Trustworthy Internet Movement (TIM) ha sguinzagliato SSL Pulse , un progetto di scansione automatizzata pensato per valutare la reale sicurezza dei siti web (teoricamente) protetti dietro il “muro” della connessione HTTPS. Neanche a dirlo, i risultati delle prime scansioni sono pessimi, a dir poco.
SSL Pulse usa una tecnologia di scanning ideata dalla società di sicurezza Qualys, che è in grado di controllare i siti web su cui è abilitata la navigazione sicura (HTTPS, appunto) per verificare i protocolli supportati (SSL o TLS), la lunghezza delle chiavi usate per cifrare il traffico e la robustezza dei cifrari supportati.
Stimando algoritmicamente le caratteristiche di sicurezza della connessione dei 200mila siti web più popolari (dati Alexa), SSL Pulse ha rilevato che il 90 per cento dei suddetti siti non si può considerare sicuro : il 50 per cento usa protocolli e funzionalità di sicurezza “moderne”, ma solo nel 10 per cento dei casi l’accesso è davvero al riparo da abusi o attacchi di vario ordine e grado.
Stando ai dati raccolti con SSL Pulse, ben il 75 per cento dei 200mila siti sopraindicati è vulnerabile all’attacco noto come BEAST : considerando che l’attacco è stato neutralizzato da anni con l’introduzione del protocollo TLS 1.1, si tratta dell’ennesima riprova della scarsa considerazione che una corretta implementazione delle funzionalità di HTTPS soffre presso admin e webmaster.
La vulnerabilità dei siti web potrebbe poi venire dal semplice pressappochismo nella gestione delle policy di sicurezza, come ad esempio successo nel caso di Sage Pay : il servizio di pagamenti ha cominciato a usare un certificato SSL scaduto , ma a quanto pare si sarebbe trattato solo di “un errore amministrativo” dovuto a soggetti di terze parti con credenziali di accesso al server.
Alfonso Maruccia
Ti potrebbe interessare
27 apr 2012