Come ti scovo il baco

“La tua password è la chiave per accedere a molte informazioni che ti riguardano, immagazzinate nel tuo pc o negli account online. Se i criminali o qualche malintenzionato rubano queste informazioni, la tua identità virtuale può essere clonata. Di solito, ci si accorge del furto quando è troppo tardi, magari perché qualcuno ha già fatto acquisti a tuo nome. Fortunatamente, non è difficile creare una password ‘forte’ che ti protegge da questi rischi”. Quasi alla lettera, è quanto si può leggere sul sito della Microsoft, alla sezione “Una password forte: come crearla e utilizzarla”. Pochi accorgimenti, facili da seguire. Peccato che il protocollo di sicurezza del gestore dei servizi on-line cui ci affidiamo potrebbe avere un piccolo baco, e servire su un piatto d’argento le nostre informazioni a chiunque se ne dovesse accorgere, password o non password. Non è un’ipotesi remota, visto che è appena accaduto a uno dei colossi del Web, Google. Tranquillizzatevi, ad accorgersene sono stati i ricercatori del Laboratorio di Intelligenza artificiale (Ai-Lab) dell’Università di Genova, il cui lavoro è proprio quello di scovare bachi nei sistemi di sicurezza delle infrastrutture informatiche.

Lo strumento che passa al vaglio i protocolli delle webmail e dei vari servizi on-line che detengono le informazioni sensibili si chiama “Avantssar Validation Platform”, ed è uno strumento software specifico per stabilire se un servizio web è davvero inoppugnabile come ci aspettiamo. Due sono i progetti cofinanziati dall’Unione Europea nell’ambito del quale è stato sviluppato: Avispa, coordinato da Alessandro Armando, co-fondatore e direttore dell’Ai-Lab, e Avantssar (Automated VAlidatioN of Trust and Security of Service-oriented Architectures) che, partito a gennaio di quest’anno e coordinato da Luca Viganò dell’Università di Verona, durerà tre anni e potrà disporre di un budget di 6 milioni di euro.

“Ogni azienda può mettere a punto un proprio sistema di regole procedurali per garantire la confidenzialità nello scambio di messaggi e di informazioni, permettere l’autenticazione di un utente garantendo la privacy, e così via. Sono programmi semplici da scrivere, ma gli errori sono frequenti”, racconta a Galileo Alessandro Armando. Per evitarli e affinché i servizi offerti da più aziende possano ‘dialogare’ tra loro, esiste un protocollo standardizzato di riferimento messo a disposizione dal consorzio Oasis (Organization for the Advancement of Structured Information Standards).

I ricercatori hanno prima studiato la documentazione che descrive nel dettaglio il protocollo Oasis, e ne hanno poi estratto un modello matematico che è stato testato dal loro programma ‘scova-bachi’. Se Oasis ha passato l’esame, diversamente è andata per il protocollo del più popolare motore di ricerca: “Ci siamo accorti che il servizio di autenticazione offerto da Google, per esempio per Gmail e Calendar, differiva in alcuni punti, apparentemente insignificanti, dal protocollo proposto da Oasis”, spiega Armando: “Fino a quest’estate, quando un utente si identificava per accedere a uno di questi servizi di Google, il ‘lascia passare’ (il codice che certifica l’identità dell’utente, ndr.) non riportava per quale motivo si chiedesse l’autenticazione”. Chiunque se ne fosse accorto avrebbe potuto accedere direttamente al ‘visto’,  senza bisogno di alcuna password, e riutilizzarlo per qualunque servizio. Banalmente per infiltrarsi nelle caselle di posta degli utenti e avere accesso a informazioni sensibili. Le conseguenze potevano essere gravi, dal momento che diverse multinazionali del calibro di Procter & Gramble, General Electrics, o anche aziende ospedaliere, si appoggiano a Google per i servizi di posta. Questo pericolo è stato scampato (vai alla dichiarazione di Google e al rapporto di vulnerabilità del Cert): “Il protocollo di Google è stato il primo a essere testato”, conclude Armando, “ma i sistemi di protezione di altri gestori di dati sono già in lista per essere vagliati”.