crittografia
Una crittografia forte consente una comunicazione sicura e privata (a meno che non ci sia qualche affare torbido che coinvolga i software e i protocolli di comunicazione). Per questo motivo, se le aziende optano per un sistema di crittografia robusto, significa che si preoccupano della privacy e della sicurezza dei propri clienti, il che è un gran punto a loro favore.
Electronic Frontier Foundation (EFF), l’organizzazione internazionale per la tutela dei diritti digitali, premia sempre le aziende produttrici di tecnologia e le agenzie di comunicazione che gestiscono i dati dei propri utenti con la dovuta attenzione. E non si fermano qui, perché pubblicano senza nessuna remora anche i nomi delle aziende che non s’interessano poi così tanto della sicurezza dei propri clienti.
EFF ha da poco pubblicato il report “Encrypt the Web” contenente tutte queste informazioni. Promossi a pieni voti alcuni giganti della comunicazione come Google, SonicNet (fornitore di servizi Internet), e i servizi d’immagazzinamento dati Dropobox e SpiderOak. Queste compagnie, per la protezione dei dati degli utenti attraverso diversi metodi di crittografia, hanno ottenuto l’ok nelle cinque categorie in cui era suddiviso il report, ovvero: crittografia nel data center, HTTPS, HSTS, Forward Secrecy e STARTTLS. Descriviamo brevemente in cosa consistono queste categorie. Il primo parametro riguarda la capacità dell’azienda di criptare le informazioni non appena passano per il proprio data center; Google in passato ha avuto problemi di sicurezza proprio in questa fase e vi ha posto rimedio. Grazie al protocollo HTTPS (hypertext transfer protocol), il passaggio di dati tra l’utente e il sito web avviene attraverso un canale criptato. HSTS (o HTTP Strict Transport Security), è essenzialmente una politica di sicurezza per i server Web che consente la comunicazione in HTTPS tra gli utenti. Forward Secrecy, o Perfect Forward Secrecy, è una proprietà della crittografia grazie alla quale, almeno idealmente, una comunicazione criptata non può essere craccata. Infine, STARTTLS è una sorta di estensione per email che trasforma le comunicazioni email in plain-text in messaggi criptati, indipendentemente dal client email che si sta utilizzando.
Google, SonicNet, Dropbox e SpiderOak sono le compagnie più virtuose. Anche Facebook se l’è cavata bene, con l’ok “sulla fiducia” in tutte le categorie, in quanto Zuckerberg e soci stanno lavorando nell’implementazione delle varie funzionalità. Anche Twitter si è comportata abbastanza bene, ottenendo parere positivo in tutte le categorie tranne STARTTLS.
LinkedIn, Foursquare e Tumblr si trovano in una posizione intermedia, con tre voti positivi su cinque. Yahoo! ha ricevuto l’ok in una sola categoria, più un voto sulla fiducia per le politiche di sicurezza che ha intenzione d’implementare. Apple ha ricevuto parere positivo per il protocollo HTTPS di iCloud, e anche Microsoft, Myspace e WordPress hanno ottenuto un voto.
Secondo EFF, le compagnie che non si sono sforzate molto nel garantire un sistema di crittografia adeguato per i propri utenti sono Amazon, AT&T, Comcast e Verizon. Nessun parere positivo per loro.
All’inizio di quest’anno, l’ente no profit con sede a San Francisco ha pubblicato un report dal titolo “Who’s Got Your Back?” dove sono stati riscontrati dati simili a quelli attuali. Nel report sono state identificate quelle compagnie di cui gli enti governativi si servono per raccogliere informazioni sugli utenti; sono state anche citate quelle aziende che salvaguardano, invece, la privacy dei propri clienti. Entrambi i report comunque applaudono gli sforzi di Twitter, Google, SonicNet e SpiderOak e puntano il dito contro Apple, Yahoo!, Verizon, AT&T, Comcast e Amazon.
Naturalmente, tra un report e l’altro è passato del tempo, durante il quale ne sono successe di cose, soprattutto ora siamo più consapevoli delle operazioni di sorveglianza da parte dei governi. Se c’è una correlazione tra i due report, e siamo sicuri che esiste, possiamo comunque riscontrare nel frattempo una tendenza generale verso una maggiore salvaguardia della privacy degli utenti da parte dei governi e delle altre aziende di spionaggio, tra cui ci sono anche alcune aziende tecnologiche.
“Vogliamo che questo report sia una sorta d’incoraggiamento per le aziende: possono prendere esempio dalle compagnie virtuose iniziando ad adottare maggiori sistemi di crittografia”, ha affermato Kurt Opsahl, senior staff attorney di EFF.
Per elaborare il report, Electronic Frontier Foundation ha inviato un questionario alle compagnie. Non tutte hanno inviato le risposte, per cui sono state utilizzate anche altre fonti d’informazione, come i siti Internet delle aziende e i news report. Alle compagnie è stato chiesto, in particolare, se supportavano HTTPS, HSTS, Forward Secrecy, STARTTLS e se criptavano le informazioni una volta arrivate nel data center. Ovvero le cinque categorie della valutazione generale.
In che modo dovreste interpretare questi dati? Non vogliamo dirvi quali servizi dobbiate usare e quali no. Tutti noi, compreso EFF, ci affidiamo a servizi che non si preoccupano abbastanza di adottare un sistema di crittografia robusto. Tuttavia, traducendo ciò che ha affermato Mike Mimoso di Threatpost: “non c’è niente di meglio che un po’ di pressione per spingere qualcuno a fare la cosa giusta“.
Consigli