Ecco l'aggiornamento di sicurezza che manterrà 40 milioni di persone fuori dal Web

Quel lucchetto verde che vedi nella tua barra degli URL indica una connessione autentica e privata. Questo certificato garantisce sia che le informazioni rimangano all'interno dei limiti del sito Web attendibile e che il sito Web che stai visitando sia effettivamente il sito web che si presume essere. Quando accedi a Facebook, in altre parole, ti viene promesso che a) le tue informazioni (login, comunicazioni, foto, ecc.) Rimangono all'interno dei limiti di sicurezza del sito eb) Facebook è in realtà Facebook, non un impostore.

Se qualcuno dovesse craccare un sito crittografato SHA-1, avrebbe le mani su informazioni estremamente preziose - rendendo il costo dell'intrusione iniziale trascurabile. Un individuo, un'organizzazione o una nazione potrebbero posare come Facebook, ad esempio, mentre intercettano qualsiasi scambio o informazione privata che desideravano intercettare. Un'altra minaccia è un attacco di phishing, in cui un individuo, un'organizzazione o nazione si maschera come un sito per rubare le informazioni degli utenti.

Viste le insicurezze di SHA-1, la maggior parte dei siti più importanti concorda sul fatto che la transizione è in ritardo. C'è un aspetto negativo, però. Gli utenti di Internet con vecchi telefoni o desktop non saranno in grado di accedere ai siti crittografati con SHA-2. I vecchi telefoni o computer hanno soffitti virtuali che impediscono l'aggiornamento dei programmi o delle app. E SHA-2 avrà una sorta di misura "Devi essere così in alto" sui browser. In sostanza, se il tuo telefono o il tuo computer non sono "abbastanza alti" - leggi: nuovi abbastanza, abbastanza aggiornati - per "guidare", i siti crittografati con SHA-2 ti allontaneranno.

CloudFlare, che ha studiato il problema e fornito la propria soluzione, ha elencato 25 paesi con il minimo supporto e ha scoperto che questa lista "si sovrappone alle liste dei paesi più poveri, più repressivi e più devastati dalla guerra nel mondo." Gran parte del il mondo sarà risparmiato: nel Nord America e nell'Europa occidentale, oltre il 99 percento dei browser è compatibile con SHA-2. In Cina, tuttavia, la cifra scende a circa il 93%, e in Camerun, Yemen, Sudan, Egitto, Libia, Costa d'Avorio, Nepal, Ghana e Nigeria è circa il 95%. La percentuale di esclusione sembra bassa, ma presa nel contesto equivale a un numero impressionante di utenti di Internet.

Il risultato finale è che la stragrande maggioranza degli utenti che saranno allontanati dalla corsa SHA-2 saranno quelli che potrebbero aver più bisogno di accedere ai siti. (Pensa all'impatto di Facebook e Twitter sulla primavera araba). Inoltre, i paesi che potrebbero ancora instradare infrastrutture attraverso piattaforme obsolete saranno resi vulnerabili agli attacchi.

Il 31 dicembre 2015, alcuni dei siti più grandi di Internet saranno vietati a quasi 40 milioni di utenti. Una ragionevole, ma dura, risoluzione del nuovo anno per l'aggiornamento della tecnologia di crittografia bloccherà circa il 5% della popolazione online dei paesi in via di sviluppo da siti sicuri e certificati come Google, Facebook e Twitter.

Se il tuo telefono ha più di cinque anni, sarai escluso anche tu.

Tutto ciò è dovuto al passaggio alla tecnologia di crittografia SHA-2 dal suo predecessore, SHA-1. È un po 'di confusione ma, ecco qui: Prima di SHA-1, i telefoni cellulari utilizzavano la tecnologia di crittografia MD5, che nel 2008 si rivelò insicura. Non è stato fino al 2013 che MD5 è stato completamente eliminato e SHA-1 è diventato la regola.

Ben presto, però, gli esperti di sicurezza hanno rotto SHA-1. E con computer sempre più veloci, sta diventando sempre più economico e meno costoso craccare i siti SHA-1: uno studio del 2012 avverte che mentre quell'anno costerebbe circa 2,77 milioni di dollari, la cifra del 2015 scenderebbe a 700.000 dollari. (Nel 2018, la stima scese a $ 173.000, e nel 2021 fu solo $ 43.000.) Ora che è il 2015, però - come Ars Technica rapporti - "i ricercatori credono che un tale attacco possa essere effettuato quest'anno per $ 75.000 a $ 120.000".

Questo è preoccupante, o degno di nota, per due ragioni. Innanzitutto, i siti che richiedono i massimi livelli di sicurezza sono i siti che ottengono il maggior traffico, i siti più popolari. Di nuovo, questi includono (ma non sono affatto limitati a) Google, Facebook e Twitter e i loro siti associati. In secondo luogo, gli utenti i cui dispositivi non supereranno la barra si trovano principalmente nelle nazioni in via di sviluppo, spesso nazioni devastate dalla guerra e dall'ingiustizia.

La soluzione CloudFlare, che Facebook sta riproducendo, è quella di abilitare "ripiego SHA-1." Agli utenti che altrimenti verrebbero bloccati dai siti CloudFlare o Facebook verrà invece concesso l'accesso con le protezioni SHA-1. Questa non è una soluzione ideale - i difetti di sicurezza continueranno a esistere - ma almeno saranno meno esclusivi.

(Abbiamo già passato a SHA-2 qui a Inverso. Se stai leggendo questo articolo, puoi essere certo che sarai in grado di accedere ai tuoi siti preferiti nel 2016.)