In difesa dei diritti all’anonimato
L’Fbi tornerà a “discutere” di iPhone a novembre dopo le elezioni americane. Ecco come sono c ambi ate le minacce per le imprese
a Aspettano novembre, dopo l'elezione del presidente degli Stati Uniti, quando le acque si saranno calmate e le coscienze assopite e solo allora torneranno alla carica per ottenere finalmente una «discussione adulta» sulla crittografia. Loro sono l'Fbi. Per descrivere il confronto iniziato con Apple (e proseguito con mezza Silicon Valley) sulla protezione dati contenuti in telefonini e dispostivi mobili hanno addirittura coniato una espressione che sintetizza bene il disagio che stanno vivendo: “Going Dark”. «Non parlerei di back door (cioè una porta di accesso che consente di superare le procedure di sicurezza nell'iPhone ndr), mi limiterei a ricordare che il nostro compito è e resta quello di proteggere la sicurezza dei cittadini. Non di spiarli». Lui si chiama Timothy J. Wallach, è un agente speciale della Cyber Force del Federal Bureau of Investigation: mascella rigida, camicia bianca stirata e nello sguardo la certezza di avere intorno persone che non lo capiscono. Lo incontro in un hotel di Londra a CloudSec l'evento di Trend Micro per esperti di sicurezza informatica. «Come finirà questa storia? Non ho la sfera di cristallo ma ricordo che abbiamo accordi non solo con Apple ma con tutti i produttori di elettronica (come dire, siamo in buoni rapporti ndr). Si tratterà quindi di bilanciare il diritto alla privacy e quindi gli interessi aziende che vogliono proteggere i propri clienti e le prerogative dell'attività investigativa».
Wallach sembra ottimista ma i “bad guy” che usano la crittografia per comunicare sono diventati troppi da controllare. In dieci mesi agli uffici del Bureau sono stati consegnati dalle autorità giudiziaria 5mila apparecchi elettronici. Solo 650, meno di un quinto, per ammissione della stessa Fbi, sono stati “aperti”. Secondo l'agente “là fuori”, dietro le tastiere e dentro le aziende ci sono sei gruppi principali e fonti di minacce: gli attivisti hacker come Anonymous o Lizard Squad; le organizzazioni di cybercriminali che lavorano per il profitto e che usano malware, ransomware, exploit mettendo in atto estorsioni, furti di identità o commercio di password; coloro che dall'interno per negligenza o per dolo consentono di “hackerare” una struttura; la bande che si occupano di spionaggio industriale o furto di proprietà intellettuale; i terroristi veri e propri che operano in rete; e infine le squadre governative all'interno delle intelligence straniere. Le due più grandi minacce, ha sottolineato, sono i criminali informatici e chi si occupa di cyberspionaggio. Non gli attivisti. Anzi, quello che preoccupa di più gli esperti di sicurezza è la cortina fumogena che circonda oggi tutto le aziende e i privati oggetto di frodi informatiche.
A sentire loro esisterebbe un prima e un do- po. L'epoca dei virus, dei furti di identità e delle violazioni e il tempo del ransomware, dell'economia ombra del Dark web (si legga l'articolo a fianco) degli strumenti di hacking a buon mercato e in valuta bitcoin.
Nel nuovo report di Trend Micro che sarà diffuso domani i ransomware, i sequestri con richiesta di riscatto, sono cresciuti del 172% e le perdite causate dalle truffe business email compromise sono arrivate a 3 miliardi di dollari. In Italia nei primi sei mesi dell'anno sono stati identificati 2.689 malware per l'online banking e 3.667.384 ransomware. In termini economici questi ultimi, assicura Rik Ferguson, sono la minaccia più pericolosa. Capelli lunghi, tatuaggi (nella foto) Rick sembra ma non è un hacker. Il suo biglietto da visita lo identifica come vice presidente della ricerca e sviluppo di Trend Micro. «Prendono possesso del tuo sistema informatico, lo rendono illeggibile attraverso sistemi di crittografia e a quel punto hai meno di un giorno per pagare un riscatto in Bitcoin o moneta elettronica. Senza peraltro avere la certezza di tornare in possesso dei tuoi sistemi». Il caso più eclatante è di tre ospedali (due in California e uno nel in Kentucky) che a marzo sono stati costretti a tornare ai fogli e alle penne a causa di un estorsione online. Sull'Italia non c'è casistica perché le aziende da noi non sono obbligate a denunciare le frodi informatiche (cambierà tutto con la nuova normativa europea sulla privacy).
«Il mondo non è cambiato - sostiene Rick -. La vulnerabilità è nei software progettati male tanto quanto nelle persone chiamate a gestire processi o in chi è un terminale finale, l'accesso a un sistema informatico». Sullo sfondo dell'affaire Apple vs l'Fbi non c'è quindi solo il trade off tra privacy e sicurezza ma l'idea che le tecnologie possano e debbano essere possedute. Anzi acquistate. Un esempio? In-Q-Tel, società di venture capital della Virginia sostenuta dalla Central Intelligence Agency (Cia) non ha come missione il profitto ma la ricerca tecnologica. Investe in moltissimi campi e startup. Per quali fini non è chiaro. Il suono del nome è ad oggi il miglior spot al diritto all'anonimato