Al governo britannico è arrivata anche la richiesta di Apple di rivedere la legge sulla sicurezza online per la crittografia end-to-end, per evitare, in particolare, che la sorveglianza da parte del sistema proposto arrivi anche alle chat dei privati cittadini. I dettagli nel mio articolo per Cybersecurity360
Un nuovo disegno di legge del Regno Unito sulla sicurezza online per la crittografia end-to-end dà la possibilità all’Ofcom, l’organo di controllo delle comunicazioni inglese, di controllare le conversazioni e i post per individuare e bloccare la diffusione di materiale illecito. Diversi sono i timori.
Rischi per la crittografia end-to-end
Apple è tra le organizzazioni tecnologiche che stanno chiedendo alla Camera dei Lord di rivedere il nuovo disegno di legge per una maggiore salvaguardia proprio della crittografia end-to-end. Infatti, secondo il colosso della telefonia, “La crittografia end-to-end è una funzionalità fondamentale che protegge la privacy di giornalisti, attivisti per i diritti umani e diplomatici […] Inoltre, aiuta i cittadini di tutti i giorni a difendersi dalla sorveglianza, dal furto di identità, dalle frodi e dalle violazioni dei dati. Il disegno di legge sulla sicurezza online rappresenta una seria minaccia a questa protezione e potrebbe mettere maggiormente a rischio i cittadini del Regno Unito”.
Quello che preoccupa è la cosiddetta “clausola di spionaggio”, da cui potrebbe scaturire la possibilità che il monitoraggio delle chat scansioni in automatico i dispositivi fino a censurare le chat private dei cittadini, mettendo in questo modo in dubbio la sicurezza della crittografia end-to-end offerta. Si tratterà di una tecnologia accreditata dal governo, per cui i produttori di app potrebbero avere poca scelta nella sua eventuale implementazione nei loro sistemi.
Apple, comunque, non ha fatto sapere come si muoverà nel caso in cui il disegno di legge venga ufficializzato, come ha già fatto Signal, dichiarando di non voler più operare nel Regno Unito. Altre piattaforme come Element, Session, Threema, Viber, WhatsApp e Wire, lo scorso aprile si sono rivolte ai legislatori britannici avvertendo il rischio di “indebolire la crittografia, minare la privacy e introdurre la sorveglianza di massa delle comunicazioni private delle persone”. Da Wikipedia è arrivata, invece, la contestazione della parte del disegno di legge che richiederebbe la verifica dell’età degli utenti e, in questo caso, lascerebbe il Regno Unito.
La crittografia di Apple
Già nel 2021 Apple aveva presentato un piano che prevedeva la scansione automatica delle immagini di iPhone alla ricerca di materiale su abuso di minori, nel momento in cui quest’ultimo veniva caricato su iCloud, ma, a seguito delle forti opposizioni manifestate dal mondo della sicurezza informatica e dai gruppi per i diritti civili, il piano è stato ritirato.
Nel 2022 ha poi annunciato tre nuove misure di sicurezza, ossia iMessage Contact Key Verification, Security Keys per Apple ID e Advanced Data Protection, la crittografia end-to-end sul servizio di cloud storage, per blindare i dati sensibili degli utenti.
Secondo Giorgio Sbaraglia, consulente aziendale cybersecurity e membro del Comitato Scientifico Clusit, queste nuove misure di sicurezza sarebbero piaciute molto “agli utenti più attenti alla propria privacy”, ma avrebbero creato sicuramente “tensioni con FBI ed il governo americano, che non sarà più in grado di leggere i dati sui dispositivi Apple criptati”.
La “clausola di spionaggio”
Come riporta Monica Horten dell’Open Rights Group, già lo scorso 2 dicembre “Il disegno di legge sulla sicurezza online intende proteggere i bambini dai contenuti dannosi. Tuttavia, include un obbligo per i servizi di messaggistica privata (chat) di intercettare e scansionare i post di ogni utente prima di caricare. Questa prospettiva solleva profonde preoccupazioni in merito all’interferenza con la privacy e a un effetto di raffreddamento sulla libertà di espressione. Si tratta di una massiccia espansione della capacità di sorveglianza nascosta nel disegno di legge”.
Ciò che la portavoce del gruppo mette in evidenza è, innanzitutto, il fatto che la dicitura presente nel disegno di legge include le chat private. “L’articolo 104 [NC11] conferisce all’Ofcom poteri senza precedenti di richiedere ciò che è a tutti gli effetti una forma di sorveglianza di massa”.
Rispettare questo articolo significherebbe scansionare i messaggi in chat in maniera continuativa, per poi rimuovere o bloccare materiale illecito. I sistemi basati sull’intelligenza artificiale cercherebbero le corrispondenze tra i contenuti in un database utilizzando le impronte digitali e potrebbero anche usare classificatori basati sul testo.
I poteri dell’Ofcom potrebbero imporre una “tecnologia accreditata, un sistema di moderazione dei contenuti” progettato secondo standard approvati dal governo. In questo modo, ne uscirebbe compromessa la crittografia end-to-end (E2EE) e le possibili soluzioni tecniche prevedono la creazione di “back door” nel codice o la scansione delle immagini sul telefono dell’utente (scansione lato client).
Quest’ultimo approccio è quello favorito dal governo, ma non è specificato nel disegno di legge. In ogni caso, secondo la Horten, la sicurezza dei messaggi nell’intero sistema è a rischio.
Altro aspetto da non sottovalutare è una valutazione dell’impatto del governo errata, che presuppone una maggiore protezione della privacy, eliminata dal disegno di legge, il che riflette una mancanza di due diligence nella definizione delle politiche. Inoltre, il governo, con questo disegno di legge, chiede ad aziende private di applicare un sistema di sorveglianza per suo conto, senza mandati.
La nota si conclude con l’invito rivolto ai parlamentari di “abbandonare questo requisito distopico” e “tenere i cittadini britannici al sicuro della sorveglianza di massa”, rimuovendo, nello specifico, la parola “privatamente” nella “clausola di spionaggio” e revisionando l’intero disegno di legge, con una migliore valutazione d’impatto delle misure proposte.
Fonte: Cybersecurity360