Sicurezza e Giustizia

CALEA II: I RISCHI DELLE INTERCETTAZIONI SUI “PUNTI FINALI” DELLE COMUNICAZIONI

Facebooktwittergoogle_plusredditpinterestlinkedinmail

di Armando Gabrielli e Luigi Mauro

CALEA II: Risks of Wiretap Modifications to Endpoints

Il 17 marzo 2013 è stato pubblicato uno studio di 19 esperti mondiali di comunicazioni, cifratura e intercettazioni circa i rischi derivanti dalle modifiche che si vorrebbero introdurre nel CALEA Act. In sintesi lo studio afferma che obbligare i creatori di software, i service provider e tutti gli attori responsabili per i “punti finali” delle comunicazioni digitali (su PC o smartphone) a riscrivere il codice e riprogettare l’hardware per facilitare le intercettazioni (legali) non farebbe altro che rendere più facile il lavoro dei cyber-criminali.

 


 

Il governo USA si propone di ampliare la legge che norma le intercettazioni legali (il CALEA Act del 1994(1)), secondo un approccio “by design” per i servizi Internet, tra cui il VoIP e gli applicativi peer-to-peer che permettono le comunicazioni digitali in tempo reale(2). Il report che analizza tale richiesta, pubblicato da 19 esperti di settore, si pone l’obiettivo di spiegare come il CALEA II, recante le proposte di intercettazione sugli “endpoints (PC, smartphone, etc.) mediante l’installazione di backdoor”, ponga reali rischi di sicurezza: il documento prende inizialmente in considerazione l’esigenza normativa, per poi soffermarsi sugli aspetti inerenti l’attuale sistema di “monitoraggio delle comunicazioni”, identificando in conclusione i rischi connessi con le richieste avanzate.

L’FBI sostiene che i veloci cambiamenti nel settore delle comunicazioni stanno rendendo la “sorveglianza elettronica” sempre più difficile, lamentando quindi un forte “oscuramento” dei servizi digitali poiché protetti da robusti meccanismi di cifratura(3). In questo contesto di crescente rischio di problemi di “going dark”(letteralmente “andare al buio”), l’FBI ha sottolineato le difficoltà di esecuzione delle intercettazioni di alcuni servizi Internet che permettono le comunicazioni vocali/video/testo, in tempo reale o quasi. La soluzione proposta è che si adotti una nuova legislazione che obblighi uno sviluppo di prodotti che possano risultare nativamente “predisposti all’intercettazione” o, su richiesta del governo, essere configurati per divenirlo. Tale esigenza andrebbe ad interessare una vasta gamma di prodotti e servizi: dalla messaggistica istantanea alle chat (es. Skype, Google, etc.), dai servizi peer-to-peer al VoIP. In pieno contrasto con l’opinione secondo cui il Governo USA potrebbe avere problemi di “going dark”, il report sottolinea invece che i cambiamenti tecnologici hanno messo a disposizione delle autorità molte più informazioni rispetto al passato: l’analisi che viene condotta non si pone come un tentativo di valutare la fondatezza delle esigenze manifestate ma si concentra sulla soluzione proposta.

Il CALEA ACT richiede, infatti, ai fornitori di servizi di telecomunicazioni di progettare le loro reti e fornire supporto alle autorità competenti per a sorveglianza elettronica; nel 2005 la Federal Communications Commission (FCC) ha esteso tali obblighi agli ISP di servizi a banda larga e VoIP interconnessi, ossia servizi VoIP in grado di inviare/ricevere chiamate nella rete telefonica pubblica. In passato, le telecomunicazioni tradizionali degli USA vedevano coinvolti un numero limitato di provider che gestivano gli accessi attraverso un numero ridotto di nodi di rete, connessi poi ad un nodo geografico centrale (central switches). Grazie a questa impostazione c.d. “a nodo controllato”, tutti i contenuti che fruivano dai nodi di rete verso il destinatario permettevano un’attività di “filtraggio/mediazione delle informazioni” a livello centrale senza alcuna interazione con l’endpoint, ovvero con il dispositivo dell’utente finale.

Oggigiorno però gli utenti usano sempre più servizi di tipologia diversa, una varietà di fornitori e quindi si connettono a punti distinti di accesso, rendendo più difficile prevedere come saranno collegati in un dato momento. Di conseguenza occorre individuare la tipologia di servizio (es. email, chat, navigazione web, etc.) e richiedere la supervisione sui nodi d’interesse.

… continua su EDICOLeA

 


 

Altri articoli di Armando Gabrielli

  1. NUOVE CARATTERISTICHE E ARCHITETTURE DI SICUREZZA DELLE INFRASTRUTTURE E DEI SERVIZI DELLE RETI 5G
  2. ITALIAN CYBER SECURITY REPORT 2014
  3. LE NUOVE REGOLE DEL GARANTE PER I PAGAMENTI CON SMARTPHONE E TABLET
  4. LA TECNOLOGIA “NFC” PER LE COMUNICAZIONI RADIO A BREVE DISTANZA TRA CELLULARI E VULNERABILITÀ NOTE
  5. VALUTAZIONE DELLA QUALITÀ DELLA CONNESSIONE A INTERNET IN MOBILITÀ
  6. MIS REPORT 2013: LO SVILUPPO DELL’ICT

Altri articoli di Luigi Mauro

  1. NUOVE CARATTERISTICHE E ARCHITETTURE DI SICUREZZA DELLE INFRASTRUTTURE E DEI SERVIZI DELLE RETI 5G
  2. ITALIAN CYBER SECURITY REPORT 2014
  3. LE NUOVE REGOLE DEL GARANTE PER I PAGAMENTI CON SMARTPHONE E TABLET
  4. LA TECNOLOGIA “NFC” PER LE COMUNICAZIONI RADIO A BREVE DISTANZA TRA CELLULARI E VULNERABILITÀ NOTE
  5. VALUTAZIONE DELLA QUALITÀ DELLA CONNESSIONE A INTERNET IN MOBILITÀ
  6. MIS REPORT 2013: LO SVILUPPO DELL’ICT