Quanti siti ci sono sul Web e sicurezza delle comunicazioni.

In molti si chiedono quanti siti ci sono sul Web?

Internet è davvero un oceano gigantesco. Okay, ma quanto grande? È possibile saperlo?

La risposta è fornita da Netcraft, la società di monitoraggio che offre una serie di statistiche sul World Wide Web.

Dati aggiornati a questo mese di Luglio 2018 riferiscono quanto segue:

1.663.673.364 siti, 220.573.018 domini unici e 7.734.417 computer che svolgono la funzionalità di server sul Web.

Questi dati indicano un aumento di 33,4 milioni di siti, 2,80 milioni di domini e 120.000 nuovi server.

Internet e sicurezza delle comunicazioni.

In questo immenso oceano troviamo di tutto. A parte tante cose divertenti, altre interessanti, altre ancora di altissimo livello scientifico e informativo, alcune persino di vitale importanza per la nostra società dell’informazione, per i servizi alle imprese, e così via. Tuttavia, troviamo purtroppo anche molta immondezza: informazioni false, dati inattendibili, teorie del complotto e via dicendo. Non finisce qui, al peggio non c’è un limite, per cui ci si imbatte anche in molte cose orribili, crimini di ogni genere e pericoli che minano la nostra sicurezza di specchiati navigatori che non si intromettono certamente in siti poco chiari per non dire altro.

D’altra parte, non è che la colpa sia della tecnologia, è la nostra società e produce ciò con cui la si alimenta.

Pertanto, la maggior parte di noi che ne fa un uso assolutamente morale e lecito, con finalità di migliorare le proprie prestazioni d’impresa, o anche i privati che usano il Web per informarsi in modo rispettabile e affidabile, è giusto che usufruiamo di mezzi che difendano la nostra riservatezza e la sicurezza dei nostri dati più importanti.

A questo riguardo, una delle misure di protezione in uso è data dalla crittografia che impedisce ai criminali di bombardarci con software pericolosi, di interferire con i nostri dati e di sottrarli.

Cosa è il protocollo HTTP?

Come molti di voi sapranno, Tim Berners-Lee (Londra 1955) è lo scienziato informatico Inglese che ha reso possibile il World Wide Web già nel Novembre 1989 con la prima trasmissione dati tra client e server mediante la tecnologia HTTP.

HTTP è l’acronimo di Hypertext Transfer Protocol (Protocollo di Trasferimento Ipertestuale) ed è appunto ciò che rende possibile la comunicazione su Internet.

Questa tecnologia consente al browser (il programma che usate per navigare, ad esempio Chrome, Mozilla, IE, etc.) di recuperare una pagina Web dal server che la ospita.

La tecnologia HTTP ha avuto grande successo ovviamente, visto che è il mezzo che mette in comunicazione tutto ciò che è pubblicabile su Internet, ma presenta un problema: non protegge la trasmissione dei dati e pertanto rende possibile intercettarli e quindi manometterli e perfino trafugarli.

Ragione per cui Google, Mozilla e altri dell’industria tecnologica hanno spinto perché i proprietari di siti web passassero alla versione sicura del protocollo chiamata HTTPS.

Il protocollo HTTPS

HTTPS è la versione sicura del protocollo HTTP, l’acronimo sta per Hypertext Transfer Protocol Secure (Protocollo di Trasferimento Ipertestuale Sicuro)

La sicurezza si ottiene con l’installazione di un certificato SSL (Secure Socket Layer) che installa un sistema di crittografia sul sito che non permette di interferire e di trafugare i dati.

Esistono vari tipi di certificati SSL che di seguito elenchiamo.

Certificati DV (Domain Validation)

Sono i più utilizzati e oramai resi in forma gratuita. Il certificato DV valida il dominio del sito e installa una protezione che assicura la crittografia dei dati scambiati. Il sito quindi opera su protocollo https, come ad esempio il nostro blog “https://imprendo.blog” che garantisce che quando ci visitate i vostri dati personali e ciò che inviate al nostro sito, ad esempio tramite modulo di contatto, non è intercettabile da terzi. Questo è ora considerato lo standard, ed è perciò reso facilmente accessibile da quasi tutti i provider di servizi hosting.

Certificati OV (Organization Validation)

È il livello che molti considerano minimo per i negozi online ma se non registrate dati delle carte di credito dei vostri clienti potete usare anche un certificato DV.

Come ogni certificato SSL, gli OV installano un sistema di crittografia ma in più, rispetto al tipo DV, garantisce la titolarità del dominio da parte di chi ne richiede l’emissione.

La particolarità di questo certificato è che, alla trasmissione delle informazioni su connessioni cifrate, vengono associate anche alcune informazioni relative all’azienda che gestisce il sito.

Ciò avviene poiché la CA (Autorità di Certificazione super partes che emette il certificato), convaliderà la proprietà del nome di dominio e alcuni dati, disponibili pubblicamente, del richiedente l’emissione del certificato. Pertanto, questo certificato è abbastanza sicuro e offre sufficienti garanzie al cliente che acquista su un sito e-commerce.

Certificati EV (Extended Validation)

È il certificato raccomandato se il sito registra i dati delle carte di credito/debito dei clienti.

La sua emissione è più lenta rispetto ad un certificato DV e OV (che sono quasi immediati) per via di maggiori verifiche. Nel caso di certificati EV, infatti, la CA deve verificare l’esistenza dell’azienda richiedente il certificato (il titolare del dominio e del sito e-commerce), deve inoltre verificare che l’azienda richiedente è l’effettivo titolare del dominio e dello spazio web in cui il certificato deve essere installato.

In tal modo, l’utente che si collega al sito, oltre la conferma della sicurezza, riceverà anche informazioni relative all’identità dell’azienda che ospita il sito e-commerce.

Pertanto, l’utente avrà un maggiore livello di confidenza poiché sa esattamente dove si trova (nel sito ospitato da quella precisa azienda che risponde dei suoi dati e delle transazioni operate). I tempi per l’emissione possono richiedere fino a 10 giorni.

Ancora una volta, non stiamo dicendo che se avete un sito e-commerce dovete necessariamente installare un certificato OV o EV, può andare bene anche un DV, dipende da varie cose e soprattutto dal fatto che non registrate i dati finanziari dei vostri clienti.

Particolarità del protocollo HTTPS

L’HTTPS esiste da oltre un decennio, tuttavia era inizialmente usato per proteggerci durante la digitazione di dati particolarmente delicati come i codici delle nostre carte di credito su alcuni siti e dai siti delle banche.

Non era molto diffuso perché il protocollo HTTPS era come una specie di tassametro che imponeva una tariffa in base ai processori dei server e la velocità di rete e pertanto gli operatori del sito web dovevano pagare i certificati piuttosto cari. Molti problemi tecnici legati alle prestazioni di questa tecnologia sono stati ormai risolti, così si è potuta diffondere a costi molto bassi o perfino gratuitamente.

È infatti possibile emettere un certificato SSL gratuito tramite Let’s Encrypt, – voluto e sponsorizzato da Google, Facebook, Mozilla, Akamai, Cisco Systems, Brave e Electronic Frontier Foundation, e altri. Molti provider di servizi Hosting offrono tale certificato gratuito e facilmente installabile con un click.

Anche i certificati di tipo OV e EV, che però sono necessari solo in particolari circostanze come sopra descritto — generalmente non ne avete bisogno — sono ora disponibili a prezzi molto più accessibili.

Google e il protocollo HTTP

Con la release di Chrome 68, da Martedì 24 Luglio 2018, Google rende noto che un sito non è sicuro se è sprovvisto di certificato SSL, vale a dire un sito che carica i dati mediante il protocollo HTTP non crittografato.

Questa è una tutela per i naviganti, perché gli informa se i loro dati, scambiati su quel sito, sono tenuti al sicuro o meno oltre maggiori rischi potenziali.

Al di là delle ragionevoli misure di sicurezza imposte dal Reg. UE 2016/679 GDPR, disciplina resa obbligatoria dal 25 Maggio 2018 per tutte le aziende che trattano dati di cittadini residenti nella UE, avere un sito sprovvisto di certificato SSL ora comporta un grave danno di immagine per le imprese. Gli utenti, infatti, che si vedono visualizzare da Google un messaggio simile, sono restii a continuare nella navigazione e presto abbandonano il sito.

Attenzione! Se vi imbattete in un sito non protetto da SSL, non significa che qualcuno sta sicuramente rubando i vostri dati, o peggio che quel sito sta installando un malware sul vostro computer. Significa semplicemente che esiste un rischio potenziale di interferenza da parte di hacker o simili loschi figuri che possono carpire i vostri dati e fare altre cose tipo inserire annunci pubblicitari o altri contenuti che di fatto non esistono nel sito web originale.

Potenziali rischi di infiltrazione nelle connessioni non protette

Una cosa del genere è successa nel 2015 con Comcast. Il gigante dell’industria delle trasmissioni via cavo e via web, è stato accusato di attingere a sessioni di browser non crittografate e di visualizzare avvisi che incolpavano l’utente di aver violato materiale protetto da copyright, come la condivisione di film o il download da un sito di condivisione file.

Inoltre, è possibile iniettare software per estrarre criptovalute a beneficio di tali occulti pirati informatici, ciò che è effettivamente successo lo scorso anno ad un negozio Starbucks di Buenos Aires la cui rete Wi-Fi era stata hackerata.

Ancora, si possono reindirizzare gli utenti a siti web fasulli con una tecnica chiamata DNS hijacking, vale a dire una tecnica che dirotta l’indirizzo del sito su un altro, in modo da rubare email, password e altri dati personali.

Pertanto, non allarmatevi se site soliti visitare un blog che non ha ancora installato un certificato di sicurezza, speriamo per voi e per il titolare del sito che ne installi uno a breve; tuttavia, se non notate niente di strano, diciamo che è ancora tutto nella norma. Magari, vi sconsigliamo di inviare i vostri dati su quel sito tramite modulo di contatto. Chiaramente, ancora più sconsigliato, è che inseriate dati importanti come i codici della vostra carta di credito su un sito e-commerce sprovvisto di certificato di sicurezza.

Siti importanti sprovvisti di SSL.

Alcuni siti anche molto importanti, sono ad oggi mancanti di crittografia. Tra di essi, almeno due sono eclatanti.

Il sito americano ESPN, forse la piattaforma di informazione sportiva più importante (vedi immagine qui sotto).

espn

Sotto un certo punto di vista ancora peggio il sito della BBC, visto che è Inglese e che il GDPR è legge anche nel Regno Unito. Anche se è da precisare che il sito sprovvisto di certificato è il sito generico, BBC.COM, mentre il sito specifico del Regno Unito è protetto BBC.CO.UK. Una pratica del doppio binario che tuttavia è inconcepibile, per non dire altro, da parte di una azienda di questo calibro!

BBC

Alcuni conoscenti ci hanno detto che entrambe le aziende si adegueranno presto.

Tanto per sapere, alla NASA ci vollero mesi per adeguare alla tecnologia HTTPS i loro oltre 3.000 siti!!

Anche Alibaba.com, il cosiddetto Amazon cinese è carente di certificato SSL (vedi immagine qui sotto)

alibaba

L’evoluzione di Google Chrome e la sicurezza web.

Il 59% del traffico web passa attraverso Chrome, utilizzato da oltre 1 miliardo di utenti.

Qui si sta parlando di Chrome, non di Google come motore di ricerca il quale assomma circa il 75% di tutte le ricerche compiute sul web nel mondo.

I problemi connessi alla poca sicurezza del protocollo HTTP includono le connessioni Wi-Fi, soprattutto quelle usate nei voli, le reti di caffetterie, hotel, ristoranti etc., compresi i provider di servizi Internet.

Google ha implementato i controlli di sicurezza su Chrome in modo graduale.

Nel 2016 e fino a Febbraio di quest’anno, Google ha avvisato che il protocollo non protetto HTTP sarebbe stato segnalato in modo evidente da Luglio di quest’anno, dal 24 come detto sopra.

Le versioni precedenti la 68 di Chrome infatti mostrano un’icona a forma di “i” a sinistra dell’indirizzo che indica che sono disponibili informazioni su quel sito. Cliccando sull’icona appare il messaggio “La tua connessione a questo sito non è sicura.”

Ancora una volta ribadiamo che questo in sé non costituisce un allarme di chissà quale gravità, anche se ovviamente è molto meno confortante del lucchetto verde accompagnato dalla parola “Sicuro” nel caso della connessione protetta HTTPS, come appare sul nostro sito e su tutti i siti protetti da crittografia.

Con Chrome 68, dal 24 Luglio, quindi le parole “non protetto” accanto all’icona delle informazioni danno un avviso più diretto ed evidente.

Con Chrome 69, previsto per Settembre, sarà messo in evidenza che le connessioni HTTPS sicure sono ordinarie, non qualcosa di speciale quindi. Vale a dire, tutte le connessioni dovranno essere protette da certificato SSL perché per Google un sito dovrà necessariamente essere protetto.

Infine, a Ottobre, quando uscirà Chrome 70, Google sarà ancora più aggressivo contro i siti HTTP non crittografati, modificando l’avviso “non sicuro” nero con un colore rosso ben più allarmante.

HTTPS per Google deve essere lo standard e la tendenza è quella di bloccare i siti non sicuri.

Altri browser.

Per quanto riguarda Mozilla, l’azienda fa sapere che stanno programmando anche loro una serie di provvedimenti per scoraggiare l’accesso a siti non protetti.

Safari di Apple al momento non mostra alcun avviso particolare. Tuttavia anche Apple pare essere indirizzata verso la preferenza all’uso di protezioni.

Microsoft Edge mostra un’icona di informazioni per le connessioni HTTP che, quando viene cliccata, offre un avvertimento del tipo: “Attenzione: la tua connessione a questo sito Web non è crittografata, quindi è più facile per qualcuno rubare informazioni sensibili come le password.”

Insomma, tutti i grandi del web spingono verso l’uso di sistemi di protezione che tutelino i nostri dati e la nostra sicurezza informatica.

Alcuni governi che controllano il web.

Alcuni governi controllano l’infrastruttura Internet della loro nazione, ad esempio Cina ed Egitto e sono contrari all’uso del protocollo HTTPS.

Il “Great Cannon” cinese, gestito dal governo, ha usato connessioni HTTP non crittografate per trasformare i visitatori del sito web di Baidu in inconsapevoli assaltatori del sito Github, uno dei siti più rinomati per programmatori.

L’Egitto invece ha iniettato pubblicità ed eseguito software per l’estrazione di criptovalute sui computer di parecchi utenti, come riferito da Progetto Tor per l’uso privato del web e l’Associazione per la Libertà di Pensiero ed Espressione, un’organizzazione no-profit che monitora la censura della rete egiziana.

La Cina e l’Egitto possono sembrare lontani, ma nemmeno le autorità statunitensi amano la crittografia. Il direttore dell’FBI Christopher Wray, all’inizio di luglio, ha avvertito che le aziende tecnologiche che incentivano l’uso della crittografia potrebbero essere obbligate per legge a limitarne l’uso o a dare al governo la possibilità di interferire.

È infatti in corso una battaglia sul web portata avanti da molte associazioni e aziende, tra cui molti dei giganti del web, incluso Google, per ostacolare negli USA, ma anche in Europa, l’introduzione di leggi che vietino o limitino l’uso dei sistemi di crittografia.

Dopotutto, la libertà e la sicurezza dei cittadini è più importante di qualunque ragione i governi possano avanzare per controllarci.

Perseguire i criminali e assicurarli alla giustizia è possibile, senza dover limitare la nostra privacy e i nostri diritti. Le nostre imprese hanno bisogno di infrastrutture di comunicazione sicure per poter prosperare e così anche i privati cittadini che giustamente non gradiscono che il governo si metta in ascolto delle loro conversazioni private o di ciò che liberamente manifestano grazie alla libertà d’espressione.

Ancora una volta, i criminali si possono perseguire e bloccare senza bisogno di attentare alle nostre libertà fondamentali, le tecnologie oggi in essere consentono questo e molto più, senza considerare che giorno dopo giorno facciamo progressi fino a qualche decennio fa inimmaginabili.

Previous Post Next Post