domenica 27 novembre 2016

Come indaga (con poche risorse) l’Italia contro il cybercrime, tra cifratura, Tor e trojan

La Stampa
carola frediani

Un attivista ha ottenuto i documenti con cui 12 Stati europei spiegano come fanno cyber indagini, che problemi hanno e cosa vorrebbero. Tra tentazioni di backdoor e nuove leggi.



Forze dell’ordine e inquirenti italiani si imbattono spesso in computer, smartphone e dispositivi cifrati, nel corso delle loro indagini. E sul fronte delle attività online ritengono che il problema principale sia la «mancanza di tracciabilità per le connessioni Tor» - il più diffuso software per la privacy e l’anonimato - così come per le «transazioni in Bitcoin», la nota moneta elettronica.
L’intercettazione di comunicazioni cifrate - scrivono ancora le autorità italiane - viene fatta principalmente attraverso l’uso di trojan, cioè di software (detti anche captatori informatici) che

infettano un dispositivo e acquisiscono i dati alla fonte, prima che questi siano «blindati» e inviati. E tuttavia, una delle maggiori difficoltà consiste nell’installazione da remoto del trojan sul dispositivo dei sospettati, specie nel caso in cui si tratti di un «noto brand» (non viene citata esplicitamente, ma il riferimento è probabilmente alla Apple e al suo iPhone, su cui torniamo dopo). Non solo: chi ha scritto il documento ritiene che le leggi potrebbero essere più efficaci se gli indagati avessero l’obbligo di fornire alle autorità la password o la chiave per decifrare (Un obbligo che oggi non esiste, ovviamente, perché la legge italiana - come quella di molti altri Stati - prevede il diritto di non autoincriminarsi).




LE RISPOSTE DEGLI STATI AL CONSIGLIO UE
Quelle appena riportate sono alcune delle osservazioni contenute in un documento inviato dall’Italia al Consiglio dell’Unione europea, dove si incontrano i ministri nazionali per coordinare le politiche. Il Consiglio infatti aveva mandato agli Stati membri un questionario interamente dedicato al tema della «cifratura dei dati» nelle indagini criminali. Tema che era già emerso a un incontro informale dei ministri della Giustizia lo scorso luglio a Bratislava, e a cui la presidenza slovacca del Consiglio dell’Unione europea ha dato seguito inviando una serie di domande ai vari Paesi per raccogliere le rispettive posizioni. Materiale che dovrebbe essere la base di partenza per un nuovo incontro proprio a dicembre.

Finora sono divenute accessibili (in alcuni casi in modo parziale) solo le risposte di 12 Paesi - tra cui l’Italia - grazie a una richiesta di accesso fatta dall’attivista danese Rejo Zanger per conto della Ong sui diritti digitali Bits of Freedom. Mentre le risposte degli altri Paesi non sono state ancora rese pubbliche.

DIVERSE POSIZIONI SU BACKDOOR E NUOVE LEGGI
Cosa emerge da questa prima parziale fotografia? Che la crittografia è considerata una sfida per gli inquirenti e le forze dell’ordine dei Paesi membri. Anche se ben cinque Stati dichiarano di incontrarla raramente nelle loro indagini. In ogni caso quasi tutti concordano sulla necessità di scambiarsi e sviluppare conoscenze e strumenti al riguardo. Ma per il resto le posizioni sono differenti. La Polonia ad esempio è la più esplicita nel richiedere delle backdoor, delle «porte di servizio», cioè degli accessi privilegiati a dispositivi e software per le forze dell’ordine a discapito della crittografia forte.

Di fronte alla domanda su quali misure dovrebbero essere adottate a livello europeo, i polacchi parlano infatti della «necessità di incoraggiare i produttori hardware/software a inserire delle backdoor per le forze dell’ordine o a indebolire la crittografia». Di parere invece nettamente opposto è la Germania. «Una legge che proibisca o indebolisca la cifratura delle telecomunicazioni e dei servizi digitali è da escludersi, al fine di proteggere la privacy e i segreti industriali». Che tradotto vuol dire: la crittografia forte protegge non solo i criminali, ma anche i cittadini comuni e gli affari.

Ungheria, Lettonia, Croazia e Danimarca, pur senza parlare né di backdoor né di indebolimento della crittografia, auspicano nondimeno nuove leggi a livello europeo. Non è chiaro cosa dovrebbero regolare però. In alcuni casi sembrano riferirsi alla possibilità di accedere più facilmente ai dati ospitati nel cloud in un altro Paese dai vari operatori di servizi online. O avere una cornice di azione comune per indagini informatiche, scrive l’Italia. Ad ogni modo la Svezia non le vuole, la Finlandia nemmeno (di sicuro non ora, è il messaggio), la Repubblica ceca non si capisce (la parte al riguardo è stata cancellata) e la Gran Bretagna – che

ha appena passato una legge molto controversa, l’Investigatory Power Act, che amplia la sorveglianza delle attività online dei britannici - dà una risposta democristiana. Anche se a leggere fra le righe si intravede la tentazione di metterci le mani in qualche modo sulla crittografia. La risposta inglese auspica infatti «un approccio collaborativo con partner internazionali e l’industria in modo che la cifratura continui a tenere al sicuro i dati delle persone senza permettere a seri criminali di operare oltre il raggio d’azione delle forze dell’ordine».

ITALIA, CIFRATURA E TROIAN
Tornando alla posizione italiana, le risposte dichiarano che nelle indagini la cifratura viene incontrata spesso. «Molti servizi online (90%) sono ora disponibili su protocollo Https», è scritto. «I dispositivi hanno app native cifrate. Per quanto riguarda la cifratura online, l’ostacolo principale è la mancanza di tracciabilità delle connessioni Tor e delle transazioni Bitcoin». Invece, «per quanto riguarda la cifratura offline, il problema è soprattutto con una maggiore azienda produttrice di dispositivi». Il riferimento è probabilmente agli iPhone di Apple, come mostrato dallo scontro tra la casa di Cupertino e l’Fbi, anche se i federali hanno poi trovato modo di accedere allo smartphone oggetto del contenzioso con l’aiuto di una azienda terza.

Altri passaggi delle risposte italiane: «L’intercettazione di dati cifrati è permessa attraverso la tecnica dell’inoculazione di un trojan, per cui occorre l’autorizzazione di un magistrato» (sul tema captatori ne avevamo scritto in passato). A questo proposito viene anche accennata, tra le maggiori preoccupazioni, la «difficoltà nell’installare da remoto sul dispositivo del sospettato il trojan per le intercettazioni, specialmente in riferimento a una delle maggiori marche». Anche qui il riferimento sembra essere all’iPhone.

L’installazione da remoto di trojan sull’ultimo modello/sistema operativo del telefono di Apple è considerata più difficile dai ricercatori del settore, come dimostrato anche dai prezzi di mercato più alti per sue vulnerabilità specifiche (vedi la storia dell’attivista Ahmed Mansoor di cui avevamo parlato già negli scorsi mesi). La società Zerodium, ad esempio, offre fino a un milione e mezzo di dollari a chi riesca ad eseguire il jailbreak remoto dell’iPhone, cioè a disabilitare da lontano i sistemi di protezione del telefono per installare un malware.

Il documento italiano dichiara anche che le «legislazioni nazionali potrebbero essere più efficaci se ci fosse l’obbligo per i sospettati o accusati di fornire alle forze dell’ordine le password o le chiavi per decifrare», pur riconoscendo alcune righe sopra che questo non è possibile nel nostro Paese. E nemmeno in molti altri Stati europei, come per altro evidenziato dai vari documenti nazionali, che prevedono il diritto di non autoincriminarsi.

IL PARERE DEGLI ESPERTI
«Confermo il fatto che durante le indagini a supporto dell’Autorità Giudiziaria ci imbattiamo sempre più spesso in problematiche legate alla cifratura», commenta a La Stampa Paolo Dal Checco, esperto di informatica forense dello studio DiFoB. «Raramente sui computer, ogni tanto sui dischi esterni, quotidianamente invece sui cellulari. Non parliamo soltanto della casa produttrice di Cupertino. Ora anche Android, con la sua ultima versione, cifra i dati dell’utente senza che questi se ne accorga, rendendo così più difficile il lavoro degli investigatori.

Windows Phone lascia ancora la scelta all’utilizzatore, ma permette di criptare l’intero contenuto dello smartphone in modo sicuro». D’altra parte, prosegue Dal Checco, «guarderei con una certa diffidenza proposte di backdoor o indebolimento di algoritmi o protocolli crittografici, perché questo aprirebbe la strada a pericolose evoluzioni che porterebbero più svantaggi che vantaggi».
Di parere simile anche un altro noto esperto di informatica forense, Mattia Epifani. «Sicuramente la cifratura si estenderà sempre di più e questo da un punto di vista strettamente investigativo sarà un problema», commenta a La Stampa.

«Ma nello stesso tempo proprio la cifratura rende la nostra vita digitale, e i nostri dati, più sicuri. Per quanto riguarda i captatori (i trojan), è vero che su iPhone è allo stato attuale complicato perché fondamentalmente non ne esistono in grado di funzionare su tutti i dispositivi, soprattutto quelli più recenti. Ma esisteranno sempre gli zero day, vulnerabilità con cui si possono violare: quindi il problema è più di risorse a disposizione degli investigatori e degli Stati, risorse che alcuni hanno e altri no. Comunque, anche gli altri sistemi operativi (Android in primis) stanno aumentando il loro livello i sicurezza e quindi anche qui diventerà sempre più complicata l’inoculazione del trojan».

MANCANZA DI RISORSE
In generale, le risposte dei dodici Stati «mostrano che la questione principale è la mancanza di accesso a soluzioni tecnologiche», commenta a La Stampa Rejo Zanger, l’attivista che ha fatto la richiesta dei documenti. «Certo, a volte la polizia incontra una cifratura che proprio non riesce a rompere. Ma il problema vero è che, anche quando la tecnologia per farlo esiste, spesso alcune forze dell’ordine non vi hanno accesso». Insomma, il punto è «la mancanza di risorse finanziarie e umane».

La disponibilità di una cifratura forte è essenziale per proteggere le infrastrutture e comunicazioni digitali, prosegue Zanger. E quindi la questione di come fare le indagini non va affrontata indebolendo la crittografia, minando così la sicurezza di tutti, ma semmai con maggiori investimenti nel settore. «L’idea di avere backdoor native è una follia», commenta ancora Epifani. «Nessuno comprerebbe più un prodotto che le ha e comincerebbe a crearsi un mercato alternativo con lo slogan: Prodotto X privo di backdoor. Invece, una normativa/accordo a livello internazionale che permetta alle forze di polizia di accedere in modo più semplice e veloce ai dati conservati dagli operatori sarebbe molto utile».