Del denaro pubblico è stato speso per accedere ai dati cifrati sull’iPhone del killer di San Bernardino, e ora i contribuenti hanno diritto di sapere come le autorità USA, nel nome della lotta al terrorismo, hanno aggirato la garanzie offerte dal mercato, quanto i sistemi di cifratura siano sicuri, e quanto è costato dotarsi di uno strumento che potrebbe attantare al diritto alla privacy di molti.
BREAKING: @USATODAY , AP, Vice filed a #FOIA lawsuit against the FBI for info about the source of its iPhone hack. pic.twitter.com/dccyI6GsUI
– Brad Heath (@bradheath) 16 settembre 2016
Sono Associated Press , USA Today e Vice Media a pressare il governo statunitense: se l’ affastellarsi delle dichiarazioni e le schermaglie legali fra Apple e l’FBI si erano placate a seguito dell’individuazione e dell’ acquisizione di una soluzione tecnica che non obbligasse all’intervento di Apple , è rimasto vivo il dibattito sulla cifratura, sulle prese di posizione delle grandi aziende a tutela della privacy degli utenti e sulle iniziative legislative in materia di backdoor e collaborazione dei produttori di tecnologia. Filone affatto esuarito di questo dibattito, quello relativo alla soluzione tecnica pagata per sbloccare l’iPhone 5C dell’attentatore di San Bernardino, e dei dettagli dell’hack adottato.
Se il direttore dell’FBI James Comey aveva dichiarato nel mese di aprile che l’operazione fosse costata 1,3 milioni di dollari , e se il chiacchiericcio si addensava intorno ai fornitori dell’hack, AP , USA Today e Vice Media avevano nel corso della primavera battuto la strada dei diritti garantiti dallo U.S. Freedom of Information Act per ottenere risposte ufficiali e dettagliate in merito alla soluzione tecnica acquisita dal Bureau . Poiché le loro richieste sono rimaste inevase nel nome della segretezza delle indagini e dei metodi in mano alle forze dell’ordine, le tre agenzie di informazione si sono associate per denunciare l’FBI e forzare il governo alla trasparenza.
Nella denuncia si ricordano proprio le parole di Comey, che sosteneva la necessità di un confronto pubblico in materia dell’accesso ad informazioni cifrate, un confronto che, si sottolinea nella denuncia, non si potrebbe realizzare senza alcun tipo di trasparenza sull’operato delle agenzie investigative. Ad oggi non si conosce il costo esatto dell’acquisizione dello strumento, non è dato sapere chi sia il fornitore di questa soluzione pagata dai contribuenti, non sono stati resi noti i risultati dell’indagine sull’iPhone sbloccato e quindi non è possibile in alcun modo valutare se l’operazione sia stata opportuna .
Inoltre, rimarcano AP , USA Today e Vice Media , la soluzione tecnica acquisita dall’FBI “ha confermato che esisteva (e probabilmente ancora esiste) una vulnerabilità grave che affligge uno dei prodotti più popolari al mondo”, una vulnerabilità che potrebbe essere sfruttata ai danni dei cittadini , non solo dalle autorità , per altre indagini contro il crimine, ma anche da terzi, per i fini meno nobili.
Ad affiancarsi alla denuncia dei tre rappresentanti del mondo giornalistico, e a confermare l’esigenza di una maggiore trasparenza, è la dimostrazione tecnica delle possibilità di accesso ad un iPhone 5c equipaggiato con iOS 9 . Ricreando la situazione delle autorità al cospetto del dispositivo sequestrato, il ricercatore Sergei Skorobogatov dell’Università di Cambridge ha dimostrato l’efficacia della tecnica nota come NAND mirroring, già applicata dall’esperto di computer forensics Jonathan Zdziarski su un iPhone con jailbreak.
Operando sull’hardware per evitare la limitazione dei 10 tentativi di inserimento falliti, e provvedendo ad un attacco di tipo brute force per individuare il PIN di sblocco, con quattro mesi di lavoro nel tempo libero Skorobogatov ha dimostrato di poter accedere ad un iPhone 5c in circa 24 ore e con strumenti a basso costo (meno di 100 dollari), disponibili a chiunque. E ha suggerito che “la stessa tecnica potrebbe essere applicata a modelli di iPhone più recenti”: “qualunque attaccante con sufficienti abilità tecniche potrebbe ripetere questi esperimenti” ha spiegato il ricercatore e, semplicemente, “iPhone più recenti richiederanno una dotazione più sofisticata e delle schede FPGA per i test”.
Gaia Bottà