Meriti involontariIl merito dell’NSA? Imporre la sicurezza alle società

Il merito dell'NSA? Imporre la sicurezza alle società

Lo scorso dicembre Google, Microsoft e altre cinque delle principali società Web, hanno richiesto formalmente al governo degli Stati Uniti di mettere un freno alle operazioni di sorveglianza della rete. Le società, però, non devono necessariamente aspettare che il governo agisca. La tecnologia crittografica può proteggere la privacy di utenti inconsapevoli dalla sorveglianza indiscriminata, ma solo se le compagnie tecnologiche la utilizzano; sulla scia delle rivelazioni di Snowden, alcune di esse hanno iniziato a impiegarla, ma non avrebbero dovuto aspettare così a lungo.

Nell’ottobre del 2010, il ricercatore di sicurezza informatica, Eric Butler, ha lanciato uno strumento di facile utilizzo progettato per violare gli account webmail di persone che utilizzano le reti Wi-Fi. Il Firesheep di Butler non è stato il primo strumento a permettere di “sbirciare” nella rete Wi-Fi, ma ha semplificato l’intercettazione di e-mail e documenti, e anche la cattura di cookie di autenticazione che potrebbero essere utilizzati in un secondo momento per accedere all’account della vittima.

Firesheep ha sfruttato il fatto che, al tempo, la maggior parte di siti webmail e i social network non usavano la crittografia HTTPS per proteggere le informazioni dei loro clienti, o rendevano disponibile la crittografia solo agli utenti che abilitavano un’opzione di configurazione misteriosa della quale la maggior parte delle persone non era a conoscenza.

Google aveva abbracciato la crittografia come impostazione di defaultper il suo servizio Gmail pochi mesi prima del lancio di Firesheep. Le altre maggiori compagnie Web hanno ignorato gli appelli da parte di Pamela Jones Harbour, un commissario della Federal Trade Commission, che li invitavano a seguirne l’esempio. L’anno seguente (subito dopo che il New York Time aveva parlato di Firesheep) il senatore Chuck Schumer ha scritto una lettera a Yahoo, Amazon e Twitter, esortandoli ad abilitare di default l’HTTPS.

Twitter, Facebook e il servizio e-mail di Microsoft sono infine passati alla crittografia HTTPS preimpostata. Yahoo, invece, ha continuato a mostrare le informazioni private dei suoi clienti, non solo agli hacker che utilizzano strumenti come Firesheep, ma anche ai governi del mondo in grado di intercettare le comunicazioni dei loro stessi cittadini. Nel mese di gennaio del 2013 la compagnia ha finalmente annunciato un’impostazione di crittografia “opt-in” (a scelta libera da parte dell’utente) che probabilmente in pochi hanno usato finora.

Non solo Yahoo ha ignorato le parole del commissario del FTC e la lettera del senatore degli Stati Uniti, ma anche un appello pubblico da parte di diversi gruppi per i diritti umani. A convincere la società ad utilizzare l’HTTPS di default è stata una storia del Washington Post che rivelava come la NSA stava intercettando ogni giorno quasi mezzo milione di indirizzi mail registrati e non criptati di utenti di Yahoo.

Subito dopo la notizia, il CEO di Yahoo, Marissa Mayer, ha dichiarato: “Non c’è niente di più importante per noi che la protezione della privacy dei nostri utenti”. Se questo è il caso, perché ci sono volute le rivelazioni di Edward Snowden affinché la società finalmente fornisse la crittografia Web standard? Perché Yahoo non ha protetto i suoi clienti dagli hacker che utilizzano strumenti come Firesheep, o dagli strumenti deep packet inspection che da tempo sono utilizzati dai governi del mondo?

La risposta è che a nessuno importava, fino a quando il loro completo fallimento nell’impiego della sicurezza di base del web è comparso sulla prima pagina del Washington Post.

Yahoo non è la sola compagnia a mettere in atto la sua strategia in risposta alle rivelazioni di Snowden. In verità, le grandi compagnie di cloud computing – incluse Google, Facebook, Yahoo, Microsoft e altre – hanno iniziato a criptare le informazioni tra i data centers.

Inoltre, hanno aumentato le dimensione delle loro chiavi di criptaggio e sono passati ad algoritmi di crittografia che offrono una “segretezza inoltrata (conosciuta come Perfect Forward Security o PFS)“.

La relazione della EFF (Electronic Frontier Foundation) su “Encrypt the Web” riflette la velocità con cui le grandi compagnie hanno abbracciato le tecnologie sulla sicurezza. Tuttavia, se non fosse per le informazioni di Snowden e le coraggiose decisioni dei giornalisti di rivelare i dettagli tecnici su alcune attività della NSA, è possibile che alcune compagnie non avrebbero apportato miglioramenti sulla sicurezza.