martedì 10 settembre 2013

La NSA, il GCHQ, il FRA che installano backdoors nelle infrastrutture, ora sono il nemico di tutta l'umanità

6 Settembre 2013, Rick Falkvinge.

I servizi di sicurezza degli USA, Regno Unito e Svezia hanno lavorato attivamente per installare delle backdoor nella maggior parte dei software di crittografia commerciali. Anche se intendevano utilizzarle per intercettare i segreti aziendali, le registrazioni mediche e le transazioni bancarie, quelle backdoor sono disponibili anche per qualsiasi altro avversario. Questo è effettivamente una dichiarazione di guerra dei servizi segreti contro tutta l'umanità.

È uscita questa mattina la notizia che la NSA (USA), il GCHQ (Regno Unito) e il FRA (Svezia) hanno attivamente lavorato per manomettere la crittografia che fa funzionare la nostra società, installando backdoor in parte se non in tutti i software di crittografia commerciali. Ciò significa che queste agenzie hanno deliberatamente reso tutti noi vulnerabili quando effettuiamo delle attività bancarie, andiamo in ospedale, e quando parliamo privatamente online. La nostra società dipende dalla nostra capacità di mantenere i segreti, e la installazione deliberata di backdoor, la deliberata manomissione delle nostre infrastrutture, è a dir poco una dichiarazione di guerra. Anche secondo i generali degli Stati Uniti.

"Ad un cyber attacco agli Stati Uniti potrebbe corrispondere una risposta militare convenzionale".
– Generale dell'esercito Martin E. Dempsey, presidente del Joint Chiefs of Staff

Trascurando l'uso ridicolo della parola cyber, che lo fa suonare come se fosse bloccato in un romanzo steampunk degli anni settanta, la dichiarazione da parte di una tale autorità rende chiaro che un attacco che tenta di sovvertire l'infrastruttura delle comunicazioni è considerato un attacco militare. E questo è l'attacco che abbiamo avuto, su scala globale, contro tutta l'umanità, dalla NSA, il GCHQ e la FRA.

È importante notare che crittografia stessa non è stato violata, come erroneamente riportato da parecchi oldmedia questa mattina. Mentre l'effetto finale può essere lo stesso, c'è una distinzione fondamentale nel manomettere le implementazioni della crittografia da parte delle NSA/GCHQ/FRA, rispetto a infrangere la matematica stessa. I servizi di sicurezza non hanno infranto la crittografia, essi hanno soltanto corrotto i prodotti di crittografia commerciali in modo da essere difettosi, utilizzando delle talpe e altre forme di pressione sulle aziende di tecnologia per lavorare con NSA/GCHQ/FRA contro i propri clienti e contro l'umanità.

Questa differenza è cruciale in quanto prodotti di crittografia non commerciale possono non essere difettosi. Per esempio, guardate questo post di Theodore Ts'o questa mattina:

"Sono così felice di aver resistito alle pressioni degli ingegneri della Intel per far in modo che /dev/random si basasse solo sull'istruzione RDRAND. [...] Basarsi esclusivamente su un generatore di numeri casuali hardware che utilizza un'implementazione sigillata all'interno di un chip che è impossibile da controllare è una cattiva idea."— Theodore Ts'o

Questo esempio è significativo perché tutta la crittografia dipende da buoni generatori di numeri casuali e "/ dev/random" è il generatore di numeri casuali per tutti i sistemi GNU/Linux, incluso probabilmente il vostro telefono Android - il termine tecnico /dev/random può essere letto come "dispositivo generatore di numeri casuali". Sembrerebbe che qualcuno abbia cercato di sovvertire tutti i sistemi basati su kernel Linux per essere violabili da parte di NSA/GCHQ/FRA. Fortunatamente, in questo caso il tentativo è fallito grazie al buon giudizio di un ingegnere.

Questa manomissione delle nostre infrastrutture critiche non solo consente all'NSA e ai suoi simili di spiare. Consente di intromettersi a chiunque abbia sufficiente competenza tecnica per scoprire queste backdoor che sono state installate - e ci sono un sacco di persone che hanno quella capacità. I servizi segreti, con il compito di tenerci al sicuro, hanno effettivamente cestinato completamente la nostra sicurezza. Partite dal presupposto che i peggiori criminali possono intercettare con molta più facilità di quanto l'NSA non sia mai stata in grado di fare, grazie a questa manomissione e l'abuso di fiducia.

Possiamo tranquillamente supporre che tutto il software americano sia completamente compromesso come il formaggio svizzero. Se stai usando una qualsiasi cosa della Microsoft o della Apple, tu sei posseduto. Sono nel vostro sistema, nei vostri documenti e nella vostra produzione. State agendo da pazzi e dovete passare ad una soluzione di software libero o rimarrete posseduti.

Tuttavia, la crittografia di per sè stessa non è stata infranta, come già detto. Gli oldmedia non possono dire questa fondamentale differenza, quindi lascio alle parole di Edward Snowden, che a tale proposito presumibilmente può essere attendibile:

"La crittografia funziona. Sistemi di crittografia forte correttamente implementati sono una delle poche cose sulle quali si può fare affidamento. Purtroppo, i punti terminali della sicurezza sono così terribilmente deboli che l'NSA frequentemente può trovare modi per raggirarli"– Edward Snowden

Si noti come Snowden rende anche la distinzione fondamentale tra crittografia stessa, crittografia correttamente implementata e sistemi commerciali manomessi, "punti terminali della sicurezza".

Bruce Schneier, uno dei maggiori esperti di sicurezza di tutto il mondo (se non il principale esperto di sicurezza), fa un'osservazione simile:

"Qualunque asso la NSA ha nascosto nelle sue maniche top-secret, la matematica della crittografia sarà ancora la parte più sicura di qualsiasi sistema di cifratura. Mi preoccupo molto di più dei prodotti crittografici mal progettati, bug software, cattive password, società che collaborano con la NSA rilasciandogli tutte o parte delle chiavi, e computer e reti non sicure. È lì che ci sono le vere vulnerabilità" - Bruce Schneier

In un articolo su The Guardian, Schneier inoltre elabora sinistramente sul perché questi servizi sono il nemico di tutta l'umanità, e perché questa è l'ultima occasione per imparare dalla storia:

"Un qualche paese impegnato nella sorveglianza di massa dei suoi cittadini ha volontariamente rinunciato a questa possibilità? Ha un qualche paese con la sorveglianza di massa evitato di diventare totalitario?"- Bruce Schneier

La dichiarazione di guerra è già stata fatta, il guanto gettato, il primo sciopero eseguito. Spetta a noi non ripetere l'errore delle famiglie a Berlino nell'inverno del 1932, che negandolo continuavano ad andare a pattinare nei parchi il fine settimana.

In questo articolo sto scrivendo NSA, il GCHQ, e il FRA. Questo da quando ieri nell'udienza del Parlamento Europeo è stato rivelato che la FRA svedese è un attore chiave nella sorveglianza della NSA in corso, con il nome in codice Sardina. (A luglio ho scritto su documenti che lo suggeriscono fortemente). Quando nell'Unione europea si sono riuniti per discutere e protestare contro la rete di spionaggio globale della NSA, si può ricordare che il Regno Unito e la Svezia hanno posto il veto in quella discussione. Vedendo come la Gran Bretagna e la Svezia fanno parte della rete di spionaggio, oggi non c'è da sorprendersi, ma è ancora incredibilmente vergognoso fino al limite del tradimento. Non c'è nessun'altra ragione per cui qualcuno nell'UE possa mai più fidarsi dei ministri di questi paesi sulla questione.

Per concludere, NSA, GCHQ e FRA sono costruzioni giuridiche senza volto. Ma le persone che hanno eseguito questi attacchi contro il genere umano sono proprio questo, singole persone. Sono le persone che lavorano per queste agenzie. Sono quelle che hanno dichiarato guerra al genere umano, individualmente, e sono quelle che devono essere chiamate a risponderne.

Hanno una scelta. Possono uscirne pulite, come ha fatto Snowden, oppure possono rimanere individui che hanno dichiarato guerra all'umanità.

AGGIORNAMENTO - Techdirt fa la stessa osservazione : NSA, GCHQ ammettono che il pubblico è il nemico.

L'articolo originale in inglese sul sito di Falkvinge:
With The NSA, The GCHQ, The FRA Planting Crypto Backdoors In Infrastructure, They Are Now The Enemy Of All Mankind