La criptoguerra dell’Intelligence americana contro Apple,
i propri cittadini, e il mondo

Alessandro Massone
@amassone

Lo scorso martedì The Intercept, con un reportage di Jeremy Scahill e Hosh Begley, ha pubblicato nuovi documenti che svelano il piano dell’Intelligence americana di bypassare le misure di sicurezza implementate da Apple nei propri gadget.

I documenti emergono da una conferenza segreta organizzata dalla CIA dove ricercatori si scambiavano informazioni, idee, e presentavano nuovi exploit. La conferenza, Jamboree, era di fatto diventata dedicata alla massima urgenza di ‘bucare’ iPhone prima, iPad poi.

Tim Cook

Scelta di design fondamentale dei computer di nuova generazione di Apple è di limitare, nel loro stato non-modificato, l’utilizzo delle applicazioni non scaricate dai server Apple attraverso l’App Store.

Le app che Apple ammette nel proprio negozio non possono in qualsiasi modo modificare il resto del sistema, sono confinate in quello che è tecnicamente chiamato un “sandbox” — possono agire e modificare documenti solo al loro interno. Ogni app, insomma, conosce solo quello che succede al suo interno, e per accedere a informazioni specifiche, come la posizione calcolata dal GPS, deve chiedere esplicitamente il permesso dell’utente. Questo impedisce la diffusione di virus e malware — e di vari strumenti su cui l’intelligence fa affidamento per tracciare l’attività dei propri oggetti obiettivo.

Parallelo allo sviluppo di iOS, il sistema operativo di iPhone e iPad, sono stati sviluppati exploit per bypassare queste limitazioni, ma tutte queste soluzioni prevedono l’accesso fisico all’oggetto in questione. Un compromesso non accettabile nel disegno di sorveglianza totale dell’Intelligence statunitense.

Dal 2007 la CIA lavora per sviluppare una tecnica “non–invasiva” che garantisca accesso a tutti i gadget Apple. Nel 2012 sono riusciti ad arrivare a una soluzione.

Al Jamboree 2012, in un pannello intitolato “Strawhorse”, cavallo di paglia, (un gioco di parole con strawman, spaventapasseri) ricercatori hanno annunciato ai propri colleghi di aver prodotto con successo una versione “avvelenata” del programma con cui le applicazioni per Mac, iPhone, e iPad sono sviluppate: Xcode.

La diffusione di app sviluppate con questa versione avvelenata di Xcode avrebbe permesso all’agenzia di installare porte di accesso remoto sui Mac, deviare il flusso di dati verso le “listening post” dell’agenzia, e disattivare le funzionalità di sicurezza dei computer Apple.

Xcode è però distribuito in sicurezza via App Store, struttura all’interno della quale l’agenzia non può entrare — l’accesso diretto all’hardware è comunque richiesto, ma oggetto sarebbero i computer di sviluppatori selezionati: un obiettivo molto piú ricco e sostenibile.

Sempre al Jamboree, diversi relatori istruivano il pubblico sul progresso nel decriptare la chiave “Group ID” usata per criptare software essenziali per la sicurezza del sistema, e comune a tutti i telefoni e tablet che condividono lo stesso chip.

Tra il 2011 e il 2012, documenti attestano successi da parte dei ricercatori dell’Intelligence di ottenere la Group ID dell’A4, il processore del primo iPad e dell’iPhone 4, e un intensificarsi dello studio attorno all’A5 dell’iPad 2, iPad mini e iPhone 4S.


Tim Cook

Pubblicamente, Apple ha fatto della privacy uno dei propri talking point principali. L’interesse, oltre ad essere agitato come un vantaggio contro il principale competitor Google, è stato chiaramente acceso dal costante attrito con l’Intelligence dietro le quinte.

Sul nuovo portale dedicato alla privacy sul proprio sito, Apple vanta i recenti progressi del proprio sistema operativo nel proteggere i dati dei propri utenti contro la sorveglianza di massa.

In particolare, dall’ultimo aggiornamento dei sistemi operativi Apple, la società ha optato per “l’opzione nucleare” nella lotta contro l’Intelligence: non solo ogni comunicazione attraverso protocolli Apple è protetta da crittografia end-to-end1, ma tutti i dati su tutti i telefoni e tablet Apple sono criptati. Le chiavi attraverso cui questi dati sono criptati sono uniche per ogni device, e anche sotto mandato Apple non può decriptarli.

L’aggiornamento a iOS 8 è stato accolto da FBI e CIA come un affronto.

L’uso di una chiave unica (User ID) per ogni device rende economicamente insostenibile e tecnologicamente quasi impossibile l’accesso dei dati da parte dell’agenzia su larga scala.

Dopo un anno di pressioni pubbliche e politiche perché il Congresso varasse riforme sulla sorveglianza di massa, Apple ha deciso quindi di arrivare a una soluzione da sola.


Ieri al SXSW di Austin si è tenuto un incontro con Edward Snowden (in telepresenza). Al panel, “off the books” e solo su invito, hanno partecipato una trentina di personalità tra le start up dedicate alla comunicazione e società di privacy. La conversazione, che Sunday Yokubaitis, presidente della società di privacy Golden Frog, ha descritto come una “chiamata alle armi” si è soffermata sulle stesse conclusioni a cui è arrivata Apple: in mancanza di una vera riforma da parte del governo statunitense, l’unica soluzione per proteggere la privacy dei propri utenti è criptare tutto.

Non esistono forme di crittografia “impossibili da rompere”

Non esistono forme di crittografia “impossibili da rompere”, ma di fronte ad uno sforzo collettivo per criptare ogni forma di comunicazione via Internet, è possibile rendere il costo attuativo della sorveglianza di massa insostenibile.

Di fronte all’enorme aumento del costo dell’operazione, Snowden auspica che l’Intelligence si veda costretta a tornare a operare attraverso attacchi mirati e non con le attuali strutture di massa.

Snowden

La crittografia di massa è fondamentale per una riconquista della privacy perché, con la recente eccezione delle comunicazioni attraverso protocolli Apple, optare per piattaforme o strumenti che criptino le proprie comunicazioni è già “informazione”. Finché la crittografia non sarà completamente diffusa, essere offuscati è segnale di voler nascondere qualcosa, e certamente è visto come una bandierina rossa dall’Intelligence.


L’attività di NSA, CIA e dell’FBI di fronte a società americane e cittadini americane, la campagna di controinformazione lanciata per spaventare il pubblico di fronte alla possibilità di proteggere i propri dati ha un nome, di cui si può leggere la definizione al 18 U.S. Code sec. 2331

As used in this chapter—
(1) the term “international terrorism” means activities that
(A) involve violent acts or acts dangerous to human life that are a violation of the criminal laws of the United States or of any State, or that would be a criminal violation if committed within the jurisdiction of the United States or of any State;
(B) appear to be intended
(i) to intimidate or coerce a civilian population;
(ii) to influence the policy of a government by intimidation or coercion; or
(iii) to affect the conduct of a government by mass destruction, assassination, or kidnapping; and
© occur primarily outside the territorial jurisdiction of the United States, or transcend national boundaries in terms of the means by which they are accomplished, (…)

Le agenzie di Intelligence statunistensi sono impegnate in una guerra contro i propri cittadini, e contro il mondo. Secondo la definizione della legge federale degli stessi Stati Uniti, possiamo chiamarle organizzazioni terroristiche.

  1. L’uso di crittografia end-to-end implica l’uso di chiavi uniche per ogni unità di conversazione, a coppie o a gruppi, senza il coinvolgimento di nessuna terza parte. iMessage e Facetime sono gli unici protocolli attualmente diffusi sul mercato a offrire questo livello di sicurezza. []
Alessandro Massone
Designer di giorno, blogger di notte, podcaster al crepuscolo.

Commenta