Originariamente pubblicato in data 30/04/2008
A
C
C
O
M
A
Z
Z
I
Sempre meno privacy
Fare una telefonata con la certezza di non venire intercettati da un poco di buono è sempre più difficile
Se un delinquente, oppure un membro delle forze dell'ordine dotato di regolare mandato firmato da un magistrato, vuole ascoltare le telefonate che effettuiamo da casa attraverso il telefono fisso, può farlo con una certa semplicità. La tecnica è nota da almeno cinquant'anni: si dissotterra e spella il cavo di rame dell'allacciamento telefonico. Si collegano due pinzette a coccodrillo, una per ciascun filo contenuto nel cavo. Le due pinzette vanno poi connesse a una cornetta, e il gioco è fatto. La nostra voce viaggia infatti "in chiaro", nella forma di impulsi elettrici modulati su quel cavo di rame. Poco importa che le pinze a coccodrillo vengano connesse sotto a casa nostra (potremmo avere qualche sospetto, vedendo un figuro accoccolato nell'aiuola dei gerani sotto alla finestra) o nelle vicinanze della centrale telefonica di quartiere.
Quando nacque la telefonia cellulare, le intercettazioni erano altrettanto facili: un telefono della prima generazione (tecnicamente chiamato ETACS) funzionava come una radiolina ricetrasmittente e mandava la nostra voce in un modo tanto banale da permettere a qualsiasi radioamatore di mettersi in ascolto, semplicemente sintonizzandosi sulle frequenze giuste.
Con la nascita dei cellulari digitali, i GSM, le cose vennero rese più complesse. La nostra voce viene trasformata in una serie di bit, un po' come succede con la musica che troviamo registrata su un disco CD, ma prima di trasmettere questi bit sulle onde radio viene applicata una cifratura. Tutte le schede SIM, quelle tesserine di plastica verdi e oro e stanno a cuore di ogni apparecchio telefonico cellulare, contengono una firma digitale unica al mondo. Quando riceviamo una telefonata su un telefono mobile, o ne iniziamo una, il nostro apparecchio fa uso di crittografia digitale basandosi su questa firma digitale per proteggere la nostra privacy. Il sistema è chiamato A5. Ne esistono due versioni: lo A5/1 usato in Europa e USA, con firma digitale a 64 bit, e lo A5/2 usato in Asia, a soli 54 bit, dunque più facile da scardinare. La semplificazione è stata imposta ai produttori di telefoni cellulari dalle locali forze dell'ordine.
La nostra voce, in qualsiasi caso, viaggia in forma codificata soltanto sino alla cella, quella specie di antenna a forma di alveare che possiamo notare su alcuni tetti delle nostre città e che dà il nome al telefono cellulare. Di lì in poi viene inoltrata in chiaro su un comune cavo telefonico: è questo il motivo per cui le forze dell'ordine non hanno comunque problemi a intercettare le chiamate e registrarle; gli è sufficiente presentarsi, con un regolare mandato, alla compagnia telefonica che gestisce la rete.
Naturalmente, una persona per bene non si preoccupa troppo del fatto che un magistrato potrebbe teoricamente autorizzare l'intercettazione delle sue chiamate. Più preoccupante è il pensiero che un manigoldo potrebbe aggirare le protezioni alla nostra privacy per i suoi loschi motivi. Da questo punto di vista, le notizie non sono buone. I primi scricchiolii nel sistema A5 si udirono nel 1999, quando Lauri Pesonen, allora ricercatore della università di Helsinki, dimostrò che l'algoritmo utilizzato per proteggere la nostra conversazione ha un difetto logico. Quando un problema di sicurezza viene scoperto in un programma informatico per PC come, per esempio, Microsoft Windows, è possibile porvi rimedio andando a modificare la porzione difettosa del programma. Nel caso dei telefoni GSM questo non è stato possibile, perché la maggior parte dei cellulari non ammette riprogrammazione. Nel 1999 la segnalazione del professor Pesonen restò isolata, una debolezza teorica ma nulla di più. Il 20 febbraio scorso invece due giovani hanno dimostrato come sia semplice infrangere in pratica la cifratura delle telefonate GSM e GPRS. David Hulton e Steve (quest'ultimo non ha voluto rivelare il suo cognome per timore di ritorsioni) hanno dimostrato durante una conferenza tenutasi a Washington DC negli USA un semplice apparecchietto che chiunque potrebbe costruirsi in casa smontando un telefono cellulare e collegandolo a un comune PC ben dotato di memoria disco per registrare, il quale permette nel giro di 30 minuti di infrangere la protezione. Questo significa che l'apparecchio deve ascoltare una telefonata per mezz'ora circa, dopo di che il sistema avrà ricavato la chiave A5 e il suo proprietario potrà ascoltare tutte le telefonate in arrivo e in partenza dal telefono intercettato, purché esso si trovi nel raggio di uno o due chilometri.
Usando apparecchiature professionali, e dunque aumentando il costo dell'elettronica utilizzata a un valore di centomila dollari, il tempo di ascolto necessario per infrangere la crittografia A5 si riduce da trenta minuti a uno sconsolante tempo di trenta secondi. Il lavoro di David Hulton e Steve è in gran parte teorico, di matematica pura: il metodo da loro trovato si limita ad eseguire una elaborazione sui dati che viaggiano sulle onde radio per indovinare la chiave A5, che si è dimostrata essere troppo corta (ci sono "soltanto" 288 milioni di miliardi di possibili varianti) e troppo poco protetta. Il metodo è completamente passivo, cioè l'apparecchio funziona esclusivamente ascoltando le frequenze radio usate dalla telefonia senza fili, e quindi non è possibile accorgersi del fatto che l'intercettazione e decodifica sono in atto. Si intercettano con uguale facilità i messaggi SMS.
Per ora esclusi da questa forma di attacco sono i telefoni digitali di terza generazione, i cosiddetti UMTS, che non utilizzano il sistema A5 ma lo rimpiazzano con un altro metodo chiamato GEA3 e capace di gestire chiavi sino a 128 bit.
L’NSA ci mette lo zampino. Anzi, l’orecchio
Chi telefona (o spedisce posta elettronica) negli Stati Uniti deve mettere in conto un'altra possibile fonte di intercettazione: i servizi segreti d'oltreoceano. Le vaste attività di spionaggio, che non richiedono più l'avallo di un magistrato dopo una controversa ordinanza di George W. Bush, sono state messe in luce da un recentissimo reportage del Wall Street Journal che ha fatto molto discutere e che oggi è anche leggibile sul web per chi mastica l'inglese: tinyurl.com/yt3qyrDall'11 settembre 2001 in poi e dietro autorizzazione presidenziale, la National Security Agency (NSA, il servizio responsabile della sicurezza) raccoglie e incrocia i dati di email, telefonate di terra e cellulari, viaggi aerei, transazioni finanziarie (inclusi tutti i bonifici transfrontalieri e l'uso di carte di credito) e accessi al web, nel tentativo di scoprire cellule terroristiche di Al Qaeda negli USA. Prima delle Torri Gemelle, la organizzazione operava esclusivamente al di fuori degli Stati uniti, ora si occupa principalmente del traffico di dati sul confine. Forte di trentamila persone e ricca di un budget federale non specificato e segreto, la NSA oggi sarebbe una delle cinquanta maggiori imprese degli USA se si trattasse di una società per azioni. Compagnie telefoniche e fornitori di accesso Internet forniscono alla NSA una copia digitale di tutte le comunicazioni in corso, secondo il Wall Street Journal.
Prevedibilmente, ce n'è più che a sufficienza per provocare proteste e reazioni da parte di liberali e difensori della privacy del cittadino. La ACLU (American civil liberties union) paventa la nascita di un vero e proprio stato di polizia e invoca l'orwelliano Grande Fratello. Andy McNab, un ex berretto verde britannico ora divenuto scrittore, pensa che la NSA aggiri la legge che le impedisce di indagare i cittadini statunitensi senza un mandato semplicemente girando tutte le informazioni alla sua controparte britannica, lo GCHQ, ricambiando simmetricamente il favore. In un rapporto rilasciato il 16 marzo scorso, lo stesso Dipartimento della Giustizia USA lamenta il fatto che le liste governative dei sospetti terroristi risulta in continua crescita e manca una procedura per cui una persona, statunitense o straniera, una volta indagata e scagionata venga anche cancellata dalla lista dei sospetti. Sul proprio sito Internet www.nsa.gov, la NSA chiarifica e risponde cittadini. Tra la lista delle domande rivolte frequentemente ai portavoce dell'agenzia spicca "ma voi assassinate anche la gente?" La risposta è negativa. La gente la trova informativa ma non del tutto rassicurante, proprio come l'agenzia stessa.