Australian Assistance and Access Act
In un periodo in cui leggiamo quotidianamente di attacchi informatici di ogni genere, rivolti ad aziende, cosi come a privati , diventa “normale” pensare che lo standard dovrebbe essere far diventare tutti piu’ attenti e preparati nell’uso delle tecnologie, per evitare di diventare vittime.
Fa dunque ancor piu’ strano leggere una notizia che sembra voler far fare un salto indietro al processo d’informatizzazione e di gestione della privacy.
La notizia e’ quella che arriva dalla lontana Australia, infatti il parlamento Australiano ha spiazzato tutti votando una norma che, nello specifico renderebbe “obbligatorie backdoor e crittografia illegale“.
Nella pratica questa e’ a tutti gli effetti una legge che “vieta la sicurezza”; la nuova normativa impone alle società, come Facebook (che possiede anche WhatsApp), Apple o altre a cedere dati alle autorità e alle Forze di Polizia, tutto cio anche senza l’ausilio del mandato di un giudice, e nel caso in cui i dati richiesti dovessero essere crittografati, questi ultimi (le aziende) dovranno anche fornire le chiavi di decodifica.
Se gia questo non fosse abbastanza per indignarsi e gridare allo scandalo ed alla fine della “privacy” la norma aggiunge anche che dovranno essere “imposte backdoor ad uso delle autorita’ “, affinché possano accedere alle comunicazioni dei cittadini ogni qual volta lo ritengano necessario.
Ok, qualcuno potrebbe pensare “va bene ma tanto io ho il mio amico di fiducia che lavora nell’IT, lui potra’ disabilitare tutto…” , purtroppo NO, poiche’ per la nuova legge australiana è illegale per i tecnici rifiutarsi di creare queste backdoor, e lo è anche fare da consulenti o opporsi a un ordine di questo tipo.
Nel concreto, queste leggi impongono a società come Apple e tutte le altre di aggiungere le backdoor ad insaputa dell’utente, direttamente all’interno dei dispositivi e dei software che verranno autorizzati dal governo, cosi che successivamente potranno essere usati dagli investigatori per monitorare le conversazioni.
Si pongono subito due grandi questioni da affrontare :
- problema ETICO
- problema TECNICO
in questo articolo non verra’ analizzato il primo problema poiche’ e’ troppo personale dato che ci sono sicuramente persone che pensano nella modalita’ ” io non ho nulla da nascondere , preferisco sentirmi protetto…” lascio dunque piena liberta’ ad ognuno di riflettere soltanto sulla notizia senza fare una sterile polemica .
Quello su cui mi sento di parlare e’ l’aspetto tecnico della legge in quanto ormai sappiamo che ad oggi ogni software che utilizziamo e’ molto spesso fallace, vengono riscontrati quoitidianamente dai whitehat o da pen tester Bugs di ogni tipologia, piu’ o meno gravi (zero-days), e le aziende passano spesso molto piu’ tempo a correggere bugs che ad implementare nuove funzioni.
Visto che tutti questi bugs permettono gia cosi di poter accedere ai nostri dati personali su qualunque device in nostro possesso (smartphone, router-wifi, spazio cloud…), la presenza di backdoor preinstallate renderebbe di fatto ogni device gia pronto ad essere violato non soltanto dalla polizia, fosse anche per motivi “leciti”, ma da chiunque che tecnicamente sia in grado di scoprirle ed utilizzarle, ritrovandosi cosi una specie di autostrada verso le informazioni private di ogni cittadino.
Dovremo forse tornare a scrivere le cose sulle agendine di carta ? anche perche’ a questo punto non ha più senso scambiarsi messaggi crittografati, come per esempio sulle chat di Telegram o WhatsApp, se poi esiste il modo di bypassare la sicurezza data dalla crittografia.
La storia recente ha gia insegnato che molti tools creati dalla NSA per motivi simili, alla fine sono finiti nel mercato nero del web e venduti al miglior offerente per spinaggio industriale o per stalking etc…….
Per finire vi segnalo due ottime serie Netflix che trattano quest’argomento:
#CeDaPreoccuparsi
Tutti per Linux 