Uno studio dell'Università Ca' Foscari di Venezia rivela che 10mila siti web fra i più frequentati al mondo sono stati soggetti a vulnerabilità. Nella maggior parte dei casi il problema è già stato risolto: i sistemi di sicurezza non erano aggiornati.
Il protocollo HTTPS non è sicuro come si pensava, anzi, secondo un recente studio dell’Università Ca’ Foscari di Venezia, questa sigla nell’indirizzo web di un sito non è più una condizione sufficiente per sentirsi tranquilli quando si naviga.
Lo studio fa riferimento alla sigla che precede il nome dei siti negli indirizzi web. Da qualche anno quasi tutti i siti hanno rimpiazzato lo storico protocollo HTTP con quello HTTPS, perché l’HyperText Transfer Protocol è stato ritenuto un sistema poco sicuro per la trasmissione di informazioni sul web. Al contrario, l’HTTPS (HyperText Transfer Protocol over Secure Socket Layer) protegge i dati mediante crittografia, autenticazione altri sistemi di sicurezza.
La novità è che 10mila siti Web (e relativi sottodomini, per un totale complessivo di 100mila URL) fra i più frequentati al mondo sono soggetti a vulnerabilità. In particolare, 4.818 siti sono vulnerabili ad attacchi man-in-the-middle, 733 a rischio decrittazione completa e 912 a rischio decrittazione parziale. Gli attacchi man-in-the-middle sono quelle azioni in cui gli hacker (o meglio i loro software) si interpongono tra la vittima e il server per rubare dati. Gli attacchi di questo tipo sono spesso efficaci e difficili da individuare. La decrittazione è invece la conversione di un testo cifrato con un uno comprensibile, in pratica il processo inverso della crittografazione.
La sorpresa è piuttosto inquietante, considerata la premessa dell’HTTPS, secondo cui il computer dell’utente e il server sarebbero stati gli unici a poter conoscere il contenuto dei “pacchetti” di dati che si scambiano. Il rischio potenziale è che un hacker possa compromettere un sito, e per il conseguente effetto a cascata compromettere anche i portali che lo ospitano.
Prima di preoccuparsi troppo, è bene sapere che i siti coinvolti nello studio sono stati avvertiti, e che hanno provveduto a risolvere il problema. Nella maggior parte dei casi, la vulnerabilità era infatti dovuta a un mancato aggiornamento delle soluzioni di protezione dei dati. L’episodio è l’ennesima occasione per comprendere i rischi a cui si va incontro non aggiornando i software non solo dei server, ma anche dei client.
Il documento con la ricerca completa dei ricercatori italiani sarà presentato durante il prossimo 40th IEEE Symposium on Security and Privacy di San Francisco, in programma a maggio.