LOGIN
Il protocollo di trasmissione HyperText Transfer Protocol Secure, meglio noto come HTTPS è ormai considerato lo standard per rendere più sicuri i siti web che visitiamo ogni giorno. Anche grazie alla spinta di "big" come Google, ma non solo, questo protocollo sta gradualmente sostituendo il vecchio HTTP, che negli anni si è dimostrato sempre più vulnerabile agli attacchi hacker.
In particolare, l'HTTPS nasce per difendere gli utenti dai cosiddetti attacchi man in the middle, ossia gli attacchi in cui l'hacker riesce a frapporsi tra l'utente e il server del sito web simulando quest'ultimo nei confronti del navigatore ignaro. In questo modo l'hacker diventa in grado di esaminare tutto il traffico e i dati che si scambiano l'utente e il server web che ha "impersonato" riuscendo così a mettere le mani anche su informazioni sensibili come quelle di una transizione bancaria o il nome utente e password necessari a fare un log-in. La novità dell'HTTPS rispetto al precedente HTTP, infatti, è la crittografia dei dati scambiati, effettuata con il protocollo TLS: Transport Layer Security. Ma è davvero così sicuro un sito che implementa l'HTTPS?
L'HTTPS può essere violato
Non sempre un sito che implementa il protocollo HTTPS può essere ritenuto sicuro al 100%, come dimostra una approfondita ricerca effettuata dai ricercatori dell'Università Ca' Foscari di Venezia e della Technische Universität di Vienna. Lo studio ha analizzato e scansito 10 mila siti web con HTTPS, per la precisione i primi diecimila per traffico (rilevato da Amazon Alexa). Di questi siti il 5,5% era affetto da almeno una vulnerabilità che avrebbe potuto permettere ad un hacker di rubare parte dei dati (se non tutti) trasmessi tra utente e server.
Le vulnerabilità sono di vario tipo: alcune, lievi, permettono a un esperto malintenzionato di intercettare i cookies di tracciamento o poco più mentre altre vulnerabilità, ben più gravi, permettono all'hacker un attacco "man in the middle". Cioè esattamente ciò che il protocollo HTTPS dovrebbe evitare. In alcuni specifici casi, infine, è stata notata la possibilità non solo di intercettare i dati, ma persino di modificarli durante il transito.
Quanti sono i siti HTTPS vulnerabili
Il 5,5% di diecimila vuol dire pochi siti e di questi appena 292, in totale, hanno mostrato le vulnerabilità più preoccupanti. Il problema è però che la maggior parte di questi grandi siti analizzati dai ricercatori di Venezia e Vienna ha un certo numero di sottodomini collegati (in genere usati per l'erogazione di servizi specifici): 5.282 in totale. E se è vulnerabile il dominio principale, lo è anche il sottodominio collegato.
Una cosa molto interessante scoperta nel corso dell'analisi di questi siti è che la maggior parte dei browser non si accorge delle vulnerabilità dei domini e continua a considerarli sicuri, visualizzando il famoso lucchetto verde alla sinistra dell'indirizzo Web. Ciò induce l'utente a fidarsi e a usare tutte le funzionalità del sito, comprese eventuali transazioni di denaro online tramite carta di credito. Questo è dovuto soprattutto al fatto che i browser spesso si limitano a verificare la presenza sul sito di un certificato HTTPS valido rilasciato da una autorità di certificazione come VeriSign o Microsoft.
HTTPS: allarme sicurezza?
I ricercatori delle due università preferiscono non lanciare allarmi e affermano che difficilmente qualche hacker vorrà sfruttare i bug alla sicurezza riscontrati nei siti analizzati. Ciò perché un attacco mirato a tali difetti di implementazione del protocollo HTTPS sarebbero comunque meno semplici, veloci ed efficaci rispetto ad altre tecniche oggi disponibili per rubare dati sensibili agli utenti. Tuttavia, il problema rimane anche se non è enorme e l'utente ha ben poco da fare per tutelarsi.
La raccomandazione di non visitare i siti Web non HTTPS rimane sempre valida, come anche quella di non effettuare mai transazioni economiche o scambi di dati particolarmente sensibili su semplici siti HTTP. Ma ognuno di noi si aspetterebbe che la certificazione HTTPS di un dominio e il relativo lucchetto verde che ci mostra il browser siano garanzia di sicurezza.
Purtroppo, ancora una volta, su Internet nulla è assolutamente sicuro e la prudenza resta sempre la regola d'oro perché, a dirla tutta, il protocollo HTTPS è stato già "bucato" in passato. Il caso più celebre è quello di Heartbleed, un grave bug nella libreria di crittografia OpenSSL (una delle librerie più usate dal protocollo TLS che fa parte di HTTPS) che ha messo a rischio tra il 2012 e il 2014 milioni di siti Web tra i quali anche quelli di giganti del calibro di Yahoo!, Tumblr e Flickr. In totale, circa il 17% dei siti che a quel tempo avevano implementato l'HTTPS usavano OpenSSL ed erano vulnerabili ad un attacco basato su quella piattaforma. In quel caso si dovette aspettare fino a giugno 2014 prima che la patch che tappava la falla di Heartbleed venisse implementata da tutti i siti interessati al problema.
