Una falla si aggira per il mondo digitale. L’MD5 è a rischio, il che deve preoccuparci tutti, perché si tratta di uno degli algoritmi di sicurezza usati per la certificazione digitale della posta elettronica, del commercio elettronico e del banking online.
Attraverso il varco - dicono gli esperti del Centrum Wiskunde & Informatica (CWI), del Politecnico olandese di Eindhoven e dell’EPFL di Losanna - si possono condurre attacchi di phishing senza che gli utenti se ne accorgano, con il furto conseguente di informazioni e dati sensibili. Le pagine a rischio sono proprio quelle considerate più sicure, il cui indirizzo comincia per "https" e che di solito recano un lucchetto chiuso nella parte inferiore dello schermo.
L’allarme però non riguarda tutti i siti di e-commerce e di e-banking. La debolezza riscontrata nell’MD5, infatti, era stata già in parte resa nota nel 2004 da ricercatori cinesi, ma l’algoritmo viene ancora impiegato da alcune società di certificazione digitale. Secondo l’analista Marc Stevens del Cryptology Group di CWI, "è imperativo che i browser Internet e i siti di certificazione digitale smettano di usare l’MD5 e migrino verso alternative più robuste, come l’SHA-2 e il prossimo SHA-3".
Ringraziamo Pino Bruno per l'articolo