mercoledì 11 settembre 2013

L'NSA ha fatto da sola più danni all'industria tecnologica di qualunque altro evento

Le segnalazioni sulle azioni della NSA sollevano seri interrogativi sulle partnership dell'industria tecnologica.
L'Analista: "L'NSA da sola ha fatto più danni alla reputazione delle società high tech americane rispetto a qualsiasi altro evento..."
Di Ellen Messmer, Network World.
10 Settembre 2013 03:06 PM ET

Le rivelazioni che la National Security Agency abbia fatto pressioni ai fornitori per mettere delle backdoor nascoste nei loro software e hardware per scopi di spionaggio getta un'enorme ombra su molti programmi gestiti dalla NSA per interagire con l'industria high-tech per scopi di valutazione, collaudo e accreditamento dei prodotti.

Le azioni dell'NSA, rivelate nei documenti trapelati da Edward Snowden e resi pubblici dal The Guardian e dal New York Times, sollevano domande su programmi eseguiti dall'NSA come le soluzioni commerciali per componenti classificati (CSfC, Commercial Solutions for Classified Components), Partnership Nazionali sulla sicurezza delle informazioni e il processo di sicurezza certificazione e accreditamento delle informazioni del dipartimento della difesa, così come protocolli promulgati dalla NSA, quali crittografia Suite B. Praticamente ogni fornitore americano di prodotti rete e sicurezza di qualsiasi significato partecipa in qualche modo in questi programmi di valutazione del prodotto perché attraverso di loro, può vendere ai clienti delle agenzie federali e militari.

Ad oggi, le fonti di notizie quali The Guardian, che ha lavorato a stretto contatto con Snowden, non hanno reso noto tutti i nomi delle aziende che possono aver deciso di compromettere i loro prodotti per conto del NSA, né hanno citato questi programmi di valutazione dei prodotti condotti dall'NSA.

Ma venerdì scorso, l'amministrazione Obama è sembrato che abbia verificato le affermazioni fatte dai media il giorno prima riguardo l'NSA lavori attraverso programmi di partnership con l'industria per minare la rete e i prodotti di sicurezza per scopi di spionaggio.

L'ufficio del direttore dell'Intelligence nazionale (ODNI) non confuta l'affermazione che l'NSA spende milioni di dollari ogni anno per manomettere i software e hardware con pressioni sull'industria high-tech per mettere backdoor a beneficio dell'NSA. Nella sua dichiarazione ufficiale, ODNI ha detto che le storie pubblicate "rivelano dettagli specifici e riservati su come conduciamo questa critica attività di spionaggio".

I documenti trapelati pubblicati dal Times e Guardian includono dichiarazioni dell'NSA come quella che la divisione di SIGINT dell'NSA "è impegnata attivamente con industrie tecnologiche degli Stati Uniti e straniere per influenzare segretamente e sfruttare apertamente i progetti dei loro prodotti commerciali. Questi cambiamenti nella progettazione rendono i sistemi sfruttabili attraverso la raccolta di SIGINT (es. Endpoint, Midpoint, ecc.) con una anticipata conoscenza delle modifiche. Per il consumatore e altri avversari, tuttavia, la sicurezza dei sistemi rimane intatta". Un obiettivo viene detto che sia "inserire le vulnerabilità nei sistemi di crittografia commerciale, sistemi informatici, reti e dispositivi endpoint di comunicazione utilizzati da obiettivi". Che la NSA riesca in qualche modo ad apportare queste modifiche è considerato "top secret", secondo i documenti pubblicati on-line da Snowden. Nei suoi numerosi programmi di valutazione di prodotto con l'industria, l'NSA avrebbe ampie opportunità per perseguire questi obiettivi.

Bruce Schneier, esperto di crittografia e autore di diversi libri, tra cui il recente "Liars and Outliers" (Bugiardi e Valori Erratici) sostiene che le rivelazioni sull'NSA costituiscono un tradimento fondamentale di Internet e le persone che lo utilizzano. Egli sostiene che chiunque, soprattutto gli ingegneri, con conoscenza di come la NSA ha manomesso software e hardware dovrebbero rendere pubblico ciò che sanno. Aggiungendo, finchè non sono limitati da specifiche restrizioni legali o di riservatezza, come una lettera di sicurezza nazionale.

"Se siete stati contattati dalla NSA per manomettere un prodotto o un protocollo, è necessario che vi facciate avanti con la vostra storia", ha detto Schneier in un recente articolo del Guardian. "I vostri obblighi come impiegato non coprono attività illegali o non etiche. Se si lavora con dati riservati e siete veramente coraggiosi, esponete ciò che sapete. Abbiamo bisogno di informatori".

Quando ieri gli è stato chiesto se anche la Cina e la Russia potrebbero anche lavorare con una qualsiasi delle loro industrie nostrane per manomettere prodotti a scopo di spionaggio, Schneier ha detto che ne ha avuto conoscenza diretta. Ma dopo aver letto una sfilza di documenti che Snowden ha rilasciato, Schneier ha detto che è convinto che la NSA sta facendo "tutto il possibile" per assicurarsi l'accesso completo a tutto il possibile. L'influenza degli Stati Uniti e del Regno Unito su software, hardware e Internet dà loro una "posizione molto privilegiata su Internet", ha detto.

L'NSA riconosce prontamente ed è sempre alla ricerca di "infrangere" la sicurezza degli avversari e della crittografia  — che dopo tutto, è parte della sua missione come agenzia di cyber-spionaggio dell'America, che mantiene anche un Cyber Comando per attaccare gli avversari attraverso il cyberspazio. Ma la rivelazione che l'NSA sta spendendo milioni ogni anno per cercare di fare in modo che i fornitori di hardware e software modifichino i loro prodotti per includere backdoor per fini di raccolta di intelligence e di indebolimento della crittografia e dei sistema di sicurezza solleva la prospettiva di quali ramificazioni legali ciò abbia quando si verrà a saperne di più.

È possibile che possano nascere azioni legali sia da imprese che da consumatori se diventa noto che prodotti e servizi specifici sono stati progettati con backdoor per la NSA, senza divulgare all'acquirente quella che viene vista come una pratica ingannevole. Alcune rivelazioni nel mese di giugno da Snowden circa cosiddetto il programma PRISM della NSA per la raccolta di intelligence stanno iniziando ad avere effetti giuridici.

Sotto PRISM , l'NSA può collezionare e-mail, chat, video, dati memorizzati, VoIP, trasferimento di file e altro materiale da Microsoft, Google, Yahoo, Facebook, PalTalk , YouTube, Skype, AOL e Yahoo. Microsoft e Google dicono che forniscono questi dati all'NSA sotto ordini della legge Foreign Intelligence Surveillance Act e vogliono rivelare quanti di questi vengono ricevuti ogni anno, ma dicono che finora il Dipartimento di Giustizia degli Stati Uniti non è stato d'accordo.

Alla fine di agosto, Brad Smith consigliere generale e vice presidente esecutivo  della Microsoft ha detto che la sua azienda e Google sarebbero "andati avanti con il contenzioso con la speranza che i tribunali difendano il nostro diritto di parlare più liberamente". Lo hanno fatto ieri depositando una causa legale, affiancati da Yahoo, presso il Foreign Intelligence Surveillance Cour, il tribunale per la sorveglianza dei servizi segreti.

I pubblici ministeri in Francia hanno detto che stanno instradando un caso contro la NSA e l'FBI per PRISM - relativamente allo spionaggio dei cittadini francesi.

In generale, c'è una sorta di malumore nel settore high-tech e la diffidenza tra i clienti commerciali per le implicazioni di ciò che si dice che la NSA faccia nel suo zelo di essere in grado di condurre una raccolta di informazioni a scopo della difesa nazionale.
Come molti sforzi dalle buone intenzioni del governo, la NSA ha da sola fatto più danni alla reputazione delle aziende di tecnologia degli Stati Uniti rispetto a qualsiasi altro evento nella breve, folgorante ascesa del dominio degli Stati Uniti
- Richard Stiennon

L'articolo originale su networkworld.com
Reported NSA actions raise serious questions about tech industry partnerships