Fastweb

HTTPS a rischio: vulnerabilità pericolose per gli utenti

Come rendere il tuo WiFi sicuro Internet #internet #wireless Come proteggere la rete wireless Le reti WiFi rappresentano, in molti casi, l’anello debole della propria rete casalinga (LAN, Local Area Network). Ecco alcuni consigli su come proteggerla dagli attacchi esterni
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
HTTPS a rischio: vulnerabilità pericolose per gli utenti FASTWEB S.p.A.
Pagina protetta da HTTPS
Internet
Una ricerca della Ca' Foscari di Venezia e della Technische Universitat di Vienna dimostra che l'HTTPS non è così sicuro. Ecco cosa si rischia

Il protocollo di trasmissione HyperText Transfer Protocol Secure, meglio noto come HTTPS è ormai considerato lo standard per rendere più sicuri i siti web che visitiamo ogni giorno. Anche grazie alla spinta di "big" come Google, ma non solo, questo protocollo sta gradualmente sostituendo il vecchio HTTP, che negli anni si è dimostrato sempre più vulnerabile agli attacchi hacker.

In particolare, l'HTTPS nasce per difendere gli utenti dai cosiddetti attacchi man in the middle, ossia gli attacchi in cui l'hacker riesce a frapporsi tra l'utente e il server del sito web simulando quest'ultimo nei confronti del navigatore ignaro. In questo modo l'hacker diventa in grado di esaminare tutto il traffico e i dati che si scambiano l'utente e il server web che ha "impersonato" riuscendo così a mettere le mani anche su informazioni sensibili come quelle di una transizione bancaria o il nome utente e password necessari a fare un log-in. La novità dell'HTTPS rispetto al precedente HTTP, infatti, è la crittografia dei dati scambiati, effettuata con il protocollo TLS: Transport Layer Security. Ma è davvero così sicuro un sito che implementa l'HTTPS?

L'HTTPS può essere violato

Non sempre un sito che implementa il protocollo HTTPS può essere ritenuto sicuro al 100%, come dimostra una approfondita ricerca effettuata dai ricercatori dell'Università Ca' Foscari di Venezia e della Technische Universität di Vienna. Lo studio ha analizzato e scansito 10 mila siti web con HTTPS, per la precisione i primi diecimila per traffico (rilevato da Amazon Alexa). Di questi siti il 5,5% era affetto da almeno una vulnerabilità che avrebbe potuto permettere ad un hacker di rubare parte dei dati (se non tutti) trasmessi tra utente e server.

Hacker

Le vulnerabilità sono di vario tipo: alcune, lievi, permettono a un esperto malintenzionato di intercettare i cookies di tracciamento o poco più mentre altre vulnerabilità, ben più gravi, permettono all'hacker un attacco "man in the middle". Cioè esattamente ciò che il protocollo HTTPS dovrebbe evitare. In alcuni specifici casi, infine, è stata notata la possibilità non solo di intercettare i dati, ma persino di modificarli durante il transito.

Quanti sono i siti HTTPS vulnerabili

Il 5,5% di diecimila vuol dire pochi siti e di questi appena 292, in totale, hanno mostrato le vulnerabilità più preoccupanti. Il problema è però che la maggior parte di questi grandi siti analizzati dai ricercatori di Venezia e Vienna ha un certo numero di sottodomini collegati (in genere usati per l'erogazione di servizi specifici): 5.282 in totale. E se è vulnerabile il dominio principale, lo è anche il sottodominio collegato.

Una cosa molto interessante scoperta nel corso dell'analisi di questi siti è che la maggior parte dei browser non si accorge delle vulnerabilità dei domini e continua a considerarli sicuri, visualizzando il famoso lucchetto verde alla sinistra dell'indirizzo Web. Ciò induce l'utente a fidarsi e a usare tutte le funzionalità del sito, comprese eventuali transazioni di denaro online tramite carta di credito. Questo è dovuto soprattutto al fatto che i browser spesso si limitano a verificare la presenza sul sito di un certificato HTTPS valido rilasciato da una autorità di certificazione come VeriSign o Microsoft.

Hacker

HTTPS: allarme sicurezza?

I ricercatori delle due università preferiscono non lanciare allarmi e affermano che difficilmente qualche hacker vorrà sfruttare i bug alla sicurezza riscontrati nei siti analizzati. Ciò perché un attacco mirato a tali difetti di implementazione del protocollo HTTPS sarebbero comunque meno semplici, veloci ed efficaci rispetto ad altre tecniche oggi disponibili per rubare dati sensibili agli utenti. Tuttavia, il problema rimane anche se non è enorme e l'utente ha ben poco da fare per tutelarsi.

La raccomandazione di non visitare i siti Web non HTTPS rimane sempre valida, come anche quella di non effettuare mai transazioni economiche o scambi di dati particolarmente sensibili su semplici siti HTTP. Ma ognuno di noi si aspetterebbe che la certificazione HTTPS di un dominio e il relativo lucchetto verde che ci mostra il browser siano garanzia di sicurezza.

Cybercriminale

Purtroppo, ancora una volta, su Internet nulla è assolutamente sicuro e la prudenza resta sempre la regola d'oro perché, a dirla tutta, il protocollo HTTPS è stato già "bucato" in passato. Il caso più celebre è quello di Heartbleed, un grave bug nella libreria di crittografia OpenSSL (una delle librerie più usate dal protocollo TLS che fa parte di HTTPS) che ha messo a rischio tra il 2012 e il 2014 milioni di siti Web tra i quali anche quelli di giganti del calibro di Yahoo!, Tumblr e Flickr. In totale, circa il 17% dei siti che a quel tempo avevano implementato l'HTTPS usavano OpenSSL ed erano vulnerabili ad un attacco basato su quella piattaforma. In quel caso si dovette aspettare fino a giugno 2014 prima che la patch che tappava la falla di Heartbleed venisse implementata da tutti i siti interessati al problema.

copyright CULTUR-E

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #https #hacker #sicurezza informatica

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.