04 aprile 2014 – Yahoo! ha pubblicamente annunciato aggiornamenti ai propri progetti di crittografia, tra i quali c’è una nuova versione di Yahoo Messenger, che sarà rilasciata nei prossimi mesi. Il progetto, presentato da Alex Stamos, Chief Information Security Officer di Yahoo, tramite il blog della società, è stato avviato in seguito alle crescenti preoccupazioni su sicurezza e privacy, provocate anche dalle rivelazioni sul controllo delle comunicazioni online esercitato dalla National Security Agency (NSA).
Stamos scrive che, alla data del 31 marzo, tutto il traffico che transita per i data center di Yahoo è stato completamente crittografato. Anche Google sta facendo qualcosa di simile, e le iniziative di entrambi i giganti tecnologici sembrano una risposta alle intercettazioni effettuate dalla NSA senza le dovute autorizzazioni giudiziarie.
La scorsa estate, infatti, dai documenti trapelati dalla NSA è emersa l’esistenza del programma “Muscular”, focalizzato sull’intercettazione del traffico che si muoveva tra i vari data center di proprietà di Google e di Yahoo. Muscular avrebbe consentito alla NSA di acquisire i dati che non erano raggiungibili nel quadro del programma PRISM o di richieste giudiziarie.
Google e Yahoo non sono stati gli unici obiettivi. Nei documenti trapelati si fa riferimento anche a Facebook e a Microsoft, ma Yahoo sembra essere la prima azienda che ha completato il progetto di cifratura dei data center. Google sta lavorando da tempo per crittografare i dati che si muovono tra i suoi data center, ma, sulla base di dichiarazioni pubbliche della società, l’attuazione del progetto è ancora in corso.
Altri progressi citati dalla Stamos comprendono una maggiore sicurezza di Yahoo Mail, resa possibile dalla cifratura della posta che transita sia per i server di Yahoo che per quelli di altri provider che supportano il protocollo di sicurezza TLS (Transport Layer Security) per le comunicazioni SMTP(Simple Mail Transfer Protocol). La home page di Yahoo e altri portali della società supportano l’HTTPS; questa impostazione non è tuttavia predefinita: gli utenti possono attivarla modificando l’URL della pagina in modo che includa il codice “https://”.
Allo stato attuale Yahoo ha implementato i protocolli TLS 1.2, Perfect Forward Secrecy (PFS) e 2048-bit RSA nella propria homepage, nel servizio e-mail e nei servizi di riviste digitali, e sta lavorando per includere nel progetto di sicurezza tutti prodotti a marchio Yahoo. La nuova versione di Yahoo Messenger, che supporta la crittografia, verrà distribuita nei prossimi mesi.
“Il nostro obiettivo è cifrare tutta la nostra piattaforma per tutti gli utenti e in ogni momento, come impostazione predefinita“, scrive Stamos. “E’ un progetto che non può mai dirsi completamente ‘finito’. La nostra lotta per proteggere i nostri utenti ei loro dati è uno sforzo continuo. Continueremo a lavorare sodo per implementare la migliore tecnologia per combattere attacchi e sorveglianza che violano la privacy dei nostri utenti“.
Steve Ragan