Sicurezza

Corruzione e falsa crittografia, bastano 10 milioni di dollari

C'è anche la corruzione nell'arsenale della National Security Agency, quell'estensione del governo statunitense che negli ultimi sei mesi è finita di continuo sui giornali di tutto il mondo per le proprie attività di spionaggio, rivelate da Edward Snowden.

Secondo gli ultimi documenti pubblicati la NSA avrebbe pagato ben 10 milioni di dollari RSA. Si tratta è una delle società più importanti del mondo in ambito di sicurezza informatica: sono fornitori dello stesso esercito USA e, tra le altre cose, creano gli algoritmi a doppio elemento (token) che proteggono molti conti bancari in tutto il mondo.

RSA è famosa per l'accesso protetto

A cosa servivano quei soldi? La NSA avrebbe convinto di dirigenti di RSA a usare algoritmi crittografici alterati come opzione predefinita nel software Bsafe. Lo scopo era creare dati più facili da violare all'occorrenza, grazie proprio a una "backdoor di fabbrica".

I portavoce di RSA, che è una sussidiaria del gigante EMC, affermano che in passato erano stati in "prima linea" nel difendere i propri clienti, raccomandando loro di abbandonare l'algoritmo compromesso non appena se ne ebbe notizia. Una comunicazione che sembra quanto mai ipocrita alla luce dei nuovi fatti.

Josephe Menn di Reuters parla di "una strategia chiave nel miglioramento della sorveglianza: la sistematica erosione degli strumenti di sicurezza". Una strategia di cui questo sarebbe solo un tassello, e probabilmente non il più rilevante.

Per RSA è un duro colpo, al quale l'azienda ha risposto ufficialmente dopo qualche ora con un post sul blog ufficiale. Vi si legge che l'azienda usa Dual EC DRBG (l'algoritmo incriminato) dal 2004 come impostazione predefinita, ma anche che ci sono altre opzioni tra cui scegliere. Il testo è piuttosto lungo ma tuttavia non tocca l'argomento dei dieci milioni di dollari: su questo tema vale quindi il "no comment" raccolto da Reuters tanto da RSA quanto dall'agenzia governativa statunitense.