Sicurezza

La NSA conosceva Heartbleed da due anni

Una delle più grandi falle nella storia dell’informatica nelle mani delle spie americane. L’incubo OpenSSL era già realtà

– Credits: thanh_tau , Flickr

Il bug critico che ha afflitto almeno il 66% dei siti web in tutto il mondo era già conosciuto dalla National Security Agency degli Stati Uniti. Secondo quanto riportato dal sito Bloomberg , la falla riportata qualche giorno fa era stata individuata dagli agenti USA che l’avrebbero utilizzata per accedere e violare le informazioni personali di sospetti, tra cui obiettivi altamente “strategici”. La decisione della NSA di mantenere il bug segreto sarebbe stata presa per conservare intatto il vantaggio degli organi di controllo nei confronti di criminali e terroristi ma anche dei normali cittadini, ignari di essere sotto il costante controllo dell’Intelligence anche durante la navigazione “protetta”, la cosiddetta HTTPS, quella contraddistinta dal lucchetto sulla barra degli indirizzi; un lucchetto per cui c’era chi aveva la chiave da ben due anni.

All’inizio di questa settimana, gli esperti di sicurezza hanno puntato il dito contro il protocollo OpenSSL, utilizzato per rendere illeggibili ad occhi indiscreti i dati che navigano sulla rete, a causa di Heartbleed, una falla che permette anche a mani inesperte di ottenere le chiavi di accesso ai database dei siti coinvolti, oltre che ai sistemi di “traduzione” dei famosi dati criptati. Secondo quanto riferito dal giornalista di Bloomberg Michael Riley, la NSA avrebbe utilizzato il buco nell’OpenSSL dal 2012, tanto da inserirlo negli strumenti a disposizione dell’agenzia per tracciare i cittadini della rete.

Certo un simile potere porta con sé un costo notevole: mettere milioni di utenti comuni nella condizione di diventare vulnerabili anche ad altri tipi di attacchi, condotti da hacker e criminali informatici, in grado di rubare le informazioni personali e accedere ad una serie di dati davvero importanti, tra cui quelli inerenti le piattaforme di home banking. La sensazione, dal giorno in cui Heartbleed è stato rivelato, è che ci siamo fidati troppo di chi diceva che il web era una piattaforma sicura per far passare tutte le comunicazioni più importanti, comprese quelle economiche.

Come ricorda Riley, la NSA ha più di 1000 esperti che si dedicano giorno e notte alla ricerca di difetti nei programmi informatici più utilizzati, per classificarli e realizzare una serie di “guide” su come bucare la rete per entrare nei sistemi telematici degli obiettivi. Lo scandalo di Heartbleed mette in scena una situazione paradossale e grottesca: la NSA difende gli Stati Uniti dagli attacchi digitali provenienti dall’estero (ad esempio dalla Cina) ma allo stesso tempo si preoccupa di attaccare i suoi stessi concittadini sfruttando i bug esistenti.

È inevitabile considerare come Edward Snowden abbia scoperchiato il vaso di Pandora. Anche quando non c’entra direttamente la sua figura (come in questo caso) la sensazione è che se molto si sta scoprendo riguardo ai sistemi utilizzati dalle spie americane per monitorare statunitensi e stranieri, gran parte del merito vada proprio a lui. Oltre ai dettagli sui programmi utilizzati dalla NSA, il ruolo di Snowden è stato fondamentale per risvegliare nelle coscienze la necessità di chiedere, e pretendere, che vengano rispettati i più basilari diritti della vita digitale. 

Intanto pare che Heartbleed causi qualche grattacapo anche agli utenti mobili, soprattutto agli appassionati di app per smartphone e tablet. Secondo l'azienda di sicurezza informatica Trend Micro, anche le app connesse ai siti che utilizzano il protocollo OpenSSL e che non lo hanno ancora aggiornato all'ultima versione, sarebbero soggette ad eventuali attacchi. Il motivo è che i server su cui sono conservate le informazioni degli utenti sono gli stessi sia per i siti web che per le app, così se un criminale informatico riesce ad entrare nell'archivio di un sito compromesso può ottenere sia i dati degli utenti che accedono via computer che di quelli in mobilità. Per ora l'unico rimedio è cambiare la password di tutti i servizi web che si utilizzano e sperare che ognuno aggiorni prima possibile il protocollo SSL alla versione più recente, che non risente di problemi di cuore.

© Riproduzione Riservata

Commenti