15 novembre 2013

"Violate le chiavi più segrete del web": controlli su conti correnti e transazioni

Infranti i protocolli di sicurezza usati da milioni di persone. Dal 2010 i servizi Usa e Gb possono leggere i dati cifrati. Allarme fra gli esperti della rete


IL LUCCHETTO è spezzato. La sicurezza è finita. L'home banking, gli acquisti online, le comunicazioni riservate, le reti intranet, insomma, tutto ciò che, sulla rete, fino a ieri veniva ritenuto "sicuro", da oggi non lo è più. E' questa la notizia che, coperta dal clamore un po' confuso del datagate, sta rivoluzionando, in queste ore, lo scenario del web. E quindi del pianeta.

Il simbolo, il certificato di morte sulle "comunicazioni protette", è il sorriso beffardo di un emoticon: due punti, chiusa parentesi. La faccina è disegnata insolitamente a penna su uno degli ultimi documenti usciti dall'archivio di Edward Snowden, nel quale si spiega con uno schema come la Nsa - National Security Agency -  riesca a pescare a piacimento dentro i datacenter di Google e Yahoo. Prism spiegato ai ragazzini, in apparenza.

Se non fosse, appunto per quella faccina, e per quello che c'è scritto dopo: "SSL added e removed here!". Il punto esclamativo è più che comprensibile, perché quella frase, tradotta dal linguaggio degli smanettoni all'italiano comune significa che il protocollo di sicurezza SSL, quello che protegge tutte le comuni operazioni "sicure", ad esempio la consultazione del vostro conto corrente online o le informazioni militari della Difesa, è saltato. Non esiste più. Anzi, peggio, esiste ancora, dando all'utente l'illusione di sicurezza, ma può essere agilmente scavalcato. Ma da chi? Ovviamente dalla Nsa, come dimostra il documento. Ma non solo.

IL PRIMO COLPO DI PICCONE
Santa Barbara, Stati Uniti. Agosto del 2007. Durante la conferenza annuale sulla crittografia, due giovani informatici della Microsoft, Dan Shumow e Niels Ferguson, svegliano tutti dal torpore di quel martedì sera annunciando la possibile esistenza di una back door nell'algoritmo alla base dei protocolli di sicurezza di Internet. Le back door, le porte sul retro, sono l'eldorado degli hacker e delle spie. Si tratta minuscoli e invisibili buchi nei sistemi di sicurezza - appositamente previsti dai programmatori - che consentono l'accesso ai pannelli di controllo dei vari siti. Da lì si può vedere tutto quello che succede su un sito, quindi assumere informazioni specifiche e generiche, dati e metadati. Una back door nel sistema di Skype o di Gmail permetterebbe a chi ne avesse le chiavi d'accesso di conoscere tutto delle nostre conversazioni.

La notizia data quel giorno di Agosto a Santa Barbara dalla coppia Shumrow e Ferguson era dunque una sorta di bomba atomica. Che però non esplose. Non ebbe seguito. Le parole dei due  rimasero confinate negli ambienti underground dei cyber-catastrofisti - il settore ne è strapieno - e degli esperti di sicurezza della rete.

Sei anni dopo, però, arriva il documento di Snowden, quello con la faccina. Al momento della sua pubblicazione non è freschissimo, a dire il vero: il timbro è del 2010 e tre anni in questo settore sono tempi biblici. E per questo è ancora più inquietante. Nel documento, la Nsa comunica all'agenzia britannica, testualmente, che  "Vaste quantità di dati Internet cifrati che fino a ora sono stati messi da parte sono adesso utilizzabili". Secondo i report resi pubblici dalla "talpa", la Nsa è in grado di decriptare il traffico di rete protetto dai protocolli Ssl. Ma non solo, anche un altro protocollo di sicurezza evoluto, il Tls, e il servizio Vpn , sarebbero stati aggirati. Insomma: quel vaticinio apocalittico lanciato nel 2007 dai due esperti di Microsoft, e allora snobbato, è diventato realtà.

IL CROLLO DELLA DIGA
Esiste una back door. E nulla è più al sicuro. Qui si entra nel tecnico, ma la cosa è meno complessa di quanto  "Dual-EC_Drbg", il nome dell'algoritmo che pare essere al centro della partita (si sta indagando anche su un altro, l'RC4), possa far pensare. Il metodo più diffuso per criptare i messaggi si basa su un generatore casuale di numeri, il "Dual" appunto, numeri che vengono poi cifrati mediante algoritmi. Con un'operazione coperta dal segreto durata almeno una decina di anni, con un esborso per i contribuenti americani di circa 250 milioni di dollari, la Nsa ha bucato quel sistema. Non è ancora chiaro se abbia hackerato proprio il generatore di numeri o solo gli algoritmi, ma il risultato più o meno è lo stesso.

L'equivalente inglese della Nsa, la Gchq, che da anni stava affrontando lo stesso problema, non è rimasta certo indietro. Nel 2010 faceva sapere ai "cugini-amici" dell'Nsa di essere in grado di decriptare il traffico di 30 prodotti basati sul protocollo VPN e di poter arrivare a 300 nel 2015.

Questa volta nessuno ha fatto finta di non vedere. La notizia ha scatenato una marea di reazioni allarmate, perché - se confermata - potrebbe avere conseguenze disastrose per tutti: governi, multinazionali, utenti.

Al Nist, il National Institute of Standards and Technology, l'ente che ha approvato quel protocollo di sicurezza basato sul "Dual_EC_Drbg" e ne dovrebbe tutelare l'integrità, sono nel panico. "Non ne sappiamo niente", hanno detto dalla direzione, preoccupata per la crisi di fiducia che la rivelazione di Snowden ha generato. La Rsa Security, la compagnia americana che produce i sistemi di autenticazione delle chiavette token fornite dalle banche per i correntisti online, ha avvertito i suoi clienti di smettere di usare quelle con l'algoritmo con la back door, specificando di non "avere niente a che fare con questa possibile intrusione".

E nonostante sia l'agenzia di spionaggio americana, sia i colossi del web, neghino con forza che ciò sia mai avvenuto, la back door permetterebbe di scavalcare il protocollo di sicurezza SSL che protegge il "cloud" di Google, la grande nuvola di bit che contiene le nostre email, i nostri documenti, i file di google maps. Tutto.

INTERNET VA RICOSTRUITO?
Per dirla con le parole di Bruce Schneier , il capo della sicurezza di British Telecom e padre mondiale della crittografia, "il governo statunitense ha tradito Internet, ha minato le basi di un fondamentale contratto sociale".

La portata di questa storia ora non sfugge più. Ad oggi non esiste comunicazione sul web che possa più dirsi sicura. Mail, chat, software di messaggistica, telefonate. La crittografia era l'ultima barriera contro la "pesca a strascico" di miliardi e miliardi di dati messa in atto dalla Nsa. "Riesce a decriptare veramente tutto? - si chiede Matteo Flora, esperto di informatica forense - Non credo. Non ha il passepartout per tutte le "serrature" di protezione inventate dai cyberesperti di sicurezza, altrimenti non chiederebbe formalmente la collaborazione dei vari Facebook, Google, Microsoft e altri. Però ora sappiamo che sta raccogliendo "chiavi" per decrittare, prima o poi le avrà tutte". Ad esempio, la Nsa l'8 agosto scorso non aveva ancora trovato la chiave per scardinare Lavabit, il servizio di posta elettronica criptata su cui si appoggiava Snowden. Piuttosto che fornire al governo americano l'algoritmo, il fondatore Lader Levison ha deciso di chiudere il servizio lo stesso giorno.

Come se ne esce? I governi di Brasile, India e Germania stanno pensando a un rimedio anch'esso epocale. E costosissimo. Costruire una rete alternativa, in cui il traffico dei pacchetti di dati rimanga in ambito regionale, che non debba cioè transitare a migliaia di chilometri di distanza nei server posti sul suolo americano. In altre parole, ricostruire Internet.