L’NSA supera le cifrature di dati online

Nella serata di giovedì 6 settembre il Guardian, il New York Times e ProPublica hanno pubblicato una serie di articoli in cui si rivela che la National Security Agency (NSA), una delle più importanti agenzie di intelligence degli Stati Uniti al centro del caso PRISM, sarebbe in grado di leggere i dati criptati delle comunicazioni online. In pratica, la NSA e la sua agenzia omologa britannica GCHQ avrebbero introdotto e adottato soluzioni per accedere ai sistemi che garantiscono la riservatezza delle comunicazioni su Internet attraverso la crittografia, cioè (semplificando) la possibilità di mascherare un dato trasmesso online in modo che lo possano leggere solo il mittente e il ricevente e nessun altro.

Sul New York Times spiegano che:

L’agenzia è riuscita ad aggirare o a forzare buona parte delle soluzioni di crittografia messe a guardia dei sistemi bancari e del commercio globale, e che proteggono dati sensibili come segreti industriali e registri medici, e che in modo automatico rendono sicure le email, le ricerche sul web, le chat e le chiamate telefoniche degli statunitensi e di altre persone in giro per il mondo, mostrano i documenti.

La documentazione su cui è basata la nuova inchiesta era stata ottenuta dal Guardian grazie a Edward Snowden, l’ex collaboratore dell’intelligence statunitense che aveva già fornito materiali sul caso PRISM e sulle spese degli Stati Uniti per lo spionaggio. Analizzando documenti e slide di presentazioni PowerPoint il Guardian ha concluso che:

• un programma di durata decennale sulle tecnologie di cifratura ha reso accessibili i dati criptati raccolti online a partire dal 2010;

• la NSA spende circa 250 milioni di dollari ogni anno per un programma che, tra le altre cose, prevede la collaborazione di alcune delle più importanti società tecnologiche statunitensi per “influenzare segretamente” la progettazione dei loro prodotti, apparentemente in modo tale da potere inserire porte di accesso secondarie nei loro sistemi di cifratura attraverso i quali gli agenti dell’intelligence possano entrare per vedere dati prima che siano cifrati;

• il progetto per decodificare i dati è uno dei più grandi segreti della NSA, tanto che nei documenti si ripete spesso di “non chiedere informazioni o fare ipotesi sulle fonti e i metodi” utilizzati dall’agenzia per raggiungere i suoi scopi;

• secondo la NSA, i programmi per decifrare i dati cifrati sono “il prezzo da pagare per far sì che gli Stati Uniti possano garantire accesso e utilizzo senza limitazioni del ciberspazio”;

• un gruppo di lavoro del britannico GCHQ ha lavorato per sviluppare un sistema in grado di rendere leggibili i dati criptati di quattro dei principali fornitori di servizio online: Microsoft Hotmail, Google, Yahoo e Facebook, ma non è chiaro quali risultati concreti siano stati ottenuti.

Per comprendere meglio le ultime rivelazioni sulla NSA e le loro implicazioni per chi ogni giorno usa Internet è necessario fare qualche passo indietro. Negli anni Novanta, l’amministrazione dell’allora presidente Bill Clinton propose di fare inserire in tutti i nuovi dispositivi elettronici per le comunicazioni il chip “Clipper”, un insieme di circuiti integrati sviluppato dalla NSA che avrebbe consentito all’agenzia di avere sempre una chiave per neutralizzare i sistemi di cifratura e vedere immediatamente i dati criptati scambiati online. La proposta raccolse una forte opposizione da parte di diversi gruppi di attivisti per la privacy e di numerosi membri del Congresso e nel 1996 l’idea fu abbandonata, almeno ufficialmente.

Secondo le inchieste pubblicate giovedì, in realtà la NSA continuò sulla strada del chip Clipper creando un nuovo progetto, che si chiama Bullrun e che al posto di un chip utilizza sistemi per creare entrate secondarie (in inglese “backdoor”) in un’ampia serie di cose che servono per gestire le comunicazioni cifrate su Internet. Questo tipo di comunicazioni sono quelle contrassegnate di solito con l’icona di un lucchetto dal proprio browser, a indicazione che dovrebbero essere almeno in teoria riservate.

Piazzare le entrate secondarie non è una cosa semplice e per questo motivo, dicono le inchieste, la NSA negli ultimi anni avrebbe ottenuto la collaborazione delle principali società tecnologiche statunitensi. Attraverso ingiunzioni e pressioni sui loro dirigenti, l’intelligence avrebbe ottenuto di far mettere direttamente alle aziende le porte sul retro dei loro sistemi di comunicazione. Nel caso di Microsoft, come era già stato anticipato in un altro scoop, la NSA ottenne “l’accesso ai dati pre-cifrati dei servizi più popolari di Microsoft, compresi quello di posta Outlook, le chiamate e le chat di Skype e SkyDrive, il servizio cloud della società”, scrivono sul New York Times.

La NSA avrebbe inoltre inserito deliberatamente alcune vulnerabilità informatiche in quelle che sarebbero poi diventate le regole internazionali per la cifratura dei dati, decise dagli organismi per la standardizzazione delle comunicazioni. Rendendo i protocolli più deboli di quanto avrebbero dovuto essere, e conoscendo i loro punti deboli, gli agenti dell’intelligence si sarebbero garantiti la possibilità di entrare più facilmente nei sistemi e superare i limiti della cifratura.

Da diversi anni gli esperti di sicurezza e di crittografia sospettavano che la NSA avesse volutamente inserito questo tipo di vulnerabilità, ma senza avere prove certe e definitive. Il sistema delle entrate secondarie, spiegano, è molto rischioso perché se scoperto potrebbe essere usato da altre persone per scopi aggressivi e criminali. Trovata una backdoor, utenti malintenzionati potrebbero non solo leggere i messaggi di posta o le conversazioni, ma anche accedere ai sistemi di sicurezza di centrali nucleari, delle reti di trasporto e dei conti bancari, con rischi e conseguenze imprevedibili.

Per motivi di sicurezza e in seguito alle forti pressioni dei governi coinvolti, Guardian, New York Times e ProPublica hanno omesso diverse informazioni sul funzionamento e l’efficacia dei sistemi per forzare la cifratura dei dati online. Sappiamo quindi che il progetto Bullrun ha portato ad alcuni risultati, ma che il suo non è comunque stato un successo assoluto e che diversi sistemi per criptare i dati continuano a essere sicuri e affidabili, fino a prova contraria.

Foto: Dimostranti con uno striscione protestano contro la NSA e la sua omologa tedesca BND davanti alla nuova sede della BND, da Berlino (AP Photo/Gero Breloer)