EFF: Le misure che la Silicon Valley deve implementare contro NSA

CyberwarMarketingSicurezzaSoluzioni per la sicurezza
Twitter porta in tribunale il Dpartimento di Giustizia USA. Oggetto del contendere è il permesso di rivelare le richieste della NSA a social network e servizi internet come Google ed Apple
1 1 1 commento

Come impedire a NSA di fare the-man-in-the-middle? L’EFF ha pubblicato sei misure urgenti che la Silicon Valley dovrebbe implementare per prevenire non solo lo spionaggio di NSA, ma anche il cyber spionaggio industriale

Non sappiamo se sia vero quanto il Washington Post abbia riportato su National Security Agency (NSA), tramite i leaks di Edward Snowden, sull’hacking dei data link, i collegamenti che connettono i data centre di Google e Yahoo!. L’NSA è accusata di intercettare i dati attraverso i cavi in fibra-ottica ed altre apparecchiature dei data centre, invece di mettere nel mirino i server. I metadati così ottenuti vengono trattati dal programma Muscular di NSA, attraverso la controparte britannica di NSA, GCHQ.

L’EFF ha pubblicato sei misure urgenti che la Silicon Valley dovrebbe implementare per prevenire non solo lo spionaggio di NSA, ma anche il cyber spionaggio industriale.

Innanzitutto per prevenire lo snooping, bisogna usare la crittografia forte sui servizi e i link fra data center: va immediatamente cifrato tutto il traffico fra  datacenter sul cloud. Le comunicazioni devono essere sicure di default: chi invia o riceve e-mail o ha accesso a servizi online, devono poter uttilizzare HTTPS per comunicare in maniera sicura. Dunque le Webmail devono supportare questi standard di sicurezza. Google, Microsoft e Facebook supportano l’encryption by default, mentre Yahoo! inizierà nel 2014.

EFF consiglia di abilitare e-mail sicure fra Web mail. Se oggi inviate un’e-mail da un account Gmail a uno Hotmail, viaggerà fra server in chiaro, anche se entrambi supportano data link sicuri e HTTPS di default. Se ogni azienda di Web mail abilitasse il protocollo e-mail encryption (StartTLS), ciò permetterebbe il trasferimento cifrato fra server e-mail che supportino il protocollo. Le aziende possono inoltre scambiarsi informazioni sui loro certificati di cifratura (e cioè i “cert pinning”), per impedire a NSA di fare the-man-in-the-middle.

Non è sempre sufficiente usare una chiave forte per crittografare. Se la chiave viene compromessa da un cracker malevolo o da governo (vedi il caso Lavabit), la sicurezza è andata. Le aziende possono scegliere i protocolli di cifratura che abbiano la cosiddetta “forward secrecy,” una qualità che aiuta ad  assicurare che l’accesso alla chiave non comprometta tutte le informazioni.

Bisogna combattere la cyber-sorveglianza: quando un governo cerca l’accesso alle informazioni private e personali attraverso procedimenti legali inconstituzionali o illegittimi, le Big IT, le aziende hi-tech, dovrebbero cercare di respingere questi attacchi alla democrazia, alla privacy e alla trasparenza in tribunale. La National Security Letter è stata dichiarata incostituzionale perché le aziende hanno protestano e l’hanno portata alla sbarra. Infine bisogna contrastare le pratiche di sorveglianza al Congresso, affinché siano le Istituzioni a chiedere a NSA di cessare la cyber sorveglianza di massa. Solo la crittografia non serve, serve un’ecosistema a favore della tutela della privacy di utenti ed aziende.

I consigli di EFF contro NSA
I consigli di EFF contro NSA
Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore