Close

Not a member yet? Register now and get started.

lock and key

Sign in to your account.

Account Login

Forgot your password?

Con HTTPS ora Gmail è sicura (o forse no?)

22 Mar Posted by in Uncategorized | Comments

https-encrypted-data-in-30-seconds

I portali di informazione anglofoni hanno una responsabilità non indifferente, visto che spesso le notizie che pubblicano vengono riprese senza troppe verifiche, tradotte e semplificate (a volte anche troppo), aggiungendo qualche grassetto qua e là anziché arricchimenti nei contenuti.

Questo comporta il rischio che ogni inesattezza (o castroneria bella e buona) possa essere assuefatta da tantissime persone che non possiedono gli elementi necessari per valutarla diversamente. Anche se prima o poi qualcuno che la rileva c’è sempre, nel frattempo la “notizia” ha già fatto il giro del mondo e chi l’ha letta passa oltre, senza ritornare sull’argomento. Le rettifiche sono sempre in affanno rispetto alle inesattezze, si sa.

E’ il caso per esempio di quando l’altro giorno Google ha annunciato l’estensione del protocollo HTTPS anche alle comunicazioni tra i suoi vari server, non solo tra browser e server, per aumentare il livello di protezione sui dati nel caso qualche impiccione digitale volesse farsi i fatti nostri.

Starting today, Gmail will always use an encrypted HTTPS connection when you check or send email. Gmail has supported HTTPS since the day it launched, and in 2010 we made HTTPS the default. Today’s change means that no one can listen in on your messages as they go back and forth between you and Gmail’s servers—no matter if you’re using public WiFi or logging in from your computer, phone or tablet“.

La notizia è stata ampiamente riportata da portali prima americani e poi italiani, con enfasi tale da lasciar supporre che i nostri dati siano blindatissimi.

E invece forse no. Vediamo perché.

Se già nel 2009 e nel 2011 era possibile leggere di ricercatori che avevano trovato il modo per aggirare il protocollo HTTPS, ora la sfida si è spostata sul tempo minimo necessario per riuscirvi. La scorsa estate durante la Black Hat Security Conference di Las Vegas è stato mostrato come siano sufficienti soli 30 secondi per decodificare dati protetti da protocollo HTTPS, come mostra il video qui sotto.

Non solo: nel frattempo tutto il mondo ha iniziato a scoprire l’esistenza di pratiche di monitoraggio su larga scala delle conversazioni, al di là di ogni immaginazione.

L’articolo “NSA has cracked encryption protecting your bank account, Gmail, and smartphone” per esempio spiega:

“Documents labeled “top secret” show that HTTPS and Secure Sockets Layer (SSL), encryption technologies used across the Web to keep transactions protected from snoops of all kinds, have been cracked by government-owned supercomputersThrough their decryption program, codenamed “Bullrun,” NSA and UK counterpart GCHQ have also compromised virtual private networks (VPNs) and encryption used to protect 4G wireless signals.”

Concludendo

L’introduzione del protocollo HTTPS in luogo dell’HTTP è positiva perché aumenta il livello di sicurezza, anche se questo passaggio doveva essere effettuato anni addietro. Bisogna però tenere sempre ben presente che oggi, nel 2014, tra tutte le cose che possono essere hackerate abbiamo anche il protocollo HTTPS.  Mettere in giro notizie che lasciano intendere qualcosa di molto diverso non solo non è fare informazione ma può creare anche grossi (ma grossi) problemi.

“Hackers know that the SSL/TLS protocol (which is the basis for HTTPS connection) can be breached”

 


Leave a comment