La settimana scorsa la Tweede Kamer (Camera bassa) dei Paesi Bassi ha votato per finanziare alcuni progetti per il rafforzamento della crittografia dei dati.
Kees Verhoeven è il parlamentare che ha sostenuto fortemente il progetto di legge nella consapevolezza che una migliore crittografia dei dati sia essenziale per garantire e tutelare il diritto alla privacy dei cittadini. In una intervista su Security.nl riportata su una news di ZDNet, Verhoeven ha infatti proprio dichiarato che “La crittografia permette una comunicazione privata, inoltre permette a giornalisti, ricercatori, avvocati e altri a proteggere le loro fonti, clienti e partner”.
Per tale ragione, sono stati finanziati dalla Tweede Kamer circa 500 mila euro (547.000 $) per sostenere i progetti open source OpenSSL, LibreSSL e PolarSSL; OpenSSL è il protocollo di sicurezza che gli sviluppatori utilizzano per proteggere gli utenti di Internet dai furti di dati. Si tratta di un progetto open source che fornisce agli sviluppatori web gli strumenti di codifica per attuare il Transport Layer Security (TLS) e Secure Sockets Layer (SSL) protocolli di sicurezza, nonché la libreria di codifica che crea cripto tools. LibreSSL e PolarSSL forniscono anche le librerie con il codice per implementare i protocolli TLS e SSL, e gli sviluppatori possono utilizzare questi come alternative alla OpenSSL. Tutti e tre questi progetti si basano sul volontariato delle community open source e sulle donazioni che queste ricevono, come appunto quella che la Camera bassa olandese ha accettato di dare proprio qualche giorno fa, per sostenerne i progetti.
E’ bene sapere che la maggior parte dei siti web tradizionali utilizzano l’OpenSSL e questo ha reso il protocollo più facilmente esposto ad attacchi e vulnerabilità anche di vaste dimensioni come accaduto nel caso dello scorso anno quando è stato scoperto il bug heartbleed. Per chi non lo ricordasse, heartbleed è una grave vulnerabilità nella popolare libreria di crittografia OpenSSL. Questa debolezza permette di rubare le informazioni protette in condizioni normali dalla crittografia SSL / TLS utilizzate per la protezione della rete. SSL/TLS fornisce infatti la sicurezza delle comunicazioni e la privacy su Internet per applicazioni come web, e-mail, instant messaging (IM) e alcune reti private virtuali (VPN). Il bug heartbleed invece permette a chiunque sulla rete di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del protocollo OpenSSL, compromettendo le chiavi segrete utilizzate per identificare i fornitori di servizi e per crittografare il traffico dei dati (compreso nomi e password degli utenti e il contenuto effettivo). Ciò consente agli aggressori quindi di intercettare le comunicazioni e rubare i dati direttamente dai servizi prima ancora che dagli utenti. OpenSSL è utilizzato anche nella protezione dei siti di alcuni social network come Facebook e Twitter, quindi una volta avuto accesso, gli hacker possono replicare l’attacco anche su altri siti che implementano lo stesso codice. Sostenere e implementare il lavoro di crittografia su progetti alternativi, come appunto LibreSSL e PolarSSL, indubbiamente potrebbe prevenire altre tipologia di attacchi simili a heartbleed.
Si stima infatti che il solo bug heartbleed sia già costato oltre 500.000.000 di dollari e molte imprese ancora non sono totalmente sicure che i loro sistemi non siano stati compromessi a causa di questa vulnerabilità. Malgrado il codice sorgente della biblioteca fosse disponibile a tutti gli interessati, nessuno aveva prima della scoperta del bug heartbleed eseguito una scansione completa delle vulnerabilità. Anche per far fronte a situazioni come questa la Commissione europea sta ponendo una particolare attenzione alla security dei software open source attualmente utilizzati; un audit è stato pianificato entro la fine della prossima estate. Nel corso dei prossimi mesi infatti diversi team di esperti lavoreranno su un inventario dei progetti presso il Parlamento e la Commissione proprio per confrontare i protocolli di sicurezza con quelli delle comunità open source.
I sostenitori del progetto ritengono che imparando dalle best practice nello sviluppo di software libero e open source, attraverso processi ben definiti, gli obiettivi e le responsabilità per la revisione del codice all’interno delle stesse Istituzioni potrebbero migliorarne la resistenza alle situazioni di vulnerabilità. Inoltre questo consentirebbe anche di creare un precedente virtuoso e positivo permettendo alle istituzioni stesse di contribuire allo sviluppo di un insieme di blocchi comuni basati su software affidabili e più sicuri all’interno del panorama IT.
Per questo progetto pilota conosciuto come UE-Free e Open Source Software Auditing (Eu-Fossa) sono stati stanziati, lo scorso anno, dal Parlamento europeo 1 milione di euro. Nel corso dell’Open Source Summit di Parigi tenutosi il 16 e 17 novembre Marek Przybyszewski Chief Architet dei Sistemi informativi della Commissione europea per l’Informatica (DIGIT) ha presentato i primi obiettivi del progetto. Eu-Fossa è gestito dalla DIGIT, e implementa il progetto pilota del Parlamento europeo “Governance e qualità del codice del software – Revisione del software libero e open source” che offre un approccio sistematico e sistemico al raggiungimento di un obiettivo al quale le stesse istituzioni dell’Unione europea contribuiranno.
Il progetto si sostanzia in 3 parti:
- Uno studio comparativo delle istituzioni europee e delle comunità free e open source software e di uno studio di fattibilità su come eseguire una revisione del codice di progetti
- La definizione di una metodologia comune per ottenere un inventario completo di software libero e open source e specifiche tecniche utilizzate all’interno del Parlamento europeo e della Commissione europea e della raccolta di dati
- La revisione del codice di alcuni software e librerie open selezionati perché di importanza critica e quindi particolarmente presi di mira dagli attacchi informatici e il cui malfunzionamento potrebbe portare ad una grave interruzione dei servizi pubblici o comunitari e di accesso non autorizzato.
Il progetto pilota FOSSA sarà completato entro la fine del 2016. Il suo scopo al momento è stato limitato alla Commissione europea e il Parlamento europeo, in caso di riscontri positivi anche le altre istituzioni saranno coinvolte successivamente. In caso di successo, questo progetto potrebbe trasformarsi in un programma permanente per sostenere il lavoro delle comunità open source.
Facebook Comments