Torna ad esplodere la polemica negli Stati Uniti. Nuovamente nell’occhio del ciclone le agenzie che si occupano di intelligence e della sicurezza nazionale.
Sull’onda della recente scoperta del gravissimo bug Heartbleed all’interno della celeberrima libreria crittografica OpenSSL, numerosi esperti – tra i quali Bruce Schneier – non hanno escluso che “qualcuno” abbia utilizzato la vulnerabilità per spiare conversazioni private e sottrarre dati sensibili altrui. La mente è subito corsa all’attività delle agenzie governative (alla NSA statunitense, innanzi tutto) che per circa due anni potrebbero aver avuto a disposizione le chiavi per esaminare buona parte delle comunicazioni cifrate scambiate sul web attraverso il protocollo HTTPS.
L'”Heartbleed bug” è stato definito “catastrofico“, senza usare mezzi termini, dallo stesso crittografo Schneier e, nonostante i responsabili dei servizi di intelligence a stelle e strisce neghino qualunque precedente utilizzo della vulnerabilità, in queste ore si fa presente come il governo di Barack Obama abbia esplicitamente concesso, ad esempio, alla NSA di far leva su lacune di sicurezza come quella appena emersa (e documentata nel nostro articolo Heartbleed bug, quali i rischi per gli utenti ed i gestori di siti web HTTPS?).
A gennaio, infatti, nelle disposizioni firmate da Obama e volte ad un processo di riforma delle attività espletate dalla NSA, è stato inserito un “nulla osta” che di fatto permette alle agenzie governative di sfruttare falle di sicurezza irrisolte o comunque sconosciute agli sviluppatori per chiare esigenze legate alla sicurezza nazionale od all’esecuzione di prescrizioni normative. In altre parole, NSA e servizi di intelligence americani potranno utilizzare nuove vulnerabilità senza informare nessuno (né gli sviluppatori né gli utenti) sull’esistenza delle stesse.