“Il governo è riuscito ad accedere con successo ai dati dell’iPhone di Farook e per questo non ha più bisogno dell’assistenza di Apple”. Lo ha fatto sapere il dipartimento di Giustizia americano ritirando la richiesta rivolta ad Apple di realizzare una backdoor per accedere ai dati dell’iPhone in seguito a un mandato giudiziario.
Sappiamo quindi che l’FBI da oggi è in grado di violare i lucchetti dell’iPhone senza l’aiuto dell’azienda di Cupertino ma “con il contributo di un terzo soggetto” finora sconosciuto. E questo non vale solo per i contenuti dell’iPhone di Syed Farook, l’attentatore che a San Bernardino (CA) aveva fatto strage in una clinica, ma per tutti i 205 iPhone utili alle indagini criminali su cui sta lavorando il procuratore di Manhattan, Cyrus Vance, come lui stesso ha dichiarato in un’audizione al Congresso qualche giorno fa. E forse varrà anche per superare l’opposizione di Apple in altri 14 casi legali in discussione a cavallo tra California, Illinois, Massachusetts e New York.
Ma perché tanto clamore intorno a questa vicenda? Veramente pensiamo che le forze di polizia non siano in grado di violare il pin di un telefonino? Certo che no. Con un attacco di forza bruta, l’FBI era già in grado di superare le difese del melafonino generando password dell’iPhone casuali e ad altissima velocità, ma un attacco del genere avrebbe distrutto proprio i contenuti necessari alle indagini dopo il decimo tentativo andato a vuoto. Per questo era stata chiesta la collaborazione che Apple aveva negato opponendo la necessità di proteggere la privacy dei propri utenti e anche la fiducia che i consumatori ripongono nel marchio della mela mozzicata. Adesso l’FBI non ne ha più bisogno.
Un mondo senza più privacy?
Tuttavia la soluzione trovata, e non ancora dimostrata, solleva più problemi di quanti ne risolva.
1. Intanto non è vero quanto affermato da Tim Cook che “nessuno può spiarci.” Se è vero, e non c’è motivo di dubitarne, che le protezioni dell’iPhone sono state violate, viene detto al mondo intero che nessun dispositivo è a prova di spione. Se ci è riuscito il Governo americano probabilmente possono riuscirci anche i criminali. Quando si hanno abbastanza tempo, interesse e risorse, è possibile violare anche i sistemi più sicuri e ottenere qualsiasi dato o informazione digitalizzati. A meno che non si adottino le adeguate contromisure che in genere non sono accessibili ai normali consumatori.
2. Questa vicenda ci dice che in uno scenario di terrorismo globale diffuso la privacy degli individui non è più un diritto fondamentale da tutelare. Il diritto alla privacy passa in secondo piano rispetto alle esigenze di sicurezza. Ma sopratutto ci dice che la riservatezza dei dati personali è un optional per tutti gli stati e che la sua violazione sistematica è un orizzonte praticabile non solo dai governi autoritari ma anche da quelli democratici.
3. Questa storia ci insegna pure che la presa di posizione delle associazioni per le libertà civili non vale niente. L’American Civil Liberties Union, la Electronic Frontier Foundation, Access Now, avevano chiesto in tutti i modi a Obama e al Congresso di impedire di scardinare l’iPhone perché avrebbe determinato un pericoloso precedente rispetto alla tutela dei diritti umani che solo la tutela della privacy garantisce. Non è stato sufficiente.
Saremo tutti più vulnerabili
Cosa accadrà adesso? Gli scenari che si aprono sono molteplici
1. Le associazioni per le i diritti digitali sono pronte ad arrivare fino alla Corte suprema anche perché, come hanno sottolineato i portavoce dell’Aclu, il governo potrebbe rifiutare di condividere il metodo d’intrusione con la Apple, “causando un enorme danno a tutta l’industria della crittografia”. Infatti, se i ricercatori in sicurezza non sono in grado di conoscere le vulnerabilità dei software più usati e di porvi rimedio “tutti saremo più vulnerabili” come ha dichiarato la stessa Mozilla Foundation, quella del browser Firefox, in un comunicato. (Leggi anche: “Segreti, buste chiuse e codici cifrati, a che ci serve la crittografia“)
2. Si stabilisce un pericoloso precedente. D’ora in avanti qualsiasi giudice statunitense si sentirà legittimato a indagare nella vita privata racchiusa nelle nostre casseforti digitali anche in presenza di un semplice sospetto per cercare le prove di eventuali reati e non per confermarli. Potrà chiedere l’aiuto di terze parti per violare qualsiasi segreto, ma chi sarà ritenuto responsabile di eventuali fughe di notizie non correlate alle indagini? E come saranno protetti i dati non utili agli inquirenti? E se appartengono a cittadini di altri paesi? È noto infatti che la tutela dei dati personali negli Usa è minore che in Europa dove ci sono leggi stringenti che la regolano.
3. Vedremo presto se quella di Tim Cook era una battaglia di marketing per rafforzare la fiducia nel brand presso la propria clientela, attuale o potenziale, o una una vera battaglia di principio nella convinzione che solo tutelando i propri segreti le persone si sentono libere di fare e di scegliere.
4. Quello che è successo potrà dare un ulteriore input all’industria che sarà motivata a produrre sistemi e dispositivi di comunicazione sempre più sicuri e rilanciare la ricerca di base e applicata nella sicurezza informatica.
Per ora sappiamo che la stessa Apple ha già cominciato ad assumere nomi noti del mondo cypherpunk (hacker esperti di crittografia), come Frederick Jacobs, coautore di Signal, un servizio per telefonica e messaggistica sicura, proprio per migliorare le funzioni di protezione dei propri prodotti.
La tessera mancante
Tuttavia al puzzle che andrà configurandosi nei prossimi mesi mancherà sempre qualcosa.
Giurare sulla sicurezza di un dispositivo che nessuno può guardare dal di dentro per capire come è fatto senza commettere un reato (violazione di copyright, design e segreto industriale) e che immagazzina i dati di backup in un cloud (un sistema di server) che soggiace a leggi diverse da quelle del proprio paese, è un’esagerazione in via di principio. Già Edward Snowden, la talpa del Datagate che aveva denunciato la sorveglianza di massa della National Security Agency, aveva indicato una serie di possibilità per accedere ai contenuti dell’iPhone.
Se poi aggiungiamo che sono parecchie le vulnerabilità note del melafonino e che di questi “bugs” (bachi di funzionamento), ne vengono scoperti ogni settimana in tutti gli smartphone, nessuno può pensare di stare al sicuro nemmeno con le nuove versioni hardware e software degli strumenti che usiamo quotidianamente.
Insomma, piuttosto che impedire che il telefonino venga acceduto da terzi, forse è bene riflettere in ogni momento su quello che ci mettiamo dentro.
Come difendersi da eventuali intrusioni?
Ma intanto, se l’Fbi è in grado di accedere al nostro telefonino, dobbiamo pensare che siano in grado di farlo anche spioni governativi, concorrenti commerciali, investigatori privati, carder e malfattori di ogni risma.
Allora proviamo a soffermarci su alcune semplici funzionalità di sicurezza quando mettiamo mano allo smartphone. Cosa possiamo fare? Ecco un primo elenco:
1) usare un pin code superiore a 6 numeri
2) predisporre l’autolock del telefonino
3) disabilitare la geolocalizzazione
4) disabilitare il backup automatico
5) disattivare le funzionalità di sincronizzazione dati su cloud per foto applicazioni, musica
6) fare il backup su un computer fisico sotto il nostro controllo, in locale, con un cavetto USB
7) ridurre i tempi di data retention della posta elettronica
8) usare messaggistica e telefonia cifrate (come Signal e Telegram)
9) abilitare la cifratura di tutti i dati presenti nel telefono
10) eliminare tutte le notifiche applicative
Con queste semplici azioni possiamo limitare la disponibilità di accesso ai nostri dati, ai metadati e ai comportamenti che mettiamo in atto usando uno smartphone e che possono mettere un delinquente in grado di sapere dove, cosa, come e con chi, si svolge la nostra quotidianità.
Buone prassi, insomma, niente di più, in attesa di quello che ti chiederà: “Ma perché ti proteggi se non hai niente da nascondere?” Ma voi gli potrete rispondere con le parole del dissidente sovietico Aleksandr Solženicyn autore di Arcipelago Gulag: “La nostra libertà riposa su quello che gli altri non sanno di noi.”