Video: Attenzione: non guardare ciò per nessun motivo (Novembre 2024)
Un rapporto della DEA ottenuto da CNet ha rivelato che le forze dell'ordine sono state bloccate dalle comunicazioni inviate sul sistema iMessage crittografato di Apple. Si scopre che la crittografia è solo metà del problema, ed è proprio la legislazione che rende iMessage invisibili alle forze dell'ordine.
Secondo il principale tecnologo dell'ACLU Christopher Soghoian, Ph.D., il vero problema risiede nel Communications Assistance for Law Enforcement Act o CALEA, approvato nel 1994.
Soghoian ha dichiarato alla legge sulla sicurezza, "mandato le industrie a costruire capacità di intercettazione delle loro reti". Queste industrie includevano compagnie telefoniche e di banda larga, ma non aziende come Apple. iMessage è anche diverso dai normali messaggi di testo perché entrambi crittografa il messaggio e lo invia peer-to-peer tra iPhone, senza toccare la rete di un operatore.
Nei due decenni trascorsi dalla legge, il panorama delle comunicazioni è cambiato radicalmente. La Apple non era nel gioco delle comunicazioni nel 1994 e la maggior parte delle comunicazioni istantanee venivano effettuate dalle compagnie telefoniche.
"Tradizionalmente, il governo degli Stati Uniti ha eseguito la stragrande maggioranza della sorveglianza con l'assistenza delle compagnie telefoniche", ha affermato Soghoian, che ha definito le compagnie telefoniche un "partner di fiducia" delle forze dell'ordine.
La crittografia significa esente
Un altro aspetto critico di CALEA riguarda la messaggistica crittografata, principalmente che è esente da tutta la sorveglianza wireless. Soghoian ha spiegato che le comunicazioni "crittografate con una chiave non nota alla società non possono essere intercettate". Quindi, in una situazione in cui le chiavi di decrittazione vengono gestite sul dispositivo e non da chiunque stia recapitando i messaggi, le forze dell'ordine devono ignorare del tutto il messaggio.
Questo problema è stato menzionato nel rapporto DEA, citato da CNet: "iMessage tra due dispositivi Apple sono considerati comunicazione crittografata e non possono essere intercettati, indipendentemente dal fornitore di servizi di telefonia cellulare". Tuttavia, il rapporto rileva che, a seconda della posizione dell'intercettazione, è possibile leggere i messaggi inviati ad altri telefoni. Ciò è probabilmente dovuto al fatto che tali comunicazioni non sono crittografate e sono quindi visibili alle forze dell'ordine di CALEA.
AGGIORNAMENTO: Il testo esatto di CALEA sulla crittografia recita:
"Un vettore di telecomunicazioni non sarà responsabile per la decrittografia o la garanzia della capacità del governo di decrittografare qualsiasi comunicazione crittografata da un abbonato o da un cliente, a meno che la crittografia non sia stata fornita dal corriere e il corriere possiede le informazioni necessarie per decrittografare la comunicazione."
Accidentalmente sicuro
La cosa importante da notare è che Apple non ha deciso di rendere i suoi messaggi invisibili al governo. Piuttosto, voleva semplicemente produrre un prodotto di qualità e poi lo spingeva per impostazione predefinita a un'enorme base di utenti. Soghoian ha affermato che ciò è dovuto al fatto che la Silicon Valley ha una mentalità di sicurezza maggiore rispetto alle compagnie telefoniche. "Non è possibile convincere un team di sicurezza ad approvare un servizio che non utilizza alcuna crittografia", ha spiegato, citando il lungo processo interno di revisione che molti nuovi prodotti di comunicazione devono superare.
"iMessage è stato progettato un paio di anni fa, il sistema di messaggi di testo è stato progettato decenni fa", ha continuato Soghoian. "I sistemi legacy sono vergognosamente insicuri, ma la Silicon Valley è sicura. Ecco cosa fanno."
Ma solo perché iMessage non sono immediatamente disponibili per l'intercettazione non fornisce una protezione completa. "Con il giusto tipo di sistema", ha detto Soghoian. "I messaggi Apple potrebbero essere intercettati." Il problema è che Apple non fornisce alcuna indicazione alle parti in una chat iMessage che un nuovo dispositivo è stato introdotto. Soghoian ha detto che se sei andato al negozio di mele, hai ricevuto un nuovo telefono e hai reimpostato la password, puoi chattare con i tuoi amici come se nulla fosse successo. "Ciò significa che Apple potrebbe farlo anche per il governo."
iMessage ha anche altri problemi. Il servizio è stato recentemente utilizzato in un attacco denial of service perché ha limiti minimi o nulli su quanti messaggi possono essere inviati e nessun mezzo per bloccare i messaggi offensivi.
Mentre Apple potrebbe aver appena lavorato per costruire il miglior prodotto possibile, altre aziende come TextSecure e Silent Circle hanno deciso di essere libere dall'intercettazione in base alla progettazione. Questi sistemi dispongono della crittografia end-to-end gestita, come iMessage, su reti gestite dai creatori delle app. Ciò significa che sotto CALEA, i messaggi sono completamente invisibili alle forze dell'ordine oltre ad essere quasi impossibile da decifrare.
Rischio accettabile
Il modo in cui CALEA affronta questi problemi potrebbe sembrare problematico, e i reclami della DEA evidenziano sicuramente il problema. Tuttavia, Soghoian sottolinea che rendere i sistemi facili da monitorare non li rende più sicuri. "Un servizio facile da monitorare per l'FBI è anche facile da hackerare per i cinesi", ha affermato Soghoian. "Quando lasci una porta sul retro aperta la lasci aperta a tutti."
In un momento di gravi violazioni dei dati nelle società popolari e della guerra cibernetica tra le nazioni, Washington probabilmente dovrà accettare di non averlo in entrambi i modi.
AGGIORNARE:
Jon Callas, CTO della società di messaggistica sicura e voice Silent Circle, ha fatto eco a molti dei sentimenti di cui abbiamo già discusso. "iMessage è un caso in cui una grande azienda ha messo a punto una tecnologia che fa bene sia a loro che ai loro clienti senza pensare a cosa potrebbe piacere il governo".
Ciò è in netto contrasto con il tono di CALEA, che incorpora una backdoor intercambiabile. "iMessage doveva essere un modo economico e sicuro per fare uno scambio di SMS", ha detto Callas. "Non era sulla lista delle funzionalità per essere amichevole con il governo."