Aggiornato il: 19-09-2020 20:39
Sta facendo molto discutere la richiesta dell’FBI di sbloccare l’iPhone 5c di Syed Farook, responsabile assieme a Tashfeen Malik degli attentati di San Bernardino (California) dello scorso dicembre: a quanto pare non si riesce a reperire la password del dispositivo, e neanche Apple la possiede (per ovvie ragioni di sicurezza dell’architettura). Il governo americano ha quindi invitato Apple ad alleggerire i propri sistemi di sicurezza allo scopo di facilitare le indagini: la richiesta, di per sè, avrebbe lo scopo di sbloccare il telefono sospetto sfruttando una backdoor (è Tim Cook a chiamarla cosà¬, nonostante alcuni giornali abbiano diffuso l’idea che non si tratti di questo, e che la richiesta sarebbe legittima.
L’FBI afferma di aver bisogno di rimuovere il sistema di protezione che, sul dispositivo in questione, tende a rallentare e ad evitare gli attacchi brute force (ovvero il tentativo di indovinare la password per tentativi), arrivando a bloccare ed autodistruggere i dati sul telefono dopo 10 tentativi falliti, e che sia legato esclusivamente a quel tipo di telefono. Il rifiuto ufficiale di effettuare l’azione, nonostante un’ordinanza del giudice, è legato a ragioni prettamente tecnologiche su cui bisognerebbe riflettere prima di fare altre considerazioni, purtroppo molto strumentalizzate da chi non abbia competenze in materia ed accusi tali aziende, con vari gradi di malizia e superficialità , semplicemente di non voler collaborare. Edward Snowden ha preso ufficialmente posizione a riguardo, difendendo la scelta di Apple e ribadendo in vari punti l’anomalia che avrebbe rilevato richiesta: realizzare un software che funzioni solo su un singolo dispositivo sembrerebbe peraltro impossibile, nessuno ti garantisce che potrà essere usato solo su quello e, peraltro, l’accesso ai dati dovrebbe essere comunque possibile da un punto di vista hardware, senza necessità di creare software “tarocchi”. Una situazione effettivamente ambigua, che ha scomodato pareri autorevoli a favore di Apple (NYTimes) ma anche ostili ad essa (Donald Trump): la controversia deriva dal fatto che, tecnicamente non c’è modo di garantire che un eventuale software malevolo (un iOS con backdoor) quale quello richiesto alla Apple non possa essere sfruttato da chiunque (criminali inclusi) su qualsiasi altro dispositivo. àˆ questo ciò di cui bisognerebbe parlare, credo.
Apple afferma di aver collaborato al meglio delle proprie possibilità , fornendo tutti i dati di cui dispone alle autorità e facendo resistenza, in effetti, solo nel fornire un’informazione che non può possedere per ovvie ragioni: se le password degli iPhone, infatti, fossero memorizzate in punti diversi dai singoli dispositivi (ad esempio sui loro server), la totalità degli iPhone sarebbe a rischio, e basterebbe un furto massivo (database leak) di queste informazioni per mettere in pericolo l’esclusività degli accessi ai telefoni (di qualsiasi utente da parte di qualsiasi attaccante), sia esso un’autorità con buone ragioni oppure un criminale malintenzionato. Il punto fondamentale della questione, in definitiva, è che le autorità “stanno chiedendo ad Apple di dimostrare che è in grado di creare versioni insicure del proprio sistema operativo, minando cosଠalla base la fiducia dei suoi clienti, che si chiederebbero se gli aggiornamenti di iOS contengono falle intenzionali di sicurezza su richiesta governativa“, come sintetizza molto bene Paolo Attivissimo sul proprio blog.
Nella lettera di Cook, viene detto apertamente che il governo americano ha chiesto ad Apple di creare una backdoor per iOS che viene considerata dall’azienda “troppo pericolosa“, qualcosa che “nelle mani sbagliate – anche se oggi non esiste – potrebbe potenzialmente sbloccare qualsiasi iPhone uno abbia in possesso“. Il punto infatti, senza voler mancare di rispetto alle autorità che conducono le indagini e tantomeno alle vittime dell’attentato, è legato alla questione che un software insicuro del genere è un pericolo proprio perchè, ribadiamo, non c’è modo di garantire che venga utilizzato solo da chi abbia buone intenzioni. Un prodotto del genere su richiesta governativa non è meno pericoloso di uno creato ed utilizzato da criminali: sempre di un software potenzialmente pericoloso si tratta.
Si arriva quindi alla situazione di un’azienda privata che, anche indirettamente o per meri scopi di immagine e commerciali, difende i sistemi di protezione dei propri telefoni, come spiegato dalla nota Customer letter di Tim Cook (“The United States government has demanded that Apple take an unprecedented step which threatens the security of our customers. We oppose this order, which has implications far beyond the legal case at hand“), rifiutandosi cosଠdi violare la sicurezza dei propri sistemi ed arrivando a dover chiarire di non avere motivi politici per questa scelta (“We have no sympathy for terrorists“, scrive Cook).
Un iPhone sbloccato via hacking, cioè creando ed installando una versione modificata di iOS con protezioni aggirabili, creerebbe un precedente pesante, per cui – in seguito – anche governi non propriamente democratici potrebbero dare seguito a richieste del genere per facilitare persecuzioni di oppositori politici, semplici stalking e simili. L’hacking di stato, di fatto – che secondo Snowden già avveniva da molti anni, declinato addirittura in sorveglianza di massa – sembra che possa diventare una tendenza vera e propria, ed è bene che le aziende non si prestino ad una pratica del genere, come Twitter e Google hanno dimostrato appoggiando ufficialmente la scelta.
