Fastweb

Crittografia del web, le nuove indicazioni per proteggere la Rete dall’Nsa

Passprotect Web & Digital #hacker #password Passprotect, l'estensione di Chrome per scoprire se la tua password è stata violata Una nuova estensione di Chrome permette di capire se la propria password è stata in qualche modo sottratta
ISCRIVITI alla Newsletter
Autorizzo il trattamento dei dati di contatto per l’iscrizione alla newsletter e per la ricezione di mail di carattere informativo e commerciale. Informativa e condizioni di utilizzo.
Crittografia del web, le nuove indicazioni per proteggere la Rete dall’Nsa FASTWEB S.p.A.
Crittografia del web, le nuove indicazioni per proteggere la Rete dall’Nsa
Internet
Le misure consigliate ai Big di Internet dall'Electronic Frontier Foundation (Eff) in relazione alle polemiche nate riguardo alle attività di sorveglianza illegali effettuate da parte del National Security Agency statunitense

Quattro colossi del web - Dropbox , Google , SpiderOak e Sonic.net - stanno applicando cinque su cinque delle attuali migliori pratiche per la crittografia. È quanto è emerso da un’indagine dell'Electronic Frontier Foundation (Eff), l’organizzazione non profit per la tutela dei diritti digitali, sull’utilizzo di pratiche di crittografia nelle aziende. Lo studio è stato realizzato in relazione alle polemiche nate riguardo alle attività di sorveglianza illegali effettuate da parte del National Security Agency (NSA) statunitense.

Anche il colosso Yahoo! ha appena annunciato una serie di misure che intende adottare per aumentare il livello di crittografia , tra cui quelle relative alla comunicazione tra i suoi data center;  Twitter dal canto suo ha confermato che la cifratura dei collegamenti dei suoi centri dati è già in corso. Sul sito dell’Eff è possibile avere una visione complessiva delle pratiche portate avanti dai vari colossi del web consultando un’infografica.

 

L'Eff ha chiesto ai vari service provider di applicare precisi sistemi di crittografia, considerati attualmente i migliori standard di sicurezza per garantire la cifratura delle comunicazioni tra gli utenti ed i server, in particolare:

Implementazione HTTPS. Crittografare i siti web ospitati dai vari provider impostando in maniera predefinita il protocollo HTTPS (Hypertext Transfer Protocol Secure). Ciò permette ad un utente che si collega ad un sito web di utilizzare automaticamente il protocollo di comunicazione sicuro a protezione dei dati scambiati tra il proprio computer e il sito richiesto.

Categorizzazione dei Cookie as Secure. Categorizzare/segnalare con un flag  tutti i cookie di autenticazione come "sicuri". Questo significa che le comunicazioni dei cookie saranno limitate alla sola trasmissione crittografata , indicando quindi ai browser web (IE, Firefox, Chrome etc) di utilizzare tali cookie solo ed esclusivamente attraverso una connessione cifrata (ad es. via protocollo HTTPS).Questo eviterà che operatori di rete/malintenzionati possano rubare (o registrare) le identità degli utenti (ad es. le user id) intercettando i dati personali contenuti all’interno dei cookie mentre transitano su connessioni non sicure.

Implementazione HSTS. Abilitare il protocollo HSTS (HTTP Strict Transport Security) per garantire che la comunicazione rimanga sempre sicura evitando qualsivoglia passaggio di dati in modalità non criptata.In questo caso un server web dichiara, attraverso il campo di risposta HSTS, di interagire con il browser in questione solo ed esclusivamente in condizioni di sicurezza (HTTPS); come ulteriore misura di sicurezza questa dichiarazione è valida solo per un periodo limitato di tempo dopodichè deve essere rinnovata e, quindi, riverificata. Tali tecnologie sono ritenute le migliori pratiche utili attualmente a disposizione.Tuttavia il programma Muscular del NSA, attraverso quale l’agenzia avrebbe intercettato tutti i dati trasmessi lungo i cavi in fibra ottica che collegano i vari data center di Yahoo!, Google e altri big, ha fatto capire che tutto ciò, purtroppo, non è sufficiente.

Il motivo? Edward Snowden, l’informatico esperto in sicurezza statunitense che ha rivelato i programmi di sorveglianza segreti degli Usa, lo ha spiegato in questa slide:

 

Cosa vuol dire? Che anche se il traffico tra la “grande Internet pubblica” e i GFE (Google Front End Server) sono protetti da protocollo SSL (Secure Sockets Layer) il traffico interno al “Google Cloud”, viaggia in chiaro.

Come risolvere questo secondo problema? L’Eff ha avanzato ulteriori richieste ai vari service provider:

Crittografia comunicazioni interne Cloud. Crittografare anche le comunicazioni interne tra società, server cloud e data center.  In questo modo, nel caso un malintenzionato riuscisse a compromettere le apparecchiature di rete, risulterebbe per lui comunque impossibile (o quantomeno molto complicato) riuscire a decifrare i dati che vi transitano.

Implementazione STARTTLS. Inoltre è stato richiesto ai provider di servizi e-mail di implementare lo STARTTLS per il trasferimento di e-mail. STARTTLS è un sistema di cifratura per le comunicazioni tra i server di posta elettronica che utilizzano lo standard Simple Mail Transfer Protocol (SMTP).

Se entrambi i server di posta, quello del mittente e quello del destinatario di un’email, utilizzano lo standard STARTTLS si potrà avere la sicurezza che le comunicazioni siano sempre crittografate durante il transito da uno all’altro. Se, invece, solo uno dei due provider di posta elettronica coinvolti nella comunicazione utilizza lo STARTTLS, le comunicazioni durante il transito saranno giocoforza eseguite in chiaro e pertanto esposte al pericolo di essere intercettate.

Perfect Forward Secrecy (PFS).Utilizzare la Perfect Forward Secrecy (PFS) per le loro chiavi di crittografia. Questo espediente consiste nell’utilizzare chiavi di crittazione sempre nuove e diverse, facenti parte di una lista di chiavi indipendenti (ovvero chiavi che non sono in qualche modo “deducibili” una dall’altra) precedentemente condivisa.

Ciò consente di proteggere anche a posteriori gran parte delle comunicazioni crittografate, nel caso in cui una delle chiavi utilizzate venga, in futuro, compromessa.

In assenza di tale pratica, chiunque ottenga una specifica chiave di sicurezza utilizzata da un certo provider di servizi (e-mail, e-banking, ecc) può utilizzarla per decodificare tutte le comunicazioni, presenti e passate, cifrate utilizzando quella stessa chiave.Mentre Eff ed altre associazioni simili lavorano per fare in modo che le grandi società si adeguino ai più alti standard di sicurezza al mondo, anche noi utenti possiamo fare qualcosa per proteggerci. In particolare: usare sempre, ovunque essi siano disponibili, servizi di cifratura delle comunicazioni (principalmente l’HTTPS). Uno degli strumenti che possono aiutarci a compiere quest’operazione in maniera semplice è HTTPS Everywhere, un plugin per Firefox e Chrome il cui unico scopo è forzare l’utilizzo del protocollo HTTPS ovunque questa possibilità sia presente.

25 novembre 2013

Davide Del Vecchio
Davide Del Vecchio @The_Haiku - linkedin.com/in/davidedelvecchio FASTWEB BU Enterprise – Coordinatore Security Operations Center


Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Autorizzo il trattamento dei dati di contatto per l’iscrizione alla newsletter e per la ricezione di mail di carattere informativo e commerciale. Informativa e condizioni di utilizzo.
TAGS: #crittografia #sicurezza

© Fastweb SpA 2018 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.