“Perché gli attacchi dell’NSA a Internet devono essere resi pubblici” di Bruce Schneier

di Bruce Schneier,
theguardian.com venerdì 4 ottobre 2013 15:50
traduzione per Alaska di Alessandra Neve

L’NSA non solo tiene aperte alcune falle e ne compra altre, ma fa accordi segreti con i produttori per crearne deliberatamente di nuove.

________________

Oggi il Guardian ci spiega come l’NSA ha preso di mira gli utenti di Tor e ha utilizzato server piazzati in punti strategici della rete globale per attaccare computer di singoli utenti. Questo si ricollega a una notizia brasiliana della scorsa settimana che, in parte, ci ha rivelato come l’NSA ha ingannato gli internauti sostituendosi di nascosto ai server di Google, a una notizia tedesca su come l’NSA è in grado di penetrare nei nostri smartphone e a un’altra notizia del Guardian di due settimane fa che ci spiegava come l’NSA sta deliberatamente indebolendo algoritmi, protocolli e prodotti di sicurezza di uso comune.

Il succo di tutte queste storie è che l’NSA sta mettendo sottosopra la rete per trasformarla in uno strumento di sorveglianza di massa. Le azioni dell’NSA ci rendono tutti meno sicuri, perché le sue stesse attività di intercettazione ne indeboliscono la capacità di proteggere gli Stati Uniti.

Gli esperti di sicurezza informatica concordano da tempo sul fatto che rendere pubbliche le vulnerabilità dei sistemi sia l’unico modo per migliorarne costantemente la sicurezza. Per questo motivo i ricercatori pubblicano informazioni riguardo alle falle di software e sistemi operativi, di algoritmi di crittografia e di prodotti di consumo quali dispositivi medici impiantabili, automobili o telecamere a circuito chiuso.

Non è sempre stato così. Agli albori dell’informatica era prassi comune per l’esperto di sicurezza avvisare con discrezione il produttore di una vulnerabilità del suo prodotto, in modo che questi potesse provvedere a risolvere il problema senza che i “cattivi” ne venissero a conoscenza. Purtroppo però i produttori a volte non provvedevano, oppure lasciavano passare anni prima di trovare una soluzione. Senza la pressione dell’opinione pubblica, se la prendevano comoda.

Tutto questo è cambiato quando i ricercatori hanno iniziato a rendere pubbliche le informazioni relative alle falle. Adesso i produttori sono costretti a ripararle nel più breve tempo possibile. La maggior parte degli aggiornamenti per la sicurezza dell’hardware e del software che usiamo tutti i giorni è frutto di questo processo. Per questo il “Patch Tuesday” di Microsoft ogni mese risolve così tanti problemi di vulnerabilità. Per questo gli iPhone di Apple sono progettati in maniera così sicura. Per questo molti produttori rilasciano frequentemente aggiornamenti per la sicurezza. Ed è per questa stessa ragione che i metodi di crittografia per il mercato di massa migliorano costantemente. Se i dati sulle vulnerabilità non fossero resi pubblici saremmo tutti molto meno tutelati contro il crimine informatico, gli hacker e i cyber-attackers.

Le azioni dell’NSA tendono a ribaltare completamente questo processo, perciò la comunità degli esperti di sicurezza è molto arrabbiata. Non solo l’NSA mantiene aperte e compra delle falle, ma ne crea di nuove attraverso accordi segreti con i produttori. Queste azioni contraddicono ogni principio relativo al miglioramento della sicurezza informatica. Credere che le tecniche di hacking dell’NSA resteranno a lungo segrete è pura follia. L’NSA può mettere in campo un’attività di ricerca più massiccia di qualunque altra istituzione, è vero, ma ci sono molte altre entità che fanno ricerca: ci sono governi che lo fanno in segreto e comunità accademiche e comunità di hacker che lo fanno apertamente. Questi stessi attacchi vengono sfruttati da altri governi, e la tecnologia evolve secondo processi sostanzialmente democratizzanti: quelle che oggi sono le tecniche segrete dell’NSA domani saranno le tesi di dottorato dei ricercatori e il giorno dopo saranno gli strumenti di attacco dei criminali informatici.

Altrettanto folle è credere che le backdoor installate di nascosto dall’NSA possano rimanere segrete. A giudicare dall’incapacità dell’NSA di proteggere i suoi stessi segreti, è abbastanza improbabile che Edward Snowden sia stato il primo amministratore di sistema a contratto ad uscire dai loro uffici portandosene dietro una vagonata. Ed è possibile che quelli venuti prima di lui fossero sul libro paga di un governo straniero. Ma non è neanche necessario che l’NSA abbia un dipendente infedele: i ricercatori o gli hacker sono in grado di scoprire le backdoor da soli.

Non si tratta di un’ipotesi. Sappiamo già che backdoor create su richiesta dei governi sono state usate a scopi criminali in Grecia, in Italia e altrove, e sappiamo anche che la Cina è estremamente attiva nel campo del cyber-spionaggio, a livello mondiale. Un recente articolo dell’Economist ha paragonato l’NSA a un governo che ordini in segreto ai produttori di serrature di renderle più facilmente scassinabili proprio durante un’epidemia di furti con scasso.

L’NSA ha due obiettivi in conflitto fra loro: il primo è ben noto, dato che le sue attività di intercettazione si sono guadagnate le prime pagine di tutti i giornali, ma l’altro obiettivo consiste nel proteggere le forze armate e le infrastrutture di comunicazione dagli attacchi stranieri. Storicamente, i due obiettivi non sono mai stati in conflitto. Durante la guerra fredda, per esempio, difendevamo i nostri sistemi e attaccavamo quelli sovietici.

Con la diffusione dei computer e di Internet, però, i due obiettivi si sono progressivamente intrecciati. Diventa sempre più difficile attaccare i loro sistemi e difendere i nostri, perché alla fine usiamo tutti gli stessi strumenti: Windows, i router Cisco, l’HTML, il protocollo TCP/IP, gli iPhone, i processori Intel, e così via. Trovare una falla – o crearne una – e tenerla segreta in modo tale da poterla usare per attaccare i “cattivi”; rende inevitabilmente i “buoni” più vulnerabili.

Sarebbe molto meglio se l’NSA chiedesse ai produttori di rattoppare le falle. Certo, renderebbe un po’ più difficile intercettare i cattivi, ma in questo modo saremmo tutti più sicuri. Se crediamo che sia necessario proteggere le nostre infrastrutture dagli attacchi stranieri, se crediamo sia necessario proteggere gli utenti di Internet dai vari regimi repressivi di questo mondo e se crediamo sia necessario difendere noi stessi e le nostre aziende dai cyber-criminali, allora agire diversamente è da dementi.

È importante rendere pubblico ogni possibile dettaglio relativo alle azioni dell’NSA per permettere che le falle vengano rattoppate. È l’unico modo per imporre un cambiamento e garantirci maggiore sicurezza.

• Bruce Schneier scrive di sicurezza, tecnologia e società. Il suo libro più recente si intitola Liars and Outliers: Enabling the Trust That Society Needs to Thrive. È un membro del consiglio direttivo della EFF.

 

Leave a Reply

Your email address will not be published.