Il sito web del quartier generale delle comunicazioni governative (GCHQ) vi saluta con la proclamazione che “GCHQ fornisce intelligence, protegge le informazioni e informa la politica britannica pertinente per mantenere la nostra società sicura e di successo su Internet età".
Oh veramente? L’esperienza di Dan Farrall, che ha recentemente fatto domanda per un lavoro al GCHQ, suggerisce che l’agenzia di intelligence britannica ha molto da imparare sulla protezione delle informazioni.
Farrall, uno studente, stava cercando un lavoro e ne ha notato uno al GCHQ che sembrava interessante. Dopo essersi registrato al sito diversi mesi prima, ha utilizzato il pulsante “Password dimenticata?” per effettuare il login e visualizzare i dati della domanda di lavoro. Ora, potresti pensare che gli verrà richiesto di inserire alcuni dati personali per identificarsi e quindi di seguire un collegamento inviato alla sua email, tramite il quale potrebbe continuare il processo di reimpostazione della password. Ma no.
Questo errore è tanto più difficile da digerire dato che l’algoritmo a chiave asimmetrica è stato inventato dal dipendente del GCHQ Clifford Cocks nel 1973
Invece, la sua password appariva nel suo browser in chiaro; è bastato il suo indirizzo email. Farrall ha contattato GCHQ per fargli sapere che il suo sistema non era sicuro. Immaginate la sua sorpresa quando, due mesi dopo, recuperò nuovamente la sua password in chiaro.
Questo errore è tanto più difficile da digerire dato che l’algoritmo a chiave asimmetrica, una parte essenziale della crittografia a chiave pubblica, è stato inventato dal dipendente del GCHQ Clifford Cocks nel 1973.
La linea ufficiale del GCHQ su questo imbarazzante errore è che il sistema è un sistema legacy che è in procinto di essere sostituito. Ebbene, la scusa del “sistema legacy” potrebbe valere per una piccola impresa – forse anche una grande – ma non per un’agenzia di sicurezza governativa incaricata di compiti di sicurezza delle informazioni.
Apprezzo che sia così comune che esiste persino un sito web - Plaintextoffenders.com – che pubblica e-mail che rivelano password per indurre i trasgressori a correggere le loro falle di sicurezza, ma, come Varonis Il direttore tecnico Rob Sobers afferma: “la crittografia delle password [non] è al di fuori delle possibilità del partner di un'agenzia di intelligence di questo tipo come GCHQ”. Sembra, tuttavia, che fosse al di là delle capacità del GCHQ mantenere un'adeguata visibilità di qualcosa che quasi certamente viene affidato a un fornitore di terze parti.
Questo è qualcosa a cui farebbe piacere pensare anche al Consiglio distrettuale del South Oxfordshire. PCPro il lettore Jules Marshall mi ha contattato quando ha ricevuto la fattura delle tasse comunali via e-mail e ha scoperto che la sicurezza non è così rigorosa come sembra a prima vista. Il comune esternalizza la consegna delle fatture digitali a una società terza chiamata Capita e la fattura stesso è stato allegato all'e-mail come documento PDF crittografato che richiede una password - il suo codice postale - per essere aperto Esso.
Va tutto bene se apri il file sul tuo laptop, ma non se lo fai sul tuo iPad. Lo so perché Jules mi ha inviato il PDF, che in effetti richiedeva una password per essere aperto su un PC desktop. Tuttavia, con un solo clic sul mio iPad è stato aperto il documento per rivelare la fattura completa e i dettagli personali di Jules.
Il rischio che queste informazioni vengano utilizzate per scopi criminali è minimo, ma il Consiglio evidentemente le considera sufficientemente sensibili da meritare in primo luogo la crittografia. Né il Consiglio distrettuale del South Oxfordshire né Capita hanno risposto alle mie richieste di commento in tempo per pubblicazione, ma è un altro promemoria del fatto che le informazioni condivise possono diventare una responsabilità quando rientrano nel mani sbagliate.
