Australia vs crittografia: la miccia è stata accesa

Ormai, la notizia è ben nota: l'Australia ha recentemente approvato una legge che obbliga tutte le società tecnologiche a rendere disponibili alle autorità legali la propria base di utenti e i messaggi una volta crittografati. Giustificazione? Misure antiterrorismo e di mantenimento della pace.

Il vero problema, tuttavia, va oltre la palese violazione della privacy delle persone: potrebbe effettivamente consentire alla criminalità informatica di prosperare.

Il governo australiano afferma che questa legge è la prima del suo genere al mondo, ma è difficile non tracciare parallelismi con altre iniziative simili come il sistema cinese di credito sociale. Entrambi predicano aumentando il benessere generale con una mano mentre erode la privacy con l'altra.

Queste serie di direttive sono state adottate all'improvviso l'ultimo giorno del 2018, quando tutte le istanze amministrative del governo hanno votato a favore.

Il nome di questa controversa decisione è "The Telecommunications and Other Legislation Amendment (Assistance and Access) Bill". Secondo il governo australiano, la percentuale di comunicazioni crittografate che l'ASIO (l'Australian Security Intelligence Organization) aveva ricevuto nel 2017 era del 55%, con un aumento del 52% dal 2013.

In che modo i messaggi crittografati sono pericolosi?

Non lo erano, fino a poco tempo fa, quando è stata implementata la crittografia end-to-end. Garantisce che solo il mittente e il destinatario di un messaggio possano vederne il contenuto.

Nessun'altra terza parte è in grado di accedere a tali messaggi, indipendentemente dalla loro piattaforma. Questo sistema è utilizzato da molte app come WhatsApp e Signal. Il livello aggiuntivo di sicurezza nega le precedenti leggi australiane che richiedevano ai fornitori di consegnare la comunicazione di un sospetto.

Tuttavia, con la crittografia end-to-end, nemmeno il provider stesso ha accesso ai messaggi di un utente. Quindi non avrebbero modo di aiutare le autorità. Ora il governo australiano ha delle regole contro di esso, dicendo che aiuta i criminali a evitare di essere scoperti.

Non è chiaro se le aziende incentrate sulla privacy come i provider VPN rispetteranno volontariamente le nuove leggi o rischieranno di incorrere in sanzioni.

In che modo l'Australia vuole cambiare le cose?

Ufficialmente, vogliono solo che le aziende tecnologiche collaborino con le agenzie governative, per dare loro libero sfogo alle comunicazioni private dei loro utenti. Ma questo può essere fatto solo installando vulnerabilità nel sistema di sicurezza stesso del provider.

Ma chi può dire che queste lacune di sicurezza non possono essere scoperte da terze parti?

Certo, l'Australia non arriva al punto di vietare del tutto la crittografia end-to-end, come hanno fatto Cina, Russia o Turchia, ma tutte le aziende sono costrette a divulgare i dati riservati dell'utente.

La stragrande maggioranza degli esperti di sicurezza informatica afferma che non c'è assolutamente modo di creare una backdoor rivolta a un singolo individuo. Piuttosto, interesserebbe tutti gli utenti, mettendoli sempre a rischio di attacchi informatici. Nel tentativo di affrontare questo possibile problema, il governo australiano ha affermato che non sarebbe così se si creasse una “debolezza sistemica”. Ciò fungerebbe da salvaguardia contro possibili attacchi invasivi dall'esterno.

Tuttavia, critici e specialisti della sicurezza hanno sostenuto che la definizione di “debolezza sistemica” non è chiara. Per ora, nessuno ha una risposta definitiva su come ciò verrà realizzato mantenendo la sicurezza dell'utente.

Per mettere le cose in prospettiva, il più grande attacco informatico effettuato nel Regno Unito al suo sistema sanitario è avvenuto solo a causa di un exploit di Windows scoperto dalla NSA.

Questo tipo di exploit e falle di sicurezza stanno mettendo in pericolo le nostre porte, offrendo agli hacker una nuova via di attacco, rendendo il loro lavoro più semplice. L'Australia sta facendo proprio questo, e stanno dicendo che è per la lotta contro la criminalità informatica. L'ironia qui è quasi palpabile, in quanto potrebbe portare a un vero e proprio aumento degli attacchi digitali.

Cosa succede alle aziende tecnologiche che si rifiutano di conformarsi? Nella migliore delle ipotesi, il rifiuto di ottemperare alle direttive comporterà pesanti sanzioni.

Ciò ha portato alcune persone a dire che le aziende tecnologiche che hanno già mostrato un atteggiamento negativo nei confronti dell'iniziativa potrebbero ritirarsi dal mercato australiano. Ciò potrebbe benissimo portare a una situazione economica in declino.

Tuttavia, mentre alcune aziende potrebbero scegliere di fare un passo indietro, la stragrande maggioranza rispetterà le leggi anticrittografia per un motivo particolare. Vale a dire, che gli utenti non avranno idea di quando e anche se si accede alle loro comunicazioni.

Nessuno ci dirà nulla, questo si sapeva già quando la legge fu formulata per la prima volta. L'idea alla base era quella di ottenere il controllo sullo scambio di informazioni, presumibilmente per essere un passo avanti rispetto ai criminali informatici.

Questa iniziativa non va per niente bene, nemmeno sulla carta. Le persone devono convivere con la paura costante che le loro comunicazioni siano monitorate, senza sapere quando qualcuno sta guardando? Suona terribilmente simile a 1984 di Orwell, poiché questa è l'oscurità di una potente Polizia del Pensiero.

In un'intervista, il presidente di Digital Rights Watch Tim Singleton Norton ha affermato che la legislazione è "antitetica ai diritti umani e ai principi democratici fondamentali", che porterebbe alla paralisi della sicurezza informatica generale dell'Australia.

Le implicazioni future restano da vedere solo dopo che le agenzie governative inizieranno a utilizzare questi poteri ritrovati. Resta da vedere se le aziende tecnologiche sceglieranno di lasciare l'Australia o sosterranno di non sottomettersi alla legge australiana. In ogni caso, le increspature di questa decisione si protrarranno ancora per molto tempo, si spera senza gravi ripercussioni.

Saranno sollevati emendamenti e si discuterà su questa legge anti-crittografia, ma una cosa è certa: l'idea generale è che in un modo o nell'altro il governo australiano otterrà un accesso anonimo alle comunicazioni private dei cittadini.

Si è accesa la miccia per quella che sembra essere una delle tante bombe di violazione della libertà che sono state consegnate alle nostre porte.

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

• La nuova vulnerabilità di crittografia significa che la posta elettronica non è più sicura
• CloudMounter offre crittografia e sicurezza ai tuoi affari cloud
• La crittografia end-to-end arriva finalmente su Facebook Messenger
• C'è uno svantaggio nella crittografia?
• In che modo la crittografia può rendere le aziende conformi alla prossima direttiva dell'UE sulla protezione dei dati