[S.Li.P] L'Australia contro la sicurezza (o contro la libertà?)

Lucio lucio a sulweb.org
Dom 9 Dic 2018 09:54:53 CET


Prima di tutto il link ad un articolo che ne parla (in inglese):

https://protonmail.com/blog/australia-anti-encryption-law/

Le intenzioni del governo australiano sembrerebbero buone, ovvero 
permettere alla polizia di raccogliere prove di colpevolezza nei 
dispositivi informatici (cellulare, pc, ...) dei criminali, prima che i 
criminali stessi distruggano tali prove.

Il problema è che la legge, così come l'hanno approvata, richiede che i 
fornitori di software collaborino con la polizia per raccogliere le 
prove da tali dispositivi, senza porre un limite a cosa la polizia possa 
chiedere di fare.

Esempio pratico. Alice sviluppa software, diciamo una app per 
smartphone. Bob è un investigatore della polizia. Chuck è un probabile 
criminale, non ancora giudicato né condannato, che usa la app di Alice. 
Ci sono molti indizi a carico della cattiva condotta di Chuck, ma non 
abbastanza per poterlo arrestare.

Con questa nuova legge (nota come "A&A", ovvero "Assistance and 
Access"), Bob può costringere Alice a pubblicare una versione aggiornata 
della sua app, che contenga una backdoor (ovvero del malware), in modo 
che, non appena lo smartphone di Chuck aggiorna la app alla nuova 
versione, Bob possa curiosare da remoto nello smartphone di Chuck, ad 
insaputa di Chuck stesso.

Già questo probabilmente va molto oltre la definizione di democrazia. In 
più la legge, oltre a ledere i diritti di Chuck, che è un criminale e 
quindi si potrebbe pensare "chissenefrega", non si preoccupa minimamente 
di quali possano essere le conseguenze sul resto della popolazione. La 
nuova versione della app con malware di Alice sarà installata, grazie ad 
un normale aggiornamento, anche da tutti gli altri utenti ignari ed 
innocenti. La legge A&A prevede che il malware forzatamente inserito da 
Alice sia qualcosa di specifico per Chuck, ovvero permetta solo 
l'accesso allo smartphone di Chuck e non allo smartphone di altri 
cittadini. Purtroppo però la legge A&A non contempla il caso in cui 
Alice non sia tecnicamente in grado, senza sapere di non esserlo, di 
fare un malware così preciso. Per non parlare di scenari, sicuramente 
possibili, dove Alice invece è in grado, ma coglie l'occasione per 
inserire un malware, per suo tornaconto personale, che faccia qualcosa 
in più di quanto richiesto da Bob, tanto nessuno potrà mai dimostrare 
che lo abbia fatto apposta, perché lei potrà sempre dire che stava solo 
eseguendo quanto chiesto da Bob, che è la polizia e che probabilmente 
fornirà ad Alice specifiche fumose sul da farsi.

La buona notizia è che non sembra esistere, al momento, una legge 
analoga fuori dall'Australia. Di conseguenza tale legge è difficilmente 
applicabile dalla polizia australiana sulle software house che non sono 
sotto giurisdizione australiana. Magra consolazione, anche perché una 
volta creato il precedente, probabilmente altri stati seguiranno l'esempio.

L'altra buona notizia è che il software libero è immune, perché il 
codice è sotto gli occhi di tutti e nessuno potrebbe inserire malware 
senza che il mondo se ne accorga.

La raccomandazione quindi è usare software libero ogni volta che si può, 
app per lo smartphone comprese.


Maggiori informazioni sulla lista SLiP