Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Apple contro l'FBI: alcuni punti da considerare

18 febbraio 2016
Team di ricerca Vectra AI
Sicurezza informatica
Apple contro l'FBI: alcuni punti da considerare

Alla luce della risposta di Apple alla richiesta dell'FBI di accedere all'iPhone di Syed Farook, l'autore della sparatoria di San Bernardino, ho pensato di condividere alcune mie riflessioni al riguardo. Sembra esserci una certa confusione nel collegamento tra questa richiesta dell'FBI e il più ampio dibattito governativo sulla fornitura di backdoor e crittografia.

Proverò a spiegare meglio questo concetto nella speranza di chiarire un po' la confusione:

  • Apple ha interpretato la richiesta dell'FBI come una richiesta di installare una "backdoor"nei propri prodotti. Ciò non è corretto. La richiesta dell'FBI è piuttosto specifica e non riguarda una chiave universale o una backdoor per i prodotti Apple.
  • La richiesta dell'FBI dovrebbe essere interpretata come una richiesta legittima rivolta ad Apple affinché contribuisca alla realizzazione di uno strumento di recupero forense per un prodotto specifico con un numero di serie unico.
  • Il telefono in questione è un Apple 5C e il metodo di accesso richiesto dall'FBI consiste in realtà nello sfruttamento di una vulnerabilità di sicurezza presente in questo prodotto (più vecchio). La vulnerabilità non esiste nell'attuale generazione di iPhone Apple.
  • È facile sostenere che il vettore di sfruttamento richiesto dall'FBI sia una vulnerabilità di sicurezza nota e successivamente corretta da Apple nelle versioni successive del prodotto. Si potrebbe discutere se la vulnerabilità di sicurezza iniziale fosse intenzionale (nel qual caso il 5C avrebbe già una "backdoor") o se si trattasse di un'omissione successivamente corretta (cioè una debolezza di sicurezza). Indipendentemente da ciò, si tratta di un difetto di sicurezza che non esiste nelle versioni successive dell'iPhone.
  • Come già dichiarato in precedenza da Apple, l'azienda collabora regolarmente con le forze dell'ordine di tutto il mondo per fornire assistenza nei casi legali. Ha sviluppato numerosi strumenti e piattaforme forensi per facilitare le indagini legali. L'attuale richiesta dell'FBI è in linea con tali richieste e rientra nel loro ambito di applicazione.
  • Apple teme probabilmente che soddisfare questa richiesta, ovvero creare una patch personalizzata per un telefono vulnerabile, aprirebbe la strada a successive richieste da parte delle forze dell'ordine di fornire supporto nelle indagini su iPhone (vecchi) altrettanto vulnerabili. Data la natura della vulnerabilità, non esiste un approccio "universale" e ogni richiesta legale richiederebbe probabilmente un coinvolgimento sostanziale da parte di Apple. Ciò non sembrerebbe scalabile e potrebbe essere finanziariamente oneroso.
  • L'attuale generazione di iPhone non consente (apparentemente) questo vettore di attacco e non esistono metodi noti per recuperare i dati dagli iPhone utilizzando i meccanismi di protezione forniti.
  • Il dibattito più ampio sul fatto che i produttori di tecnologia debbano installare backdoor nei loro prodotti per consentire indagini legali è una discussione molto più ampia e complessa, in particolare per il fatto che indebolire la crittografia o installare una backdoor sui dispositivi rende semplicemente più facile lo sfruttamento da parte dei criminali, poiché non vi è alcuna garanzia che tali "segreti" possano essere mantenuti e, una volta scoperti, esporrebbero le "chiavi del regno".
  • Mi preoccupa il fatto che, poiché Apple ha tentato di respingere la richiesta dell'FBI citando l'uso di "backdoor", se dovesse perdere questa controversia legale, le ripercussioni potrebbero essere estese all'intero settore della sicurezza. Se il rifiuto fosse formulato in termini di sfruttamento di una vulnerabilità (precedentemente risolta), la prospettiva di una perdita in appello sarebbe notevolmente limitata e le argomentazioni contro le backdoor governative e le chiavi delle forze dell'ordine potrebbero essere elencate nel loro contesto corretto, invece di essere incluse in appelli contro il terrorismo e in un caso specifico di crimine orribile.

Il dibattito è comunque in gran parte irrilevante. Anche se ai fornitori fosse richiesto di installare backdoor o includere chiavi recuperabili nella crittografia che utilizzano, esiste un numero quasi infinito di applicazioni e componenti software aggiuntivi che possono essere installati dall'utente per garantire che tali backdoor siano irrilevanti. Anche se diventasse illegale per le aziende statunitensi non fornire chiavi di backdoor per il proprio hardware o software, esistono molti paesi in tutto il mondo con aziende più che disposte a fornire strumenti aggiuntivi per proteggere i dati dei consumatori e delle aziende.

Domande frequenti