Crittografia End-to-End tra mito e realtà

Crittografia

Nell’ultimo decennio le violazioni di dati che hanno coinvolto celebri aziende (da piattaforme social a portali/servizi vari come eBay, Yahoo, LinkedIn, Dropbox, il Playstation Network Sony etc.) si sono moltiplicate a vista d’occhio ed il tema della salvaguardia e tutela dei dati personali, anche grazie all’arrivo del GDPR, è giunto all’attenzione dell’opinione pubblica.

La crittografia end-to-end (CE2E), il sistema di comunicazione protetto impiegato ormai da svariati servizi ed applicazioni di messaggistica come WhatsApp e Telegram ed utilizzati/e tanto su dispositivi personali quanto aziendali (dispongono anche di client installabili su PC Desktop), è stata una delle soluzioni che l’industria ha offerto ai numerosi e preoccupati clienti. Come si legge dalla pagina ufficiale dell’app acquista da Facebook per 14 miliardi di dollari:

la crittografia end-to-end di WhatsApp garantisce che solo tu e la persona con cui stai comunicando possiate leggere ciò che viene inviato, e nessun altro, nemmeno WhatsApp. I messaggi sono protetti con dei lucchetti, e solo tu e il tuo destinatario avete le chiavi necessarie per poterli aprire e leggere i messaggi. Per una maggiore protezione, ciascun messaggio inviato ha un proprio lucchetto e una propria chiave. Tutto questo avviene automaticamente […]

Secondo Leonid Bershidsky di Bloomberg la crittografia è molto importante ma si è trasformata in uno slogan pubblicitario o arma di distrazione di massa:

[la CE2E] è uno mezzo pubblicitario utilizzato da compagnie come Facebook per garantire un falso senso di sicurezza ai consumatori consapevoli del [rischio d’essere spiati]. [La CE2E] è ovviamente necessaria ma non è una misura di sicurezza infallibile per la protezione delle comunicazioni. Il tiro alla fune tra le imprese high tech, promotrici della CE2E come soluzione per [contrastare i governi più curiosi], e le agenzie di Stato che vi si oppongono è una copertura.

A dimostrare la debolezza delle rassicurazioni delle aziende ci ha pensato Pegasus, uno spyware multipiattaforma (Windows, Android, iOS ideato da un’azienda di cybersecurity israeliana (NSO) specializzata nella vendita di “strumenti vari” ad agenzie e governi di tutto il mondo.

La crittografia è inutile se il dispositivo è compromesso

Tra le funzionalità dello spyware anche la possibilità di leggere i messaggi scambiati, ad esempio, tra due account WhatsApp protetti da CE2E. La notizia di una grave falla nella più popolare app di messagistica del mondo ha avuto notevole risalto presso i telegiornali, i siti e la stampa non specializzata, scatenando la corsa all’aggiornamento – caldamente consigliata dalla stessa Facebook. L’esistenza dello spyware era in verità nota da diverso tempo agli addetti ai lavori, precisa Bershidsky, ma la sua ultima “incarnazione” ha rappresentato un concreto salto di qualità del livello di minaccia.

Se infatti il vecchio Pegasus necessitava dell’azione della vittima per agire, dal classico clic inconsapevole sul link di phishing all’apertura di un allegato o all’installazione di una app malevola sul device, al nuovo occorre solo contattare il bersaglio. Era già accaduto con un’altra app (meno nota) di messaggistica ritenuta teoricamente sicura, Signal, ed è accaduto anche per WhatsApp: all’hacker basta chiamare la vittima o inviare un messaggio o includere uno script malevolo in una pagina internet per mettere avviare il download e l’esecuzione automatica di Pegasus.

Una volta entrato nel sistema, l’hacker può sfruttare come meglio crede la posizione di comando acquisita appoggiandosi magari ad un keylogger (in grado di memorizzare quanto digitato dall’utente, utile quindi per carpire le password) o catturando le schermate del device/PC – per salvare le discussioni via chat più interessanti e via dicendo.

Il messaggio di Bershidsky è quindi abbastanza chiaro: mai abbassare la guardia o dare per scontata qualsiasi cosa perché in un contesto digitale come quello moderno non esiste un sistema di comunicazione completamente sicuro; d’altra parte in un contesto analogico, inteso come disconnesso dalla Rete e fondato sui “vecchi” sistemi di scambio informazioni (su carta o “faccia a faccia” con il proprio interlocutore), il livello di sicurezza sarebbe indubbiamente superiore ma non assoluto, poiché entrerebbero in gioco le “tradizionali” soluzioni di spionaggio di cui tutti, grazie alla letteratura di genere ed al cinema, abbiamo più o meno una chiara idea.

Fonte: 1.