Il “millennium bug” del 2016 che potrebbe togliere internet a 40 milioni di utenti

di Alessio Barbati | 16/12/2015

Il 1 Gennaio 2016 chiunque possieda un cellulare o un computer più vecchio di cinque anni, potrenne non accedere più all’encrypted web, che include siti come Facebook, Google e Twitter, per citarne tre a caso. Questo è dovuto al nuovo piano di verifica dei siti in questione e se probabilmente non sarà un problema italiano, lo sarà per quei 40 milioni di utenti che vivono in paesi in via di sviluppo. «È una questione di crittografia e del problema di supportare contemporaneamente futuro e passato» spiega a BuzzFeed News Matthew Prince, CEO di CloudFlare «È importante ricordare che internet non appartiene solo a chi utilizza un computer di ultima generazione o un iPhone 6». La ragione di fondo ha a che fare sul modo in cui i vari siti certificano la loro attendibilità. Sebbene il dibattito sulla crittografia sia attualmente in corso a Washington, gran parte del web è già crittografato. Gli “https” e il lucchetto verde sulla barra degli indirizzi, sono la certificazione che il sito che vogliamo visitare è attendibile.

DA SHA-1 A SHA-2 –

Oggi i siti sono criptati con quella che viene chiamata “Funzione crittografica di hash”. Un hash è una funzione che prende in ingresso un codice di lunghezza casuale, producendo in uscita una nuova stringa di lunghezza standard, che rappresenta una sorta di “impronta digitale” dei dati contenuti nella stringa di ingresso. In pratica un certificato di attendibilità del sito internet. Il problema è che questo metodo, lo SHA-1, non è più sicuro, da quando lo scorso Ottobre alcuni ricercatori hanno confermato di poter violare questa tecnologia entro fine anno. Per questo il CA/Browser Forum, il gruppo industriale che definisce le politiche di cifratura, ha annunciato che dal 1 gennaio a mezzanotte non rilascerà più certificati SHA-1, ma solo i più sicuri SHA-2.

LE CONSEGUENZE –

«CA/Browser Forum dice che dovremmo costringere la gente ad andare verso il futuro, e questo è un argomento convincente – dice Prince – ma non possiamo sottovalutare il fatto che molte persone in tutto il mondo, utilizzano vecchi telefoni o computer fissi che non saranno più in grado di accedere a internet. Senza essere iperbolici, ma rimanendo realisti, il 4 o il 5% dei visitatori semplicemente verrà tagliato fuori». CloudFlare ha pubblicato una lista delle percentuali di “esclusi” in ogni paese.

SHA2

In cima alla classifica c’è la Cina, dove il 6.08% dei browser non supporta lo SHA-2, seguono Camerun, Yemen, Sudan, Egitto e Libia. In un post pubblicato dal chief security officer di Facebook si legge:

“Non riteniamo giusto escludere decine di milioni di persone dai benefici di internet. Molti dispositivi non compatibili con SHA-2 vengono utilizzati nei paesi in via di sviluppo da persone che sono nuove all’utilizzo di internet. Per queste persone dovremmo investire in soluzioni di privacy e sicurezza invece che renderne più complicato l’utilizzo”.