0x18 — L’FBI può hackerare il vostro computer
A fine dicembre 2016, presso la 33a edizione della Chaos Communication Congress che si è svolta ad Amburgo, una conferenza organizzata dal Chaos Computer Club che è la più grande organizzazione europea di hacker ed attivisti digitali, c’è stato l’intervento di un giornalista di Motherboard che ha seguito lo svolgersi di una particolare vicenda che collega l’FBI ed un sito di pedopornografia disponibile sul dark web, il nome del sito è Playpen.
A Gennaio del 2016 era emerso che l’FBI, compiendo un’operazione senza precedenti, era riuscita ad installare un malware in più di mille computer appartenenti a visitatori americani del sito Playpen. Il tutto utilizzando un singolo mandato.
In realtà, più tardi, è emerso che gli utenti che erano stati affetti dal malware erano molti di più, e soprattutto non erano solo americani.
L’FBI ha ottenuto più 8000 indirizzi IP ed ha hackerato computer che si trovavano in oltre 120 nazioni diverse. Per capire come l’FBI abbia portato a termine quella che ha chiamato “Operation Pacifier”, dobbiamo fare un salto al febbraio del 2015, quando l’FBI riuscì a sequestrare il sito Playpen ed inseguito lo gestì per altri 13 giorni da un server del governo.
Poiché il sito Playpen era accessibile solamente utilizzando il browser Tor, di cui abbiamo già parlato nella puntata dedicata al dark web, non era possibile per gli investigatori risalire direttamente agli indirizzi IP dei visitatori. Per risolvere il problema hanno quindi utilizzato un malware o, secondo il giusto termine tecnico, una NIT: network investigative technique.
Questo malware sfruttava una vulnerabilità del browser Tor, al tempo sconosciuta, per accedere ai computer dei visitatori del sito pedopornografico e da lì inviare in chiaro l’indirizzo IP, e quindi anche la località della persona in possesso del computer, al FBI.
Con gli indirizzi IP è facile quindi per l’FBI recarsi presso i fornitori di servizi internet e chiedere che i dettagli degli utenti vengano rivelati.
Questo tipo di intervento era stato reso possibile dal mandato rilasciato da un singolo giudice di uno dei 5o stati che compongono gli Stati Uniti d’America.
Cerchiamo di immaginare concretamente cosa vuol dire tutto ciò: è come se un agente del FBI fosse venuto a casa vostra, fosse ntrato illegalmente ed avesse raccolto delle informazioni da utilizzare in un’indagine. Tutto questo utilizzando un singolo mandato che però è valido solo nello stato in cui è stato emesso, non possiede l’indirizzo ed il nominativo specifico del soggetto dell’indagine, e senza contattare le forze dell’ordine della vostra nazione. Ci si rende conto che tutta questa storia è assurda.
Fra i vari stati colpiti ci sono anche la Danimarca e l’Australia, per citarne alcuni. Inoltre, sempre a dicembre 2016, sono state apportate delle modifiche alla Rule 41, ampliandone i poteri. Questa norma era stata utilizzata in principio dall’FBI per mettere in piedi l’Operation Pacifier.
Con le modifiche apportate, si concede il potere di accedere, cercare, sequestrare, o copiare dati quando la località in cui si trova il dispositivo non è accessibile in alcun modo. Qualunque giudice, di qualunque distretto, potrebbe accordare il permesso all’FBI di introdurre un malware nel vostro computer per raccogliere informazioni. In qualunque parte del mondo vi troviate.
Questo tipo di lotta al crimine e questi metodi utilizzati non sono destinati a scomparire, anzi. E soprattutto potrebbero essere attuati anche da forze dell’ordine di altri stati. In questo modo si crea un precedente per cui tutte le nazioni potrebbero effettuare perquisizioni digitali, indiscriminatamente, in ogni parte del mondo.
Quando si parla di pedopornografia si tratta sempre di un tema spinoso, si cammina sul sottile filo che separa la necessità di combattere chi usufruisce e sfrutta materiale pedopornografico e la necessità, comunque, che la legalità e la correttezza delle indagini siano sempre rispettate dalle stesse forze dell’ordine.
Il metodo utilizzato dall’FBI mette chiaramente in discussione la riservatezza della propria vita personale, utilizzando degli strumenti che, da un punto di vista legale, sfociano nell’illegalità. Questo non vuol dire che la lotta alla pedopornografia, specie nei casi in cui si utilizzano tecnologie per mascherare la propria identità o posizione, debba essere abbandonata.
E’ legittimo voler risolvere il problema della pedopornografia ma questo non deve voler dire che diventi accettabile dimenticare lo stato di diritto.
Dobbiamo però tutti richiedere che ci sia maggiore attenzione nei confronti delle procedure attuate da tutte le forze dell’ordine nell’ambito delle investigazioni. E’ legittimo voler risolvere il problema della pedopornografia ma questo non deve voler dire che diventi accettabile dimenticare lo stato di diritto.
