prima pagina cronaca politica economia calcio tecnologia salute scienza cultura costume spettacolo sport giustizia ambiente cinema e tv turismo meteo rubriche mondo curiosità motori

"Per proteggere le comunicazioni la crittografia non sempre è sufficiente"

tecnologia

Ad affermarlo è Stefano Chiccarelli, hacker etico e Ceo della società di cyber security Quantum Leap. A Repubblica.it ha raccontato le vulnerabilità delle comunicazioni via chat e di come la politica dovrebbe intervenire per incrementare la consapevolezza dell'utente comune a riguardo

"Per proteggere le comunicazioni la crittografia non sempre è sufficiente"

STEFANO CHICCARELLI, Ceo di Quantum Leap s.r.l., società che si occupa di cyber security e principalmente di penetration test (ricerca di vulnerabilità) e code review, è un hacker. Per meglio dire, si occupa di ethical hacking da oltre 20 anni ed è il fondatore dell'associazione Metro Olografix che organizza il MOCA (Metro Olografix Camp) un campeggio internazionale di hacker che si svolge a Pescara ogni quattro anni. Negli Anni 90 ha anche scritto con Andrea Monti Spaghetti Hacker, uno dei primi libri italiani sull'argomento. I principali ambiti nel quale lavora sono Pubblica amministrazione, società di telecomunicazioni e infrastrutture critiche. Lo abbiamo intervistato in questi giorni in cui tanto si parla di sicurezza cibernetica e dopo che Amnesty International ha invitato giornalisti e attivisti per i diritti umani a proteggersi con strumenti di comunicazione dotati di cifratura end-to-end. Entriamo subito in argomento: cos'è la crittografia end-to-end e quali sono i punti eventuali di debolezza? "Per crittografia end-to-end si intende un sistema crittografico che cifra la comunicazione tra due dispositivi. Le chiavi di cifratura sono detenute da entrambi i dispositivi quindi nessuno, posto nel mezzo, seppure tecnicamente in grado di intercettare la comunicazione, sarà in grado di interpretarla se non possiede le chiavi giuste". Si parla tanto di questi sistemi per quanto riguarda le chat via smartphone, sono sicure? "Esistono software e servizi cifrati dal client al server che li offre che non sono end-to-end. Alcuni prodotti invece, come Textsecure/Signal per Android e iPhone, offrono la possibilità di cifrare la comunicazione da un dispositivo a un altro tagliando fuori quindi i cosiddetti attacchi 'man in the middle' fatti talvolta con la complicità produttore del software. Ma questo vale anche per tanti altri sistemi di cifratura sia delle email che delle comunicazioni in generale".   Quindi significa che le comunicazioni possono essere intercettate. "I punti di debolezza sono sempre gli stessi, da un lato le implementazioni errate del software non ancora scoperte, dall'altro la compromissione del dispositivo. Se uno dei due 'end point' viene violato, l'attacker potrà leggere i dati prima che vengano cifrati. In questo caso il punto debole è il dispositivo stesso, sia esso uno smartphone, un computer, un tablet, una Playstation. Per questo strumenti efficaci come i captatori informatici governativi o i malicious trojan criminali rivestono una straordinaria importanza in questo tipo di attacchi".   Ecco, parliamo di questo. Perchè si dice che le chat delle Playstation sono più difficili da intercettare come nel caso del loro presunto uso per coordinare gli attentati parigini di novembre? "Innanzitutto bisogna dire che non esiste nessuna prova che i terroristi abbiano usato la Playstation per comunicare tra loro. E poi esistono anche moltissimi giochi di guerra per le console di gioco, quindi, ammesso che siano stati intercettati dei soggetti che in queste chat parlavano di "attacchi armati" non ci dice niente delle intenzioni degli utlizzatori: è una cosa normale per quel tipo di giochi. Detto questo, la Playstation Network di cui si parlò all'epcoa, ha un sistema di voice chat simile a Skype, per intenderci, e permette di mandare messaggi a gruppi di persone o a singoli individui. Il traffico è notevole su questi canali, ed è tutto cifrato. Ma non penso che sia un canale più difficile di altri da intercettare, sicuramente c'è una maggiore difficoltà di comprometterne il client, a differenza dei semplici programmi trojan come per i normali pc casalinghi, e questo crea qualche difficoltà in più. Tra l'altro, se proprio lo vogliamo dire, i captatori telematici governativi non mi sembra supportino questo tipo di piattaforma, o almeno non lo fanno quelli noti".   È possibile che i terroristi preferiscano questo strumento di comunicazione anziché altri canali? E perché? "Restando chiaramente sul versante delle ipotesi, se io fossi un terrorista cercherei di utilizzare al minimo la tecnologia e là dove non fosse possibile cercherei di utilizzare questo tipo di strumenti magari distruggendo il dispositivo dopo ogni comunicazione sensibile. La crittografia end-to-end non permette matematicamente la decrittazione e se si fa attenzione alla compromissione dei dispositivi cambiandoli spesso si riduce al minimo la possibilità di intercettazione". Esistono altri modi sicuri di comunicazione dei dati via Internet, come le Virtual Private Networks (Vpn). Si dice che agenzie di intelligence siano capaci di violarle. "Anche le Vpn basano la loro sicurezza su algoritmi crittografici, possono quindi soffrire di vulnerabilità riguardanti l'utilizzo di cifrari deboli e, in alcuni casi, possono essere violate. Queste Vpn che possiamo vedere come dei tunnel che selezionano il traffico dei dati che entra ed esce, pur adottando un cifrario sicuro dal punto di vista matematico e implementativo (se ovvero il software è stato installato bene nel server, ndr), possono però essere sempre vulnerabili alla compromissione del client. Se viene attaccato l'end point non c'è Vpn che tenga". C'è stata molta polemica sui trojan di stato. Una parlamentare del Pd ha presentato una proposta di legge ce consentirebbe di inserirli in ogni computer. Se la proposta passsse, quali sono le contromisure eventuali che la politica dovrebbe prendere tutelando i diritti costituzionali? "Intanto la politica dovrebbe incentivare la sicurezza informatica nelle proprie infrastrutture e la formazione continua del personale. Dovrebbe anche promuovere delle campagne di 'sensibilizzazione' sul problema della sicurezza informatica per alzare almeno il livello medio dell'utente comune, che rimane l'anello debole della catena. Per la questione sicurezza nazionale e 'lawful interception', dovrebbe investire sulle proprie strutture di polizia, intelligence e militari, evitando di delegare interamente ai 'soliti contractor' privati sui quali non hanno poi il controllo totale e che spesso non sono in grado di fare bene il loro lavoro".

07/02/17 06:21

repubblica

I pezzi di Repubblica 'sotto accusa' · Tesoretti, segreti e ricatti · Cade un'altra pedina

Di Maio: "Ecco i giornalisti che ci stanno infangando"

Il sindaco intervistato in diretta su napoli.repubblica.it. da Conchita Sannino  Rep Tv Live

De Magistris: "Il Pd si fa male da solo"  

Il presidente della Repubblica ha incontrato con il ministro Orlando i magistrati

Mattarella ai giovani giudici:  Non smarrite il senso del limite

Il presidente della Repubblica ha incontrato con il ministro Orlando i giovani magistrati  

Mattarella ai giovani giudici: 'Non smarrite senso del limite'

Assoutenti dopo il caso sollevato da Repubblica "Conservate i ticket, qualcuno deve pagare"

Caos abbonamenti sulla Genova-Milano si spendono 380 euro in più all'anno

Battistini su Rep si era detto solidale con transfughi di Genova

M5s, deferito ai probiviri un consigliere regionale che ha rilasciato intervista

Agli studenti ha raccontato la favola di coraggio e sogni

Anna Fendi, lezione di moda a Oxford

Allarme per le nuove minacce alle infrastrutture. Il caso Ucraina e i pericoli per il sistema italiano · Video "Presto milioni di posti di lavoro" · Video "Fondamentale condividere informazioni"

Dal maltempo al rischio cyberattacchi: la rete elettrica alla prova sicurezza

Riti di benessere per uomini sempre più sofisticati

Pitti Uomo, è passione beauty

In un bilancio da 20 miliardi di euro per la manutezione di parchi e musei nel 2016 sono stati stanziati pochi spiccioli "Non abbiamo fondi per le lampadine"

Beni culturali a pezzi, mancano i fondi   Foto la Regione per i siti spende solo 3,6 milioni

Palazzo sempre più aperto, oltre un mln di visitatori nel 2016

Boldrini, contenta ok unioni civili e legge anti-caporalato

Conclusa la gara Consip che permetterà alle Regioni di risparmiare in media il 50% su quanto speso fino ad ora per i vari tipi di questo presidio sanitario, cioè 150 milioni di euro all'anno di MICHELE BOCCI

Sanità, il costo di una siringa in Italia? Ora è sempre lo stesso: tra 0,049 e 0,063 euro

Via ultimi ostacoli ad opera odiata da Sioux e fermata da Obama

Pronto permesso per via oleodotto Dakota

Le ong accusano il regime di Assad di 'politica di sterminio'

Siria, denuncia di Amnesty: "In 5 anni nelle carceri 13mila esecuzioni segrete"