LA SICUREZZA ONLINE NON ESISTE - LA NSA GIÀ NEL 2010 HA VIOLATO IL SISTEMA SSL, CHE PROTEGGE CONTI CORRENTI E TRANSAZIONI

Marco Mensurati e Fabio Tonacci per "la Repubblica"

Il lucchetto è spaccato. La sicurezza è finita. L'home banking, gli acquisti online, le comunicazioni riservate, le reti intranet, insomma, tutto ciò che, sulla rete, fino a ieri veniva ritenuto "sicuro", da oggi non lo è più. E' questa la notizia che, coperta dal clamore un po' confuso del Datagate, sta rivoluzionando in queste ore lo scenario del web. Il simbolo, il certificato di morte sulle "comunicazioni protette", è il sorriso beffardo di un emoticon: due punti, chiusa parentesi.

La faccina è disegnata insolitamente a penna su uno degli ultimi documenti usciti dall'archivio di Edward Snowden, nel quale si spiega con uno schema come la Nsa - National Security Agency - riesca a pescare a piacimento dentro i datacenter di Google e Yahoo!. Prism spiegato ai ragazzini, in apparenza. Se non fosse, appunto per quella faccina, e per quello che c'è scritto dopo: «SSL added e reomoved here!».

Il punto esclamativo è più che comprensibile, perché quella frase, tradotta dal linguaggio degli smanettoni all'italiano comune significa che il protocollo di sicurezza SSL, quello che protegge la gran parte delle comuni operazioni "sicure" - ad esempio la consultazione del vostro conto corrente online oppure le informazioni militari della Difesa - è saltato. Non esiste più. Anzi, peggio, esiste ancora, dando all'utente l'illusione di sicurezza, ma può essere agilmente scavalcato.

Ma da chi? Ovviamente dalla Nsa che nel 2010 comunica ufficialmente ai colleghi inglesi che «vaste quantità di dati Internet cifrati che fino a ora sono stati messi da parte sono adesso utilizzabili ». E la risposta della Gchq, l'agenzia britannica, allora fu svelare che già erano in grado di decriptare il traffico di 30 prodotti basati sul servizio VPN e di poter arrivare a 300 nel 2015. Il meccanismo è meno complesso di quanto "Dual-EC-Drbg", il nome dell'algoritmo al centro della partita, possa far pensare.

Uno dei metodi alla base della crittografia, con la quale vengono schermati i messaggi, si appoggia a un generatore casuale di numeri, il "Dual" appunto: numeri che vengono poi cifrati mediante algoritmi. Con un'operazione coperta dal segreto, durata una decina di anni e, pare, con un esborso per i contribuenti americani di circa 250 milioni di dollari, la Nsa avrebbe bucato quel sistema. Non è chiaro se la back door è stata inserita nel generatore di numeri, o negli algoritmi, ma il risultato è più o meno lo stesso.

Al Nist, il National Istitute of Standards and Technology, l'ente che ha approvato quel protocollo di sicurezza basato sul "Dual-EC-Drbg" e ne dovrebbe tutelare l'integrità, sono nel panico, il documento di Snowden è del 2010, tre anni in questo campo sono un'era geologica. Nel frattempo può essere successo di tutto. «Non ne sappiamo niente », dicono dalla direzione, preoccupata per la crisi di fiducia che la rivelazione di Snowden ha generato.

La Rsa Security, la compagnia americana che produce i sistemi di autenticazione delle chiavette token fornite dalle banche per i correntisti online, ha avvertito i suoi clienti di smettere di usare quelle con l'algoritmo, specificando di non «avere niente a che fare con questa possibile intrusione».

Ma i più preoccupati sono i responsabili istituzionali. I governi di Brasile, India e Germania stanno pensando a un rimedio anch'esso epocale. E costosissimo. Costruire una rete alternativa, in cui il traffico dei pacchetti di dati rimanga in ambito regionale, che non debba cioè transitare a migliaia di chilometri di distanza nei server posti sul suolo americano. In altre parole, ricostruire Internet.

 

privacy internet jpegprivacy internet jpegNational security agency United States of America NATIONAL SECURITY AGENCY NSA Snowden x