Hushmail è un servizio che promette riservatezza nelle comunicazioni, offrendo un client email criptato su base web. Sostengono che neppure i loro dipendenti possono accedere ai dati custoditi, perché ogni messaggio viene codificato prima di lasciare il vostro computer. La cosa non è completamente vera, almeno non per quel che riguarda uno dei “pacchetti base” offerti, cioè un servizio economico in cui la crittografia è gestita dal loro server. E l’hanno scoperto a loro spese dei contrabbandieri di steroidi internazionali, le cui comunicazioni sono state cedute alla polizia canadese per ordine di un giudice.
Di fronte alle domande dei giornalisti, il portavoce di Hushmail è stato assolutamente sincero: la compagnia è basata in Canada, ed è vincolata alle richieste giudiziarie delle autorità di quel paese. Quindi consegneranno sempre tutto quello che è conservato sui vostri account, se confrontati con un ordine del tribunale di quella nazione. Ciò che interessa a noi è però tutt’altro: come è possibile che dette autorità possano leggere delle mail crittografate con tanta facilità?
La risposta è semplice. Le comunicazioni di quei criminali sono state fatte con un servizio completamente basato sul web. Gli utenti si collegano attraverso una connessione SSL, su una pagina web, e devono inserire la propria password per accedere “in chiaro” al proprio account. Durante questa connessione Hushmail ha quindi una copia della parola segreta. Se si ha accesso ai server ci si può impadronire facilmente del mezzo per decodificare la crittografia. I poliziotti hanno ordinato alla compagnia di sfruttare questo “buco”, e così hanno potuto avere una copia di tutti i messaggi inviati dai criminali.
Hushmail offre un altro servizio, molto meno “basico”: l’utente deve scaricare un applet Java che si occuperà di tutta la crittografia mentre il messaggio è ancora sul computer. Hushmail in questo caso non tocca neppure la password, e, se i contrabbandieri avessero usato questo metodo la compagnia avrebbe potuto consegnare alle autorità soltanto una massa di dati completamente insignificanti.
Siamo chiari: se quei criminali sono stati inchiodati in questo modo, nessuno versa una lacrima. Il portavoce dell’azienda ha comunicato che Hushmail nei propri termini d’uso ha reso ben chiaro il fatto che proibisce un utilizzo criminoso del suo servizio, e ha tutto il mio supporto. La morale che possiamo trarne noi “navigatori della strada” è che bisogna stare ben attenti a cosa ci viene offerto, e non fidarsi mai a scatola chiusa quando si tratta di sicurezza informatica.
I commenti sono chiusi.