Così scoprimmo il buco di Google

Roma – È stato un progetto di verifica della sicurezza dei protocolli basato su strumenti di intelligenza artificiale creato da loro stessi a portare gli scienziati italiani del DIST , Dipartimento informatico dell’Università di Genova, ad individuare di recente una falla nel sistema di autenticazione single sign-on di Google. Un buco ora tappato dal colosso del search.

In particolare, la vulnerabilità riguardava i servizi erogati alle aziende tramite le applicazioni business. “Se i dettagli della vulnerabilità fossero caduti in mano a malintenzionati – sottolinea una nota dell’ateneo – le conseguenze avrebbero potuto essere pesanti”, visto soprattutto il calibro dei clienti che utilizzano la piattaforma Google. Quindi, come da prassi, i bug hunter italiani hanno comunicato il problema a CERT e a Google, che ha realizzato una nuova versione del protocollo.

Grazie alle tecniche di intelligenza artificiale – ha spiegato il vicedirettore del DIST Alessandro Armando (nella foto qui sopra) – è stato possibile studiare come si poteva comportare il protocollo “in presenza di un agente ostile”: simulando le reazioni del sistema, si sono ottenute delle risposte. “Il numero dei comportamenti che è stato necessario analizzare per trovare la vulnerabilità – ha spiegato il ricercatore – è composto da più di 300 cifre”. Secondo Armando “la verifica del corretto funzionamento degli apparati a elevata complessità è una delle nuove frontiere dell’intelligenza artificiale”.

A questo indirizzo è disponibile la lettera con cui Google ha avvertito i clienti di Google Apps, una missiva dei primi di agosto in cui viene spiegato nei dettagli come comportarsi e cosa modificare delle proprie applicazioni per bypassare il problema.

Oltre ad Armando, hanno lavorato al sistema che ha consentito l’individuazione del bug anche studenti e ricercatori del progetto AVANTSSAR dell’Unione Europea, un progetto che i lettori di Punto Informatico già conoscono e che riguarda appunto la sicurezza delle reti.