#324 – Chatcontrol

Immaginatevi che da domani, a causa di una nuova legge, le forze dell’ordine, che devono combattere contro il traffico di droga, che sta facendo danni a una grossa fetta della popolazione, avessero accesso a tutte le case di tutti i cittadini e a tutte le loro auto, grazie ad una chiave particolare, che apre ogni tipo di porta.
Nessun ordine del magistrato, loro possono entrare in casa e in auto di chiunque quando vogliono per perquisirla a caccia di droga.
Lo fanno per la nostra sicurezza, per fare in modo che la nostra società sia libera dalla droga.
Lasciatemelo dire, lascerebbero però vino, birra e superalcolici al loro posto, chi ha compreso, sta sorridendo amaramente.
Al lancio di una legge simile si lamenterebbero tutti, come è possibile permettere un’invasione così pervasiva nella propria via da parte dello Stato?
Bene, lo stanno facendo, in altro modo, ma non si è mosso quasi nessuno.

Questa è una di quelle puntate che ho scritto da arrabbiato, ho riletto da arrabbiato e sto cercando di registrare cercando di non essere arrabbiato.
Se passa un po’ di tono arrabbiato, perdonatemi.
La motivazione di partenza è sempre solo una: salvare i nostri bambini.
Perché evidentemente i genitori e le forze dell’ordine con la Magistratura non bastano, bisogna scardinare tutto.
Ma io, come diranno in molti, non ho figli e certe cose non le posso sapere.
L’obiettivo è rintracciare i pedofili online e stroncare il loro scambiarsi le loro orrende immagini.
Lo scopo è assolutamente pregevole, non si discute. L’applicazione decisamente meno.
Per stanare gli schifosi, attualmente, si devono fare indagini, ci si deve infiltrare, si deve combattere contro la tecnologia, che permette, a loro, come a tutti gli altri, di scambiarsi messaggi in modo crittografato.
Ne abbiamo già parlato qui più volte di come funziona la crittografia nella messaggistica e di come è evoluta nel tempo, ma facciamo un breve ripasso.
Il sistema di messaggistica più usato al mondo, Whatsapp, funziona in questo modo, ve lo semplifico un po’
Io lo installo e ho un certificato composto da una chiave pubblica e una privata.
Quando qualcuno vuole comunicare con me, avviene uno scambio di chiavi, ognuno prende la chiave pubblica dell’altra persona. Quando si scrive un messaggio questo viene codificato con la relativa chiave pubblica e potrà essere decodificato solo con la relativa chiave privata, a destinazione.
Il messaggio è in chiaro sul telefono del mittente, viene codificato ed è illeggibile per chiunque non abbia la chiave privata, verrà poi decodificato sul telefono a destinazione, unico posto dove c’è la chiave privata.
Evitiamo i dettagli di come funzionano i gruppi e la parte web, vi bastano queste informazioni per capire il funzionamento.
Visto che Whatsapp è gestito centralmente, tutti i messaggi passano dai loro server, che poi sono quelli di Meta, per estensione di Facebook.
Ma passano tutti crittografati. Anche con un’indagine in corso non si potrebbero leggere.
Se un Giudice dicesse a Meta “ehi, dammi tutte le conversazioni di quella persona”, i contenuti non sarebbero leggibili perché crittografati.
Si dovrebbe andare a prendere il telefono della persona indagata, ma si perderebbe l’effetto sorpresa e la persona smetterebbe di comunicare.
Oltre al fatto che se il telefono è bloccato da PIN, sarebbe da scardinare anche quello.
I dati in chiaro che Meta potrebbe fornire, come tutti i fornitori di servizi crittografati, sono i metadati, che non si chiamano così perché l’azienda si chiama Meta, sia chiaro.
Sono quei dati che descrivono il messaggio, senza il contenuto.
Chi ha scritto a chi, quando, dov’erano, quanti messaggi si sono mandati e via dicendo.
Da questi dati si può evincere molto, ma i contenuti sono molto più importanti per le indagini.
Per averli, tipo intercettazione, si dovrebbe installare un malware sul telefono della persona indagata. Questo presuppone che lei abbia un telefono vulnerabile, che si riesca a prenderne possesso o che si riesca a usare una falla 0day non pubblica, cosa che costa non poco in termini di sforzo investigativo.
Ovviamente non si deve dare la colpa alla piattaforma, che permette una facile crittografia dei messaggi, ne va della privacy di tutti che questi siano crittografati e non ci sia un posto dove tutti i messaggi e gli allegati di tutti gli utenti di Whatsapp siano in chiaro.
Fosse così sarebbe colpa di un sacco di cose per un sacco di malefatte, dovremmo iniziare a smettere di produrre coltelli, cacciaviti, soldi, balconi, automobili, sacchetti di plastica e altre cose che hanno un loro uso perfettamente lecito nella maggior parte dei casi.
Lo stesso discorso fatto per Whatsapp vale per Signal e, ve lo ricordo, non vale per Telegram, che ha tutto in chiaro, messaggi 1 a 1 e gruppi, tranne per quelle che vengono chiamate Chat private, che sono solo tra telefoni e che vengono attivate in modo specifico su richiesta. Se usate altri sistemi di messaggistica andate a cercare sul loro sito di riferimento come funzionano.
Detto tutto questo, cosa vorrebbe fare una legge come Chatcontrol?
Vorrebbe avere accesso a due cose in modo incondizionato.
Come prima cosa vorrebbe una backdoor nella crittografia end to end tra i due dispositivi, in modo che la crittografia verrebbe meno e si possa fare quello che in gergo viene chiamato men in the middle.
Ma non solo nei sistemi di messaggistica, tutti.
Anche nella mail e tutto quello che è corrispondenza personale digitale.
I più ottimisti penseranno, a questo punto, che la richiesta è legittima, così se un Giudice vuole che una persona sia controllata, può emettere un mandato e questa viene controllata come si fa con le intercettazioni.
No, non sarà così.
La seconda cosa è che tutti i sistemi di comunicazione e tutte le comunicazioni passino al vaglio di sistemi automatici che ne identifichino i pattern per poi, se vengono identificate comunicazioni a rischio, essere passate alle forze di polizia.
Ok, vi lascio un attimo per elaborare.
Vorrebbero che tutti i messaggi che ci si scambia in Europa venissero passati al vaglio di sistemi che li leggono e cercano di identificare, con l’aiuto di sistemi di AI, se sono messaggi di contenuto pedopornografico. Se il test è positivo, il messaggio, con mittente e destinatario, viene passato alla polizia.
Tutti. I. Messaggi.
Ah, sì, dimenticavo, vorrebbero passare al vaglio di questi sistemi anche tutte le foto.
Tutti i messaggi e tutte le foto passate al vaglio di sistemi AI in mano ai Governi.
Adesso forse vi si è accesa una lampadina.
Partiamo dal presupposto che le AI non sempre ci prendono, quanti messaggi e foto private vedranno le forze di polizia? Con quanti dati personali e sensibili verranno in contatto?
Vero, per le immagini viene fatto un controllo sul sull’hash dell’immagine, per adesso.
E quanto ci vorrà a cambiare questi pattern a piacimento, in base a leggi o in base a quanto è corruttibile il tecnico che lavora nella stanza di gestione di chatcontrol?
Aggiungo ancora una cosa.
Chi sa di fare cose illegali, di solito, è molto ben attrezzato per eludere controlli di massa, usa app speciali, si mimetizza, sa quello che fa o, comunque, la sua rete di persone schifose, lo aiuterà a farlo. Prenderanno qualche sprovveduto giusto per fare notizia e per dire che il sistema funziona.
La gente comune darà in pasto tutta la propria vita a questi sistemi e, una volta dentro, sarà lì, per sempre.
E chi cercherà di avere un po’ di privacy in più, usando sistemi di crittografia aperti, come PGP, che non possono essere vietati, perché si usano sopra a sistemi di comunicazione standard, verranno tacciati, per definizione, di essere pericolosi criminali.
Al momento pare che la discussione si sia arenata, ma state all’occhio su quello che succede, perchè se questa cosa passa, sarà un sistema di sorveglianza globale pericoloso per tutti.
Pare che adesso ci sia una proposta che voglia, per legge, che ogni dispositivo digitale debba essere progettato per essere controllato by design, che cosa orrenda.
Sommato alle prove di grande firewall con la scusa della lotta alla pirateria sul calcio, abbiamo messo la freccia e stiamo superando la Cina in scioltezza.

Donazioni
Pillole di Bit è un podcast gratuito da sempre e disponibile per tutti, ma realizzare un podcast ha dei costi in servizi, hardware e software.
Ma non solo, ha anche bisogno di un ritorno in soddisfazione per chi lo produce, settimana dopo settimana, da quasi 10 anni.
Per coprire costi e soddisfazione voi ascoltatori potete contribuire in modo pratico, mettendo mano al portafogli, con una donazione, che sia ogni tanto o un abbonamento mensile, dell’importo che volete, basato su quanto potete permettervi e quanto vale per voi la produzione e i contenuti delle puntate.
Ogni volta che vedo una notifica, sono contento, vuol dire che il mio lavoro ha generato un valore reale.
Potete farlo in modi diversi, tramite Satispay, Paypal o con il Value for Value, con le applicazioni che lo gestiscono, se volete più informazioni sul value 4 value potete fare riferimento alla puntata 297.
I più sinceri ringraziamenti vanno a chi ha voluto donare qualcosa in questa settimana, nel dettaglio
Gli abbonati
Giorgio
Ivan
Carlo
Valerio
Le donazioni spot
Massimo
Cristiano
E chi usa il value for value
Federico
Paolo
Nicola Gabriele
Oltre a donare direttamente, potete anche usare i link sponsorizzati, che a fronte di un vostro ordine, a me riconoscono una percentuale, come Amazon o uno dei migliori provider internet che potete trovare sul mercato: Ehiweb, per loro metto la mano sul fuoco, tutte le persone che si sono abbonate mi hanno dato feedback estremamente positivi.
E non dimenticatevi di parlar bene di Pillole di Bit a chi non lo conosce o a chi non sa dell’esistenza dei podcast.

Io vi avviso, questa è la droga digitale, per questo motivo, se siete portati a cedere alle cose addictive, per cortesia non andate sul sito che sto per proporvi, da desktop o da mobile.
Avete presente il gioco sasso, carta forbice?

In questo caso aprite il sito e vi viene chiesto cosa batte il sasso, non per niente il sito si chiama www.whatbeatsrock.com e viene proposto carta, in inglese, tutto il gioco è in inglese.
Bene, poi cosa batte la carta, potete scrivere le forbici.
E cosa batte le forbici? Qui dovete essere creativi, perché non potete ripetere una cosa già detta.
Il gioco finisce quando proponente qualcosa che dovrebbe battere qualcos’altro e non è vero.
A questo punto il gioco finisce.
Se ci cadete dentro con tutte le scarpe non è colpa mia.

Siamo arrivati alla fine di questa puntata di Pillole di bit, vi ricordo che tutti i link relativi alle cose dette sono nelle note, che trovate sulla vostre app o sul sito.
Io sono Francesco, produttore e voce di questo podcast e vi do appuntamento a lunedì prossimo, per la prossima puntata, disponibile su Feed RSS, o su tutte le piattaforme di podcast, vi registrate e la puntata vi arriva automagicamente.
La parte audio che avete sentito nel tip è tratta da una puntata di The Big Bang Theory, una sitcom che se non conoscete, beh, dovreste vedere, in quanto ascoltatori di questo podcast.

Grazie per avermi ascoltato!

Ciao!