Bruce Schneier (non uno qualunque) scrive su CNN una cosa che se fosse confermata sarebbe molto molto grave.
In order to comply with government search warrants on user data, Google created a backdoor access system into Gmail accounts. This feature is what the Chinese hackers exploited to gain access.
Il pezzo di Bruce Schneier è come al solito tutto da leggere e dice in sostanza che moltissimi governi anche occidentali utilizzano le medesime tecniche di intercettazione dei dati personali. E che anche in questo caso come spesso accade, non sono tanto le concessioni ufficiali fatte al regime cinese che devono preoccuparci, ma quelle concordate e non comunicate. Del resto quando si apre una porta alle intercettazioni poi quella porta potrà essere agevolmente utilizzata anche per altre intercettazioni illegali (ulteriormente illegali). Non capita spesso di leggere parole cosi’ sagge e chiare su un tema del genere sulla stampa mainstream. Non a caso il pezzo si chiude con un corsivo dell’editore che dice:
The opinions expressed in this commentary are solely those of Bruce Schneier.
(via quintarelli)
Gennaio 25th, 2010 at 00:28
Parole pesantissime. La cosa non stupirebbe. Se non ricordo male era avvenuto qualcosa di simile quando PGP venne fuori.
Triste doversi preoccupare anche della privacy della propria email. Figurarsi tutto il resto.
Gennaio 25th, 2010 at 00:59
se non mi sbaglio caso analogo riguardava Skype e governo austriaco. mi chiedo cosa può fare un utente tranne affidarsi a servizi di, diciamo, “nicchia”.
Gennaio 25th, 2010 at 01:50
Quanto più un governo ha qualcosa di marcio da nascondere, più i loro controlli illegali su internet sono massicci, ne va della loro immagine. La Cina è la cruna dell’ago che è emersa solo ultimamente, in futuro?
Gennaio 25th, 2010 at 06:34
Non capisco tutto lo stupore di questi giorni.
Da sempre i governi, democratici o meno, possiedono poteri e strumenti tecnici per ficcare il naso nelle vite private dei cittadini. Si pensi solo alle intercettazioni telefoniche.
Poi, certo, i governi democratici devono per legge offrire alcune garanzie, come il mandato di un giudice. Ma siamo sicuri, davvero sicuri sicuri, che non si verifichino degli abusi? Non vale neanche la pena di esemplificare…
Che fare? Difendersi come si può. Nel dubbio, crittografare. Senza diventare paranoici, un po’ di sano sospetto non fa mai male…
S.
Gennaio 25th, 2010 at 07:10
comunque e’ seccante. il mio traffico di amanti mi preclude ogni futuro impiego in politica.
oppure no, aspetta…
Gennaio 25th, 2010 at 08:18
Tecnicamente il discorso non sta in piedi, i sistemi di posta sono database e di conseguenza una porta c’è sempre!
Il governo USA ammette sistemi di crittografia solo se esiste una chiave che lui può usare per aprire i messaggi e nessuno dice nulla, adesso perché c’è di mezzo Google allora saltano fuori i tecnici esperti…
bob
Gennaio 25th, 2010 at 08:20
Non capisco l’uso della parola “agevolmente”: io posso aprire una porta e renderla difficilissima da varcare se non si hanno le credenziali, al limite della impossibilità, termine però che quando si tratta di sicurezza non andrebbe mai usato.
Del resto tutto il discorso non ha alcun senso: la posta Google è esposta in rete protetta da una semplice password, certo se voglio entrare la strada più facile è questa.
bob
Gennaio 25th, 2010 at 08:46
Leggevo Schneier con interesse, ma se le sue affermazioni non saranno provate la sua credibilità scenderà molto in basso per quanto mi riguarda. Perchè se voglio leggere qualche teoria complottista, non ho che l’imbarazzo della scelta..
Gennaio 25th, 2010 at 10:07
“(…) And it’s bad civic hygiene to build technologies that could someday be used to facilitate a police state.”
This is scary. Comunque, appunto, è l’opinione (per quanto autorevole, pur sempre un’opinione) di Bruce Schneier, un po’ più di argomentazione avrebbe reso l’articolo (quello originale, non mi riferisco a questo) più interessante.
Gennaio 25th, 2010 at 10:42
“la posta Google è esposta in rete protetta da una semplice password”: finchè la semplicità della password è un mio problema, diciamo che è tutto ok. Se però l’accesso ai miei dati diventa semplice indipendentemente dalla password che ho scelto, beh, c’è qualcosa che non va. Oggi si parla di Google, ma è un ragionamento che vale sempre.
Gennaio 25th, 2010 at 11:31
Mi pare che si faccia un po’ di confusione.
La prima forma di confusione riguarda quelli che hanno subito gridato al miracolo quando Google ha fatto una dichiarazione in merito ad una vicenda di cui non si sa nulla. E non dico che quelli che ne hanno parlato in termini opposti abbiano fatto meglio.
La seconda forma affligge quelli che continuano a sostenere che il governo ha in mano tecnologie segrete che decrittano tutto.
Qui c’è un fraintendimento profondo.
Fino a qualche anno fa era vietato esportare dagli USA tecnologia in base a due principi: potenza di calcolo e chiave di cifratura. Le due cose erano connesse; vietare chiavi di dimensione superiore a 48 e poi 128 bit significava poter tentare di decrittare a forza bruta i contenuti. Parimenti Apple presentò lo spot “for the firs time in history a coputer was classified as a weapon by the U.S. government” col quale introduceva il Power Mac G4 (!) giocando sullo status di supercomputer.
Posto che questo limite avrebbe tarpato le ali all’e-commerce e per questo fu rimosso, oggi il tutto garantisce una connessione sicura sia tale in modo da evitare che un aggressore possa decifrarla in tempi ragionevolmente utili. Ma si parla di connessione, ovvero di protocollo di trasmissione dei dati.
I dati sia al di qua che al di là del tubo NON sono cifrati, non necessariamente.
Quindi premesso che nel protocollo https viene usato un meccanismo di cifratura a chiave pubblica, il cui algoritmo è pubblico e pubblicato, e premesso che non sono noti ad oggi né metodi crittanalitici né bug protocollari e né metodi di key escrow che consentano attacchi se non a forza bruta, il governo americano nulla può contro la matematica.
Ma cosa gliene potrebbe fottere al governo americano di forzare il tubo se ha accesso direttamente ai contenuti in chiaro?
Quindi qui non si tratta di backdoor (terzo fraintendimento), ma di servizio, ovvero una funzionalità che consenta a terzi l’accesso ai dati. E siccome Google i dati li ha in chiaro (ovvero li può anche cifrare, ma come li cifra li può decifrare quando vuole, e comunque non lo deve fare, può farlo se vuole), resta solo da capire se li mette a d disposizione di terzi e come lo fa.
Gennaio 25th, 2010 at 16:12
Davveropensi che NSA non imponga una backdoor a chi fa algoritmi di cifratura? Prova a leggere il Patriot Act.
In ogni caso io troverei più che naturale la cosa, perché mai dovrebbe essere permessa la intercettazione telefonica e non quella delle email, dove sta la differenza?
bob
Gennaio 25th, 2010 at 16:48
@roberto dadda
1) Non faccio il mago e non so quello che fa NSA e sinceramente me ne frega anche pochino.
2) Quindi se io scrivo del codice crittografico arriva l’NSA e mi impone un backdoor?
3) L’intercettazione NON serve, perché non c’è necessità, come ho detto ormai fino alla noia, di forzare l’algoritmo di trasporto visto che sorgente e destinazione sono IN CHIARO. La sorgente è a casa mia, ma la destinazione è sulle macchine di Google Inc.
4) L’articolo citato da Massimo dice che Google ha una applicazione che permette ad un governo di accedere alla posta dei suoi utenti. Non servono backdoor, non c’entra nulla la tecnologia, è un servizio che fa, se lo fa.
È tutto qui.