Alfonso Maruccia

HTTPS, insicurezza al comando

Un nuovo studio evidenzia la scarsa sicurezza dei siti web pių visitati al mondo nonostante l'implementazione delle comunicazioni (teoricamente) cifrate. Per difendersi basterebbe davvero poco

Roma - Trustworthy Internet Movement (TIM) ha sguinzagliato SSL Pulse, un progetto di scansione automatizzata pensato per valutare la reale sicurezza dei siti web (teoricamente) protetti dietro il "muro" della connessione HTTPS. Neanche a dirlo, i risultati delle prime scansioni sono pessimi, a dir poco.

SSL Pulse usa una tecnologia di scanning ideata dalla società di sicurezza Qualys, che è in grado di controllare i siti web su cui è abilitata la navigazione sicura (HTTPS, appunto) per verificare i protocolli supportati (SSL o TLS), la lunghezza delle chiavi usate per cifrare il traffico e la robustezza dei cifrari supportati.

Stimando algoritmicamente le caratteristiche di sicurezza della connessione dei 200mila siti web più popolari (dati Alexa), SSL Pulse ha rilevato che il 90 per cento dei suddetti siti non si può considerare sicuro: il 50 per cento usa protocolli e funzionalità di sicurezza "moderne", ma solo nel 10 per cento dei casi l'accesso è davvero al riparo da abusi o attacchi di vario ordine e grado.
Stando ai dati raccolti con SSL Pulse, ben il 75 per cento dei 200mila siti sopraindicati è vulnerabile all'attacco noto come BEAST: considerando che l'attacco è stato neutralizzato da anni con l'introduzione del protocollo TLS 1.1, si tratta dell'ennesima riprova della scarsa considerazione che una corretta implementazione delle funzionalità di HTTPS soffre presso admin e webmaster.

La vulnerabilità dei siti web potrebbe poi venire dal semplice pressappochismo nella gestione delle policy di sicurezza, come ad esempio successo nel caso di Sage Pay: il servizio di pagamenti ha cominciato a usare un certificato SSL scaduto, ma a quanto pare si sarebbe trattato solo di "un errore amministrativo" dovuto a soggetti di terze parti con credenziali di accesso al server.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSSL, problemi bestialiDue ricercatori sostengono di aver realizzato un attacco in grado di mandare gambe all'aria le comunicazioni cifrate su protocolli SSL e TLS. Una faccenda seria, avvertono, che si risolve solo con un aggiornamento complessivo del software in uso
  • SicurezzaNon fidatevi dell'SSLUna nuova ricerca evidenzia i problemi strutturali della tecnologia crittografica alla base delle connessioni web protette (HTTPS). E ci sono problemi anche per altri popolari protocolli come PGP