Uno dei consigli più frequenti per gli internauti è sempre stato di controllare che nella finestra del browser ci sia l'icona del lucchetto chiuso durante le transazioni via Internet che coinvolgono soldi o segreti: acquisti online, ordini per la propria banca, telefonate tramite la Rete, scambio di e-mail riservate, eccetera. Il lucchetto, così ci hanno sempre detto, indica che la comunicazione è sicura grazie alla cifratura e ai certificati. Tuttavia ciò non è sempre vero; esistono infatti dei dispositivi in grado di vanificare l'uso della cosiddetta comunicazione crittografata SSL.

Certificati non sempre affidabili - In estrema sintesi, quando ci si collega per esempio al sito di una banca, questo invia un certificato digitale generato da un'autorità fidata per dimostrare di essere davvero quello che dice di essere. Il browser controlla il certificato e, se è in ordine, segnala che tutto va bene chiudendo il lucchetto. Tuttavia, le autorità fidate che generano questi certificati sono oltre un centinaio, e per quanto siano severamente controllate, qualche pecora nera c'è sempre. Inoltre un governo o una forza di sicurezza nazionale può generare un proprio certificato per qualunque sito del mondo oppure costringere una delle autorità di generazione di certificati a produrne uno fasullo.

Scatoletta spiona - A questo punto entra in gioco un dispositivo della Packet Forensics, una “scatoletta” in grado di generare "chiavi sosia" progettate per dare all'internauta un falso senso di fiducia nell'autenticità dei certificati. In altre parole, installando questo apparecchio presso un provider, è possibile far credere all'utente di essere connesso in modo sicuro e segreto alla propria banca o al proprio account di posta mentre in realtà tutto quello che fa viene intercettato. Questa tecnica d’intromissione anti-SSL, nonostante all'atto pratico esistano modi più semplici per intercettare una comunicazione online, è un problema soprattutto per chi viaggia all'estero, utilizzando servizi di cui non si conosce l’affidabilità.

La gara degli smanettoni - Ad alimentare i dubbi sull’impenetrabilità degli attuali sistemi informatici ci si mette anche un gruppo di “smanettoni”, i quali in pochi minuti sono riusciti a scardinare le protezioni dei principali browser e sistemi operativi, nonché a rubare tutti gli SMS da un iPhone. La singolare sfida ha avuto luogo a Vancouver, dove anche quest’anno si è svolta la gara Pwn2Own, in cui chi riesce a prendere il comando da remoto di un computer se lo porta a casa insieme ad un premio in denaro. Scopo della competizione è incentivare i ricercatori a scoprire falle e divulgarle in modo responsabile, comunicando i dettagli tecnici dei metodi utilizzati ai produttori di software affinché li correggano.

Tutti bucati come niente - Già il primo giorno Charlie Miller, analista di sicurezza, ha sfruttato una falla del browser Safari per impossessarsi da remoto di un MacBook con Snow Leopard e tutti gli ultimi aggiornamenti di sicurezza. L'olandese Peter Vreugdenhil, ricercatore di sicurezza indipendente, ha invece trapassato in poco più di due minuti le difese di Internet Explorer 8 su un laptop con Windows 7. Sempre sul sistema di Microsoft non se l'è cavata meglio neppure Firefox 3: Nils, di una società di sicurezza britannica, è infatti riuscito a scardinarne le difese e a prendere possesso del computer facendogli eseguire la calcolatrice. Alla fine della prima giornata è rimasto in piedi soltanto Google Chrome 4.

Smartphone vulnerabili - Anche i telefonini evoluti sono stati oggetto della gara e tra i possibili bersagli l'iPhone si è rivelato particolarmente spettacolare nella sua vulnerabilità: Vincenzo Iozzo, impiegato di una società di analisi informatica tedesca, e Ralf Philipp Weinmann dell'Università del Lussemburgo hanno sfruttato una falla del browser Safari per estrarre dal "melafonino" il database degli SMS - compresi i messaggi cancellati, i contatti, le immagini e i file musicali - semplicemente inducendo l'utente a visitare un sito appositamente confezionato. Tempo necessario per l'intrusione: 20 secondi; a riprova che nel mondo delle nuove tecnologie la sicurezza è spesso solo un’illusione.