NSA nega , Bloomberg cita fonti anonime per dire che è tutto vero: la questione che circonda Heartbleed, il famigerato baco del protocollo OpenSSL che da giorni tiene banco nella comunità informatica (ed ha fatto capolino anche sulle prime pagine dei media mainstream), si va facendo complessa e controversa. In ballo c’è la sicurezza di migliaia e migliaia di siti, nonché dei milioni di navigatori che vi sono transitati: ed è per questo che in molti tentano di comprendere chi poteva essere a conoscenza del bug e chi potrebbe averlo sfruttato .
Riportando le più classiche fonti anonime, Bloomberg ha detto chiaro e tondo quanto in molti sussurravano da giorni: Heartbleed era stato scoperto da NSA anni addietro , forse poco dopo la sua erronea introduzione nel codice di OpenSSL , e gli agenti dell’intelligence non si sarebbero fatti scrupolo di usare l’errore di programmazione di cui era caduto vittima il protocollo per catturare e decifrare quante più comunicazioni possibili tra privati cittadini. Una prospettiva che appare quantomai credibile alla luce delle rivelazione fatte da Edward Snowden con le carte dello scandalo Datagate, ma che NSA ha voluto smentire categoricamente prima via Twitter e poi con un comunicato.
Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public.
— NSA/CSS (@NSA_PAO) April 11, 2014
L’intelligence USA ha appreso dell’esistenza del baco solo la scorsa settimana , quando tutto il mondo è venuto a conoscenza di quanto scoperto nel codice di OpenSSL. Nel dettaglio, NSA ha voluto precisare che “Il Governo Federale fa affidamento su OpenSSL per proteggere la privacy degli utenti dei siti governativi e di altri servizi online. Questa Amministrazione prende seriamente le proprie responsabilità nel collaborare per mantenere Internet aperta, interoperabile, sicura e affidabile. Se il Governo Federale, compresa l’intelligence, avesse scoperto questa vulnerabilità prima dells scorsa settimana, avrebbe informato responsabilmente la community che gestisce OpenSSL”.
Ma è proprio su questo punto che si innesta l’ulteriore polemica sull’argomento: davvero NSA avrebbe rivelato al pubblico una vulnerabilità potenzialmente in grado di fornire preziose informazioni all’intelligence? Contemporaneamente a questa polemica, una seconda è scaturita da quanto raccontato dal New York Times sulle nuove policy imposte da Obama a tutti i servizi dopo lo scandalo Datagate: tra le direttive emanate lo scorso gennaio, restate fino a questo punto riservate, si scopre che la Casa Bianca ha sì deciso di rendere obbligatoria la divulgazione di eventuali scoperte relative alla sicurezza dei prodotti informatici , ma ha al contempo autorizzato NSA a utilizzare un certo potere discrezionale nel caso in cui ci fosse “una evidente questione di sicurezza nazionale o di rispetto della legge”.
Una definizione piuttosto vaga, che di fatto pone ancora una volta NSA al di sopra della legge e concede ai suoi membri la possibilità di tenere riservate preziose informazioni relative alla sicurezza di prodotti di largo consumo. La logica seguita da Obama dice che se ci sono circostanze nelle quali la sicurezza nazionale, il ritornello ripetuto in queste occasioni, possa essere garantita dallo sfruttamento di un baco come Heartbleed, allora NSA o qualsiasi altra agenzia a stelle e strisce avrebbe il diritto e il dovere di farlo: peccato che questa logica si scontri col fatto che in questo modo altre agenzie di altre nazioni, anche di paesi ostili, potrebbero individuare lo stesso baco e sfruttarlo allo stesso modo . Alla fine dei conti , la scelta di tenere una porta aperta per NSA finirebbe per lasciarla aperta per chiunque: invece che garantire la sicurezza, la posizione di Obama finisce per indebolirla a scapito di tutti.
Ancora una volta, le funzioni e il ruolo della NSA sono al centro di un corposo dibattito sullo scopo che le azioni dell’agenzia USA si prefiggono: tutto sta a dimostrare che effettivamente una politica di security through obscurity in senso lato, contraria ai principi stessi di chi ha creato un software open source come OpenSSL, sia capace davvero di fermare una guerra grazie alle informazioni ottenute dall’intelligence. Un assunto non ancora dimostrato, che ovviamente tiene banco nella disputa.
Per il resto, si tratta di quantificare i danni di questo insospettabile e incredibile baco affiorato nel codice di OpenSSL: contrariamente a quanto si riteneva fino alla fine della scorsa settimana , le prove hanno dimostrato che è effettivamente possibile recuperare chiavi di cifratura private da server affetti dalla vulnerabilità (e non ancora aggiornati). Non c’è ancora molta chiarezza sui tempi e i modi, ma di sicuro è stato confermato da almeno due diversi hacker che il recupero è fattibile: dunque l’esigenza di provvedere al più presto ad aggiornare i dispositivi e i servizi affetti ( tutti quelli che utilizzano una versione di OpenSSL successiva alla 1.01, all’incirca prodotti e sviluppati da un paio d’anni a questa parte: potrebbero essere milioni di siti Web e non solo) e aggiornare le password per i propri account in giro per la Rete non si è fatta meno urgente, sebbene esistano delle manovre che possono mitigare la minaccia.
Ma non si può abbassare la guardia . Il mondo mobile, quasi tutto e in questo caso si parla di non meno di un miliardo di terminali (basti pensare ai milioni di Android venduti negli ultimi anni), deve fare i conti anch’esso con Heartbleed: e non sarà una passeggiata. Anche per questo, Steve Marquess di OpenSSL Foundation si è spinto a chiedere pubblicamente più fondi e sostegno da parte di governi e aziende per portare avanti un lavoro delicato come quello di garantire la riservatezza e la sicurezza delle transazioni protette di mezzo mondo.
Luca Annunziata