Cryptogram, una newsletter sulla sicurezza

Avevo già parlato di Bruce Schneier e della sua seguitissima newsletter, che conta qualcosa come 100.000 lettori a maggio 2008, senza contare quelli delle edizioni tradotte (Bruce ne stima altri 25.000). Se siete utenti che prestano attenzione ai temi della sicurezza, probabilmente la conoscerete, altrimenti datele un’occhiata.

In questo post vorrei raccogliere l’appello di Bruce nel diffondere quanto più possibile il numero del 30 settembre 2001, un numero speciale dedicato all'11 settembre.

Qui trovate la versione originale inglese, mentre in questo post riporto la traduzione italiana che Paolo Attivissimo ha preparato per Zeus News. L’articolo è liberamente distribuibile purché intatto.

La crittografia, l’FBI, la privacy e altre cose

di Bruce Schneier
Pubblicato il 03/10/2001 alle 02:58 GMT
Traduzione italiana di Paolo Attivissimo, con il permesso personale dell’autore.

Questa è un’edizione speciale di Crypto-Gram dedicata agli attacchi terroristici dell'11 settembre e alle loro conseguenze. Siete pregati di distribuire il più ampiamente possibile questa pubblicazione.

In questo numero:

  • Gli attacchi
  • Le norme di sicurezza delle compagnie aeree
  • La biometria negli aeroporti
  • Diagnosi degli insuccessi dell’intelligence
  • Regolamentare la crittografia
  • Terroristi e steganografia
  • Notizie
  • Tutelare privacy e libertà civili
  • Come contribuire

Gli attacchi

Guardando la televisione, l'11 settembre, la mia reazione principale è stata di stupore.

Gli attacchi sono stati stupefacenti nella loro diabolicità e audacia: dirottare aerei di linea stracarichi di carburante e pilotarli contro edifici, uccidendo migliaia di civili innocenti. Probabilmente non sapremo mai se gli attaccanti erano consapevoli che il calore del carburante avrebbe fuso le strutture metalliche, producendo il crollo del World Trade Center. Sembra probabile che abbiano effettuato vantaggiose transazioni di borsa poco prima dell’attacco. Nessuno aveva previsto un attacco di questo genere. Tendiamo a credere che gli esseri umani non tramino piani di questa natura.

Sono rimasto colpito quando al-Qaeda ha bombardato simultaneamente due ambasciate statunitensi in Africa. Sono rimasto ancora più colpito quando un suo attentato con esplosivi ha creato uno squarcio di dodici metri in una nave da guerra americana. Ma questo attacco le fa sembrare operazioni di second’ordine.

Questi attacchi sono stati stupefacenti nella loro complessità. Si stima che il piano abbia richiesto circa 50 persone, di cui almeno 19 disposte a morire. Il piano ha richiesto formazione, addestramento, supporto logistico e coordinamento. La portata stessa dell’attacco sembrerebbe essere al di sopra delle capacità di un’organizzazione terroristica.

Sono attacchi che hanno riscritto le regole dei dirottamenti, perché le reazioni ai dirottamenti si basano su una premessa: far atterrare l’aereo in modo che possano iniziare le trattative. Ora questo concetto è obsoleto.

Hanno anche riscritto le regole del terrorismo. Al-Qaeda ha inventato un nuovo tipo di attentatore. Per tradizione, chi commette attacchi suicidi è giovane, celibe, fanatico e non ha nulla da perdere. Questi attentatori, invece, erano meno giovani e più esperti. Avevano competenze professionali che permettevano loro un regolare lavoro. Hanno vissuto negli USA, guardato la televisione, mangiato fast food, bevuto nei bar. Uno di loro ha lasciato moglie e quattro figli.

Anche il tipo di attacco è nuovo. Uno degli aspetti più difficili in un’azione terroristica è pianificarla in modo che consenta ai terroristi la fuga. Questo attacco ha risolto drasticamente il problema. Ha inoltre risolto il problema tecnologico: gli USA spendono miliardi di dollari per munizioni di precisione comandate a distanza; al-Qaeda deve soltanto procacciarsi fanatici disposti a pilotare aerei contro i grattacieli.

Infine, gli attacchi sono stati stupefacenti in quanto a successo. Non sono stati perfetti. Sappiamo che il 100% dei dirottamenti tentati ha avuto successo e che il 75% degli aerei dirottati ha colpito con successo il proprio bersaglio. Non sappiamo quanti dirottamenti che erano già programmati siano stati annullati per un motivo o per l’altro. La cosa più stupefacente è che non ci sono state fughe di notizie a proposito di questo piano. Nessuno è riuscito a disertare con successo. Nessuno ha commesso errori che abbiano rivelato il piano. Al-Qaeda ha mantenuto risorse negli USA per mesi ed è riuscita a mantenere segreto il proprio piano. Spesso è a questo livello dell’operazione terroristica che le forze dell’ordine hanno fortuna. Stavolta non siamo stati fortunati.

È raro assistere a un’azione che trasforma il concetto universale di attacco nel modo in cui queste stragi hanno trasformato il concetto generale di cosa è in grado di fare un attacco terroristico. Nulla di ciò che hanno fatto era innovativo, ma l’attacco in sé lo è stato. Anche il nostro concetto di difesa deve cambiare di pari passo.

Le norme di sicurezza delle compagnie aeree

Noi esperti di sicurezza informatica abbiamo molte competenze che possono essere applicate al mondo reale. Innanzi tutto, abbiamo una percezione ben chiara di com’è fatta la sicurezza. Sappiamo distinguere la differenza fra la vera sicurezza e i rimedi dei ciarlatani [snake oil, “olio di serpente”, proverbiale medicinale fasullo propinato un tempo da venditori senza scrupoli, Ndt]. E le nuove norme di sicurezza per gli aeroporti, implementate dopo l'11 settembre, hanno tutta l’aria di essere la seconda cosa.

Ne manifestano infatti tutti i sintomi: si tratta di misure di sicurezza nuove e non collaudate, manca una vera analisi dei rischi, si fanno affermazioni non dimostrate sulla loro efficacia. Il divieto riguardante gli oggetti taglienti è un esempio perfetto. È una reazione istintiva: i terroristi hanno usato coltellini e taglierini, perciò dobbiamo vietarli. E con loro vietiamo anche i tagliaunghie, le limette, gli accendini, le forbici (anche le forbicine), le pinzette, e via dicendo. Ma come mai nessuno si pone le vere domande, vale a dire “Qual è il pericolo, e in che modo trasformare un aereo in un’aula d’asilo riduce questo pericolo?”. Se il pericolo è un dirottamento, allora questa contromisura non protegge contro la miriade di maniere in cui si possono sopraffare piloti ed equipaggio.

Nessuno ha mai sentito parlare del karatè? O di pezzi di bottiglie rotte? Immaginatevi piccole lame nascoste all’interno dei bagagli, o lame di materiali compositi che sono invisibili al metal detector.

Adesso le auto parcheggiate devono stare a 100 metri dagli accessi aeroportuali. Perché? Quale problema di sicurezza viene risolto da questa misura? Perché lo stesso problema non comporta che anche i passeggeri debbano essere scaricati e caricati alla medesima distanza? Il check-in “stile drive-in” [curbside check-in, a cui si arriva direttamente in auto, Ndt] è stato eliminato. Quale rischio di sicurezza è stato eliminato da questo provvedimento? Se la nuova minaccia è costituita dai dirottamenti, perché improvvisamente ci preoccupiamo delle bombe?

Anche la norma che consente l’accesso alle sale degli aeroporti soltanto ai passeggeri muniti di biglietto mi lascia perplesso. Di preciso qual è il pericolo in questo caso? Per compiere il loro attacco, i dirottatori devono essere a bordo degli aerei che cercano di dirottare, per cui devono per forza procurarsi un biglietto. E chiunque può chiamare Priceline.com e “decidere il proprio prezzo” [“name your own price” è lo slogan della Priceline, agenzia viaggi online notissima in USA, Ndt] per ottenere accesso alle sale.

Un aumento delle perquisizioni (dei bagagli, degli aerei e degli aeroporti) sembra una buona idea, anche se imperfetta. Il problema principale in questo caso è che chi compie le perquisizioni è personale mal pagato e quasi sempre poco addestrato. Ci sono anche altri problemi: i mille modi in cui si possono scavalcare i punti di controllo (numerosi studi hanno trovato ogni sorta di falle) e l’impossibilità di perquisire efficacemente tutte le persone senza paralizzare il flusso dei passeggeri. Le guardie armate in incognito su alcuni voli sono un’altra idea moderatamente efficace: costituiscono un piccolo deterrente, perché non si può mai sapere se ce n’è una a bordo del volo che si vuole dirottare.

Il riscontro dei bagagli (cioè fare in modo che un bagaglio non possa essere caricato sull’aereo se il suo proprietario non sale a bordo) è in realtà una buona misura di sicurezza, ma parte dal presupposto che gli attentatori abbiano un istinto di conservazione. È totalmente inutile contro attentatori suicidi.

La peggior misura di sicurezza in assoluto è la richiesta di un tesserino di identificazione con fotografia. Non riesco a immaginare quale problema di sicurezza possa risolvere. Non identifica neppure le persone: qualsiasi studente delle superiori sa come procurarsi un tesserino falso. Il motivo di questa misura di sicurezza invadente e inefficace è segreto, tant’è che la FAA [l’autorità federale statunitense per l’aviazione, Ndt] non vi spedisce le sue norme scritte, se gliele richiedete. In realtà le compagnie aeree sono più severe in materia di quanto richiesto dall’FAA perché questa misura di “sicurezza” risolve loro un problema commerciale.

Il vero scopo della tessera di identificazione è impedire che le persone rivendano i biglietti. Prima era normale trovare sui giornali annunci economici che vendevano biglietti aerei non rimborsabili. Gli annunci erano del tipo “A/R Boston-Chicago, 22/11-30/11, donna, 50 dollari”. Dato che le linee aeree [quelle USA, Ndt] non verificavano i documenti di identità ma erano in grado di distinguere un uomo da una donna, qualunque persona di sesso femminile poteva comperarsi il biglietto dell’annuncio e farsi il volo. Questo non è più possibile. Le compagnie aeree adorano questa soluzione: hanno risolto uno dei loro problemi e per di più possono dare la colpa della soluzione ai requisiti di sicurezza dell’FAA.

Le misure di sicurezza delle compagnie aeree sono progettate più per dare l’impressione di un buon livello di sicurezza che per fornirlo veramente. Questo è perfettamente sensato, se ci si rende conto che l’obiettivo delle compagnie aeree non è tanto rendere difficili da dirottare i propri aerei, quanto invogliare i passeggeri a volare. Ovviamente le compagnie aeree preferirebbero che tutti i propri voli fossero perfettamente sicuri, ma i dirottamenti e gli attentati dinamitardi sono eventi rari e loro lo sanno benissimo.

Con questo non voglio dire che tutta la sicurezza aeroportuale è inutile e che staremmo meglio se non facessimo nulla. Tutte le misure di sicurezza hanno dei benefici e dei costi: la spesa, il disagio, eccetera. Mi piacerebbe vedere un’analisi razionale dei costi e dei benefici, in modo da poterci procurare la miglior sicurezza possibile con quanto possiamo permetterci di spendere.

Uno dei sintomi fondamentali di un rimedio da ciarlatani è l’uso di misure di sicurezza inventate in proprio invece di misure analizzate da esperti e collaudate a lungo. La El Al è quella che più si avvicina, fra le compagnie aeree, a un’analisi esperta e a un bagaglio di esperienza serio nel settore. Dal 1948, la El Al opera con successo fenomenale in una delle aree più calde del pianeta in quanto a terrorismo. Implementa misure di sicurezza piuttosto pesanti. Una di esse è costituita dalle porte rinforzate e chiuse a chiave fra la cabina di pilotaggio e la sezione passeggeri (si noti che è una misura a) costosa, b) poco visibile, e pertanto è poco attraente per le compagnie aeree statunitensi). Alcune delle cose che fa la El Al sono così invadenti da essere anticostituzionali negli USA, però ti lascia portare a bordo il coltellino svizzero.

La biometria negli aeroporti

Bisogna ammettere che è un’idea che suona bene. Si mettono telecamere dappertutto negli aeroporti e negli altri luoghi pubblici e il software automatico di riconoscimento facciale fruga continuamente nella folla alla ricerca di presunti terroristi. Quando il software li trova, li segnala alle forze dell’ordine, che piombano addosso ai bastardi e li arrestano. Voilà, siamo di nuovo al sicuro.

La realtà è assai più complessa. Lo è sempre. La biometria è uno strumento di autenticazione efficace, e ne ho già parlato in altre occasioni. Ci sono tre tipi fondamentali di autenticazione: qualcosa che sai (una password, un PIN, una stretta di mano segreta), qualcosa che hai (la chiave della porta, un biglietto per un concerto, un anello con sigillo), e qualcosa che sei (la biometria). La buona sicurezza utilizza almeno due tipi diversi di autenticazione: una tessera Bancomat e il suo PIN, un accesso a un computer che richiede sia una password sia un lettore di impronte digitali, un tesserino di sicurezza che comprende una foto che viene esaminata da una guardia.

Se correttamente implementata, la biometria può essere un elemento efficace di un sistema di controllo degli accessi. Credo che sarebbe un’ottima aggiunta ai sistemi di sicurezza aeroportuali, per l’identificazione del personale delle compagnie aeree e dell’aeroporto (piloti, addetti alla manutenzione, eccetera). Questo è un problema che la biometria può davvero aiutare a risolvere. Invece usare la biometria per distinguere i terroristi in una folla è un altro paio di maniche.

Nel primo caso (identificazione di dipendenti), al sistema biometrico viene posto un problema semplice da risolvere: la persona è chi dichiara di essere? In altre parole, i dati biometrici che il sistema sta rilevando corrispondono a quelli di chi la persona rilevata dal sistema afferma di essere? Nel secondo caso (scovare terroristi in mezzo alle folle) il sistema deve risolvere un problema ben più difficile: i dati biometrici che il sistema sta rilevando appartengono per caso a una qualsiasi delle persone presenti in un grande database? La difficoltà di questo problema aumenta la complessità dell’identificazione e conduce a insuccessi.

L’impostazione del sistema è diversa per le due applicazioni. Nel primo caso, è possibile sapere senza incertezze che i dati biometrici di riferimento appartengono alla persona giusta. Nel secondo, occorre preoccuparsi continuamente dell’integrità del database di dati biometrici. Che succede se qualcuno viene incluso erroneamente nel database? Che diritto di appello avrà?

Anche la questione di come procurarsi i dati biometrici di riferimento è parecchio diversa. Nel primo caso è possibile inizializzare il sistema usando dati biometrici noti e di buona qualità. Se il dato biometrico è il riconoscimento facciale, si possono fare delle buone foto ai dipendenti quando vengono assunti e immetterle nel sistema. Per contro, è improbabile che i terroristi posino per delle foto.

Ci si potrebbe trovare ad avere soltanto una foto sgranata di un terrorista, scattata cinque anni prima da trecento metri di distanza, quando il terrorista portava la barba. Chiaramente non è un dato altrettanto utile.

Ma anche supponendo che d’incanto fossero risolti tutti questi problemi tecnici, è comunque molto difficile far funzionare un sistema di questo genere. Il guaio peggiore è costituito dai falsi allarmi. Come mai? Per spiegarlo devo aprire una parentesi di statistica e parlare della cosiddetta “base-rate fallacy” [la tendenza ad ignorare o stimare erroneamente, quando si devono prendere decisioni, la frequenza con cui si verificano gli eventi; tipici esempi sono il fatto che la gente gioca al lotto credendo di avere molte più probabilità di vincita di quante ne ha realmente, Ndt].

Supponiamo che questo prodigioso software di riconoscimento facciale sia preciso al 99,99%. In altre parole, se una certa persona è un terrorista, c’è un 99,99% di probabilità che il software indichi “terrorista”; se una certa persona non è un terrorista, c’è una probabilità del 99,99% che il software sentenzi “non terrorista”. Supponiamo che in media ci sia un terrorista ogni dieci milioni di passeggeri. Il software è valido?

No. Il software produrrà 1000 falsi allarmi per ogni vero terrorista. E ogni falso allarme comporta che tutto il personale di sicurezza deve svolgere tutte le proprie procedure di sicurezza. Dato che la popolazione dei non terroristi è enormemente maggiore di quella dei terroristi, il test è inutile. È un risultato contrario al buon senso e sorprendente, ma è esatto. I falsi allarmi che si verificano in questo tipo di sistema lo rendono in gran parte inutilizzabile. È la storiella dell’“al lupo, al lupo” moltiplicata per mille.

Ho detto “in gran parte inutilizzabile” perché qualche effetto positivo il sistema l’avrebbe: ogni tanto, il sistema indicherebbe correttamente un terrorista che vola spesso. Ma si tratta di un sistema dai costi enormi: spese di installazione, forza lavoro per farlo funzionare, disagi per i milioni di persone identificate erroneamente, liti legali condotte con successo da alcune di queste persone, e una continua erosione delle nostre libertà civili. Inoltre tutti i falsi allarmi inevitabilmente tenderebbero a indurre gli operatori del sistema a non fare affidamento sui suoi risultati, incoraggiandoli alla trascuratezza e a commettere errori potenzialmente costosi. La raccolta onnipresente di dati biometrici potrebbe sembrare una buona idea, ma non credo che ne valga la pena.

Diagnosi degli insuccessi dell’intelligence

È evidente che i servizi di intelligence statunitensi non sono riusciti a dare un preavviso adeguato riguardo gli attacchi terroristici dell'11 settembre, e che l’FBI non è riuscita a prevenire gli attacchi. È chiaro inoltre che c’erano numerose indicazioni, di vario tipo, del fatto che gli attacchi stavano per verificarsi e che c’era ogni sorta di indizi che avremmo potuto notare ma non abbiamo notato. C’è chi sostiene che questo è un colossale insuccesso dell’intelligence e che avremmo dovuto saperne qualcosa e prevenire gli attacchi. Non ne sono convinto.

C’è una differenza abissale fra dati di intelligence (intelligence data) e informazioni di intelligence (intelligence information). Nel corso di quella che è di certo la madre di tutte le indagini, la CIA, l’NSA e l’FBI hanno scovato ogni sorta di dati nei propri archivi e dossier; dati che indicano chiaramente che era in corso la pianificazione di un attacco. Forse questi dati indicano addirittura chiaramente la natura dell’attacco o la sua data. Sono certo che ci sono tante informazioni nei dossier, nelle intercettazioni e nelle memorie dei computer.

Col senno di poi è facile esaminare tutti i dati e indicare quelli importanti e pertinenti. È facile anche prendere tutti questi dati importanti e pertinenti e trasformarli in informazioni. Ed è molto facile prendere quelle informazioni e farsi un quadro di quello che sta succedendo.

È ben più difficile farlo prima dell’evento. La maggior parte dei dati non ha alcuna rilevanza e la maggior parte delle segnalazioni è fasulla. Come si può sapere quali sono quelle importanti e quali sono le minacce alle quali occorre dedicare risorse trascurandone migliaia di altre? Viene raccolta una massa di dati così imponente (l’NSA acquisisce una quantità quasi inimmaginabile di comunicazioni elettroniche, l’FBI riceve innumerevoli soffiate e segnalazioni, e i nostri alleati ci passano informazioni di ogni sorta) che è impossibile analizzarli tutti. Immaginatevi che i terroristi nascondano i piani dei loro attacchi nei testi dei libri di una grande biblioteca universitaria, che non sappiate quanti sono e dove sono questi piani, e che la biblioteca si accresca più velocemente di quanto possiate leggerla. Decidere cosa esaminare e cosa no è un compito impossibile, per cui molta intelligence si perde.

Inoltre non abbiamo termini di paragone per valutare lo sforzo di intelligence. Quanti tentativi terroristici sono stati sventati l’anno scorso? Quanti gruppi vengono tenuti sotto sorveglianza? Quando la CIA, l’NSA e l’FBI hanno successo, non lo viene a sapere nessuno. È soltanto quando falliscono che vengono tirate in ballo.

E di fallimento si è trattato. Nel corso degli ultimi due decenni, gli Stati Uniti hanno contato sempre più sulle intercettazioni elettroniche ad alta tecnologia (SIGINT e COMINT, nel gergo) e sempre meno sull’intelligence vecchio stile, quella che impiega le persone (HUMINT). Questo non fa altro che complicare il problema dell’analisi: i dati da esaminare sono troppi e il contesto in cui esaminarli (le informazioni provenienti dal mondo reale) è troppo scarso. Considerate i fallimenti dell’intelligence negli anni scorsi: non furono previsti il test nucleare indiano, l’attacco alla USS Cole, e l’attacco dinamitardo alle sue ambasciate americane in Africa; ci si concentrò su Wen Ho Lee [ricercatore nucleare originario di Taiwan, accusato ingiustamente di spionaggio, Ndt] al punto di trascurare le spie vere come Robert Hanssen.

Qualunque sia il motivo, non siamo riusciti a prevenire questo attacco terroristico. Sono certo che l’analisi del fallimento comporterà modifiche al modo in cui raccogliamo e (cosa più importante) analizziamo i dati di antiterrorismo. Ma dire che si tratta di un grave fallimento dell’intelligence è un’accusa ingiusta verso coloro che lavorano per mantenere sicuro il nostro paese.

Regolamentare la crittografia

Sulla scia dei devastanti attacchi al World Trade Center e al Pentagono, il senatore [USA, Ndt] Judd Gregg ed altri membri di alto livello del governo [statunitense, Ndt] hanno rapidamente colto l’occasione per risuscitare limitazioni alla crittografia “forte” e sistemi di “key escrow” che garantiscono che il governo abbia accesso ai messaggi cifrati.

Credo che questa sia una pessima mossa. Farà ben poco per ostacolare le attività dei terroristi, ma nel contempo ridurrà significativamente la sicurezza della nostra infrastruttura vitale. Sono argomenti che abbiamo già discusso in passato, ma i legislatori sembrano avere la memoria corta. Ora spiego perché tentare di porre limiti alla crittografia è deleterio per la sicurezza su Internet.

Primo: non c’è modo di impedire il propagarsi della crittografia. La crittografia non è altro che una branca della matematica, e la matematica non si può vietare. L’unica cosa che si può vietare è una serie di prodotti che usano quella branca della matematica, e questo è tutt’altra cosa. Anni fa, durante le discussioni sulla crittografia, fu redatto un sondaggio internazionale in materia, che rilevò quasi mille prodotti dotati di crittografia forte provenienti da oltre cento paesi. Può anche darsi che sia possibile controllare i programmi di crittografia in una manciata di paesi industrializzati, ma questo non impedirebbe ai criminali di importarli. Li si dovrebbe vietare in ogni paese, e anche così non basterebbe. Qualsiasi organizzazione terroristica con un minimo di competenza è in grado di scriversi il proprio software di crittografia. E comunque non s’è mai visto un terrorista che rispettasse i divieti di legge.

Secondo: qualsiasi controllo sulla diffusione della crittografia comporterà più danni che vantaggi. La crittografia è uno dei migliori strumenti di sicurezza di cui disponiamo per proteggere il nostro mondo elettronico: intercettazioni, accessi non autorizzati, interferenze, denial of service [paralisi del servizio, sistema usato spesso negli attacchi informatici ai siti, Ndt]. Certo controllando la diffusione della crittografia forse si potrà impedire ad alcuni gruppi terroristici di usarla, ma lo si impedirà anche alle banche, agli ospedali e ai controllori del traffico aereo (e ricordate che comunque i terroristi possono sempre procurarsela altrove, come detto sopra). Abbiamo una considerevole infrastruttura elettronica da proteggere e ci serve tutta la crittografia sulla quale riusciamo a mettere le mani. Semmai dobbiamo rendere più diffusa la crittografia forte, se le aziende continuano a mettere online le infrastrutture vitali del nostro pianeta.

Terzo: il key escrow non funziona. Breve ripasso: il key escrow è il concetto secondo il quale le aziende dovrebbero essere obbligate ad implementare nei prodotti di crittografia delle backdoor [metodi di accesso che scavalcano le protezioni crittografiche, come un passepartout apre qualsiasi serratura, Ndt], in modo tale che le forze dell’ordine, e soltanto loro, possano sbirciare e intercettare i messaggi cifrati. I terroristi e i criminali non lo userebbero (come già spiegato nel primo punto).

Inoltre il key escrow rende più difficile a chi è dalla nostra parte tenere al sicuro le cose importanti. Tutti i sistemi di key escrow richiedono l’esistenza di una chiave segreta, o di una serie di chiavi, che è estremamente riservata ma al tempo stesso deve essere ampiamente disponibile e va mantenuta in modo sicuro per un lungo periodo di tempo. Questi sistemi devono rendere rapidamente accessibili alle forze dell’ordine le informazioni di decifrazione senza avvisare i proprietari delle chiavi. Davvero c’è qualcuno che pensa di poter realizzare questo genere di sistema in condizioni di sicurezza? Sarebbe un compito di portata inimmaginabile, che credo non abbia la benché minima speranza di riuscita. Non siamo in grado di realizzare un sistema operativo sicuro, figuriamoci un computer sicuro e una rete sicura.

Immagazzinare le chiavi in un unico posto è un rischio grandissimo, che sembra quasi invitare attacchi o abusi. A chi dovrebbe appartenere il sistema di sicurezza digitale di cui dovreste fidarvi ciecamente per proteggere tutti i più importanti segreti del paese? Quale sistema operativo useremmo? Quale firewall? Quali applicazioni? Per quanto possa sembrare allettante, un sistema di key escrow funzionante ed utilizzabile è al di sopra delle possibilità attuali dell’informatica.

Anni fa, un gruppo di colleghi ed io scrivemmo un documento in cui delineavamo il motivo per cui il key escrow è una pessima idea. Le argomentazioni dell’epoca sono tuttora valide, e consiglio a chiunque di leggerle. Non si tratta di un documento particolarmente tecnico, ma descrive tutti i problemi insiti nel realizzare un’infrastruttura di key escrow sicura, efficace e scalabile.

Gli eventi dell'11 settembre hanno convinto molte persone che viviamo in tempi pericolosi e che ci serve più sicurezza che mai. Hanno ragione. La sicurezza è stata pericolosamente trascurata in molti settori della nostra società, ciberspazio compreso. Man mano che l’infrastruttura vitale del nostro paese diventa digitale, dobbiamo accettare la crittografia come parte del soluzione, non come parte del problema.

  • Il mio vecchio rapporto “Risks of Key Recovery” [I rischi del “key recovery”, la possibilità di recuperare le password, Ndt]

Articoli sull’argomento

Un sondaggio che indica che il 72% degli americani crede che delle leggi contro la crittografia sarebbero “piuttosto” o “molto” utili nell’impedire che si ripetano attacchi terroristici come quello della scorsa settimana al World Trade Center e al Pentagono. Non vi è alcuna indicazione della percentuale di intervistati che ha effettivamente capito la domanda.

Terroristi e steganografia

Indovinate un po’? Forse Al-Qaeda usa la steganografia. Secondo “funzionari ed esperti statunitensi ed esteri”, i gruppi terroristici “nascondono mappe e fotografie di obiettivi terroristici e pubblicano istruzioni per le attività di terrorismo nelle aree di chat sportive, nelle biblioteche online di pornografia, e in altri siti Web”.

Ho già scritto testi sul tema della steganografia in passato e non voglio perdere troppo tempo a ripercorrere strade già viste. Per farla breve, la steganografia è la scienza di come si nasconde un messaggio all’interno di un altro messaggio. In genere, un messaggio (in chiaro o, più astutamente, in forma cifrata) viene codificato sotto forma di minuscole modifiche ai colori dei pixel di una foto digitale, o come rumore impercettibile in un file audio. Per chiunque altro il file è semplicemente un’immagine, ma mittente e destinatario sanno che contiene un messaggio nascosto.

Non mi sorprende che i terroristi usino questo trucchetto. Gli stessi aspetti della steganografia che la rendono inadatta al normale uso aziendale la rendono ideale per usi terroristici. Cosa più importante, può essere usata in un dead drop elettronico [nel gergo delle spie, ‘dead drop’ è un luogo fisico dove si può mettere di nascosto del materiale in modo da permettere ad un’altra persona di prenderlo, evitando contatti diretti tra le parti, come descritto sotto, Ndt].

Se leggete le testimonianze dell’FBI contro Robert Hanssen saprete come Hanssen comunicava con i suoi coordinatori russi. Non si incontravano mai, ma lasciavano messaggi, soldi e documenti l’uno per gli altri dentro sacchetti di plastica sotto un ponte. Il coordinatore di Hanssen lasciava un segnale in un luogo pubblico (un segno tracciato con il gesso su un palo segnaletico) per indicare che c’era un pacco da ritirare. Successivamente Hanssen andava a ritirarlo.

Questo è quel che si intende per “dead drop”, e offre molti vantaggi rispetto ad un incontro di persona. Primo: le due persone non vengono mai viste insieme. Secondo: le due persone non devono darsi appuntamento. Terzo, e più importante: non è necessario che una delle persone sappia chi è l’altra (un grande vantaggio se una di loro viene arrestata). I dead drop sono utilizzabili per facilitare le comunicazioni completamente anonime e asincrone.

Usare la steganografia per nascondere un messaggio in un’immagine pornografica e pubblicarlo su un newsgroup di Usenet è l’equivalente ciberspaziale di un “dead drop”. Per tutti gli altri è solo un’immagine, ma per il destinatario è un messaggio che attende di essere rivelato. Affinché il sistema funzioni in concreto, i terroristi dovrebbero predefinire un codice. Come Hanssen sapeva di avere un pacco da ritirare quando vedeva il segno di gesso, così un terrorista virtuale deve sapere dove cercare il messaggio (non si può pretendere che lo cerchi in ogni immagine). Ci sono molti modi per comunicare un segnale: la data e l’ora del messaggio, una parola insolita nella riga dell’argomento, e via dicendo. Basta che usiate un po’ la vostra fantasia: le possibilità sono infinite.

Risultato: il mittente può inviare un messaggio senza mai comunicare direttamente con il destinatario. Fra loro non ci sono e-mail, login remoti, messaggi istantanei: esiste solo un’immagine pubblicata in un luogo pubblico che viene poi scaricata da chiunque abbia abbastanza interesse per il suo argomento (cioè sia terzi estranei allo scambio di messaggi, sia il destinatario del messaggio segreto).

E allora cosa può fare un’agenzia di controspionaggio? Esistono metodi standard per rivelare messaggi steganografici; in genere si cercano modifiche nell’andamento del traffico di dati. Se bin Laden usa immagini porno per nascondere i propri messaggi segreti, è improbabile che le immagini vengano scattate in Afghanistan. Probabilmente vengono scaricate dal Web. Se l’NSA è in grado di tenere un database di immagini porno (un concetto notevole, non vi pare?), può rilevare quelle che contengono minuscole modifiche ai bit di ordine inferiore. Se bin Laden usa la stessa immagine per trasmettere più di un messaggio, l’NSA potrebbe notarlo. Se non è così, probabilmente non c’è nulla che l’NSA possa fare. I dead drop, sia reali sia virtuali, non possono essere evitati.

Perché le aziende non possono usare questo metodo? Il motivo fondamentale è che le aziende che operano legalmente non hanno bisogno di dead drop. Ricordo di aver sentito di una società che aveva nascosto un messaggio steganografico destinato al proprio personale delle vendite in una foto sulla pagina Web aziendale. Ma non sarebbe stato più semplice mandare un e-mail cifrato? No, perché qualcuno avrebbe potuto notare l’e-mail e sapere che tutto il personale addetto alle vendite aveva ricevuto un messaggio cifrato. Soluzione: mandare un messaggio ogni giorno: uno vero quando serve comunicare qualcosa e uno fittizio quando non occorre. Si tratta di un problema di analisi del traffico, e ci sono altre tecniche per risolverlo.

Semplicemente, la steganografia non è valida in questo campo. La steganografia è un buon metodo di comunicazione per cellule terroristiche, che consente di comunicare senza che un gruppo conosca l’identità degli altri. Esistono altri modi per creare un dead drop nel ciberspazio: ad esempio, una spia può procurarsi una casella di e-mail anonima gratuita. Probabilmente bin Laden usa anche questo metodo.

Cronaca

Non sono contrario all’uso della forza contro i terroristi. Né sono contrario alla guerra — come punizione, come deterrente, e per ripristinare il patto sociale — purché si possa identificare il nemico giusto. A volte la pace è una cosa che si guadagna soltanto lottando. Ma credo che l’uso della forza sia ben più complicato di quello che pensa la maggior parte della gente. Ciò che faremo è importante; se sbagliamo, non faremo che peggiorare la situazione.

Scritta prima dell'11 settembre: un ex agente della CIA spiega perché il terrorista Osama bin Laden ha poco da temere dall’intelligence americana.
Un soldato russo spiega perché la guerra in Afghanistan sarà un incubo.
La stessa spiegazione, offerta da un soldato inglese
Lezioni di antiterrorismo dal Regno Unito
Intervista a bin Laden da Esquire del 1998
Il commento di Phil Agre (Segue)
Perché la tecnologia non ci può salvare
Gli hacktivisti si vendicano per gli attacchi terroristici
L’FBI ricorda a tutti che si tratta di azioni illegali (Segue)
Gli hacker rischiano l’ergastolo in base alle leggi antiterrorismo

Sono particolarmente allarmanti le questioni di “consulenza o assistenza”. Un consulente di sicurezza potrebbe trovarsi ergastolano senza libertà vigilata se scopre e segnala pubblicamente una falla di sicurezza che viene poi sfruttata da altri. Dopotutto, senza la sua “consulenza” sulla falla, l’attaccante non avrebbe mai compiuto il proprio attacco informatico.

Le aziende temono il terrorismo informatico: Zdnet Computerworld
E investono in sicurezza: Washtech The Register
Potenziamento dei computer governativi per combattere il terrorismo
Rischi di attacchi ciberterroristici alla nostra infrastruttura elettronica: Business Week Zdnet
Ora ci si lamenta che bin Laden NON usa le telecomunicazioni ad alta tecnologia.
Larry Ellison è disposto a cedere gratuitamente il software per implementare un tesserino nazionale di identificazione.

Alcuni problemi di sicurezza: informazioni inesatte, gli addetti al servizio che fabbricano tessere false (è quello che avviene con le patenti), vulnerabilità del grande database, possibili abusi che violano la privacy, eccetera. E naturalmente nessun terrorista internazionale sarebbe catalogato da questo sistema, perché non sarebbe un cittadino americano. Ma cosa ci si può aspettare da un’azienda le cui origini sono strettamente legate alla CIA?

Tutelare privacy e libertà civili

Inorriditi dai recenti dirottamenti, molti americani si sono detti disposti a rinunciare alle libertà civili in nome della sicurezza. Lo hanno detto con tale veemenza che questo compromesso sembra ormai già scontato. Articoli su articoli discutono l’equilibrio fra privacy e sicurezza, valutando se le varie misure di sicurezza compensano adeguatamente le perdite in termini di privacy e libertà civili. È raro che io mi imbatta in una discussione che chieda se questo nesso è valido.

La sicurezza e la privacy non sono due estremi di un’altalena. Pensarlo è un’associazione di idee semplicistica ed in gran parte errata. È facile e spiccio, ma meno efficace, aumentare la sicurezza diminuendo la libertà. Ma i modi migliori di aumentare la sicurezza non vanno a scapito della privacy e della libertà.

È facile dimostrare l’infondatezza dell’idea che qualsiasi misura di sicurezza comporta un sacrificio in termini di libertà. Dotare di armi i piloti, rinforzare le porte delle cabine di pilotaggio e insegnare il karatè al personale di volo sono tutti esempi di misure di sicurezza che non hanno effetto alcuno sulla privacy o sulle libertà individuali. Lo stesso vale per una migliore autenticazione degli addetti alla manutenzione degli aeroporti o per i cosiddetti “dispositivi di uomo morto” che obbligano automaticamente gli aerei ad atterrare all’aeroporto più vicino o per gli agenti armati a bordo degli aerei.

In genere, le misure di sicurezza che comportano una riduzione delle libertà individuali saltano fuori quando i progettisti di un sistema non prendono in considerazione gli aspetti di sicurezza sin dall’inizio del progetto. Sono tentativi di “metterci una pezza” e testimoniano una cattiva progettazione della sicurezza. Quando la sicurezza è parte intrinseca di un sistema, funziona senza obbligare le persone a rinunciare alle proprie libertà.

Esempio: la messa in sicurezza di una stanza. Prima opzione: trasformare la stanza in un caveau impenetrabile. Seconda opzione: mettere serrature alle porte, sbarre alle finestre, e installare un antifurto che copra tutto. Terza opzione: non darsi la pena di mettere in sicurezza la stanza, ma mettere invece una guardia alla porta, con l’ordine di annotare gli estremi di identificazione di tutti quelli che entrano e verificare che siano autorizzati ad entrare.

La prima opzione è la migliore, ma è poco realistica. I caveau impenetrabili proprio non esistono; realizzare qualcosa che vi si avvicini ha costi proibitivi, e trasformare in caveau una stanza ne riduce parecchio l’utilità.

La seconda opzione è realisticamente la migliore, perché combina i punti di forza della prevenzione, del rilevamento e della reazione per ottenere una sicurezza resistente e flessibile. La terza opzione è la peggiore: costa molto più delle prime due ed è la più invadente e facile da scavalcare. È anche un segno inequivocabile di cattiva progettazione: indica che i progettisti hanno costruito la stanza e solo a cose fatte si sono resi conto di avere esigenze di sicurezza. Invece di fare lo sforzo di installare serrature e antifurto, hanno scelto la strada meno impegnativa e hanno invaso la privacy delle persone.

Un esempio più complesso: la sicurezza in Internet. Le contromisure preventive aiutano molto contro gli script kiddies [aspiranti pirati informatici che non essendo capaci di realizzare strumenti di intrusione in proprio si limitano a usare quelli realizzati da altri, Ndt], ma falliscono contro gli intrusi abili. Da un paio d’anni sostengo la necessità di usare rilevamento e reazione per fornire sicurezza su Internet. È un approccio che funziona: la mia azienda scova in continuazione gli intrusi (sia quelli esterni, sia quelli interni). Non invadiamo la privacy: monitoriamo dati che riguardano altri dati e scoviamo gli abusi in questo modo. Non vengono violate le libertà civili. Non è un sistema perfetto, ma niente lo è. Ciononostante, se combinata con prodotti di sicurezza preventiva è il sistema in assoluto più efficace ed economicamente efficiente.

Le analogie fra la sicurezza in Internet e la sicurezza mondiale sono forti. Tutte le indagini criminali attingono alle registrazioni dei sistemi di sorveglianza. La versione meno tecnologica di questo approccio è l’ascolto dei testimoni. Nell’indagine attualmente in corso, l’FBI sta esaminando le videoregistrazioni degli aeroporti, gli archivi dei passeggeri delle compagnie aeree, i registri delle scuole di volo, le registrazioni delle transazioni finanziarie, e così via. Più è accurato il lavoro di esame svolto, più diventa efficace la loro indagine.

Esistono criminali e terroristi “emulativi”, cioè che fanno ciò che hanno visto fare da altri. In gran parte è questo che le misure di sicurezza frettolosamente implementate tentano di impedire. Ci sono poi gli attaccanti astuti, che inventano nuovi modi di attaccare le persone. Questo è quello a cui abbiamo assistito l'11 settembre. A patto di spendere molto, possiamo realizzare soluzioni di sicurezza che proteggano contro gli attacchi di ieri; ma non possiamo garantire protezione contro gli attacchi di domani, cioè quelli che gli hacker non hanno ancora inventato o che i terroristi non hanno ancora concepito.

Le richieste di ulteriore sorveglianza perdono di vista il concetto di fondo. Il problema non è ottenere i dati: è decidere quali dati meritano analisi e poi interpretare quei dati. Già ora, tutti noi ci lasciamo dietro un’ampia scia di registrazioni mentre conduciamo la nostra vita quotidiana, e le forze dell’ordine sono già in grado di accedere a queste registrazioni tramite un mandato. L’FBI è riuscita a ricostruire rapidamente le identità dei terroristi e gli ultimi mesi delle loro vite non appena ha saputo dove cercare. Se avesse alzato le mani al cielo dicendo che non era in grado di capire chi aveva commesso questi crimini o come l’aveva fatto, forse avrebbe dimostrato di aver bisogno di maggiori dati di sorveglianza. Ma non lo ha fatto, e questo bisogno non c’è.

Anzi, ulteriori dati potrebbero addirittura essere controproducenti. L’NSA e la CIA sono state criticate perché si affidano troppo all’intelligence basata su intercettazioni e troppo poco a quella basata su agenti. La polizia della Germania Est raccolse dati su quattro milioni di tedeschi dell’Est, cioè circa un quarto dell’intera popolazione, eppure non fu in grado di prevedere il rovesciamento pacifico del governo comunista, perché aveva investito massicciamente nella raccolta dei dati anziché nella loro interpretazione. Ci servono più agenti accucciati per terra nel Medio Oriente a dissertare del Corano anziché seduti a Washington a discettare di leggi sulle intercettazioni.

La gente è disposta a rinunciare alle proprie libertà in cambio di vaghe promesse di sicurezza perché pensa di non avere altra scelta. Ciò che non viene detto alla gente è che si possono avere entrambe le cose. Questo richiederebbe che la gente dicesse di no al tentativo dell’FBI di aumentare il proprio potere. Ci richiederebbe di rinunciare alle risposte facili in favore di quelle ponderate. Richiederebbe la creazione di incentivi a migliorare la sicurezza nel suo complesso invece di ridurne semplicemente i costi.

Progettando i sistemi tenendo presente gli aspetti di sicurezza sin dall’inizio, invece di appiccicarli sopra alla fine, otterremmo la sicurezza che ci serve ma preserveremmo le libertà civili che abbiamo a cuore.

Alcune forme di sorveglianza generale, in circostanze ben circoscritte, potrebbe essere giustificate come misura temporanea. Ma dobbiamo fare attenzione affinché rimangano temporanee e a non integrare la sorveglianza direttamente nella progettazione della nostra infrastruttura elettronica. Thomas Jefferson disse che il prezzo della libertà è l’eterna vigilanza. Storicamente, le libertà civili sono regolarmente fra le vittime di ogni conflitto, ma solo temporaneamente. Questa guerra, che non ha un nemico preciso o una condizione conclusiva specifica, potrebbe diventare una condizione permanente della società. Dobbiamo progettare la nostra sicurezza sulla base di questa possibilità.

Gli eventi dell'11 settembre hanno dimostrato che l’America ha bisogno di riprogettare le sue infrastrutture pubbliche per tenere conto degli aspetti di sicurezza. Ignorare questa necessità sarebbe una tragedia ulteriore.

Come contribuire

Come potete rendervi utili? Discutete di questi temi. Scrivete a coloro che avete eletto. Contribuite alle organizzazioni che si occupano di questi argomenti. Questa settimana il Congresso degli Stati Uniti deciderà sulla proposta più ampia di aumentare l’autorità di sorveglianza del governo dai tempi della fine della guerra fredda.

Se avete a cuore la privacy e vivete negli USA, ci sono tre cose che dovreste fare prima di aprire il prossimo e-mail:

  1. Incitare i vostri rappresentanti al Congresso a proteggere la privacy.
    • Telefonate al centralino della Casa Bianca, al 202-224-3121.
    • Chiedete di parlare con l’ufficio del vostro rappresentante al Congresso.
    • Quando vi collegano, dite “Vorrei parlare con il membro del personale che si occupa della legislazione antiterrorismo”. Se la persona non è disponibile, chiedete di lasciare un messaggio.
    • Spiegate concisamente che apprezzate gli sforzi del vostro rappresentante per affrontare le sfide nate dalla tragedia dell'11 settembre, ma che secondo voi sarebbe un errore apportare modifiche alle leggi federali sulle intercettazioni se non servono a rispondere alla “minaccia diretta di investigare o prevenire atti di terrorismo.”
  2. Andare al sito In Defense of Freedom e confermate il vostro sostegno alla loro dichiarazione.
  3. Spedire questo messaggio ad almeno altre cinque persone.

Abbiamo meno di 100 ore prima che il Congresso decida su leggi che (a) amplieranno significativamente l’uso di Carnivore [un discusso sistema elettronico di intercettazione, Ndt] (b) classificheranno l’hacking informatico come una forma di terrorismo (c) aumenteranno la sorveglianza elettronica nelle normali indagini criminali e (d) ridurranno l’obbligo del governo di giustificare il proprio operato.

Vi prego, agite ora.

Più in generale, mi aspetto che faranno capolino molte leggi in materia. Visitate i seguenti siti Web per avere informazioni aggiornate su cosa sta succedendo e cosa potete fare per dare un aiuto.

© 2001 Counterpane Internet Security, Inc. All rights reserved. Disponibile online qui
CRYPTO-GRAM è una newsletter gratuita mensile che offre riepiloghi, analisi, intuizioni e commenti sulla sicurezza informatica e sulla crittografia. Gli arretrati sono disponibili presso questa pagina.
Per abbonarvi, visitate questa pagina oppure inviate un messaggio vuoto a crypto-gram-subscribe@chaparraltree.com. Per dis-iscrivervi, visitate questa pagina.
Diffondete liberamente CRYPTO-GRAM a colleghi e amici che la troveranno utile. È autorizzata la ristampa di CRYPTO-GRAM, purché integrale.
CRYPTO-GRAM è scritta da Bruce Schneier. Schneier è fondatore e CTO della Counterpane Internet Security Inc., autore di “Secrets and Lies” e “Applied Cryptography,” e inventore degli algoritmi Blowfish, Twofish e Yarrow. È membro dell’Advisory Board [Comitato Consultivo, Ndt] dell’Electronic Privacy Information Center (EPIC). Scrive e tiene frequenti conferenze sulla sicurezza informatica e la crittografia.
La Counterpane Internet Security, Inc. è leader mondiale nel Managed Security Monitoring. Gli esperti analisti di sicurezza della Counterpane proteggono le reti di società della classifica Fortune 1000 in tutto il mondo.

(C) by Paolo Attivissimo — www.attivissimo.net. Distribuzione libera, purché sia inclusa la presente dicitura.