"Neppure la punta dell'iceberg"
Il Presidente della Confederazione Ueli Maurer sta testando un telefono cellulare a prova di intercettazione. L'ETH News ha parlato con il suo omonimo, Ueli Maurer, professore dell'ETH ed esperto di crittografia, del lavoro dei servizi segreti, della sicurezza informatica e della minaccia della "guerra informatica".
L'ETH News: Il Presidente della Confederazione Maurer sta pianificando in base a Pagina esternaRapporti dei media,Il Consiglio federale vuole acquistare telefoni cellulari a prova di rubinetto. ? possibile costruire telefoni cellulari assolutamente a prova di rubinetto?
Ueli Maurer: Da un punto di vista scientifico, questi dispositivi possono essere resi assolutamente sicuri. Con la giusta tecnologia di crittografia, è possibile comunicare in modo sicuro su una linea insicura che viene intercettata utilizzando un codice. Il codice può essere reso così sicuro che nemmeno la NSA sarà in grado di decifrarlo tra 100 anni. Io punterei tutto su questo.
Sembra buono, qual è il problema?
Il problema non è il codice, ma l'implementazione sulla piattaforma hardware e software. ? come l'internet banking, dove la crittografia è molto sicura. Ma non serve a nulla se il computer che si utilizza non è altrettanto sicuro, ad esempio se ha un virus.
Come devono essere progettati i telefoni cellulari del Consiglio federale?
Il prerequisito è una crittografia end-to-end sicura per l'intero percorso di trasmissione da un telefono cellulare all'altro. Inoltre, i componenti elettronici devono essere schermati in modo tale da non emettere radiazioni. Inoltre, un telefono cellulare sicuro non deve avere punti deboli, come accade oggi con i dispositivi commerciali.
Quali sono queste debolezze?
Quelli che consentono l'accesso ai dati dall'esterno. Potrebbe trattarsi di una scappatoia involontaria per un virus dovuta a una programmazione scorretta o di una falla di sicurezza deliberatamente costruita che consente di prendere il controllo di un dispositivo dall'esterno e sottrarre dati. Anche l'hardware potrebbe essere colpito. Ad esempio, si potrebbe pensare a un chip che emette radiazioni o a un generatore casuale che produce solo zeri. Tali vulnerabilità potrebbero essere installate su richiesta dei servizi segreti in modo da non essere scoperte. Nel caso dei telefoni cellulari non criptati, invece, i sistemi di trasmissione vengono solitamente interferiti.
A cosa deve prestare attenzione il Consiglio federale nell'acquisto di "telefoni cellulari criptati"?
Quando il Consiglio federale acquista telefoni cellulari sicuri, deve acquistare quelli in cui l'intera piattaforma, dall'hardware al software alla crittografia, è pulita. Ciò significa che deve acquistare da un produttore affidabile e che non utilizzi un sistema operativo di cui non si conosce il contenuto.
Anche i telefoni cellulari commerciali diventeranno più sicuri in futuro?
La domanda è se esista un mercato per i prodotti a prova di rubinetto. Quando vedo come i capi d'azienda oggi discutono i loro affari con i normali telefoni cellulari, ho la sensazione che ci dovrebbe essere un mercato, perché: I servizi segreti non si occupano solo di antiterrorismo, ma anche di spionaggio industriale. Oggi la sicurezza delle informazioni è un tema che deve essere all'ordine del giorno degli amministratori delegati e dei membri dei consigli di amministrazione.
Perché i dispositivi sicuri non sono disponibili da tempo?
Il problema è che non tutti vanno nella stessa direzione. Non è come la sicurezza aerea, la sicurezza stradale o la sicurezza in medicina, dove tutti hanno lo stesso obiettivo, ovvero una maggiore sicurezza. Come stiamo imparando, ci sono interessi contrastanti quando si tratta di sicurezza delle informazioni. I servizi segreti non vogliono che comunichiamo in modo sicuro. Ecco perché non abbiamo le soluzioni che sarebbero possibili da un punto di vista scientifico.
Ti ha sorpreso che la NSA abbia messo sotto controllo i telefoni cellulari di politici di alto livello?
No. I servizi segreti hanno le possibilità tecniche e le usano. Siamo ancora agli inizi della società dell'informazione. Al momento abbiamo soprattutto attacchi passivi - intercettazioni. Ma questo è solo l'inizio. Non è nemmeno la punta dell'iceberg. Quello a cui stiamo assistendo sono le avvisaglie di una vera e propria "guerra informatica".
Cosa si intende per "cyberwar"?
Qualsiasi forma di attacco ai sistemi informatici di aziende e organi governativi: dalle intercettazioni e manipolazioni alla paralisi completa delle infrastrutture. ? già successo. In Iran, le turbine di un impianto di arricchimento dell'uranio sono state distrutte da un virus. Se un qualsiasi dittatore è spiato, per noi va bene. Combattiamo il terrorismo in ogni caso. Ma quando si tratta di politici europei, le cose si fanno scomode. ? qui che il lato oscuro della società dell'informazione diventa evidente. La tecnologia dell'informazione ha un enorme potenziale di cambiamento, si sta sviluppando a rotta di collo e possiamo difficilmente prevedere come si svilupperà.
Possiamo proteggerci dalla "guerra informatica"?
Sono piuttosto scettico sulla possibilità di controllare lo sviluppo in corso. Dovremmo ripensare al modo in cui oggi vengono sviluppati i sistemi informativi e riorganizzarli. Ciò significherebbe non sviluppare il software in modo pragmatico, come si è fatto finora, ma progettarlo da zero in un processo professionale. In altre parole, prima pensare, specificare e poi programmare. Il software dovrebbe essere più semplice e verificabile. Sarebbe necessaria anche la responsabilità del prodotto per i prodotti software. Tuttavia, ciò equivarrebbe a un cambiamento di paradigma che non vedo ancora arrivare.
Ueli Maurer è professore ordinario di informatica all'ETH di Zurigo. ? a capo del gruppo di ricerca sulla sicurezza delle informazioni e sulla crittografia presso l'Istituto di informatica teorica.