NSA e la vicenda Juniper
Di recente Juniper, nota e diffusissima azienda di firewall hardware, ha scoperto codice malevolo inserito all'interno del proprio firmware.
Si vocifera che, con ogni probabilità, vi sia un coinvolgimento della solita NSA, l'agenzia di sicurezza nazionale americana. Dopo ricerche e revisioni di codice, si è anche scoperto che governi stranieri erano a conoscenza della backdoor inserita dall'NSA e ne hanno sfruttato l'esistenza per avvantaggiarsi a loro volta e controspiare l'agenzia americana.
Cisco ed altri competitor hanno dichiarato di aver avviato un processo interno di revisione del codice, volto ad identificare intromissioni simili. Non c'è da stupirsi, Juniper non sarà nè la prima nè l'ultima ad essere implicata in questo fenomeno, aspettiamoci casi simili anche su altri contesti e con altri vendor.
Fermo restante che l'injection di codice malevolo a quei livelli difficilmente può avvenire senza aver compromesso una risorsa interna all'azienda, è evidente quanto si svolga quotidianamente una guerra senza esclusioni di colpi. Può lo spauracchio del terrorismo giustificare la violazione costante, incontrollata e violenta della nostra privacy? Intendiamoci, la rete non è un far west, è giusto che gli organi competenti abbiamo strumenti per gestirla... ma fino a che punto i controllori debbano avere carta bianca e poteri illimitati?
Computer Quantistici
E' odierna la notizia di un computer quantistico dichiaratamente funzionante: http://www.repubblica.it/tecnologia/2016/01/08/news/google_il_nostro_computer_quantistico_funziona_-130785803/ originariamente presentato nel 2013.
Tempo fa parlavamo della crittografia quantistica in questo stesso blog. Ricordiamo che un computer quantistico sfrutta il qubit al posto del bit, aprendo a delle potenzialità di calcolo inimmaginabili con l'attuale limitata codifica binaria. https://it.wikipedia.org/wiki/Computer_quantistico
Il risvolto meno noto di avere, ad oggi, un computer quantistico funzionante è la possibilità di trovare una soluzione a problemi matematici complessi in tempi ragionevolmente brevi. Sembrerebbe una cosa positiva, ma in realtà non lo è soprattutto per determinati settori dell'informatica. Tutta la crittografia moderna si basa su problemi matematici complessi e fattorizzazione di numeri primi. Problemi che, con i mezzi tradizionali, richiedono una capacità di calcolo estremamente elevata e, di conseguenza, un tempo estremamente lungo per essere risolti e quindi vanificare il processo crittografico. Sostanzialmente l'avanzare della capacità di calcolo, così come lo è stato l'introduzione del calcolo distribuito (basti pensare a macchine zombie e botnet integralmente dedicate a questo scopo), è un vero e proprio incubo che avvicina sempre più pericolosamente il bastone e la carota.
Morale della favola: se una macchina è in grado di sfornare performance 100 milioni di volte maggiori nella capacità di calcolo, questo non può che minare direttamente le basi della crittografia, riscrivendo il paradigma per cui "se per forzare questa chiave ho bisogno di 10 anni, allora è sufficientemente sicura".
Che vantaggi ha invece l'impiego della tecnologia, ad oggi, nel mondo reale? Probabilmente quasi nessuno (eccezione fatta per pochi isolati casi), perchè la capacità di calcolo è già da tempo solitamente abbondante nelle nostre sale CED e non è probabilmente più il fattore limitante da molti anni. Basti pensare a quanto il mondo dello storage sia rimasto indietro, con latenze e performance dettate da lenti accessi magnetici ancora in uso per via della relativa giovinezza (e quindi costo) del mondo SSD. Intendiamoci, c'è scenario e scenario.
