Grande scalpore hanno destato nelle scorse settimane gli annunci effettuati da Apple e Google relativamente alla sicurezza e confidenzialità delle nuove generazioni di smartphone e relativi sistemi operativi, iOS e Android.
Entrambe le società hanno infatti dichiarato che i loro dispositivi saranno crittografati out-of-the-box, preservando così la privacy degli utenti. Inoltre, e qui la notizia sfiora il tragicomico, ambedue hanno dichiarato che non potranno decrittare apparati dei clienti, neanche se a chiederlo è la polizia o qualche altra LEA (Law Enforcement Agency, ente preposto a fare rispettare la legge).
Giusto per dare ulteriore credito a queste dichiarazioni l’FBI ha cercato di riportare all’ordine le due aziende inneggiando alla sicurezza nazionale e altre amenità. Il suo direttore James Corney ha dichiarato di essere…
…preoccupato che le aziende portino sul mercato prodotti che consentono espressamente alle persone di porsi sopra la legge.
Quindi, cui prodest? Possiamo dormire sonni tranquilli e vedere la nostra privacy protetta dalle grosse corporation americane? Nutro in proposito parecchi dubbi e pure qualche perplessità.
In primis. I nostri smartphone sono, a tutti gli effetti, terminali di una marea di servizi cloud. Molti ce li troviamo attivi e pronti by default; Google ha per esempio Gmail per la posta, G+ per la parte social, Foto per la copia delle fotografie, nonché un ottimo sistema per la sincronizzazione dei contatti. In più i Play Services, che – bada bene – sono aggiornati silentemente con tutte le versioni di Android, dispongono finalmente di sofisticate funzioni di backup. Per non parlare dei servizi di blocco e localizzazione remota.
Apple di suo ha iCloud e iTunes che offrono una serie di servizi pressoché equiparabili a quelli di Google e permettono quindi di non perdere mai nulla. Rompi il telefono, ne compri un altro, ti sbatti giusto quel tanto e in poco tempo torni online con tutte le tue cose.
Ora che i terminali saranno crittografati by default e la comunicazione è protetta da TLS/SSL, possiamo finalmente dire NSA sucks, oppure un simpsoniano cucciati il calzino?
Chiara illusione
Un appunto dell’NSA mostrato da Edward Snowden ci ha fatto capire una verità banale. La nostra comunicazione crittografata arriva fino al confine delle nuvole di Google, Apple, Microsoft e chi per esse, ma poi tutto il traffico gira in chiaro nei datacenter, così come le informazioni se ne stanno in chiaro sui server delle rispettive compagnie. Il caso The Fappening ben lo dimostra. Tutte le foto delle star discinte e in pose non proprio da educande sono probabilmente filtrate dall’interno, segno che qualche figura nelle società ha accesso ai file in chiaro sui dischi (così come NSA o altre agenzie di intelligence).
Inoltre da anni i governi utilizzano trojan di stato per infettare i terminali e carpire le informazioni al loro interno. HackingTeam o Gamma Group, per fare esempi, sono società impegnate nello sviluppo di applicazioni di questo genere. Se un trojan di questi si carica in memoria avrà pieno accesso ai dati del telefono, crittografato oppure no. Tenete sempre a mente il principio di Kerckhoffs:
In un sistema crittografico è importante tener segreta la chiave, non l’algoritmo di crittazione.
Se vi dicono che i vostri dati sono crittografati e voi, SOLO VOI, non avete in mano una bella chiave da digitare ogni qualvolta accedete alle informazioni, significa che NON SARETE SOLO VOI a poterci accedere.
Ergo la crittografia dei dispositivi avrà un impatto nel caso si perda il terminale (chi lo ritroverà non potrà in alcun modo accedervi) o sul lavoro degli esperti di digital forensics che dovranno inevitabilmente rimettere il loro mandato per impossibilità di periziare il dispositivo. Questi ultimi aggiungeranno comunque una nota suggerendo che, se una copia dei dati si troverà in cloud, non vi è alcun bisogno di scontrarsi con la crittografia. Basterà chiederli.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
