In seguito alla serie di bug che hanno avuto come bersaglio il protocollo crittografico HTTPS nella seconda parte del 2014, un team di ingegneri di Google impegnati nello sviluppo di Android ha rilasciato un tool open source che permette di scoprire se un dispositivo o un'applicazione abbiano bug o falle nei loro sistemi di sicurezza, mettendo così in potenziale pericolo le password e gli altri dati personali contenuti nelle memorie di computer, smartphone e tablet.
Google nogotofail (termine traducibile in italiano con “infallibile”) – questo i nome scelto dagli ingegneri di Big G per lo strumento di sicurezza informatica – è stato rilasciato su GitHub, la piattaforma di condivisione di software basata sull’applicativo Git, creato da Linus Torvalds, che permette a chiunque di accedere al codice sorgente dei programmi e di migliorarli e svilupparli in maniera collaborativa e senza pericolo di sovrascritture reciproche.
Perché Google nogotofail
Tenuto segreto per qualche tempo all'interno dei laboratori del Googleplex di Mountain View, Google nogotofail nasce con l'obiettivo di testare dispositivi di ogni genere (tutti quelli che hanno la possibilità di connettersi al web, secondo i tecnici di Big G) per verificare che non siano affetti da falle e vulnerabilità conosciute dei protocolli crittografici e di sicurezza per la navigazione in Rete. Lo sviluppo dell'applicativoìè stato portato avanti nella seconda metà del 2014 grazie anche alla collaborazione con diversi sviluppatori attivi sul Google Play Store. Lo scopo iniziale, si legge nel post con cui Google ha annunciato il rilascio del tool, era migliorare la sicurezza di molte delle applicazioni per Android, ma data l'affidabilità di Google nogotofail si è velocemente passati a un obiettivo più a medio-lungo termine: promuovere l'utilizzo dei protocolli TLS/SSL nel mondo, garantendo così una maggiore sicurezza degli applicativi di Rete e dei portali web. In questo modo Google spinge affinché tutte le connessioni web siano crittografate secondo gli standard del protocollo SSL.
Come funziona Google nogotofail
Il tool open source, che deve il suo nome alla vulnerabilità goto fail che ha colpito i dispositivi iOS e OS X nel 2014, andrà a individuare (ed eventualmente correggere) errori che riguardano le operazioni di verifica del certificato SSL; bug delle library TLS/SSL e HTTPS; problemi di stripping (tecnica informatica che consiste nel salvataggio dei pacchetti dati su diverse unità disco) legati all'utilizzo dei protocolli SSL e STARTLS e altri problemi di questo genere.
Il software, grazie a un processo di virtualizzazione, può prendere le sembianze di un router, una macchina Linux o un server VPN e funziona con la gran parte dei sistemi operativi oggi disponibili: Windows, OS X, Linux, Chrome OS, Android e iOS. Insomma, qualunque dispositivo che si connette alla Rete può in qualche modo esser messo alla prova per verificare che non abbia falle di sicurezza e vulnerabilità a livello di protocolli crittografici. Grazie al client open source sviluppato dal team di Google, chiunque può utilizzare nogotofail per avere unaa panoramica sulla sicurezza del proprio sistema informatico: è sufficiente impostare i parametri adeguati allo scopo e attendere il verdetto del test.