Titolo

La guerra alla crittografia - alcune questioni tecniche

4 commenti (espandi tutti)

Le falle nel sistema acquistabili nel mercato nero o individuate per conto proprio sono meno accessibili di quelle eventuali (ma deliberate, volute) possedute dal governo americano? A me non sembra che nelle prime 5 pagine di quel documento ci sia una risposta a questa domanda. O meglio, mi sembra ci sia scritto che il sistema è più esposto (?), ma non che sia necessariamente più penetrabile. 

Parte di questa tua impressione deriva dal fatto che usano gergo tecnico. Exposure and vulnerability sono piu' o meno la stessa cosa, infatti si parla di Common Vulnerabilities and Exposures (CVE). Vedi definizioni qui.

Il problema comunque non e' quanto sia piu' facile penetrare un sistema che ha una backdoor voluta dal governo, ma piuttosto quanto sia piu' rischioso per la societa', e questo e' un problema su tanti livelli diversi. Due concetti importanti:

1. Un mondo in cui non esista la crittografia non e' uguale al mondo in cui la crittografia esista ma sia penetrabile. Una crittografia penetrabile rende piu' esposto l'utente perche' lo illude con un falso concetto di sicurezza. Se uno ha uno smartphone senza crittografia, evitera' di salvarci sopra informazioni compromettenti. Se pero' lo smartphone e' crittato, si sentira' piu' sicuro a salvarci sopra roba privata che va dal codice del bancomat alle foto di un rapporto extraconiugale. A quel punto, nel momento in cui il sistema e' esposto, anche il cittadino comune puo' diventare una preda della piccola criminalita' ( piu' comunemente per un ricatto ). Oggi giorno facciamo larghissimo uso di crittografia quindi un programma di key escrow introdotto nel 2016 farebbe molto piu' danno del programma di key escrow degli anni 1990.

2. In cyber security si tendono a definire due tipi di attacco: targeted attack e opportunistic attack. Una backdoor governativa diventa particolarmente pericolosa per opportunistic attacks piuttosto che targeted. E' la stessa differenza che c'e' tra un ladro che vuole rubare un picasso originale da casa di una persona facoltosa o di un gruppo di ragazzetti che entra nella prima casa in cui trova la finestra aperta. Targeted attacks sono incredibilimente piu' difficili da contrastare, anche perche' di solito sono opera di governi o associazione capaci. Opportunistic attacks li possono fare anche i bambini (letteralmente bambini - la maggiorparte dei cosiddetti defacement o ddos di cui si legge sui giornali sono fatti da bambini delle medie - vedi https://en.wikipedia.org/wiki/Script_kiddie ). Gli attacchi opportunistici vengono preceduti di solito da "scanning". Esempio: viene trovata una falla in un programma relativamente diffuso. Un gruppo di malintenzionati usa un software per scansionare internet e cercare, in automatico, bottini interessanti. Una volta trovate le prede, passa all'azione usando il tool a prova di bambino che permette di usare questa falla per penetrare nel computer in questione. Una backdoor governativa che venisse fallata renderebbe opportunistic attacks infinitamente piu' pericolosi per due motivi: interesserebbe quasi la totalita' dei computer; sarebbe molto piu' difficile da aggiustare. 

 

Faccio del mio meglio per non porti altre domande :)
Grazie.

Furono rubati nel 2012. Una massa di incompetenti. Il problema nacque perché non avevano adottato misure che a quel punto erano standard da almeno un decennio (a me la prima volta le fece implementare un payment gateway per accedere ai loro servizi).