In alcuni casi la National Security Agency (Nsa) può approfittare di eventuali falle nella sicurezza di internet, come il superbug Heartbleed scoperto di recente, per ottenere informazioni di intelligence. A stabilirlo è stato il Commander-in- Chief, presidente Obama, lo scorso gennaio. Lo hanno rivelato alti funzionari dell’amministrazione al New York Times, secondo cui Obama ha indicato che la Nsa deve rendere note eventuali falle nel web, qualora le rilevi, per far si che vengano prese adeguate misure. Ma ci sono anche delle eccezioni, dei casi in cui può regolarsi diversamente. Ovvero, nei casi in cui ci sia “una chiara necessità di sicurezza nazionale o applicazione della legge”. Di fatto, un’ ampia scappatoia che potrebbe consentire alla Nsa di continuare ad utilizzare tali falle per superare accessi criptati e realizzare armi informatiche.
Secondo le fonti del Nyt, Obama si è così espresso quando ha iniziato l’esame del rapporto su una revisione delle regole per la Nsa elaborato da un gruppo di esperti, sulla scia dello scandalo Datagate. Si tratta di una decisione che non è mai stata resa nota, ma che è di fatto emersa quando la Casa Bianca ha negato di essere stata a conoscenza del superbug Heartbleed prima che venisse scoperto dal settore privato nei giorni scorsi, contrariamente a quanto avevano affermato fonti di stampa. Anche la Nsa ha seccamente smentito di essere a conoscenza di Haearbleed. Caitlin Hayden, portavoce del Consiglio per la sicurezza nazionale, ha dal canto suo affermato che l’esame del rapporto su una revisione delle regole per la Nsa è stato ora completato e ne è emersa una “tendenza” a “rivelare responsabilmente le vulnerabilità” del web quando vengono rilevate. Del resto, nel rapporto presentato ad Obama a gennaio gli esperti hanno anche raccomandato che il governo faccia il più limitato uso possibile dei cosiddetti “zero days”, ovvero quelle vulnerabilità dei software che possono dare accesso ad un computer e attraverso esso ad ogni network pubblico o privato a cui è connesso.
Intanto l’emergenza Heartbleed continua a tenere alta l’attenzione verso il tema sicurezza: subito dopo l’annuncio del superbug l’attenzione generale si è inevitabilmente concentrata sulle ricadute per le grandi aziende, e i “nostri” dati, come Yahoo e Amazon, che tempestivamente hanno aggiustato la “falla” e consigliato il cambio di password per gli utenti. Ma gli esperti della sicurezza Nicole Perlroth e Quentin Hardy sostengono che il danno potrebbe estendersi anche oltre, coinvolgendo non solo le imprese ma più in generale i dispositivi che si collegano ad internet, come i router attraverso i quali scorre il traffico web.
Tanto che le principali aziende produttrici di dispositivi digitali hanno iniziato a rivelare un eventuale attacco del bug ai propri sistemi di sicurezza. Cisco Systems, fornitore mondiale di apparati per il networking, ha detto che i suoi router e i server, così come i suoi server online, sono sotto controllo ma potrebbero essere stati colpiti. Per l’azienda sono stati colpiti alcuni tipi di telefoni collegati ad internet, i server adibiti per le riunioni online e altri tipi di dispositivi utilizzati per le comunicazioni in ufficio. Cisco ha inoltre pubblicato un elenco di prodotti di cui sta testando la vulnerabilità in continuo aggiornamento, il tutto nell’ambito di una serie di procedure d’ispezione delle sue attrezzature.
Anche Juniper Networks dichiara di non aver subito danni ai suoi principali prodotti ma anche qui l’attacco si è fatto sentire. Infatti, secondo l’azienda, è stato coinvolto solo un tipo di dispositivo adibito alle comunicazioni private on line. Secondo il Wall Street Journal, invece, sono diversi i prodotti contagiati che, a detta di alcuni esperti, potrebbero necessitare della sostituzione dell’hardware. Intel, al pari delle altre grandi aziende, sta provvedendo ad un controllo generale dei propri prodotti che, al momento, non ha rilevato difficoltà.
Facebook Comments