La NSA si è travestita da Google per spiarci

Quando c’è di mezzo la NSA non si finisce mai di scoprire qualcosa. Gli agenti federali devono aver guardato a lungo i telefilm di spionaggio degli anni ’70 visto che molte tecniche utilizzate per ingannare aziende e utenti si rifanno a trucchi davvero semplici e quasi paradossali. Oggi si scopre che, in più di un’occasione, l’Agenzia per la Sicurezza Nazionale degli Stati Uniti ha finto di essere Google per raccogliere vari dati sulle persone. La curiosità arriva dal sito dell’agenzia brasiliana Fantasticoche ha ottenuto e pubblicato un documento rilasciato da Edward Snowden che mostra come ci siano stati in passato degli attacchi “man in the middle” che hanno coinvolto Google.

L’attacco “man in the middle” (abbreviato come MITM) è comunemente utilizzato dagli hacker e comporta l’uso di un certificato di sicurezza finto all’interno di una comunicazione web legittima. Questo vuol dire che vengono bypassate le impostazioni di sicurezza del browser per intercettare i dati che un soggetto insospettabile sta inviando ad un destinatario o servizio. Con tale metodo gli hacker potrebbero, ad esempio, porsi come sito web di una banca e rubare gli username e le password digitati in un modulo o casella. C’è da dire che la tecnica sia abbastanza subdola perché permette a terze parti di utilizzare password reali per accedere a siti web reali, senza comprometterli o manomettere il codice di sviluppo. In questo modo nessuno degli interlocutori legittimati si accorge dell’intrusione perché non vi è alterazione di sistemi.

Secondo quanto riporta Fantastico, non è chiaro se la tecnica sia stata utilizzata dalla NSA o dalla controparte britannica la GCHQ, l’articolo dell’agenzia brasiliana dice che: “I dati vengono reindirizzati alla sede centrale della NSA (ma non si sa dove provengano ndr) e poi inoltrati a destinazioni precise senza che nessuno se ne accorga”. Pare insomma che tra l’invio di informazioni di un semplice utente a Google, ad esempio quando si completa un form di iscrizione ad una delle piattaforme, si sia intrufolata la NSA che ne ha rubato credenziali di accesso e informazioni personali. Fa specie sentire sempre la stessa dichiarazione da parte di Google. Qualsiasi domanda si faccia in merito ai leak di Snowden e al funzionamento di PRISM la risposta è: “Per quanto riguarda le recenti notizie su i modi in cui il governo degli Stati Uniti aggira i sistemi di sicurezza, noi non abbiamo prove di simili tecniche. Forniamo i dati dei nostri utenti solo in conformità a richieste nei termini di legge”. Il cane che si morde la coda.

Come suggerisce Techdirt, un attacco MITM da parte della NSA o della GCHQ non sarebbe tanto strano nel panorama dipinto negli ultimi mesi. Il New York Times ha riferito la scorsa settimana come la NSA abbia eluso i più comuni metodi di crittografia per rubare le chiavi digitali che proteggono gli utenti e le loro conversazioni private. Non sarebbe un grande sforzo ottenere un certificato di sicurezza fasullo per valicare il protocollo di sicurezza Secure Sockets Layer (SSL), progettato per verificare l'autenticità dei siti web e delle comunicazioni tra utenti e piattaforme. Google non è novizia a subire attacchi del genere: nel 2011 un hacker era riuscito a intrufolarsi nei sistemi della DigiNotar, società olandese che aveva emesso i certificati di sicurezza per il motore di ricerca, creando più di 500 certificati SSL falsi utilizzati per autenticarsi su siti web.