Armando GabrielliII_MMXIVLawful InterceptionLuigi Mauro

CALEA II: i rischi delle intercettazioni sui “punti finali” delle comunicazioni

di Armando Gabrielli e Luigi Mauro

CALEA II: Risks of Wiretap Modifications to Endpoints

Il 17 marzo 2013 è stato pubblicato uno studio di 19 esperti mondiali di comunicazioni, cifratura e intercettazioni circa i rischi derivanti dalle modifiche che si vorrebbero introdurre nel CALEA Act. In sintesi lo studio afferma che obbligare i creatori di software, i service provider e tutti gli attori responsabili per i “punti finali” delle comunicazioni digitali (su PC o smartphone) a riscrivere il codice e riprogettare l’hardware per facilitare le intercettazioni (legali) non farebbe altro che rendere più facile il lavoro dei cyber-criminali.


 

Il governo USA si propone di ampliare la legge che norma le intercettazioni legali (il CALEA Act del 1994(1)), secondo un approccio “by design” per i servizi Internet, tra cui il VoIP e gli applicativi peer-to-peer che permettono le comunicazioni digitali in tempo reale(2). Il report che analizza tale richiesta, pubblicato da 19 esperti di settore, si pone l’obiettivo di spiegare come il CALEA II, recante le proposte di intercettazione sugli “endpoints (PC, smartphone, etc.) mediante l’installazione di backdoor”, ponga reali rischi di sicurezza: il documento prende inizialmente in considerazione l’esigenza normativa, per poi soffermarsi sugli aspetti inerenti l’attuale sistema di “monitoraggio delle comunicazioni”, identificando in conclusione i rischi connessi con le richieste avanzate.

L’FBI sostiene che i veloci cambiamenti nel settore delle comunicazioni stanno rendendo la “sorveglianza elettronica” sempre più difficile, lamentando quindi un forte “oscuramento” dei servizi digitali poiché protetti da robusti meccanismi di cifratura(3). In questo contesto di crescente rischio di problemi di “going dark”(letteralmente “andare al buio”), l’FBI ha sottolineato le difficoltà di esecuzione delle intercettazioni di alcuni servizi Internet che permettono le comunicazioni vocali/video/testo, in tempo reale o quasi. La soluzione proposta è che si adotti una nuova legislazione che obblighi uno sviluppo di prodotti che possano risultare nativamente “predisposti all’intercettazione” o, su richiesta del governo, essere configurati per divenirlo. Tale esigenza andrebbe ad interessare una vasta gamma di prodotti e servizi: dalla messaggistica istantanea alle chat (es. Skype, Google, etc.), dai servizi peer-to-peer al VoIP. In pieno contrasto con l’opinione secondo cui il Governo USA potrebbe avere problemi di “going dark”, il report sottolinea invece che i cambiamenti tecnologici hanno messo a disposizione delle autorità molte più informazioni rispetto al passato: l’analisi che viene condotta non si pone come un tentativo di valutare la fondatezza delle esigenze manifestate ma si concentra sulla soluzione proposta.

Il CALEA ACT richiede, infatti, ai fornitori di servizi di telecomunicazioni di progettare le loro reti e fornire supporto alle autorità competenti per a sorveglianza elettronica; nel 2005 la Federal Communications Commission (FCC) ha esteso tali obblighi agli ISP di servizi a banda larga e VoIP interconnessi, ossia servizi VoIP in grado di inviare/ricevere chiamate nella rete telefonica pubblica. In passato, le telecomunicazioni tradizionali degli USA vedevano coinvolti un numero limitato di provider che gestivano gli accessi attraverso un numero ridotto di nodi di rete, connessi poi ad un nodo geografico centrale (central switches). Grazie a questa impostazione c.d. “a nodo controllato”, tutti i contenuti che fruivano dai nodi di rete verso il destinatario permettevano un’attività di “filtraggio/mediazione delle informazioni” a livello centrale senza alcuna interazione con l’endpoint, ovvero con il dispositivo dell’utente finale.

Oggigiorno però gli utenti usano sempre più servizi di tipologia diversa, una varietà di fornitori e quindi si connettono a punti distinti di accesso, rendendo più difficile prevedere come saranno collegati in un dato momento. Di conseguenza occorre individuare la tipologia di servizio (es. email, chat, navigazione web, etc.) e richiedere la supervisione sui nodi d’interesse.

… continua su EDICOLeA

Lawful Interception per gli Operatori di Tlc

 


Articoli pubblicati da Armando Gabrielli

Articoli pubblicati da PLuigi Mauro

 

 

Mostra di più

Articoli Correlati

Pulsante per tornare all'inizio