Una legge USA del 1789 per aggirare la cifratura degli smartphone

Una legge USA del 1789 per aggirare la cifratura degli smartphone

L'All Writs Act offre ai tribunali il potere di chiedere aiuto a terzi per i procedimenti giudiziari. Un magistrato richiede ad un produttore di telefoni cellulari l'assistenza tecnica per accedere al contenuto di uno smartphone

di pubblicata il , alle 14:05 nel canale Sicurezza
 

Dinnanzi alle crescenti misure di sicurezza che i produttori inseriscono nei nuovi dispositivi consumer, il Dipartimento di Giustizia USA sembra mettere mano ad una strategia ben collaudata per entrare in possesso delle informazioni contenute nei dispositivi. E' accaduto di recente, infatti, che un giudice del tribunale di New York abbia ordinato ad un ignoto produttore di smartphone di fornire assistenza tecnica per sbloccare un dispositivo, rifacendosi alle norme contenute nella legge "All Writs Act" che risale al 1789.

Si tratta di una legge che è già stata usata in passato in situazioni simili e che potrebbe diventare lo strumento de facto con cui le autorità andranno a richiedere dati e informazioni in futuro. La legge concede infatti ai tribunali un ampio potere di chiedere aiuto a terzi nei casi che rientrano nelle "loro rispettive giurisdizioni e d'accordo con gli usi e i principi di legge". La All Writs Act è stata in origine approvata come parte del Judiciary Act del 1789, ma è considerata, sulle indicazioni espresse nel 1986 dalla Corte Suprema, come una "fonte residua di autorità allo scopo di emettere mandati che non sono altrimenti contemplati dalla legge".

Il Wall Street Journal riporta che lo scorso 31 ottobre il magistrato Gabriel Gorenstein ha ordinato ad un produttore di smartphone (non meglio identificabile) di aiutare il tribunale mettendo a disposizione una "ragionevole assistenza tecnica". La pubblica accusa ha citato l'All Writs Act allo scopo di costringere il produttore a fornire assistenza per superare il "lock screen" del telefono, per poter applicare un mandato di perquisizione emesso il 10 ottobre. Il telefono è stato recuperato durante le indagini relative ad un caso di frodi di carte di credito, ma le informazioni in esso contenute non sono state recuperabili dal momento che il dispositivo era bloccato.

Gorenstein si è rifatto ad un caso del 1977, United States v. New York Telephone Co, per stabilire un precedente: in quella vicenda la Corte Suprema ha osservato che il tribunale distrettuale avrebbe potuto invocare l'All Writs Act per richiedere alle compagnie telefoniche di fornire assistenza per installare, a scopo di sorveglianza, appositi dispositivi denominati "pen register" per registrare i numeri di telefono chiamati da particolari linee telefoniche. Gorenstein afferma che l'All Writs Act può essere usato per richiedere assistenza tecnica fino a quando l'aiuto richiesto non diventi "gravoso", precisando che i precedenti in altri casi indicano come il tracciamento di informazioni tramite un dispositivo elettronico o il "pigiare alcuni pulsanti" non possa essere considerato un onere. "Per questo possiamo concludere che è appropriato ordinare al produttore di tentare di sbloccare il telefono così che il mandato possa essere eseguito come originariamente inteso" ha dichiarato Gorenstein nella sua ingiunzione.

E non è nemmeno la prima volta che un tribunale si affida alla legge All Writs Act per costringere qualcuno a recuperare delle informazioni. Nel 2012 un giudice federale del Colorado ha disposto che una donna decriptasse le informazioni sul suo notebook. Il giudice ha osservato che se l'All Writs Act può essere usato per chiedere alle compagnie telefoniche di aiutare nei casi di sorveglianza, la stessa logica può essere applicata per obbligare qualcuno a decriptare informazioni. Il legale della donna osservò che agendo in questo modo vi potesse essere una violazione del diritto di non autoaccusarsi secondo il Quinto Emendamento, ma il giudice concluse che non vi era alcuna implicazione in tal senso. L'uso dell'All Writs Act non è quindi nuovo per tribunali e pubblica accusa e potrebbe dare un'idea di come il governo USA possa aggirare le misure di sicurezza presenti nei dispositivi elettronici.

L'uso dell'All Writs Act per fare leva sulle prove non può comunque prescindere dall'ottenimento di un mandato: lo scorso giugno la Corte Suprema ha infatti stabilito che per le indagini e la ricerca di informazioni nei dispositivi entrati in possesso delle autorità è necessario un mandato di perquisizione, a meno di circostanze specifiche di particolare urgenza. Il cambiamento delle pratiche e delle tecnologie di sicurezza per i dispositivi consumer a seguito delle vicende Wikileaks ha però messo le agenzie governative e le autorità in difficoltà quando si tratta di recuperare dati e informazioni importanti per le attività di indagine spingendole a cercare nuovi approcci.

L'ingiunzione emessa da Gorenstein assume inoltre particolare importanza, dal momento che ha offerto alla compagnia ignota la possibilità di esporre le proprie osservazioni. Egli ha infatti aggiunto che alle terze parti soggette ad un'ordinanza secondo l'All Writs Act dovrebbe essere garantita un'udienza sulla gravosità del compito, prima che venga fornita assistenza. Gorenstein ha concesso cinque giorni di tempo per inviare le proprie rimostranze: una condotta di trasparenza, dal momento che Gorenstein ha dato pubblica notifica di un'operazione di routine che sarebbe potuta essere stata portata avanti dietro le quinte.

Del resto appoggiarsi all'All Writs Act per richiedere l'assistenza dei produttori di smartphone è pratica piuttosto delicata quando si tratta di decidere cosa possa essere considerato "assistenza tecnica non ragionevole od onerosa". Ciò che un giudice o un'autorità può considerare compito di poco conto, potrebbe essere invece ritenuto da una compagnia una attività complessa che richieda ben più che pochi minuti di lavoro. Gorenstein ha voluto sottolineare tutti questi aspetti per offrire al produttore una possibilità di obiettare, ma ovviamente questo tipo di condotta non è detto che venga automaticamente adottata da tutti i giudici.

E' una linea molto sottile su cui procedere ed è auspicabile che il ricorso all'All Writs Act avvenga solamente in quelle situazioni dove possa rappresentare l'ultima risorsa disponibile: ci sono numerosi strumenti a disposizione della legge e delle autorità, ma ciò non significa che l'accesso ai dispositivi debba essere liberamente concesso e garantito, così come l'Act non dovrebbe essere usato come strumento per violare la privacy.

La faccenda è comunque complicata, specialmente se si considera che realtà come Google ed Apple hanno recentemente adottato tecnologie di cifratura nei propri sistemi operativi che esse stesse non possono forzare, dal momento che non conservano copie delle password usate dall'utente. Le compagnie sostengono di non essere in grado di sbloccare o decifrare informazioni anche se fossero obbligate a farlo. Apple ha più volte affermato che "non è tecnicamente possibile" rispondere a mandati che richiedono di recuperare dati da dispositivi su cui opera iOS 8.

Proprio a questo proposito il direttore dell'FBI James Comey ha duramente criticato il cambiamento dei produttori sulle misure di cifratura, affermando che Google ed Apple hanno offerto al pubblico strumenti "al di sopra della legge". Appoggiandosi al concetto di "pubblica sicurezza", Comey sostiene che il bisogno di privacy dei consumatori sia un ostacolo in quelle situazioni di emergenza che potrebbero essere concluse tramite un'appropriata perquisizione mediante un mandato.

Il direttore dell'FBI sposta inoltre il problema su un altro livello, chiedendo al Congresso di aggiornare la Communications Assistance for Law Enforcement Act. Secondo Comey però non bisogna seguire la strada dell'"accesso backdoor", ma cambiare la legge perché si possano utilizzare "gli accessi principali con chiarezza e trasparenza". Questo principio andrebbe però a incrinare significativamente la sicurezza dei dispositivi, offrendo un più facile accesso a parti esterne una volta che viene individuata la "porta principale".

Dopotutto, in un'epoca in cui la sottrazione o il furto di un telefono cellulare potrebbe facilmente compromettere irrimediabilmente la vita di chiunque, la richiesta di un po' di protezione non sembra una pretesa fuori dal mondo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
hrossi27 Novembre 2014, 14:17 #1
Interessante l'obbligo di fornire assistenza da parte del produttore dello smartphone. Finora se non sbaglio ci si basava su laboratori e tecnici terzi per accedere al contenuto, anche protetto, degli smartphone. Mi chiedo quindi se esistano delle backdoor inserite apposta nei vari OS degli smartphone per accedere agevolmente anche in caso di protezione o cancellazione. A saperlo avrei evitato di provare una serie di programmi "forensic" per recuperare la rubrica telefonica sparsa tra smartphone e sim, le conversazioni whatsapp, foto e video. Dato che entrambi, phone e sim, erano stati formattati accidentalmente dalla proprietaria.
E per la cronaca sì, ci sono riuscito, con pochi click e senza la minima competenza in materia.

Hermes
deggial27 Novembre 2014, 14:20 #2
Originariamente inviato da: hrossi
Interessante l'obbligo di fornire assistenza da parte del produttore dello smartphone. Finora se non sbaglio ci si basava su laboratori e tecnici terzi per accedere al contenuto, anche protetto, degli smartphone. Mi chiedo quindi se esistano delle backdoor inserite apposta nei vari OS degli smartphone per accedere agevolmente anche in caso di protezione o cancellazione. A saperlo avrei evitato di provare una serie di programmi "forensic" per recuperare la rubrica telefonica sparsa tra smartphone e sim, le conversazioni whatsapp, foto e video. Dato che entrambi, phone e sim, erano stati formattati accidentalmente dalla proprietaria.
E per la cronaca sì, ci sono riuscito, con pochi click e senza la minima competenza in materia.

Hermes


A giudicare dai toni, azzarderei che si trattava di ex fidanzata
hrossi27 Novembre 2014, 14:35 #3
Stavolta sbagli, una collega di lavoro di mia moglie. Anzi, il supervisore a dirla tutta.

Hermes
Zifnab27 Novembre 2014, 17:35 #4
Originariamente inviato da: hrossi
Interessante l'obbligo di fornire assistenza da parte del produttore dello smartphone. Finora se non sbaglio ci si basava su laboratori e tecnici terzi per accedere al contenuto, anche protetto, degli smartphone. Mi chiedo quindi se esistano delle backdoor inserite apposta nei vari OS degli smartphone per accedere agevolmente anche in caso di protezione o cancellazione. A saperlo avrei evitato di provare una serie di programmi "forensic" per recuperare la rubrica telefonica sparsa tra smartphone e sim, le conversazioni whatsapp, foto e video. Dato che entrambi, phone e sim, erano stati formattati accidentalmente dalla proprietaria.
E per la cronaca sì, ci sono riuscito, con pochi click e senza la minima competenza in materia.

Hermes


Hai PM
Mparlav27 Novembre 2014, 18:17 #5
Interessante che il Tribunale possano chiedere assistenza al produttore e naturalmente negli USA sono andati a scovare la classica legge ad hoc ""fonte residua di autorità allo scopo di emettere mandati che non sono altrimenti contemplati dalla legge"

Ancor più interessante quando il produttore dichiarerà che il sistema criptato non può essere violato nemmeno da loro.

Il Giudice gli crederà, gli inviterà a fornire le prove che non possono realmente violare il sistema o piuttosto gli accuserà d'intralcio alla giustizia?

Sono curioso di vedere cosa accadrà, visto che stanno creando il precedente legale con i nuovi sistemi di cifratura sugli smartphone
hrossi27 Novembre 2014, 18:33 #6
Infatti, questa cosa è molto più importante di quanto sembri ad una lettura superficiale.

Hermes
TrudTilp28 Novembre 2014, 00:07 #7
Interessante....
Sarei pronto a scommettere che l'ignoto produttore di smartphone sia Apple. Per due motivi. Parliamo di USA e li è discretamente diffiso.
Certo che è bello pensare che da loro con questa storia si sono subito piegati e da noi per un caso di omicidio si sono rifiutati categoricamente di sbloccare il telefono della vittima per questioni di "Privacy".
Dà da pensare.....
Obelix-it28 Novembre 2014, 11:12 #8
Originariamente inviato da: TrudTilp
Certo che è bello pensare che da loro con questa storia si sono subito piegati e da noi per un caso di omicidio si sono rifiutati categoricamente di sbloccare il telefono della vittima per questioni di "Privacy".
Dà da pensare.....


Primo non si sono subito 'piegati': da quel che dice l'articolo, e' stata solo fatta la richiesta, loro possono dire che e' oneroso o tecnicamente non possibile (se non hanno le chiavi di decrittazione dell'algoritmo..)

Secondo, tutti sanno che in USA la privacy e poco piu' che una barzelletta, mentre qui in EU e' considerata molto piu' seriamente...
Venturer28 Novembre 2014, 12:27 #9
Qualunque sistema per tenere le informazioni nascoste, prodotto dall'uomo, può essere violato. La chiave è........l'uomo stesso!

La sicurezza dei dati non esiste e non cito un luogo comune. Se il "mondo" vuole sapere quello che tieni nascosto lo scopre. In questi giorni tra l'altro dovrebbe uscire al cinema il film sul sistema ENIGMA, ideato dai nazisti durante la seconda guerra mondiale per comunicare in codice, e su come sia stato "aperto" dai matematici e dal recupero di una macchina Enigma durante una missione (argomento trattato da un altro film: U571).
hrossi28 Novembre 2014, 14:53 #10
E trattato anche in diversi ottimi libri romanzeschi, se piace l'argomento e la lettura. Se però non avessero recuperato quel po' di macchine enigma (ci furono diverse versioni) probabilmente non sarebbero riusciti a violare il codice così in fretta e magari la storia sarebbe un po' diversa. Meno male.
Tornando alle cifrature odierne è un po più complicato dato che sono algoritmi molto più complessi e basati spesso su numeri primi, robe da supercomputer più che aziende venditrici di smartphone. A meno di non avere predisposto delle apposite backdoor.

Hermes

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^