La guerra ai tempi del web non miete più solo vittime reali: alle bombe, minacciate o sganciate da dittatori e primi ministri in tutto il mondo, c’è chi risponde dalla sua cameretta di smanettone, con massicce violazioni delle vite virtuali altrui – che si traducono in furti di password, mail e account. è esattamente ciò che è accaduto in Nord Corea, dopo le dichiarazioni shock di Kim Jong-un, ad opera degli hacker di Anonymous, che hanno rubato 15 mila password sul sito di notizie e propaganda di stato Uriminzokkiri.com. Un attacco di terrorismo informatico sferrato pochi giorni dopo anche contro cento tra i più importanti siti di Israele, colpevole di ”reiterate e infinite violazioni dei diritti umani nella striscia di Gaza”: un tentativo di cancellare Israele da internet con furti di informazioni e invio di virus, un flop secondo le autorità di Gerusalemme.
Ma anche senza bisogno di scomodare dinamiche geo-politiche così complesse, il problema della sicurezza on line sta diventando sempre più pressante. Anche nell’account di posta di un cittadino occidentale medio, i ladri di password possono trovare di tutto: numeri di conti correnti, informazioni riservate, fotografie e altri documenti importanti. Sottratti, rubati e diffusi per scopi più o meno illeciti. Da un lato bisogna certamente dire che gli utenti sono afflitti da ingenuità in questo contesto: da qui per esempio la recente iniziativa del Garante della privacy di pubblicare su Youtube un tutorial per sensibilizzare gli italiani sull’importanza di proteggere i propri dati personali sul web. Dall’altro però bisogna anche osservare che – secondo il rapporto State of Software Security Report dell’azienda di sicurezza Veracode – sette software su dieci in circolazione hanno falle nella sicurezza e sono vulnerabili anche dai cosiddetti hacker della domenica che lo scorso anno hanno messo a punto tre ingenti violazioni: sul gradino più basso del podio c’è l’attacco congiunto della comunità internazionale degli hacker che ha preso il nome di #projectwhitefox, in cui sono stati carpiti e messi in rete i segreti di 31 siti mondiali, dalla Nasa all’Fbi all’Interpol. Al secondo posto c’è la breccia fatta nel social network LinkedIn dall’hacker russo che si fa chiamare dwdm, che ha carpito oltre 6,5 milioni di password. La palma di attacco dell’anno va invece a quello messo a segno sul sito di giochi online Gamigo, dal quale sono state sottratte ben undici milioni di password oltre a 8,5 milioni di username.
Per correre ai ripari Google, Yahoo e altri colossi del web stanno studiando contromosse per migliorare ulteriormente i sistemi di autenticazione, oltre ai due passaggi già in uso: si parla di lettori di impronte digitali, pen drive usb o moduli preinstallati sui pc di nuova generazione (cosiddetti Trusted Platform Module o TPM), alcuni dei quali lavorano anche con sistemi di riconoscimento biometrico. Tra questi, Paypal e Lenovo si stanno affidando a un sistema denominato Fido (Fast IDentity Online), che utilizza penne usb ed embedded hardware – non riprogrammabili cioè per altri fini – per proteggere i computer. Saranno questi, almeno inizialmente, i dispositivi che garantiranno a chiunque un accesso in totale sicurezza ai siti web, con il vantaggio di non dover più ricordare e digitare alcuna password. I dispositivi che ci permetteranno di autenticarci senza password potranno però aumentare in base alle richieste dei clienti e soprattutto delle società che aderiranno a Fido. Uno dei punti forti di questo sistema, almeno nelle intenzioni, è proprio l’apertura e la flessibilità nell’adattarsi a utilizzi e device differenti. Il funzionamento è estremamente semplice: l’utente sceglie il dispositivo che preferisce tra quelli consigliati da Fido e lo associa al sito web al quale vuole accedere. Stabilita questa relazione tra servizio e dispositivo, i successivi login avverranno senza più dover digitare alcuna password. Il dialogo tra dispositivo e sito web avverrà grazie a un piccolo software da installare nel browser utilizzato.
Google, invece, si sta muovendo diversamente. L’idea è infatti quella di sconfiggere la pirateria mediante una chiavetta usb montata su un anello, un portachiavi o un ciondolo da tenere sempre al collo. Il supporto è una piccola scheda crittografata su cui inserire le parole segrete. Per rendere realtà questa idea, Mountain View si è rivolta a Yubico, società americana/svedese che da tempo produce le chiavette in questione. Una volta inserita la card nel computer, si accede automaticamente al proprio account con un colpetto di mouse. Il tutto con il vantaggio di non doversi ricordare i codici a memoria e di non ricorrere a password deboli come quelle di una sequenza numerata o simili. Al momento Yubico dispone di soluzioni già utilizzabili su Windows, Linux e Mac Os X (in quest’ultimo caso non direttamente), ma forse la novità più interessante sta proprio nel fatto che la soluzione YubiKey assicura l’utente anche nel caso la chiavetta Usb vada persa o venga rubata. L’oggetto, infatti, lavora anche tramite autenticazione biometrica, con l’impronta digitale. Non basta quindi avere la chiavetta: bisogna anche autenticarsi tramite la propria impronta digitale. Il sistema sembrerebbe essere assolutamente affidabile, anche sui servizi Vpn, e Yubico lavora soprattutto sui volumi enterprise. La società, che ha sedi a Los Angeles, Londra e in Svezia, sembra aver risolto anche il problema sull’autenticazione a due fattori via usb anche su quei dispositivi che non dispongono di presa di tipo host: nel caso di iPhone e iPad, per esempio, YubiKey Nano funziona in abbinamento all’adattatore Apple per caricare le foto, anche se per le limitazioni hardware alcune caratteristiche vengono a mancare.
Va detto, comunque, che in un mondo in cui il computer è ormai destinato a perdere il proprio monopolio e la propria centralità, è assolutamente indispensabile un sistema di autenticazione e memorizzazione password che possa funzionare adeguatamente anche su smartphone e tablet, senza ingombrare.
La guerra alla pirateria è soltanto all’inizio e le diverse soluzioni trovato fino a ora andranno prima verificate e poi perfezionate. Ovviamente, neppure la chiavetta è infallibile: potrebbe rompersi, essere difettosa o esserci sottratta, con il rischio di dover ricominciare tutto daccapo. Non è escluso che le usb possano essere sostituite in futuro da gioielli, anelli o bracciali dotati di appositi chip, pratici da indossare e altrettanto semplici da utilizzare nella vita di tutti i giorni. Nulla di certo è trapelato per ora: a Mountain View, e altrove, si lavora per arrivare il prima possibile a scoprire il Santo Graal della privacy digitale.
