Il “buco” MD5 agevola il phishing

Una falla si aggira per il mondo digitale. L’MD5 è a rischio, il che deve preoccuparci tutti, perchè si tratta di uno degli algoritmi di sicurezza usati per la certificazione digitale della posta elettronica, del commercio elettronico e del banking online.

Attraverso il varco – dicono gli esperti del Centrum Wiskunde & Informatica (CWI), del Politecnico olandese di Eindhoven e dell’EPFL di Losanna – si possono condurre attacchi di phishing senza che gli utenti se ne accorgano, con il furto conseguente di informazioni e dati sensibili. Le pagine a rischio sono proprio quelle considerate piu’ sicure, il cui indirizzo comincia per “https” e che di solito recano un lucchetto chiuso nella parte inferiore dello schermo.

L’allarme pero’ non riguarda tutti i siti di e-commerce e di e-banking. La debolezza riscontrata nell’MD5, infatti, era stata  gia’ in parte resa nota nel 2004 da ricercatori cinesi, ma l’algoritmo viene ancora impiegato da alcune societa’ di certificazione digitale. Secondo l’analista Marc Stevens del Cryptology Group di CWI,  “e’ imperativo che i browser Internet e i siti di certificazione digitale smettano di usare l’MD5 e migrino verso alternative piu’ robuste, come l’SHA-2 e il prossimo SHA-3″.