CyberScan
Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.
Scopri CyberScan →
Cybersecurity
Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.
Scopri →Giugno 2013
Il 5 giugno 2013 The Guardian pubblica il primo articolo derivato dai documenti consegnati da Edward Snowden, ex contractor NSA, alla giornalista Laura Poitras e ai giornalisti Glenn Greenwald e Ewen MacAskill. Nei giorni successivi seguono articoli su The Washington Post, Der Spiegel, Le Monde, O Globo e altri. Le rivelazioni rese pubbliche tra giugno e ottobre 2013 includono:
- PRISM — programma di raccolta dati dai principali provider internet americani (Microsoft, Google, Yahoo, Facebook, Apple)
- BULLRUN — programma di attacco/indebolimento di standard crittografici pubblici
- Bulk metadata collection — raccolta di massa di metadati telefonici e internet
- XKeyscore — sistema di analisi del traffico internet
- TEMPORA — programma GCHQ (UK) di tap su cavi sottomarini
- Collaborazione con partner “Five Eyes” (USA, UK, Canada, Australia, Nuova Zelanda)
Il contenuto delle rivelazioni è oggetto di dibattito politico e giuridico ben oltre lo scope tecnico. Qui interessa l’impatto sulla comunità tecnica Open Source e sulla postura crittografica del web.
La reazione tecnica
La reazione della comunità IT è articolata e coordinata. Alcuni eventi chiave nei 18 mesi successivi:
IETF e “pervasive monitoring”
Nell’autunno 2013 l’Internet Engineering Task Force — l’organo di standardizzazione tecnica di Internet — discute apertamente il tema. Esce, nel maggio 2014, il RFC 7258 intitolato “Pervasive Monitoring Is an Attack”, che dichiara formalmente che la sorveglianza di massa è un attacco contro il quale i protocolli devono essere progettati. È una presa di posizione storica della comunità tecnica.
Riforma TLS
Al giugno 2013 TLS 1.2 è lo stato dell’arte (pubblicato RFC 5246 nel 2008), ma è ancora minoritario su Internet — molti server usano TLS 1.0 o persino SSLv3. I lavori su TLS 1.3 accelereranno: il WG IETF, guidato tra gli altri da Eric Rescorla (Mozilla), lavora a un protocollo che impone forward secrecy, rimuove meccanismi deprecati e riduce la latenza dell’handshake.
HTTPS Everywhere
L’iniziativa HTTPS Everywhere della Electronic Frontier Foundation (EFF) esisteva già dal 2010 come estensione browser; post-Snowden la pressione per rendere HTTPS universale cresce. Google annuncia nel 2014 che userà HTTPS come ranking signal in Google Search — spinta di mercato per l’adozione.
Let’s Encrypt
Nel 2014 l’Internet Security Research Group (ISRG) — con supporto EFF, Mozilla, Akamai, Cisco — avvia il progetto Let’s Encrypt, CA gratuita con certificati emessi automaticamente tramite protocollo ACME. Beta nel 2015, GA nell’aprile 2016. Let’s Encrypt porta a decine di milioni il numero di siti HTTPS nel primo anno di operatività.
Audit di librerie crypto Open Source
OpenSSL — libreria crypto più diffusa — era sotto-finanziata e con un team esiguo. Post-Snowden e dopo la scoperta di Heartbleed (aprile 2014, CVE-2014-0160), la comunità reagisce: Core Infrastructure Initiative (Linux Foundation, 2014) finanzia la sicurezza delle librerie Open Source critiche. LibreSSL è forkato da OpenBSD nel 2014. BoringSSL viene forkato da Google. Audit indipendenti intensificati.
Forward Secrecy come default
Perfect Forward Secrecy (PFS) — proprietà per cui la compromissione della chiave privata del server non compromette sessioni passate — era nota ma opzionale. Post-Snowden diventa pratica standard: server configurati con ECDHE come cipher suite preferita, RSA key exchange deprecato.
Revisione degli standard NIST
Dual_EC_DRBG — generatore pseudocasuale standardizzato NIST — era già sotto sospetto (Bernstein-Lange-Niederhagen 2007; Bruce Schneier 2007) per una possibile backdoor. Le rivelazioni Snowden confermano: documenti BULLRUN suggeriscono compromissione. NIST ritira ufficialmente lo standard nel 2014, aggiornando SP 800-90A.
Crescita dei messaggi cifrati end-to-end
- Signal Protocol (Open Whisper Systems) consolida nel 2013-2014
- WhatsApp adotta Signal Protocol nel 2014-2016
- TextSecure (poi Signal) diventa raccomandazione standard
L’impatto industriale
L’impatto sulla postura di sicurezza delle aziende è sostanziale:
- HTTPS everywhere nei siti pubblici
- Certificate pinning e HSTS (RFC 6797) adottati
- Audit di logging esteso per rilevare internal threats (sul modello Snowden stesso, insider)
- Regimi privacy rafforzati — la reazione politica europea sta alimentando i lavori sul nuovo Regolamento generale sulla protezione dei dati (proposta della Commissione europea 2012)
- Cloud sovrano — dibattito in Europa sulla dipendenza da provider statunitensi
Nel contesto italiano
Gli effetti sull’ecosistema italiano:
- Adozione crescente di HTTPS nei portali pubblici (processo gradualmente completato verso fine decennio)
- Revisione delle regole tecniche AgID sulla sicurezza digitale
- Spinta al cloud sovrano: attenzione ai provider italiani ed europei
- Ripresa del dibattito pubblico sulla cifratura e privacy — questione che si riaffaccia periodicamente nei cicli politici italiani ed europei
Cosa resta
A distanza di anni dal giugno 2013, la traccia delle rivelazioni è visibile ovunque nell’infrastruttura tecnica del web: HTTPS universale, TLS 1.3, Let’s Encrypt, end-to-end encryption normalizzata nei prodotti di messaggistica, esame pubblico delle librerie crypto. La comunità Open Source ha risposto agli eventi con autocritica tecnica e investimenti: il risultato è un Internet misurabilmente più sicuro dal punto di vista crittografico rispetto al 2012.
Il giugno 2013 non ha solo raccontato cosa è stato fatto dai programmi di sorveglianza; sta imponendo all’industria una maturazione accelerata di strumenti e pratiche di sicurezza che altrimenti avrebbero richiesto decenni.
Riferimenti: Rivelazioni Snowden (5 giugno 2013 in avanti), The Guardian, The Washington Post.