Nel tardo pomeriggio di un venerd\u00ec di met\u00e0 di febbario, Apple ha silenziosamente rilasciato un aggiornamento per un bug che si inseriva nel processo di controllo della catena dei certificati nei sistemi iOS. Tale bug permette a un malintenzionato di connettersi e spiare connessioni in teoria sicure.<\/p>\n
Sebbene il bug fosse critico, l\u2019annuncio, uscito nel tardo pomeriggio di venerd\u00ec, \u00e8 passato un po\u2019 in sordina. Ma questo \u00e8 il modus operandi di Apple: il gigante di Cupertino \u00e8 famoso per operare in segreto.<\/p>\n
Tuttavia, l\u2019interesse generale si \u00e8 risvegliato improvvisamente quando, il giorno dopo, si \u00e8 venuto a sapere che il bug non interessava solo il sistema operativo dei dispositivi mobili Apple, ma anche il suo sistema operativo tradizionale, OS X. La trama poi si \u00e8 complicato ulteriormente quando la scorsa settimana si \u00e8 scoperto che una falla simile aveva colpito anche GnuTLS, un software gratuito open-source usato per implementazioni crittografiche su Linux e altre piattaforme.<\/p>\n
Nella misura in cui la notizia ha incominciato a diffondersi tra gli utenti (in particolare quelli di Apple), sempre pi\u00f9 mezzi di comunicazione e ricercatori hanno iniziato a pubblicare opinioni e ipotesi di complotti. Bruce Schneier, uno dei pi\u00f9 noti esperti di sicurezza informatica e crittografia, ha parlato della vulnerabilit\u00e0 nei seguenti termini:<\/p>\n
\u201cLa falla \u00e8 sottile e difficile da individuare durante la scansione del codice. \u00c8 facile immaginare che questo possa essere successo per errore. E sarebbe stato molto facile per una persona aggiungere la vulnerabilit\u00e0.<\/p>\n
E se fosse stato fatto apposta? Io non so come siano andate le cose, ma se volessi fare una cosa del genere, la farei esattamente cos\u00ec.\u201d<\/p>\n
Altri ricercatori sono stati pi\u00f9 \u00a0diretti, ipotizzando che gli errori nel codice che portano al bug di Apple \u2013 chiamato \u201cgotofail\u201d \u00a0per via del comando riportato nella linea del codice \u2013 sarebbero quasi impossibili da realizzare e ancora pi\u00f9 difficile sarebbe non vedere l\u2019errore nel processo di revisione del codice. Naturalmente, dato il clima generale e il possibile utilizzo della vulnerabilit\u00e0, i bug di Apple e GnuTLS hanno attirato l\u2019attenzione di chiunque lavori nel mondo dello spionaggio.<\/p>\n
Sebbene senza dubbio simili, i bug sono nati in modi diversi. Un altro esperto di crittografia, Matthew Green di Johns Hopkins University<\/a>, ha esaminato il bug di GnuTLS e ritiene si tratti di un \u201conesto\u201d, sebbene sciocco, errore di codice.<\/p>\n Al di l\u00e0 di tutte le teorie cospiratrici, l\u2019errore nel processo di verifica dei certificati\u00a0 di GnuTLS fa in modo che tutti i desktop Red Hat e i prodotti server, cos\u00ec come tutte le installazioni Debian e Ubuntu (Linux) contengano un bug che potrebbe essere sfruttato per monitorare le comunicazioni che passano attraverso questi dispositivi. Gli impatti del bug coinvolgono le macchine da cima a fondo. Non vengono coinvolte solo le sessioni del web browser (come indicato dall\u2019HTTPS), ma anche le applicazioni, i download e praticamente qualsiasi altra comunicazione, in teoria criptata, che implementi GnuTLS.<\/p>\n Per poter sfruttare uno di questi bug, un hacker dovrebbe trovarsi su di una rete locale insieme al suo target. Tuttavia, in determinate circostanze, i bug potrebbero permettere a un hacker di realizzare un attacco man-in-the-middle<\/a>: in questo caso la vittima creder\u00e0 di star comunicando con un service provider online affidabile, mentre in realt\u00e0 star\u00e0 inviando pacchetti di dati all\u2019hacker. Entrambi i bug rappresentano un modo efficace per rubare le credenziali di login e spiare le comunicazioni a livello locale.<\/p>\n