Web e sicurezza, due parole sempre più accostate ma sempre più “conflittuali”. Negli ultimi mesi le cronache ci riportano costantemente notizie di attacchi informatici, siti “compromessi” e dati rubati. Recentemente ha fatto molto scalpore l’attacco subito dai server della moritura Yahoo con relativa caterva di dati sensibili sottratti.
L’esperienza giornaliera di chi gestisce siti ed infrastrutture web e piena di avvisi di nuove minacce, filtri spam da ricalibrare, tentativi di intrusione più o meno “brutali”. Quotidianamente ci si scontra con una realtà davvero molto complicata che mette in pericolo i nostri clienti e tutti i visitatori dei loro siti web.
Come difendersi adeguatamente? Alcune buone abitudini di utilizzo degli strumenti con i quali accediamo al web permettono senza dubbio di ridurre in maniera consistente i rischi. Ultimamente uno dei browser più utilizzati al mondo, Google Chrome, ha iniziato a segnalare a chi naviga tramite la sua interfaccia il grado di sicurezza di un sito web. Si tratta di quel lucchettino che compare nella barra degli indirizzi, prima dell’url della pagina web che stiamo visitando. Con questa novità Chrome ci vuole informare sulla sicurezza delle pagine che stiamo visitando. Ma cosa intende Chrome per sicurezza? La sicurezza raffigurata dal lucchettino verde è conseguenza del protocollo che il sito utilizza per veicolare i dati tra il suo server ed il nostro pc. Il protocollo standard di trasferimento dei dati è il famosissimo HTTP, la sua versione “aggiornata” si chiama HTTPS ed è quest’ultima che Chrome considera “sicura”.
Una connessione HTTPS è una connessione nella quale i dati viaggiano da un punto ad un altro in maniera crittografata. Inoltre questo protocollo garantisce l’identificazione del sito web che stiamo visualizzando, verificandone l’autenticità attraverso un certificato digitale rilasciato da un ente certificatore (il più famoso è Verisign). Facciamo un esempio pratico per capirci meglio. In questo momento, almeno spero (sic!), state leggendo questo post, supponiamo che da qualche parte stia nascosto un hacker che è riuscito ad intercettare la vostra connessione wi-fi ed ora sta registrando tutto quello che trasmettete e ricevete via web (paura eh…)
Se il sito che state visitando utilizza un protocollo http, il nostro hacker sarà in grado di raccogliere tutto ciò che digitate ed inviate attraverso, ad esempio, un form di richiesta informazioni. Il fantomatico hacker di cui sopra potrebbe dirottarvi in una pagina esterna, all’apparenza uguale a quella del sito che state visitando ed attuare quello che in gergo si chiama “phishing”: una strategia con la quale rubare dati sensibili, quali username e password, da utilizzare poi per i più svariati motivi.
Se il protocollo utilizzato è un https, il nostro hacker avrà qualche difficoltà in più. I dati trasmessi tra i due nodi (utente e server del sito) sono crittografati perciò non facilmente interpretabili. La presenza di un certificato digitale, che attesta la genuinità del sito (una specie di carta d’identità digitale), riduce il pericolo di phishing in quanto la pagina taroccata su cui l’hacker vi devia non verrà riconosciuta come autentica, non possedendo il certificato e genererà un segnale di allarme sul vostro browser.
Tutto sistemato? Non proprio. Purtroppo le tecniche utilizzate dai pirati informatici continuano ad evolversi senza sosta e riescono ad individuare falle anche nei sistemi https. Qualcuno ricorderà il terrore corso sul web alla scoperta della famosa falla Heartbleed che ha messo a rischio una valanga di dati sensibili in tutto il mondo. Altre tecniche stanno emergendo e sarebbe davvero una faciloneria dire che l’HTTPS risolve il problema della sicurezza, di certo rende meno facile la vita ai malintenzionati e ne elimina una parte, quella più numerosa e meno attrezzata, che potrebbe prendere di mira il vostro sito.