Il governo tailandese sfrutta una falla dei pc per spiare i cittadini
Microsoft è l'unico colosso del web a fidarsi dei certificati rilasciati dal governo thailandese che (dovrebbero) garantire la sicurezza delle comunicazioni
Privacy International, organizzazione no profit per la tutela della privacy, sostiene che le Autorità di Certificazione thailandesi – le cosiddette Certification Authority (CA) o “root certificate” – emettano certificati fasulli – accettati di default dai software Microsoft – al fine di spiare esponenti dell’opposizione.
Tutto, insomma, ruota intorno a questi “root certificate“. Ma cosa sono e a cosa servono? Si tratta di enti fidati, come per esempio Verisign, che rilasciano, revocano e rinnovano dei certificati digitali – dopo una serie di controlli molto rigorosi – che garantiscono l’identità dei soggetti che operano in rete. Tutti i certificati sono firmati con una chiave privata per assicurarne l’autenticità. I browser accettano in maniera automatica i certificati dalle CA più note dal momento che la loro chiave pubblica viene installata di default nei browser. Chiave pubblica e chiave privata si traducono in comunicazioni crittografate.
Microsoft in buona fede?
Il problema sollevato da Privacy International riguarda proprio queste Certification Authority e il relativo rilascio di certificati. L’ente no profit – in un report intitolato “Who’s That Knocking at My Door? Understanding Surveillance in Thailand” – afferma che nessun altro fornitore di servizi internet – tra cui Google, Apple e Mozilla/Firefox – si fida dei certificati rilasciati dall’Electronic Transactions Development Agency che opera per conto del governo thailandese. Ad eccezione di Microsoft. Questo significa – sempre secondo Privacy International – che gli utenti Windows rischiano di essere – a loro insaputa – indirizzati verso siti di dubbia sicurezza (phishing), di cedere “volontariamente” le credenziali di accesso alla posta elettronica, ai social media, e ad altri servizi online, oltre a consentire l’intercettazione delle proprie comunicazioni. Zero privacy. Detta in altri termini, se MacOS di Apple non include il certificato thailandese per impostazione predefinita, Microsoft Windows invece lo fa. E Windows, in Thailandia è installato su oltre l’85% dei computer secondo StatCounter.
Microsoft si difende
Il colosso di Redmond afferma di aver seguito le procedure corrette. Microsoft, in una nota, afferma che «si fida solo di certificati rilasciati da organismi che ricevono autorità di certificazione attraverso il programma Microsoft Root Certificate. Il programma esegue uno scrupoloso processo di revisione che include regolari controlli da parte di revisori web di fiducia. La Thailandia ha superato i requisiti del nostro programma.» Eva Blum-Dumontet di Privacy International sottolinea che «una volta che la revisione è stata approvata, non c’è letteralmente nulla per impedire un uso improprio del certificato da parte della Thailandia.» Blum-Dumontet sostiene, inoltre, che Microsoft potrebbe rifiutare i certificati thailandesi ma, questa mossa, creerebbe tensioni con il governo locale. Ma se tutti rifiutano i certificati emessi dalla CA thailandesi ci sarà ben un motivo…
