FBI avvisa gli utenti Android e iPhone: usate WhatsApp e Messenger, non gli SMS

La dichiarazione dell'FBI sta facendo molto discutere, poiché inizialmente il richiamo sembrava limitato ai soli messaggi di testo SMS. L'agenzia governativa aveva infatti consigliato di utilizzare telefoni cellulari che ricevano automaticamente aggiornamenti tempestivi del sistema operativo, una crittografia gestita in modo responsabile e un MFA resistente al phishing per gli account di posta elettronica, social media e strumenti di collaborazione.

Ciò a cui non era stato dato il giusto peso è il passaggio in cui si dice che la crittografia deve essere gestita in modo responsabile. E secondo l'FBI app come WhatsApp e Messenger - criptate end-to-end - non soddisfano questo requisito, e per questo "devono cambiare".

le forze dell'ordine supportano una crittografia forte e gestita in modo responsabile. Questa crittografia dovrebbe essere progettata per proteggere la privacy delle persone e anche gestita in modo che le aziende tecnologiche statunitensi possano fornire contenuti leggibili in risposta ad un ordine legale del tribunale.

Le aziende tecnologiche a cui si fa riferimento sono Meta, Apple e Google, che secondo l'FBI dovrebbero avere i mezzi per fornire i contenuti delle chat quando questo viene richiesto da un tribunale (vedasi caso San Bernardino). "Terroristi, hacker e altri stanno sfruttando la crittografia end-to-end per nasconderci le loro comunicazioni e le attività illegali", spiega il direttore dell'agenzia federale Christopher Wray. Bisogna avere accesso alle prove digitali, prosegue, e finché le big tech lo impediranno la giustizia non potrà essere garantita del tutto.

Sul tema si è espressa Meta, che ha affermato: "il modo migliore per proteggere e mettere in sicurezza le comunicazioni delle persone è la crittografia end-to-end. Questo recente attacco rende questo punto incredibilmente chiaro e continueremo a fornire questa tecnologia alle persone che si affidano a WhatsApp". Le altre aziende non si sono ancora espresse a riguardo, ma già in passato hanno fatto capire che preferiscono lasciare un mercato piuttosto che adeguarsi alle richieste di un allentamento della crittografia.

Il concetto di crittografia responsabile è nato nel 2017 dal vice procuratore generale degli Stati Uniti Rod Rosenstein, secondo cui questo tipo di protezione dei dati è, sì, fondamentale per la sicurezza ("e noi delle forze dell'ordine non abbiamo alcuna intenzione di indebolirlo"), ma è anche un problema serio:

La legge riconosce che le legittime esigenze delle forze dell'ordine possono superare le preoccupazioni sulla privacy personale. La nostra società non ha mai avuto un sistema in cui le prove di illeciti penali fossero totalmente inaccessibili al rilevamento... Ma questo è il mondo che le aziende tecnologiche stanno creando.

Secondo l'organizzazione non profit Electronic Frontier Foundation (EFF), una backdoor per qualcuno è una backdoor per tutti, con la conseguenza che i dati rischiano di essere in pericolo.

In Corea del Sud la dichiarazione - poi rientrata - di applicazione della legge marziale ha portato i cittadini ad installare in massa Telegram, considerata come una piattaforma ultra-sicura. La consegna dei dati degli utenti alle forze dell'ordine e l'introduzione del monitoraggio dei contenuti dopo l'arresto di Pavel Durov in Francia hanno dimostrato tuttavia il contrario. Se prima Telegram veniva proposto come l'alternativa sicura alle altre piattaforme e il rifugio per i cittadini che vivono in regimi come Bielorussia, Iran e Hong Kong, dopo la modifica dei termini d'utilizzo questo non può più essere ritenuto valido. In sostanza, ora Telegram sembrerebbe garantire proprio quella crittografia responsabile chiesta a gran voce dall'FBI.

Negli Stati Uniti si sta ora valutando una proposta per la protezione dei sistemi di comunicazione statunitensi dagli attacchi condotti da hacker e spie straniere. In sostanza, le telco verrebbero obbligate a condurre valutazioni annuali delle loro reti, con tanto di audit eseguiti da soggetti indipendenti da condividere con la FCC.

Queste le parole del promotore del Secure American Communications Act Ron Wyden:

[...] era inevitabile che gli hacker stranieri si sarebbero insinuati in profondità nel sistema di comunicazioni americano nel momento in cui la FCC ha deciso di lasciare che le compagnie telefoniche scrivessero le proprie regole di sicurezza informatica. Le compagnie di telecomunicazioni e gli enti regolatori federali dormivano sul lavoro e, di conseguenza, le chiamate, i messaggi e i registri telefonici degli americani sono stati consultati da spie straniere intenzionate a minare la nostra sicurezza nazionale [...]

• Implementare requisiti specifici di sicurezza informatica come progettato dalla FCC [...] per impedire intercettazioni non autorizzate da parte di qualsiasi persona o entità, comprese quelle da parte di una minaccia persistente avanzata [...]
• Eseguire test annuali per valutare se i propri sistemi sono soggetti a intercettazioni non autorizzate da parte di qualsiasi persona o entità, inclusa una minaccia persistente avanzata [...]
• Stipulare un contratto con un revisore indipendente per condurre una valutazione annuale della conformità alle norme sulla sicurezza informatica della FCC e documentare i risultati dell'audit, comprese le aree di non conformità.
• Inviare annualmente alla FCC:
  • la documentazione dei test e degli audit annuali
  • una dichiarazione scritta [...] attestante che l'operatore di telecomunicazioni è conforme alle norme FCC sulla sicurezza informatica