Apple aveva ragione, meglio non fidarsi delle istituzioni governo
L’hack della NSA reso pubblico la scorsa settimana ha assestato un duro colpo all’aura di inviolabilità e sicurezza assoluta dell’Agenzia per la Sicurezza Nazionale americana. Gli “Shadow Brokers”, un gruppo di hacker che secondo Edward Snowden ha base in Russia, è riuscito a rubare alcuni software di attacco usati da un gruppo di hacker “istituzionali” interni all’agenzia. Una parte dei dati è stata subito pubblicata, il resto è disponibile in forma cifrata. La chiave di decodifica è finita all’asta, pronta ad essere consegnata a chi avesse versato più bitcoin sul conto degli autori del furto. Wikileaks, nel frattempo, ha assicurato di essere già in possesso di tutto il bottino, che verrà diffuso a tempo debito.
APPLE AVEVA RAGIONE
Mentre esperti di settore ed ex-dipendenti dell’agenzia confermano la legittimità dei dati rubati – non c’è dubbio che siano malware d’attacco usati dalla NSA – dal fronte degli attivisti della privacy si leva un sonoro “ve l’avevamo detto”.
“L’organo governativo che dovrebbe essere il migliore a conservare informazioni segrete, non è riuscito a tenere al sicuro neppure i suoi segreti,” ha detto Nate Cardozo, avvocato membro della Electronic Frontier Foundation, a BusinessInsider. “La posizione della NSA riguardo la sicurezza sembra basata sull’assunto che i segreti non trapeleranno mai. Che nessuno scoprirà lo stesso bug, che nessuno userà lo stesso bug, o che non ci sarà mai una falla”.
SCENARIO INEVITABILE
È esattamente il tipo di scenario che Apple ha prospettato nel giustificare il suo no all’FBI, qualche mese fa, che chiedeva all’azienda di creare una speciale versione di iOS capace di bypassare le sicurezze crittografiche del sistema. Lo scopo dei federali era quello di sbloccare l’iPhone 5C di Syed Farouk, il terrorista della strage di San Bernardino. Ma nulla avrebbe impedito all’FBI di riutilizzare quello strumento potentissimo per sbloccare altri iPhone in futuri, in altri casi, o di condividerlo con altre agenzie governative, come la NSA. Con il rischio che un hack come quello della settimana scorso (o magari un agente disattento, o peggio, corrotto) finisse per rendere pubblico un’arma pericolosissima. Una specie di passepartout digitale che potrebbe mettere a rischio tutti i dispositivi iOS, anche quelli più recenti dotati di misure di sicurezza avanzate, come l’enclave sicura.
VULNERABILITIES EQUITIES PROCESS
L’hack della NSA ha rinfocolato lo scontro sulle politiche di gestione dei bug da parte delle autorità federali statunitensi. Un’analisi dei tool rubati dagli “Shadow Brokers” ha infatti rivelato che la maggior parte delle vulnerabilità utilizzate dagli strumenti d’attacco dell’agenzia di sicurezza nazionale non sono mai stati rivelati alle aziende interessate. Una pratica comune, che l’amministrazione Obama ha cercato di limitare con il Vulnerabilities Equities Process, una serie di linee guida che le agenzie dovrebbero seguire per rivelare in sicurezza le debolezze dei software ai rispettivi produttori, nel caso il rischio pubblico sia più grande del possibile vantaggio d’intelligence. Norme che tuttavia non sono vincolanti, e che spesso, come dimostrato dal recente hack, la NSA sceglie di non seguire. (fonte)
