Bruce Schneier: il bug di iOS mi puzza

Con la release di iOS 7.0.6 e la tardiva pubblicazione di OS X 10.9.2, Apple ha tappato la falla SSL/TLS, meglio nota come bug goto fail;. La risoluzione del problema non ha comunque placato le polemiche e soprattutto non ha posto la parola fine alle (più che lecite) ipotesi di complotto. Anche Bruce Schneier, eminente crittologo e saggista, si è chiesto pubblicamente, sul suo blog, se la falla possa essere un atto deliberato, compiuto da qualche infiltrato con o senza la complicità di Apple.

“Ad ottobre, formulai alcune ipotesi sul modo migliore per creare e impiantare una backdoor a livello software,” scrive Schneier. “Suggerii tre caratteristiche per una buona backdoor: basse probabilità di individuazione, alta possibilità di negarne la natura se scoperta, livello di cospirazioni minimo per riuscire ad implementarla. La vulnerabilità critica di iOS che Apple ha chiuso la scorsa settimana è un esempio eccellente”.

Come abbiamo avuto modo di spiegare, la falla consisteva semplicemente in una linea extra di codice (un “goto fail;” di troppo) che non c’entrava nulla con il contesto ma che faceva sì che un ultimo, importante, controllo sulla connessione sicura venisse sistematicamente saltato.

Secondo Schneier il bug poteva essere difficile da individuare, ma la possibilità che sia stato introdotto per errore e la possibilità che invece sia stato messo dov’era deliberatamente, sono pericolosamente equivalenti.

“E’ stato fatto di proposito? Non ne ho idea,” conclude Schneier. “Ma se avessi voluto fare qualcosa del genere, questo è esattamente il metodo che avrei utilizzato”.

Molti commentatori del blog del crittologo sostengono che gran parte della colpa vada imputata alla bassa qualità dei controlli Apple. Moltissimi compilatori, sostengono diversi utenti, permettono di evidenziare le parti di codice che non vengono mai eseguite sotto qualsiasi condizione (come nel caso dell’ultimo controllo di sicurezza che nel codice fallato rimane isolato e non funzionante, generando di fatto la vulnerabilità).

Solo Apple può davvero chiarire la natura di quel bug e capire chi lo abbia fisicamente introdotto. In quel caso non sarà difficile, per l’azienda, trarre le dovute conclusioni.
A quel punto starà a Cupertino decidere il da farsi. La questione non è di poco conto: se Apple scoprisse che quel bug è opera della NSA o di altre agenzie analoghe (per non dire “nemiche”), cosa dovrebbe fare? Mantenere il riserbo o rivelare le proprie scoperte? Ma soprattutto: potrebbe rivelarle senza che vengano tirate in ballo questioni attinenti alla sicurezza nazionale?

In ogni caso Apple dovrebbe informare il pubblico sulla natura della falla. Ammettere l’errore nel caso di errore si sia trattato o chiamare con il proprio nome un sabotaggio in piena regola. Un prolungato silenzio non sarà invece coerente in alcun modo con l’impegno di trasparenza che Cook ha preso pubblicamente a nome di tutta l’azienda.