EN Contattaci

Snowden e la crittografia: giugno 2013 come punto di svolta del web sicuro

Le rivelazioni Snowden di giugno 2013 sui programmi NSA e la reazione della comunità tecnica: IETF, riforma dei protocolli TLS, diffusione di HTTPS, forward secrecy, audit delle librerie crypto open source. Un punto di svolta culturale.

Cyber SecurityOpen SourceCompliance
Cyber SecurityOpen SourceCompliance SnowdenNSATLSHTTPSCryptoCyber SecurityIETFOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan →Cyber Security

Cyber Security

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Giugno 2013

Il 5 giugno 2013 The Guardian pubblica il primo articolo derivato dai documenti consegnati da Edward Snowden, ex contractor NSA, alla giornalista Laura Poitras e ai giornalisti Glenn Greenwald e Ewen MacAskill. Nei giorni successivi seguono articoli su The Washington Post, Der Spiegel, Le Monde, O Globo e altri. Le rivelazioni rese pubbliche tra giugno e ottobre 2013 includono:

  • PRISM — programma di raccolta dati dai principali provider internet americani (Microsoft, Google, Yahoo, Facebook, Apple)
  • BULLRUN — programma di attacco/indebolimento di standard crittografici pubblici
  • Bulk metadata collection — raccolta di massa di metadati telefonici e internet
  • XKeyscore — sistema di analisi del traffico internet
  • TEMPORA — programma GCHQ (UK) di tap su cavi sottomarini
  • Collaborazione con partner “Five Eyes” (USA, UK, Canada, Australia, Nuova Zelanda)

Il contenuto delle rivelazioni è oggetto di dibattito politico e giuridico ben oltre lo scope tecnico. Qui interessa l’impatto sulla comunità tecnica open source e sulla postura crittografica del web.

La reazione tecnica

La reazione della comunità IT è articolata e coordinata. Alcuni eventi chiave nei 18 mesi successivi:

IETF e “pervasive monitoring”

Nell’autunno 2013 l’Internet Engineering Task Force — l’organo di standardizzazione tecnica di Internet — discute apertamente il tema. Esce, nel maggio 2014, il RFC 7258 intitolato “Pervasive Monitoring Is an Attack”, che dichiara formalmente che la sorveglianza di massa è un attacco contro il quale i protocolli devono essere progettati. È una presa di posizione storica della comunità tecnica.

Riforma TLS

Al giugno 2013 TLS 1.2 è lo stato dell’arte (pubblicato RFC 5246 nel 2008), ma è ancora minoritario su Internet — molti server usano TLS 1.0 o persino SSLv3. I lavori su TLS 1.3 accelerano: il WG IETF, guidato tra gli altri da Eric Rescorla (Mozilla), lavorerà dal 2014 verso un protocollo che impone forward secrecy, rimuove meccanismi deprecati, riduce la latenza dell’handshake. TLS 1.3 sarà finalizzato come RFC 8446 nell’agosto 2018.

HTTPS Everywhere

L’iniziativa HTTPS Everywhere della Electronic Frontier Foundation (EFF) esisteva già dal 2010 come estensione browser; post-Snowden la pressione per rendere HTTPS universale cresce. Google annuncia nel 2014 che userà HTTPS come ranking signal in Google Search — spinta di mercato per l’adozione.

Let’s Encrypt

Nel 2014 l’Internet Security Research Group (ISRG) — con supporto EFF, Mozilla, Akamai, Cisco — avvia il progetto Let’s Encrypt, CA gratuita con certificati emessi automaticamente tramite protocollo ACME. Beta nel 2015, GA nell’aprile 2016. Let’s Encrypt porta a decine di milioni il numero di siti HTTPS nel primo anno di operatività.

Audit di librerie crypto open source

OpenSSL — libreria crypto più diffusa — era sotto-finanziata e con un team esiguo. Post-Snowden e dopo la scoperta di Heartbleed (aprile 2014, CVE-2014-0160), la comunità reagisce: Core Infrastructure Initiative (Linux Foundation, 2014) finanzia la sicurezza delle librerie open source critiche. LibreSSL è forkato da OpenBSD nel 2014. BoringSSL viene forkato da Google. Audit indipendenti intensificati.

Forward Secrecy come default

Perfect Forward Secrecy (PFS) — proprietà per cui la compromissione della chiave privata del server non compromette sessioni passate — era nota ma opzionale. Post-Snowden diventa pratica standard: server configurati con ECDHE come cipher suite preferita, RSA key exchange deprecato.

Revisione dei standard NIST

Dual_EC_DRBG — generatore pseudocasuale standardizzato NIST — era già sotto sospetto (Bernstein-Lange-Niederhagen 2007; Bruce Schneier 2007) per una possibile backdoor. Le rivelazioni Snowden confermano: documenti BULLRUN suggeriscono compromissione. NIST ritira ufficialmente lo standard nel 2014, aggiornando SP 800-90A.

Crescita dei messaggi cifrati end-to-end

  • Signal Protocol (Open Whisper Systems) consolida nel 2013-2014
  • WhatsApp adotta Signal Protocol nel 2014-2016
  • TextSecure (poi Signal) diventa raccomandazione standard

L’impatto industriale

L’impatto sulla postura di sicurezza delle aziende è sostanziale:

  • HTTPS everywhere nei siti pubblici
  • Certificate pinning e HSTS (RFC 6797) adottati
  • Audit di logging esteso per rilevare internal threats (sul modello Snowden stesso, insider)
  • Regimi privacy rafforzati — la reazione politica europea al caso porterà al GDPR (proposta 2012, adottato 2016, applicabile 2018)
  • Cloud sovrano — dibattito in Europa sulla dipendenza da provider statunitensi

Nel contesto italiano

Gli effetti sull’ecosistema italiano:

  • Adozione crescente di HTTPS nei portali pubblici (processo gradualmente completato verso fine decennio)
  • Revisione delle regole tecniche AgID sulla sicurezza digitale
  • Spinta al cloud sovrano: attenzione ai provider italiani ed europei
  • Ripresa del dibattito pubblico sulla cifratura e privacy — questione che si riaffaccia periodicamente nei cicli politici italiani ed europei

Cosa resta

A distanza di anni dal giugno 2013, la traccia delle rivelazioni è visibile ovunque nell’infrastruttura tecnica del web: HTTPS universale, TLS 1.3, Let’s Encrypt, end-to-end encryption normalizzata nei prodotti di messaggistica, scrutinio pubblico delle librerie crypto. La comunità open source ha risposto agli eventi con autocritica tecnica e investimenti: il risultato è un Internet misurabilmente più sicuro dal punto di vista crittografico rispetto al 2012.

Il giugno 2013 non ha solo raccontato cosa è stato fatto dai programmi di sorveglianza; ha imposto all’industria una maturazione accelerata di strumenti e pratiche di sicurezza che altrimenti avrebbero richiesto decenni.

Riferimenti: Rivelazioni Snowden (5 giugno 2013 in avanti), The Guardian, The Washington Post. IETF RFC 7258 “Pervasive Monitoring Is an Attack” (maggio 2014). RFC 8446 — TLS 1.3 (agosto 2018). Let’s Encrypt (ISRG, 2015-2016). Heartbleed CVE-2014-0160. Core Infrastructure Initiative (Linux Foundation, 2014). Regolamento (UE) 2016/679 (GDPR).

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi