Il Caso Heartbleed porta all’attenzione dell’opinione pubblica una nuova oscura pratica dei servizi segreti. Oltre all’accesso ai dati privati e ai profili personali dei social media, denunciato nel caso Datagate, oggi scopriamo che la nostra privacy è stata sistematicamente violata mediante la compromissione del più diffuso sistema crittografico del Web da parte dell’NSA e di chissà quali altri attori, mentre le vulnerabilità scoperte diventano sempre più oggetto di compravendita senza scrupoli sul mercato nero. E indovinate chi paga tutto questo in termini di soldi e privacy?

Il 21 marzo scorso, Neel Mehta di Google Security ha scoperto una nuova vulnerabilità nel software di crittografia open source OpenSSL. La vulnerabilità, denominata “Heartbleed” (CVE-2014-0160), consente di estrarre fino a 64 KB di informazioni dalla memoria dei server web di tutto il mondo, ed è stata addirittura definita un epic fail dalla stampa di settore. Eppure è nata per un semplice errore umano attribuito a Robin Seggelmann, uno degli sviluppatori di OpenSSL: allora perché definirla un disastro di proporzioni epiche? Semplicemente perché ha interessato praticamente tutti i servizi web più utilizzati a livello planetario, perché ha consentito di violare chiavi crittografiche, credenziali d’accesso, contenuti protetti e informazioni di milioni di utenti, e perché per due lunghi anni è stata sfruttata dai servizi segreti statunitensi e da chissà chi altro. Tutti i dati scambiati attraverso connessioni HTTPS sono stati soggetti alla vulnerabilità per diversi mesi: parliamo di connessioni a servizi bancari online, a social media, a servizi cloud, a servizi webmail, alla pubblica amministrazione, ecc.

Esistono prove che dimostrano che, poco tempo prima che l’esistenza di Heartbleed divenisse di dominio pubblico, alcune aziende come Google, Facebook, CloudFlare, Codenomicon, Akamai, SuSE, Debian, FreeBSD e AltLinux ne fossero a conoscenza e avessero già provveduto ad aggiornare i propri sistemi o le distribuzioni software per risolvere la vulnerabilità. Ma, aspetto ancora più tragico, esistono prove che imputano alla National Security Agency (NSA) statunitense di essere stata a conoscenza di Heartbleed da almeno due anni e di averla regolarmente sfruttata per operazioni di intelligence su vasta scala. Prove che, unite al recente scandalo Datagate di Edward Snowden, rendono palese all’opinione pubblica il modus operandi di questa famigerata agenzia: scovare errori, sfruttarli e non dire niente a nessuno.

Pare, infatti, che l’NSA disponga di un black budget di circa 1,6 miliardi di dollari dedicato all’analisi e allo sfruttamento di dati per fini di intelligence, di cui 25 milioni l’anno destinati all’acquisto di vulnerabilità software. Per non parlare del team di circa 1.000 addetti dedicati a scovare, analizzare e sfruttare vulnerabilità sconosciute in giro per il pianeta. La disparità di forze rispetto ai produttori di software è disarmante, basti pensare che OpenSSL è un progetto software che impegna solo quattro sviluppatori part time. In definitiva, molti fondi e risorse sono stati profusi dall’NSA per un audit meticoloso di OpenSSL, peccato che i risultati siano stati occultati e sfruttati segretamente per mesi.

Uno dei bersagli preferiti dell’NSA e dei servizi segreti in genere è la violazione dei sistemi crittografici, un aspetto particolarmente sentito da qualsiasi servizio di intelligence fin dalla nascita delle prime forme di crittografia nella storia antica. OpenSSL era certamente uno degli obiettivi più allettanti, in quanto estremamente diffuso fra i servizi web basati su piattaforme Linux. Ma non l’unico: Snowden ha reso noti al pubblico i vari tentativi di NSA di compromettere gli standard crittografici internazionali (es. Programma Bullrun), di inserire backdoor e malware nei prodotti commerciali e addirittura di forzare il sistema TOR utilizzato nel Deep Web.

Viene da chiedersi come mai sono sempre più numerose le società d’investimento che hanno importanti partecipazioni in progetti di sviluppo di infrastrutture software (GitHub, Node Package Manager, ecc.). Non ci sarebbe da stupirsi granché se queste società d’investimento appartenessero all’orbita NSA. Non ci sarebbe da stupirsi neanche se si appurasse che l’NSA ha un proprio insider nei più importanti progetti di sviluppo software in ambito controllo accessi, crittografia e sicurezza. Come mai sono così frequenti i casi di prodotti commerciali, software e hardware, che escono di fabbrica già corredati di backdoor e spyware? Come mai la scoperta di vulnerabilità di interesse mondiale viene occultata al grande pubblico e ai rispettivi sviluppatori? Domande retoriche che non attendono risposta.

Il mercatino delle vulnerabilità esiste ed è una realtà ormai ben nota nel settore. Oggi, se una vulnerabilità viene scoperta dal rispettivo sviluppatore, ci sono buone probabilità che venga risolta immediatamente a beneficio degli utenti. Ma se viene scoperta da terzi, malintenzionati e senza scrupoli, quasi sempre finisce sul mercato nero delle vulnerabilità, dove una falla 0-day può fruttare diverse migliaia di dollari. Più una vulnerabilità è sfruttabile e devastante, maggiore sarà il prezzo sul mercato. E sono quasi certo che l’NSA sia, fra i potenziali compratori, quello con più fondi a disposizione. Giusto puntare il dito solo contro l’NSA? No, non solo, un mercato è fatto di compratori e di venditori, di domanda ed offerta, ed è un sistema a volte complesso.

Un tempo si coltivava il dubbio che a produrre i virus informatici fossero gli stessi produttori di antivirus. Oggi si ha la certezza che le vulnerabilità vengono pubblicate e risolte solo quando sfuggono al mercato underground o, in pochi casi, quando a scoprire è il rispettivo produttore. E si anche ha la certezza che diversi prodotti contengono una porta d’accesso secondaria o un sistema che consente di aggirarne le difese e le funzionalità di controllo, magari per rivenderli sul mercatino e poter così finanziare il prossimo progetto. Verrebbe quasi da pensare che alcuni produttori siano in combutta con i servizi segreti e forniscano loro precise garanzie di accesso indisturbato a reti altrui attraverso i propri dispositivi e software.

E noi persone normali cosa dovremmo fare per proteggerci da Heartbleed? Niente di particolare se non cambiare le password dei principali servizi impattati, perché le informazioni, le chiavi e le credenziali sottratte dai sistemi non possono più tornare indietro a compromissione avvenuta. Ma una volta aggiornati i sistemi per risolvere la vulnerabilità, siamo di nuovo al sicuro? No, affatto, perché applicare una patch, ricompilare OpenSSL con il flag “OPENSSL_NO_HEARTBEATS” abilitato o aggiornare la versione di OpenSSL alla 1.0.1-g non è sufficiente: bisogna anche revocare le chiavi crittografiche e i certificati digitali X.509 finora utilizzati, emettere e distribuire nuove chiavi crittografiche, cambiare le credenziali d’accesso dei sistemi affetti e invalidare tutte le chiavi e i cookie di sessione. Un’attività onerosa e complicata che non tutti i fornitori di servizi web intraprenderanno, per ignoranza o per questioni di risparmio economico. Il mio consiglio è di ricorrere all’Heartbleed Test per verificare se un servizio web protetto da HTTPS è vulnerabile o meno prima di utilizzarlo, sono certo che avrete qualche sgradita sorpresa.

Cosa dobbiamo aspettarci a questo punto? Beh, che probabilmente Heartbleed lascerà una scia ancora per molto tempo, mentre tutto il traffico finora intercettato potrà essere decifrato offline dai malfattori in tutta tranquillità. Dettagli finanziari, documenti, immagini, informazioni e comunicazioni private, tutto ciò è stato ancora una volta sacrificato sull’altare del profitto e dell’interesse occulto a danno della gente comune. Per l’ennesima volta scopriamo di essere sistematicamente spiati e violati nei nostri diritti fondamentali per mezzo di progetti segreti finanziati con i nostri soldi opportunamente dirottati. C’è qualcuno che crede ancora che i governi facciano gli interessi dei cittadini?

Ettore Guarnaccia