Nell’ultimo anno, i governi di tutto il mondo hanno fatto pressione su Facebook per abbandonare i suoi piani per la crittografia end-to-end nelle sue applicazioni, sostenendo che la funzione fornisce una copertura per i criminali e, soprattutto, i predatori di bambini. Oggi Facebook sta lanciando nuovi strumenti di rilevamento degli abusi e di allarme in Messenger che possono aiutare a rispondere a queste critiche, senza indebolire le sue protezioni.
Facebook ha annunciato oggi nuove funzionalità per Messenger che vi avviseranno quando i messaggi sembrano provenire da truffatori finanziari o potenziali pedofili, mostrando avvisi nell’app Messenger che forniscono suggerimenti e suggeriscono di bloccare i colpevoli. La funzione, che Facebook ha iniziato a distribuire su Android a marzo e ora sta portando su iOS, utilizza l’analisi dell’apprendimento automatico delle comunicazioni attraverso il miliardo e più di utenti di Facebook Messenger per identificare i comportamenti loschi. Ma soprattutto, Facebook dice che il rilevamento avverrà solo sulla base dei metadati – non l’analisi del contenuto dei messaggi – in modo da non compromettere la crittografia end-to-end che Messenger offre nella sua funzione Secret Conversations. Facebook ha detto che alla fine implementerà la crittografia end-to-end a tutte le chat di Messenger per impostazione predefinita.
“Stiamo introducendo avvisi di sicurezza in Messenger che appariranno in una chat e forniranno suggerimenti per aiutare le persone a individuare attività sospette e agire per bloccare o ignorare qualcuno quando qualcosa non sembra giusto”, si legge in un post sul blog di Facebook, direttore della gestione dei prodotti per la privacy e la sicurezza di Messenger Jay Sullivan. “Mentre ci muoviamo verso la crittografia end-to-end, stiamo investendo in strumenti di tutela della privacy come questo per mantenere le persone al sicuro senza accedere al contenuto del messaggio.”
“Penso che sia un buon segno che stiano sperimentando qui.”
Alex Stamos, ex responsabile della sicurezza di Facebook
Facebook non ha rivelato molti dettagli su come funzioneranno i suoi trucchi di rilevamento degli abusi con apprendimento automatico. Ma un portavoce di Facebook dice a WIRED che i meccanismi di rilevamento sono basati solo sui metadati: chi sta parlando con chi, quando inviano messaggi, con quale frequenza, e altri attributi degli account interessati – essenzialmente tutto tranne il contenuto delle comunicazioni, a cui i server di Facebook non possono accedere quando quei messaggi sono criptati. “Possiamo ottenere segnali abbastanza buoni che possiamo sviluppare attraverso modelli di apprendimento automatico, che ovviamente miglioreranno nel tempo”, ha detto un portavoce di Facebook a WIRED in una telefonata. Hanno rifiutato di condividere più dettagli in parte perché la società dice che non vuole aiutare inavvertitamente i cattivi attori ad aggirare le sue protezioni.
Il post sul blog della società offre l’esempio di un adulto che invia messaggi o richieste di amicizia a un gran numero di minori come un caso in cui i suoi meccanismi di rilevamento comportamentale possono individuare un probabile abusatore. In altri casi, Facebook dice, peserà la mancanza di connessioni tra i grafici sociali di due persone – un segno che non si conoscono – o considerare i casi precedenti in cui gli utenti hanno segnalato o bloccato qualcuno come un indizio che stanno facendo qualcosa di losco.
Una schermata di Facebook, per esempio, mostra un avviso che chiede se un destinatario del messaggio conosce un potenziale truffatore. Se dicono di no, l’avviso suggerisce di bloccare il mittente, e offre consigli su come non inviare mai denaro a uno sconosciuto. In un altro esempio, l’applicazione rileva che qualcuno sta usando un nome e una foto del profilo per impersonare l’amico del destinatario. Un avviso mostra quindi il profilo dell’impersonatore e quello dell’amico reale fianco a fianco, suggerendo all’utente di bloccare il truffatore.
Facebook ha un’eccezione alla sua affermazione che non guarda il contenuto dei messaggi: Il meccanismo di segnalazione degli abusi di Messenger ha da tempo incluso una funzione che invia messaggi a Facebook quando un utente li segnala. Questo dà a Facebook un altro potenziale indizio su quale altro cattivo comportamento potrebbe avere quel mittente, ma non è generalmente considerato una violazione della crittografia end-to-end, poiché il destinatario di un messaggio crittografato può sempre scegliere di condividere la versione decriptata con una terza parte.1
Per ora, la funzione degli avvisi di sicurezza suggerirà solo esplicitamente di bloccare o ignorare un potenziale abuso. (Gli utenti possono ancora segnalare un comportamento abusivo con il solito metodo di toccare il nome del mittente e poi “Qualcosa non va”, specificando poi cosa è successo). “Abbiamo voluto dare alle persone un’azione immediata, e il blocco è l’azione più immediata che qualcuno può fare per evitare danni”, dice un portavoce di Facebook. “
L’aggiunta da parte di Facebook Messenger di avvisi di abuso basati solo sui metadati è un “buon inizio”, dice Alex Stamos, l’ex chief security officer di Facebook. Ma sostiene che l’azienda potrebbe – e dovrebbe – fare di più. Stamos, che ora guida lo Stanford Internet Observatory, ha sostenuto che Facebook, Google, Microsoft, Snap e altri dovrebbero tutti monitorare i segni di cattivo comportamento sui dispositivi degli utenti. E una volta che lo fanno, dovrebbero spingere le persone a essere in grado di segnalarlo”, dice Stamos. L’analisi del contenuto sul dispositivo e la segnalazione permettono a Facebook di trovare i cattivi attori più velocemente della semplice scansione dei metadati, dice Stamos, pur mantenendo la crittografia end-to-end.
Stamos nota anche che se Facebook ha sottolineato la segnalazione piuttosto che il semplice blocco nei suoi avvisi, quei rapporti potrebbero creare prove che le forze dell’ordine potrebbero utilizzare contro i criminali gravi. “Non arresterete qualcuno perché i vostri dati mostrano che ha cercato di ‘chiedere l’amicizia’ a un gruppo di ragazze adolescenti”, aggiunge Stamos. “Mentre se qualcuno invia effettivamente una richiesta di nudi a un ragazzo, questo è probabilmente illegale nella maggior parte dei casi. Questo potrebbe essere usato per ottenere un mandato di perquisizione ed eventualmente perseguire la persona. Si vuole davvero il contenuto delle comunicazioni, e il modo migliore per farlo nella crittografia end-to-end è solo quello di incoraggiare il destinatario a segnalare la conversazione.”
Un portavoce di Facebook, interrogato su questa possibilità di analisi dei contenuti lato client, dice che la misura “non è stata considerata e non è necessaria per questa funzione di sicurezza.”
Facebook, insieme a molte altre aziende tecnologiche, è venuto sotto crescente pressione dall’amministrazione Trump e dal Congresso per costruire meccanismi nella crittografia che consentono l’accesso alle comunicazioni e ai dati memorizzati. A marzo, è stato introdotto un disegno di legge chiamato EARN IT Act che potrebbe in pratica vietare una forte crittografia end-to-end se passasse nella sua forma attuale. E proprio questa settimana, il procuratore generale William Barr ha criticato Apple per non aver aiutato a decifrare un paio di vecchi iPhone che appartenevano a Mohammed Saeed Alshamrani, legato ad Al Qaeda, che ha ucciso tre persone in una sparatoria di massa lo scorso dicembre.
Facebook sostiene che i suoi nuovi avvisi di sicurezza non sono una risposta a quella pressione politica – che, infatti, sono stati in lavorazione anche prima che Mark Zuckerberg annunciasse la lenta transizione dell’azienda verso un sistema di messaggistica crittografata unificato, end-to-end, lo scorso anno.
Ma Stamos sostiene che proprio questo tipo di strumento è necessario per placare i critici della crittografia, e che di più potrebbe essere necessario e possibile senza compromettere le garanzie fondamentali della privacy della crittografia. “Penso che sia un buon segno che stiano sperimentando qui”, dice Stamos. “È un riconoscimento che credono di avere la responsabilità di affrontare alcuni dei lati negativi, che penso non sia solo moralmente giusto. È un presupposto della sopravvivenza della crittografia end-to-end.”
1Aggiornato il 21/05/2020 alle 2pm EST per chiarire come funziona il processo di segnalazione di Facebook per le conversazioni criptate.
More Great WIRED Stories
- How a Chinese AI giant made chatting—and surveillance—easy
- The confessions of Marcus Hutchins, the hacker who saved the internet
- We’ll learn to sing together when we’re far apart
- 27 days in Tokyo Bay: Cosa è successo sulla Diamond Princess
- Consigli e strumenti per tagliare i capelli a casa
- 👁 AI scopre un potenziale trattamento Covid-19. Inoltre: Ottieni le ultime notizie di AI
- 🏃🏽♀️ Vuoi i migliori strumenti per stare bene? Dai un’occhiata alle scelte del nostro team Gear per i migliori fitness tracker, l’attrezzatura da corsa (comprese scarpe e calze) e le migliori cuffie
More Great WIRED Stories
- How a Chinese AI giant made chatting—and surveillance—easy
- The confessions of Marcus Hutchins, the hacker who saved the internet
- We’ll learn to sing together when we’re far apart
- 27 days in Tokyo Bay: What happened on the Diamond Princess
- Tips and tools for cutting your hair at home
- 👁 AI uncovers a potential Covid-19 treatment. Plus: Get the latest AI news
- 🏃🏽♀️ Want the best tools to get healthy? Check out our Gear team’s picks for the best fitness trackers, running gear (including shoes and socks), and best headphones