Il caso Mitto AG surveillanve - o perché non dobbiamo mai usare la crittografia backdoor.

Un singolo dipendente ha fatto trapelare dati sensibili ai servizi segreti, potenzialmente anche alla Russia.

2022-05-11
Mitto AG surveillance shows why encryption must never be broken.
Si dice che la Mitto AG, un'azienda svizzera, abbia aiutato la sorveglianza dei telefoni cellulari su larga scala. Le indagini sono in corso, ma le attuali fughe di notizie indicano un dipendente che ha collaborato con i servizi segreti di tutto il mondo distribuendo i dati di localizzazione liberamente - e senza alcuna supervisione legale.
ISCRIVITI

Sorveglianza della Mitto AG

Ilja Gorelik, cofondatore e direttore operativo di Mitto AG, avrebbe aiutato società private di sorveglianza e agenzie governative a tracciare le persone attraverso i loro telefoni cellulari.

La fuga di notizie pubblicata dal Bureau of Investigative Journalism e Bloomberg News accusa la società svizzera Mitto AG di aver aiutato a localizzare i telefoni cellulari e ottenere informazioni in operazioni di sorveglianza in tutto il mondo.

La tecnologia per migliorare la sicurezza

Il paradosso nel caso della sorveglianza della Mitto AG è che in realtà la tecnologia fornita dovrebbe aiutare a proteggere i dati segreti - non permettere la sorveglianza.

Mitto AG offre servizi di messaggi di testo in tutto il mondo in modo che i servizi online fossero in grado di offrire verifiche via SMS al momento del login. Per accedere a un account online, per esempio, non si usa solo una password, ma anche un codice che viene inviato tramite un messaggio di testo.

Mitto AG ha contratti con i provider di tutto il mondo per inviare messaggi di testo in grandi quantità. Grandi aziende tecnologiche come Google, WhatsApp, Microsoft e Twitter erano clienti di Mitto AG. Quest'ultimo ha smesso di collaborare con Mitto AG recentemente a causa dell'indagine in corso nella presunta sorveglianza di Mitto AG.

A causa della sua attività, Mitto AG lavora con aziende di telecomunicazioni in oltre cento paesi e ha accesso all'infrastruttura di comunicazione mobile in numerosi paesi del mondo, anche in paesi come l'Afghanistan e l'Iran.

Tecnologia usata per la sorveglianza

Ma dalla fine dell'anno scorso, la Mitto AG è sottoposta a seri sospetti: invece di aumentare la sicurezza per gli utenti, il co-fondatore Gorelik avrebbe usato l'accesso all'infrastruttura di telefonia mobile per permettere a terzi di monitorare gli utenti di telefonia mobile.

A partire dal 2017, ha venduto l'accesso alla rete dell'azienda a società private di sorveglianza, che l'avrebbero usata per operazioni di spionaggio per conto di agenzie statali, secondo Bloomberg.

Le partnership di Mitto con i fornitori di telecomunicazioni gli hanno permesso di sfruttare alcune vulnerabilità consolidate da tempo nel protocollo (Signaling System 7, o SS7) che sta alla base di gran parte delle comunicazioni internazionali. Tramite SS7 le persone possono essere localizzate e informazioni come la cronologia delle chiamate lette dai loro telefoni.

Nel 2017, un rapporto del Dipartimento della Sicurezza Nazionale degli Stati Uniti ha notato quanto siano gravi le vulnerabilità di sicurezza in SS7: Terze parti possono determinare la posizione fisica dei dispositivi mobili o intercettare o reindirizzare messaggi di testo e conversazioni a causa delle vulnerabilità in SS7.

Questi problemi sono noti da tempo, ma a causa dell'età di SS7 - è stato istituito negli anni '70 - è complicato, se non impossibile, risolvere i problemi.

Questo è anche uno dei motivi per cui Tutanota non supporta i messaggi di testo per l'autenticazione a due fattori. Invece, si consiglia vivamente di utilizzare U2F (token hardware) come migliore pratica per aumentare la sicurezza del login.

Spionaggio per molti paesi

In un caso specifico nel 2019, i sistemi di Mitto sono stati presumibilmente utilizzati per localizzare il telefono di un alto funzionario del Dipartimento di Stato americano, secondo Bloomberg. Non è chiaro chi ci fosse dietro l'operazione. Inoltre, il rapporto cita il caso di una persona nel sud-est asiatico la cui sorveglianza avrebbe coinvolto l'invio di comandi di sistema per leggere messaggi di testo.

L'intera gamma di società di sorveglianza e servizi segreti con cui Mitto AG ha collaborato non è ancora chiara. Tuttavia, è venuta alla luce anche una connessione esplosiva con la Russia.

Il giornale svizzero Tages-Anzeigerha pubblicato collegamenti commerciali con la Russia. Secondo il rapporto, Mitto è la società madre al 100% di una sospetta società di comodo a Mosca, che è stata fondata proprio nell'anno in cui sono iniziate le attività di sorveglianza: il 2017.

Secondo il Tages-Anzeiger, Mitto AG è l'intero proprietario della società di Mosca chiamata Tigokom. Lo scopo della società è elencato nel registro commerciale russo per "attività nel campo delle comunicazioni senza fili". La sede di Tigokom è una singola stanza in un piccolo edificio di uffici in posizione centrale a Mosca.

Per l'esperto di intelligence Erich Schmidt-Eenboom, la rivelazione ha destato dei sospetti: "Questo fa sorgere il sospetto che i servizi russi possano aver ricevuto informazioni da Mitto", dice Schmidt-Eenboom al Tages-Anzeiger. "Ora le autorità svizzere devono intervenire per chiarire questo sospetto".

Mitto AG nega lo spionaggio

La Mitto AG nega di essere impegnata nel business dello spionaggio e della sorveglianza. Mitto non ha gestito un dipartimento che dà alle società di sorveglianza l'accesso all'infrastruttura di telecomunicazione per monitorare le persone, e non lo farà, dice. Un'indagine interna è stata avviata per chiarire le accuse.

Secondo Bloomberg Mitto AG ha detto in una dichiarazione:

"Siamo scioccati dalle affermazioni contro Ilja Gorelik e la nostra azienda. Per essere chiari, Mitto non organizza e non gestirà un business separato, una divisione o un'entità che fornisce alle società di sorveglianza l'accesso alle infrastrutture di telecomunicazione per localizzare segretamente le persone attraverso i loro telefoni cellulari, o altri atti illegali. Mitto inoltre non condona, supporta e permette lo sfruttamento delle reti di telecomunicazione con cui l'azienda collabora per fornire servizi ai suoi clienti globali".

Lezione imparata

Così com'è, il caso di sorveglianza di Mitto AG mostra quanto sia pericoloso se le aziende hanno accesso a dati sensibili.

È bastato un solo uomo - certo, quest'uomo era il co-fondatore della società, ma sempre un solo uomo - per far trapelare i dati di localizzazione dei cittadini a società di investigazione privata. Questa forma di sorveglianza potrebbe essere presa da un best-seller di spionaggio, eppure è presumibilmente accaduta nella realtà.

La ragione stessa per cui questa fuga di dati sensibili è stata possibile in primo luogo sono debolezze di sicurezza - o vulnerabilità - nel protocollo SS7.

Questo dimostra chiaramente che dobbiamo proteggere i dati ogni volta che è possibile, anche e soprattutto dalle aziende che gestiscono tali dati.

Crittografare tutto

Il caso Mitto AG è un altro esempio del perché non dobbiamo mai fare la crittografia backdoor.

La crittografia Ende-zu-Ende è il miglior strumento che abbiamo per proteggere i dati sensibili. Non solo dalle autorità, ma anche da attori malintenzionati che potrebbero cercare di accedere ai nostri dati personali.

Ancora una volta, la Mitto AG è la prova che una "backdoor solo per i buoni" - come le autorità chiedono regolarmente - non è semplicemente possibile. Non appena c'è una backdoor, un attore malintenzionato arriverà e ne abuserà.

La crittografia Ende-zu-Ende non deve mai essere violata.

ISCRIVITI
Author
Black and white picture of Hanna being shocked a bit.
Hanna fa parte del team di Tuta dal lancio del client di posta elettronica sicura Tutanota nel 2014. Nel corso degli anni è diventata un'esperta nello spiegare la crittografia all'utente medio di Internet, assicurandosi che tutti capiscano perché la privacy è importante e come la crittografia aiuta a proteggere i propri dati sul web.
Top post
Modellazione delle minacce nel 2024: La vostra guida per una migliore sicurezza
I 10 migliori servizi di posta elettronica privata nel 2024
Google paga 1150 volte di più per il suo monopolio di ricerca che per le attività di lobbying in UE e USA
Perché usare un gestore di password - e i nostri 3 migliori!
E-mail anonima: Creare un indirizzo e-mail senza numero di telefono.
L'illusione che la "privacy svizzera" sia la migliore
10 migliori caselle di posta elettronica gratuite nel 2024
Ultimi articoli
La ricerca su Google è un problema: come Google sta schiacciando Tuta.
La backdoor XZ e l'importanza del software open source
Apple vi dà finalmente la possibilità di scegliere: prendete e installate subito un browser privato!
Il gruppo di hacker russi Sandworm è tornato: Il nuovo malware Kapeka infetta segretamente i sistemi dal 2022
Terminare la sottoscrizione
Azienda
Community
Squadra
Lavori
Termini
Privacy
Note Legali
Sviluppo
Registro delle modifiche
Tabella di marcia
Sicurezza
Crittografia
Open Source
GitHub
Funzionalità
Email sicura
Calendario Crittografato
Business
Supporto
Forum
Stampa
Supporto
Lingua
Italiano
Traduci