Tom's Hardware Italia
Sicurezza

Australia: backdoor obbligatorie e crittografia illegale

L'Assistance and Access Act appena approvato in Australia impone alle aziende hi-tech di fornire collaborazione alle forze dell'ordine, anche a costo della sicurezza informatica.

Il parlamento australiano ha approvato l’Assistance and Access Act, una legge che vieta la sicurezza informatica, o almeno è così che la definiscono alcuni osservatori. La nuova normativa impone a società come Facebook (che possiede anche WhatsApp), Apple o altre a cedere dati alle autorità e alle Forze di Polizia, anche senza il mandato di un giudice; e se si tratta di dati crittografati, dovranno anche fornire le chiavi di decodifica – un dato che oggigiorno nemmeno esiste (o almeno non dovrebbe).

Si impone inoltre la presenza di backdoor a uso delle autorità, affinché possano accedere alle comunicazioni dei cittadini ogni qual volta lo ritengano necessario – come accade con le normali comunicazioni telefoniche. Anche in altri paesi di discute sulla possibile introduzione di norme simili, ma l’Australia è il primo stato democratico a introdurne una. O forse no, perché pare che nel Regno Unito l’agenzia GCHQ abbia poteri simili, ma i dettagli sono coperti dal segreto di stato. Secondo la nuova legge australiana è illegale per i tecnici rifiutarsi di creare queste backdoor, e lo è anche fare da consulenti o aiutarli in alcun modo a opporsi a un ordine di questo tipo.

Nel concreto, queste leggi impongono a società come Apple di aggiungere, a insaputa dell’utente, dispositivi e software autorizzati, che poi saranno usati dagli investigatori per monitorare le conversazioni: se qualcuno vi manda un messaggio tramite iMessage, lo riceverete sul vostro iPhone e anche su un altro dispositivo di cui non sapete nulla, associato al vostro account. Nel caso di WhatsApp una conversazione a tre sarebbe in verità un gruppo, del quale gli interlocutori sono all’oscuro. Scenari che in teoria si verificano solo nel caso di indagini criminali.

Ci sono due grandi questioni che fanno discutere, una etica e l’altra tecnica. Dal punto di vista etico, la normativa limita il diritto alla privacy dei cittadini australiani (non è chiaro cosa succederà a chi viene da un altro paese), e questo riguarda l’equilibrio tra libertà individuali e sicurezza pubblica. Un punto su cui si può senz’altro discutere, e sul quale le opinioni possono differire.

La questione tecnica invece è indiscutibile: introdurre una backdoor di fabbrica riduce la sicurezza di tutti. Perché anche nell’ipotesi che tutti gli addetti ai lavori siano degni di fiducia, una backdoor resta un punto di vulnerabilità. E se esiste una falla, è molto probabile che prima o poi un criminale trovi il modo di sfruttarla.

Non ha più senso scambiarsi messaggi crittografati, come per esempio le chat di Telegram o WhatsApp, se poi esiste il modo di scardinare la suddetta crittografia. Ancora più importante, non c’è modo di garantire che solo “i buoni” potranno sfruttare la backdoor. E non mancano gli esempi per dimostrarlo: senza andare troppo lontani, molti attacchi informatici sono stati fatti usando gli strumenti che in teoria erano ad uso esclusivo della NSA e di poche altre agenzie nel mondo.

Qualunque esperto di sicurezza può confermare che, dal punto di vista tecnico, si tratta di una questione binaria: o il sistema è sicuro oppure non lo è.

“Ci può essere un solo passo successivo, dopo aver obbligato le grandi aziende a mettere delle backdoor. Ed è criminalizzare quei servizi davvero sicuri, che preferiscono seguire le leggi della matematica invece di quelle australiane”, ha scritto Danny O’Brien per Electronic Frontier Foundation, ricordando che a luglio 2017 il Primo Ministro australiano disse “le leggi matematiche sono encomiabili, ma l’unica legge che vige in Australia è la legge australiana”.

I punti deboli sono almeno due: le agenzie governative e le società private. Due “luoghi” dove in teoria sarebbero conservate le chiavi crittografiche, e verso i quali dovremmo riporre la nostra fiducia. Ma anche con la massima buona volontà, non esiste azienda al mondo che possa dare garanzie assolute: un furto di dati può succedere, e se vengono rubate le chiavi per accedere alle comunicazioni il danno sarebbe enorme.

L’altro grande nodo da scogliere riguarda i governi del futuro: oggi possiamo supporre che i governi occidentali rispettino la libertà e i diritti dei propri cittadini, e che non abuserebbero dei sistemi di sorveglianza. Ma domani? Se tra cinque anni, o dieci, dovesse prendere il potere un governo autoritario, intenzionato a colpire minoranze e dissidenti? Avrebbe in mano gli strumenti perfetti per individuare e colpire i bersagli nel giro di poche ore. Solo un capo dell’Hydra potrebbe sognare un potere simile.

È probabile che le aziende coinvolte tenteranno di opporsi alla nuova legge australiana, e potrebbero farlo per esempio rimuovendo dal Paese tutti gli sviluppatori. Il governo potrebbe rispondere rendendo illegale la circolazione di applicazioni non conformi alla legge, il che riporterebbe l’Australia all’epoca in cui esistevano solo chiamate ed SMS. In alternativa potrebbero creare delle versioni locali delle loro app, ma sarebbe una scelta rischiosa.

Non è detto che si arrivi a scenari estremi, ma è vero che l’Australia forse è il paese che più di tutti, tra gli stati democratici, ha messo in atto misure che limitano la libertà di comunicazione, bloccando siti web in massa, censurando videogiochi e altre azioni simili. Non somiglia ancora a uno stato totalitario, ma non è nemmeno un esempio di rispetto delle libertà individuali.

“Quel mondo”, continua Danny O’Brien “è ancora solo un futuro potenziale. Aziende, avvocati, attivisti, tecnologi ed elettori avranno le loro opportunità di evitare che una Rete Australiana filtrata e insicura diventi una realtà distopica. Ma questo mese […] quella realtà è molto più vicina”.