VeriSign sotto attacco, ma lo comunica 2 anni dopo

VeriSign, la società addetta alla sicurezza in Internet e alla certificazione dell’affidabilità dei siti, è stata vittima di un attacco informatico che ha causato la potenziale sottrazione di informazioni sensibili. Peccato, però, che il cyber-crimine sia avvenuto nel 2010, nonostante la notizia sia stata diramata solamente nelle ultime ore a due anni di distanza dall’accaduto.

Il fatto è stato reso noto a seguito di un’ingiunzione dello scorso ottobre presso la U.S. Securities and Exchange Commission, sulla base delle nuove norme SEC che obbligano i provider di servizi Internet di informare gli investitori di eventuali attacchi, per la trasparenza del mercato.

Il reato, perpetrato da cracker di cui non si conosce l’origine, è avvenuto sui server della sede di Reston, in Virginia, dove VeriSign si occupa dell’integrità di domini di primo livello come .gov, .net e .com. Non è tuttavia data sapere l’entità delle informazioni sottratte e la tipologia di attacco subito, ma in Rete e fra gli investitori è già scoppiata la polemica: gli amministratori della società avrebbero atteso settembre 2011 per comunicarlo ai top manager, nonostante l’evento risalga a inizio 2010, con conseguenze possibilmente funeste sull’affidabilità dei loro servizi. La magnitudo delle possibili ricadute avrebbe potuto essere catastrofica.

Come sottolinea Reuters, dai server di VeriSign transitano circa 50 miliardi di query al giorno, quindi la sottrazione di dati potrebbe aver favorito malintenzionati nella creazione di certificazioni fasulle, la sottrazione di comunicazioni riservate tra l’azienda e le forze dell’ordine, la copia degli scambi tra interni e direttori esecutivi o, fatto questo ben peggiore, l’intercettazione di movimenti di Rete di natura governativa su canali sicuri o manifestamente segreti.

Secondo quanto dichiarato dalla stessa VeriSign, decisamente restia a fornire informazioni dettagliate alla stampa, l’attacco informatico non avrebbe avuto effetti sul loro sistema DNS, ovvero il servizio che traduce indirizzi Web alfanumerici in codici IP affinché i browser possano raggiungere risorse online. Per questo motivo, risulterebbe abbastanza improbabile che gli anonimi cracker siano riusciti a generare dei redirect su siti malevoli, così da truffare gli utenti. Nulla è noto, invece, riguardo alla violazione dei certificati, ovvero quel sistema che garantisce al browser di stabilire se si sia collegato a un sito legittimo o meno.

Seria preoccupazione è stata espressa dagli esperti del settore, come l’ex assistente al Dipartimento di Sicurezza Nazionale degli Stati Uniti, Stewart Baker, il quale ha espresso senza mezzi termini: «Mio Dio, tutto ciò potrebbe permettere a chiunque di spacciarsi per qualsiasi compagnia della Rete». Alle preoccupazioni di Baker risponde però Symantec, cui VeriSign proprio nel 2010 ha ceduto alcune delle sue attività, confermando come non sembrano esserci indicazioni che confermino violazioni certe nel sistema di certificazione SSL.

Ken Silva, Chief Technology Officer di VeriSign fino a novembre 2010, ha appreso dell’infrazione dopo essere stato contattato da Reuters, segno di come l’azienda abbia adoperato una certa omertà sull’accaduto. Proprio per questo motivo, lo stesso Silva sottolinea come sarà decisamente difficile per la società tracciare una valutazione accurata del danno, tanto che l’entità degli eventuali dati sottratti è destinata a rimanere un mistero. A quanto pare, perciò, nemmeno le istituzioni che dovrebbero garantire l’affidabilità del Web possono essere considerate sicure.