L’algoritmo SHA1 (Secure Hash Algortim 1) ha subito un definitivo “attacco” da parte di Google, il quale è riuscito violarlo definitivamente.
Nello specifico, è stato possibile portare a compimento una collisione hash tra due file protetti dalla crittografia mediante proprio SHA1.
Questo rappresenta, senza dubbio, un qualcosa di assolutamente innovativo ed anomalo per il sistema, in quanto, esso dovrebbe generare hash unici, relativi ad ogni serie di dati, in modo da poter individuare ogni singolo file con un unico identificativo.
Tuttavia, Google, ha dimostrato, in maniera del tutto pratica, che due file possono essere contrassegnati con lo stesso hash.
Proprio per questo, SHA1, può ormai essere considerato obsoleto e superato, grazie all’intervento funzionale di big G.
La storia si ripete
SHA1, sviluppato dalla NSA (National Security Agency) risale al 1995, a quindi ben 22 anni fa. Il noto algoritmo, era stato, già in precedenza, più volte messo in dubbio da numerosi analisti, in quanto considerato, almeno in via teorica, possibilmente hackerabile.
Nello specifico, precisamente nel 2005, alcuni esperti avevano analizzato l’intero sistema, notando alcune falle che avrebbero potuto essere sfruttate, mettendolo a repentaglio.
In particolare, queste falle, offrivano la possibilità di essere sfruttate via “collision hash” il che sta ad indicare una pratica estremamente dannosa per il sistema, attraverso la quale, file malevoli, possono essere scambiati per file completamente legali, ed andare a danneggiare inevitabilmente il computer della vittima.
Un secondo colpo, SHA1 lo ha subito 10 anni più tardi, nel 2015, quando un gruppo di ricercatori appartenenti a diverse università situate in tutto il mondo, hanno redatto e reso noto un documento denominato The SHAppening, all’interno del quale si consigliava esplicitamente di passare a tecnologie più avanzate come SHA2 o SHA3 abbandonando definitivamente SHA1, in quanto la potenza dei moderni pc, costituirebbe un reale rischio per questo sistema, ormai, decisamente datato.
L’azione di Google
Secondo le fonti, è stato proprio grazie al The SHAppening, che Google ha preso lo spunto per riuscire nell’hackeraggio di SHA1.
Big G, infatti, ha provveduto a contattare due ricercatori coinvolti nel progetto e ad offrirgli le enormi risorse a sua disposizione per continuare l’azione e dimostrare l’effettiva vulnerabilità del sistema.
Nel dettaglio, grazie ad un team composto da sette uomini, alla fine Google è riuscito ad ottenere il risultato sperato, con una nuova ricerca all’interno della quale è documentato un reale e concreto attacco a SHA1 con esito, naturalmente, positivo.
Come prova definitiva sono stati rilasciati due file PDF diversi ma con lo stesso hash SHA1.
I reali rischi
Risulta fondamentale comprendere quelli che potrebbero essere i reali rischi derivanti da questa scoperta.
La forza di SHA1 risiedeva, prima dell’accaduto, proprio nella possibilità di proteggere i propri file (es. documenti importanti), in modo da essere sicuri al 100% che nessuno potesse modificarli o intaccarli in alcun modo.
Dimostrato il contrario, invece, la sicurezza dell’utente medio è messa in serio pericolo, in quanto potrebbe essere difficile dimostrare l’inviolabilità di un determinato file.
C’è però fa fare un’importante precisazione a riguardo.
Secondo quanto dichiarato dallo stesso Google, è stato organizzato “uno dei più grandi calcoli computazionali mai portati a termine” con un’operazione senza precedenti.
Proprio per questo, risulta difficile credere che piccoli enti o privati possano organizzare un attacco, ma, al contrario, esso è possibile, viste anche le incredibili spese economiche necessarie, solo da grandi realtà.
Per il momento, forse, non c’è troppo da preoccuparsi anche se, Google, ha dichiarato che rilascerà un codice “proof-of-concept” con le modalità che hanno portato all’attacco.
Nonostante ciò, come detto, il rischio di un reale attacco da parte di singoli individui sembra ancora molto basso, anche se, visti gli sviluppi, il consiglio di passare a SHA2 e SHA3 non è del tutto da ignorare.