Uno smartphone è una forma digitale di identificazione per molte app e servizi. Credito:Dipartimento dei trasporti dell'Iowa
Gli smartphone memorizzano la tua email, le tue foto e il tuo calendario. Forniscono l'accesso a siti di social media online come Facebook e Twitter, e anche i conti bancari e della carta di credito. E sono le chiavi per qualcosa di ancora più privato e prezioso:la tua identità digitale.
Attraverso il loro ruolo nei sistemi di autenticazione a due fattori, il metodo di protezione dell'identità digitale sicura più comunemente utilizzato, gli smartphone sono diventati essenziali per identificare le persone sia online che offline. Se i dati e le app su smartphone non sono sicuri, che è una minaccia per l'identità delle persone, potenzialmente consentendo agli intrusi di presentarsi come bersagli sui social network, e-mail, comunicazioni sul posto di lavoro e altri account online.
Fino al 2012, l'FBI ha raccomandato al pubblico di proteggere i dati dei propri smartphone crittografandoli. Più recentemente, anche se, l'agenzia ha chiesto ai produttori di telefoni di fornire un modo per accedere ai dispositivi crittografati, quello che la polizia chiama "accesso eccezionale". Il dibattito finora si è concentrato sulla privacy dei dati, ma ciò tralascia un aspetto vitale della crittografia degli smartphone:la sua capacità di proteggere le identità personali online delle persone.
Come ho scritto nel mio recente libro, "Ascoltando:la sicurezza informatica in un'era insicura, " fare ciò che vuole l'FBI - rendere i telefoni più facili da sbloccare - diminuisce necessariamente la sicurezza degli utenti. Un recente National Academies of Sciences, Studio di ingegneria e medicina, a cui ho partecipato, avverte inoltre che rendere i telefoni più facili da sbloccare potenzialmente indebolisce questo elemento chiave della protezione dell'identità online delle persone.
Raccogliere prove o indebolire la sicurezza?
Negli ultimi anni, la polizia ha cercato di accedere agli smartphone dei sospetti nell'ambito di indagini penali, e le aziende tecnologiche hanno resistito. La più importante di queste situazioni si è verificata sulla scia della strage di San Bernardino del 2015. Prima che gli stessi aggressori venissero uccisi in una sparatoria, sono stati in grado di distruggere i loro computer e telefoni - tranne uno, un iPhone bloccato. L'FBI voleva che il telefono fosse decifrato, ma preoccupato che i tentativi falliti di violare i meccanismi di sicurezza di Apple potrebbero causare la cancellazione di tutti i suoi dati da parte del telefono.
L'agenzia ha portato Apple in tribunale, cercando di costringere l'azienda a scrivere un software speciale per evitare le protezioni integrate del telefono. Mela ha resistito, sostenendo che lo sforzo dell'FBI è stato l'esagerazione del governo che, in caso di successo, ridurrebbe la sicurezza di tutti gli utenti iPhone e, per estensione, quello di tutti gli utenti di smartphone.
Il conflitto è stato risolto quando l'FBI ha pagato una società di sicurezza informatica per violare il telefono e non ha trovato nulla di rilevante per le indagini. Ma l'ufficio è rimasto fermo sul fatto che gli investigatori dovrebbero avere quello che hanno chiamato "accesso eccezionale, " e quella che altri chiamavano una "porta sul retro":software integrato che consente alla polizia di decifrare i telefoni bloccati.
L'importanza dell'autenticazione a due fattori
La situazione non è così semplice come suggerisce l'FBI. I telefoni protetti forniscono barriere alle indagini della polizia, ma sono anche un ottimo componente di una forte sicurezza informatica. E data la frequenza degli attacchi informatici e la diversità dei loro obiettivi, questo è estremamente importante.
Nel luglio 2015, Funzionari statunitensi hanno annunciato che i ladri informatici avevano rubato i numeri di previdenza sociale, informazioni sanitarie e finanziarie e altri dati privati di 21,5 milioni di persone che avevano richiesto il nulla osta di sicurezza federale all'Ufficio per la gestione del personale degli Stati Uniti. A dicembre 2015, un attacco informatico a tre compagnie elettriche in Ucraina ha lasciato un quarto di milione di persone senza elettricità per sei ore. A marzo 2016, innumerevoli email sono state rubate dall'account Gmail personale di John Podesta, presidente della campagna presidenziale di Hillary Clinton.
In ciascuno di questi casi, e molti altri in tutto il mondo da allora, una pratica di sicurezza scadente - proteggere gli account esclusivamente tramite password - consente ai malintenzionati di fare seri danni. Quando le credenziali di accesso sono facili da decifrare, gli intrusi entrano rapidamente e possono passare inosservati per mesi.
La tecnologia per proteggere gli account online è nelle tasche delle persone. L'utilizzo di uno smartphone per eseguire un software chiamato autenticazione a due fattori (o secondo fattore) rende l'accesso agli account online molto più difficile per i malintenzionati. Il software sullo smartphone genera un'informazione aggiuntiva che un utente deve fornire, oltre a nome utente e password, prima di poter accedere.
Attualmente, molti possessori di smartphone utilizzano i messaggi di testo come secondo fattore, ma non è abbastanza. Il National Institute of Standards and Technology degli Stati Uniti avverte che gli SMS sono molto meno sicuri delle app di autenticazione:gli aggressori possono intercettare i messaggi o persino convincere un'azienda di telefonia mobile a inoltrare il messaggio SMS a un altro telefono. (È successo agli attivisti russi, DeRay Mckesson, attivista di Black Lives Matter, e altri.)
Una versione più sicura è un'app specializzata, come Google Authenticator o Authy, che genera le cosiddette password monouso basate sul tempo. Quando un utente vuole accedere a un servizio, fornisce un nome utente e una password, e quindi riceve una richiesta per il codice dell'app. L'apertura dell'app rivela un codice a sei cifre che cambia ogni 30 secondi. Solo dopo averlo digitato, l'utente ha effettivamente effettuato l'accesso. Una startup del Michigan chiamata Duo lo rende ancora più semplice:dopo che un utente ha digitato un nome utente e una password, il sistema esegue il ping dell'app Duo sul suo telefono, permettendole di toccare lo schermo per confermare l'accesso.
Però, queste app sono sicure quanto il telefono stesso. Se uno smartphone ha una sicurezza debole, chi ne è in possesso può accedere agli account digitali di una persona, anche bloccando il proprietario. Infatti, non molto tempo dopo il debutto dell'iPhone nel 2007, gli hacker hanno sviluppato tecniche per hackerare telefoni smarriti o rubati. Apple ha risposto creando una maggiore sicurezza per i dati sui suoi telefoni; si tratta della stessa serie di protezioni che le forze dell'ordine stanno ora cercando di annullare.
Evitare il disastro
L'utilizzo di un telefono come secondo fattore di autenticazione è conveniente:la maggior parte delle persone porta sempre con sé il telefono, e le app sono facili da usare. Ed è sicuro:gli utenti notano se il loro telefono non è presente, cosa che non fanno se viene revocata una password. I telefoni come autenticatori di secondo fattore offrono un vasto aumento della sicurezza oltre ai soli nomi utente e password.
Se l'Ufficio per la gestione del personale avesse utilizzato l'autenticazione a secondo fattore, quei registri del personale non sarebbero stati così facili da sollevare. Se le compagnie elettriche ucraine avessero utilizzato l'autenticazione a secondo fattore per l'accesso alle reti interne che controllano la distribuzione dell'energia, gli hacker avrebbero trovato molto più difficile interrompere la rete elettrica stessa. E se John Podesta avesse usato l'autenticazione a secondo fattore, Gli hacker russi non sarebbero stati in grado di entrare nel suo account Gmail, anche con la sua password.
L'FBI si contraddice su questa importante questione. L'agenzia ha suggerito al pubblico di utilizzare l'autenticazione a due fattori e la richiede quando gli agenti di polizia vogliono connettersi ai sistemi di database della giustizia penale federale da un luogo non sicuro come un bar o persino un'auto della polizia. Ma poi il Bureau vuole rendere gli smartphone più facili da sbloccare, indebolendo le protezioni del proprio sistema.
Sì, telefoni difficili da sbloccare ostacolano le indagini. Ma a questo manca una storia più ampia. La criminalità online è in forte aumento, e gli attacchi stanno diventando sempre più sofisticati. Rendere i telefoni facili da sbloccare per gli investigatori comprometterà il modo migliore per le persone comuni di proteggere i propri account online. È un errore che l'FBI persegua questa politica.
Questo articolo è stato originariamente pubblicato su The Conversation. Leggi l'articolo originale.