi non crittografati di molti cittadini statunitensi, compresi i politici. Questo attacco agli Stati Uniti dimostra perché la crittografia Ende-zu-Ende è più che mai necessaria nel mondo online di oggi.

Solo la crittografia Ende-zu-Ende può proteggerci dal furto di dati e dagli attacchi malevoli.

Interessante tempismo della mossa del Regno Unito

Anche il tempismo della richiesta del Regno Unito merita di essere analizzato nel contesto di sviluppi geopolitici più ampi. È degno di nota il fatto che Apple abbia tentato di introdurre la funzione di crittografia Ende-zu-Ende per il suo cloud storage già durante il primo mandato del presidente Donald Trump, ma abbia fatto marcia indietro a causa delle lamentele per il fatto che l’azienda non avrebbe aiutato le forze dell’ordine a perseguire criminali come assassini o spacciatori. La crittografia cloud opzionale è stata poi introdotta da Apple nel 2022 - e ora è di nuovo sotto pressione, poco dopo che Trump è diventato nuovamente presidente degli Stati Uniti.

Potrebbe trattarsi di uno sforzo coordinato tra il Regno Unito e l’amministrazione statunitense? È possibile che gli Stati Uniti stiano tacitamente appoggiando questa mossa, utilizzando il Regno Unito come terreno di prova per vedere se i giganti tecnologici si conformeranno agli ordini di sorveglianza a tappeto. Dato che le agenzie di intelligence statunitensi, in particolare l’FBI, cercano da tempo di accedere alle comunicazioni criptate, non sarebbe sorprendente se Washington incoraggiasse silenziosamente questo passo dietro le quinte. I funzionari dell’amministrazione Trump hanno rifiutato di commentare quando sono stati interpellati dal Washington Post.

La guerra delle criptovalute continua, ma la privacy deve vincere

Questa è solo l’ultima battaglia della guerra della crittografia, la lotta decennale tra governi e sostenitori della privacy sul futuro della crittografia. Fin dagli anni ‘90, le forze dell’ordine hanno spinto per ottenere backdoor nelle comunicazioni criptate, adducendo come giustificazione il terrorismo e lo sfruttamento minorile. Tuttavia, gli esperti di sicurezza hanno dimostrato più volte che indebolire la crittografia per uno scopo la indebolisce per tutti gli scopi. Una vulnerabilità creata per uso governativo sarà inevitabilmente sfruttata dai cattivi attori, compresi i criminali informatici e i regimi stranieri ostili.

Noi di Tuta abbiamo sempre messo in guardia da questi pericoli. Le nostre precedenti discussioni sulla sorveglianza governativa, come il modo in cui i governi sfruttano le leggi sulla sorveglianza e perché la crittografia è importante, dimostrano quanto sia fondamentale una crittografia forte per proteggere i dati sensibili di cittadini e aziende. Se permettiamo a un governo di forzare una backdoor nelle comunicazioni sicure, sarà solo questione di tempo prima che altri seguano l’esempio.

La lotta per la crittografia non è ancora finita

Apple deve fare una scelta. Può opporsi a questa richiesta, come ha fatto quando l’FBI ha cercato di costringerla a indebolire la sicurezza dell’iPhone nel 2016. Oppure può adeguarsi, creando un precedente secondo cui nessun servizio crittografato è veramente sicuro. Apple potrebbe anche smettere di offrire il back-up crittografato su cloud agli utenti che risiedono nel Regno Unito, ma questo non soddisferebbe la richiesta avanzata ad Apple, poiché i funzionari britannici hanno chiesto specificamente i dati di potenzialmente tutti gli utenti, indipendentemente dal fatto che vivano o meno nel Regno Unito. Se Apple cede, Google, Meta e altri saranno i prossimi ad essere coinvolti.

È in gioco la privacy di miliardi di utenti.

La lotta per la crittografia non è affatto finita. I governi continueranno a spingere per ottenere maggiori poteri di sorveglianza, ma il pubblico deve reagire. La privacy è un diritto umano fondamentale e la crittografia è lo strumento più forte che abbiamo per proteggerla. La crittografia è essenziale quando vogliamo proteggere il nostro diritto alla privacy e il nostro diritto alla libertà di parola.

Noi di Tuta continuiamo a lottare per il vostro diritto alla privacy con la crittografia.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.