Il titolo è volutamente provocatorio e l’antagonismo ideologico tra le major dell’informatica non è l’oggetto di questo post, che è un esercizio teorico basato su un fatto di cronaca.

Recentemente c’è stato un attacco coordinato proveniente dalla Cina contro il servizio di posta elettronica di Google. L’attacco sarebbe stato coordinato attraverso dei computer controllati tramite il protocollo Aurora, la cui analisi ne rivela la complessità e fa chiaramente capire che non è stato creato dal solito gruppo di smanettoni cantinari.

Immaginiamo di voler penetrare in un migliaio di account email di Google. Abbiamo sostanzialmente tre vie per farlo: o rubiamo le password agli utenti con vari sistemi (social engineering, accessi fisici ai loro computer, intercettazioni ambientali), o tentiamo di accedere utilizzando password generate più o meno casualmente, o troviamo un buco nella sicurezza dei sistemi di BigG.

Il primo sistema è rischioso, costoso e anche poco efficace, specialmente se le vittime dell’attacco sono preparate dal punto di vista informatico e utilizzano computer diversi per collegarsi. Senza contare che il crivello antispam di Google potrebbe eliminare i messaggi di phishing. Da ultimo, se lo spionaggio venisse scoperto potrebbe compromettere tutta l’operazione. No buono.

Tentare sistematicamente le password è fuori discussione per vari motivi. Innanzi tutto i sistemi di Google sono ben preparati per riconoscere e bloccare questi tentativi; inoltre, in caso di ripetuti tentativi di login non autorizzato, si corre il rischio che l’utente vittima dell’attacco venga avvisato dei tentativi da parte dei sistemi automatici del gestore. Anche se tutte queste limitazioni non esistessero, sarebbe comunque un tentativo che richiederebbe tempo e risorse. Per avere un’idea, utilizzando i soli caratteri scrivibili attraverso una tastiera USA modificati usando solamente il tasto maiuscola (per i tecnici: il set ASCII stampabile), con una password di 10 caratteri le combinazioni sarebbero 95^10. Con il set ASCII-esteso si aggiungono 128 caratteri e una password di 10 caratteri ha 223^10 combinazioni. Il tutto senza prendere in considerazione Unicode e il set di ideogrammi cinesi. Tutto quanto per un solo utente, i numeri devono essere moltiplicati per gli utenti da attaccare. Decisamente poco pratico.

La soluzione più praticabile sembrerebbe essere quella di trovare una falla nella protezione del sistema da attaccare, ben sapendo che, una volta trovata un’ipotetica vulnerabilità, il tempo per sfruttarla sarebbe veramente poco. Teniamo presente che non stiamo parlando di sprovveduti, ma di persone molto abili dal punto di vista informatico. Meglio ancora se si dispone di un basista all’interno di Google, anche se non siamo sicuri di poterlo sfruttare: si sa i tecnici parlano tra loro e discutono volentieri dei loro problemi con i colleghi; peccato che, come insegnavano gli Inglesi, loose lips sink ships. I tentativi possono continuare per dei mesi, ma l’attaccante ha dalla sua un numeroso esercito di computer sotto il suo controllo. Possiamo solo immaginare quale sia stata la sorpresa nello scoprire non già un problema di sicurezza, ma una backdoor collocata deliberatamente per permettere l’accesso alle forze dell’ordine americane. Et voilà! Ecco il “baco perfetto”: una backdoor di un sistema che deve esistere ex lege, non si potrebbe chiedere di meglio.

Vero? Falso? Impossibile dirlo per ora. Però non fatevi spedire password di altri sistemi su Gmail. Just in case…