Sicurezza informatica: obblighi in nome della legge

Da sempre, soprattutto negli ultimi tempi, si parla dell’importanza della sicurezza dei propri dati nel mondo dell’informatica. Possiamo parlare di home banking, email fraudolente, software che catturano ogni nostro singolo tasto inviato (keylogger), ma, in realtà, in questo articolo voglio focalizzarmi su quanto sia importante il controllo della sicurezza e come la legge di uno stato molto spesso porta alla violazione dei principi comuni.

STEAM: Sicurezza violata da un 16enne.

Ho voluto cominciare il discorso citando una situazione buffa che si è creata proprio nella giornata odierna (ndr, 30 marzo 2016): un ragazzo 16enne aveva scoperto una falla nei sistemi di STEAM, ma essendo stato ignorato per più di una volta, ha dato una vera e propria dimostrazione di tutto ciò pubblicando un gioco del tutto “innocuo”, gioco che ha bypassato tutti gli strumenti da usare per la revisione prima della pubblicazione.

Per chi non conoscesse chi sia STEAM, cito da Wikipedia:

Steam è una piattaforma sviluppata da Valve che si occupa di distribuzione digitale, di gestione dei diritti digitali, di modalità di gioco multi giocatore e di comunicazione.
Viene usata per gestire e distribuire una vasta gamma di giochi (alcuni esclusivi) e il loro relativo supporto. Tutte queste operazioni sono effettuate via Internet.”.

Magari state pensando: “Sarà un hackcckeerr111 aiut0h, ci ha rubati la carta di cred1t000hhh, STACCAH”.
No, non voglio parlare di questo che poi posso dire che per fortuna, questo ragazzo (Ruby Nealon) è stato così gentile a segnalarlo che se ne sarebbe potuto fare un uso davvero pericoloso.

Quello che mi turba è che sì, pensiamo a quanto sia importante la sicurezza di un certo dato ma, è sicuro anche l’algoritmo di tutto il sistema di controllo? Dov’è il controllo qualità? Dove sono i test automatici ad ogni deployment (ndt, messa in produzione, testing -> stable)? Perché parte dei sistemi avevano codice leggibile e non offuscati? Perché si ignorava la segnalazione del ragazzo (e non è nemmeno stato premiato!)?

Siete curiosi di quanto sia stato facile bypassare l’intero sistema? Leggete pure la fonte originale QUI.

Google: Richiesto lo sblocco di 9 cellulari Android in nome della legge

L’ACLU (American Civil Liberties Union) ha recentemente scoperto dei documenti pubblici della corte dove viene rivelato che il governo ha chiesto (costretto, a mio parere) a Google di aiutare l’agenzia federale FBI sbloccando 9 telefoni (bloccati).

Ora tutto ciò è stato facile in quanto per la maggior parte dei telefoni sono compatibili con uno strumento di Google che gli permette di fare le classiche operazioni di sblocco, reset, etc in remoto e quindi senza nemmeno avere il dispositivo sottomano.

Al momento vengono segnalati solamente casi relativi a indagini di malaffare, spaccio di droga, pedofilia, e così via.
Ma in questo caso, cosa succederebbe se si potesse bypassare il sistema di sicurezza e usare il tutto per scopi illeciti? O cosa se lo stato obbligasse Google ad entrare e raccogliere dati dai telefoni dei cittadini? (Fischietta, C1n4, no, non è un nome in codice). Una bella botta alla privacy oltre che alla sicurezza.Apple: Quando la legge impone di aprirti una falla nel tuo sistema di sicurezzaCredo che questo argomento molti di voi lo conoscono già… O forse no?
In ogni caso, l’FBI ha imposto ad Apple di dover creare una falla nel proprio sistema proprio per bypassare la sequenza PIN impostata sul telefono del terrorista. Tutto ciò per continuare ad indagare sulla strage di San Bernardino dove ci sono stati anche morti.Pesante è stato il botta e risposta tra Apple (in cui vede il sostegno di altre grandi aziende) ed FBI (in cui vede il sostegno del “nome della legge”), addirittura siamo arrivati a “Se non collabora, arrestiamo il CEO di Apple”.
Come avete capito già, Apple ha sempre negato di voler aiutare perché in caso si fosse scoperto un metodo per sbloccare i telefoni, si sarebbe potuto diffondere e sarebbe fallita in men che non si dica.. Avoja a trovarti l’uomo fidato per assegnargli questo grande compito..

In campo sono scese molte aziende e molti personaggi, ognuno a sostegno di una delle due parti, tra cui notiamo anche John McAfee (noto per l’antivirus) che sosteneva di poter aiutare gratuitamente l’FBI.. Ah quante parole al vento..

Ormai quando sembrava quasi tutto finito (e quindi impossibile poter scoprire il PIN perché dopo X tentativi, tutta la memoria interna sarebbe andata a farsi benedire) ecco che, l’FBI chiede la proroga del tempo di scadenza affermando di aver trovato la soluzione grazie ad una azienda Israeliana di sicurezza informatica.

Adesso è un bel problema, non trovi? Apple scopre che c’è una falla e non ha idea di quale sia..
Ma il vero problema non è questo, ma se venisse pubblicato la procedura effettuata per essere poi trascritta sul verbale. Magari è una falla non riparabile da software e tutti i telefoni Apple a farsi benedire oltre che alla totale scomparsa della privacy e soprattutto sicurezza.. Altro che Jailbreak..

Considerazioni finali

A dirla tutta non credo di dover scrivere questo paragrafo.. Mi limito solamente a chiedere a voi:

Vi siete mai posti il problema della sicurezza sui vostri dati? Pensate di essere davvero sicuri con gli strumenti che utilizzate? Cosa ne pensate di quanto accaduto?

O forse una conclusione c’è… “Niente è sicuro, nemmeno un computer spento”. 🙂

Alla prossima!