Come apro un conto online. Il tuo

Negli ultimi mesi sono diventate sempre più numerose le crepe scoperte da ricercatori e hacker nella fortezza delle transazioni online cosiddette “sicure”. Lo sono ancora?

L’incubo di chiunque progetti un sistema di sicurezza: per quanto sofisticata possa essere la serratura esiste sempre la possibilità che qualcuno riesca ad aprirla senza nemmeno doversi scomodare a fare il calco della chiave, ma ricorrendo ad un ingegnoso stratagemma. Perché tentare di scassinare una cassaforte, se a ben guardare non è stata nemmeno chiusa? Sembra essere questo il caso del protocollo SSL, usato da una quindicina di anni in una varietà di applicazioni online nelle quali è richiesta la massima protezione dei dati dell’utente: dalle webmail ai sistemi di pagamento fino ai conti correnti online, da ebay a paypal passando per google. Il sistema, che poggia su fondamenta fatte di robusti algoritmi crittografici, finora ha subito attacchi più teorici che altro, la cui complessità lascia sperare che in pochi siano riusciti in passato a “metterli in pratica” nel mondo reale. Nessun rischio dunque? Non esattamente.

UN UOMO LA’ IN MEZZO – Il modem di casa, collegato direttamente al provider adsl, è da considerarsi relativamente sicuro; i problemi sorgono quando ci si connette a internet da una rete pubblica, nella quale chiunque può inserirsi per “ascoltare” il traffico di dati: per intendersi, può trattarsi della LAN dell’ufficio o una qualsiasi rete wireless non protetta, anche quella di casa. In questi casi i dati viaggiano “in chiaro” su cavi o onde radio alle quali molte persone possono liberamente accedere per leggerne il contenuto, non sempre con le migliori intenzioni. Secure Socket Layer, per gli amici SSL, è nato per garantire la sicurezza anche in queste situazioni, crittografando il canale tra l’utente e il gestore del servizio. Mettiamo che sia il conto della nostra banca: abbiamo un certificato digitale, una password, una comunicazione criptata sicura e assolutamente impenetrabile per qualunque curioso in ascolto. Dunque, dov’è il problema? Il malintenzionato di turno può intromettersi nella procedura prima che SSL entri in gioco: si mette in agguato sulla connessione non protetta (l’indirizzo nella barra è ancora del tipo http://…) ed entra in azione quando si accorge che l’utente sta tentando di iniziare una sessione sicura ( https://… ) con il sito di online banking. E’ un classico attacco del tipo “man in the middle”, nel quale chi sta in mezzo riesce a far credere al cliente di essere la banca e viceversa, e mentre noi sbrighiamo tranquillamente le nostre operazioni lui altrettanto tranquillamente ricopia i nostri dati per poter poi prendere il controllo del conto.

“EPPURE IL LUCCHETTO C’È” – La prima versione del software sviluppato nel 2002 dall’hacker che si fa chiamare Moxie Marlinspike sfruttava un vecchio bug di Internet Explorer: il browser si accontentava di un qualunque certificato digitale correttamente registrato, anche se non era quello che ci si sarebbe aspettato. Oggi, usando ad esempio Firefox, se collegandoci a miabanca.it ricevessimo un regolare certificato intestato non a miabanca.it ma ad arseniolupin.com non vedremmo altro che una pagina di errore e finirebbe lì. L’”uomo in mezzo” può ancora intromettersi, ma non può più fingere che la sessione sia davvero protetta: un utente attento noterebbe l’assenza del famoso lucchetto nella barra inferiore del browser, e se fosse davvero prudente chiuderebbe immediatamente tutto. Sfortunatamente è assai plausibile che anche a una persona esperta, per la fretta, possano sfuggire certi dettagli. Inoltre, per non lasciar nulla al caso, il software SSLStrip presentato qualche giorno fa è capace di una serie di raffinatezze, la più evidente delle quali è riuscire a fare piccole modifiche alle pagine web. Per dirne una, può sostituire la normale favicon del sito visitato con quella del rassicurante lucchetto scomparso: è il caso di dire che l’apparenza inganna. Nulla vieta di utilizzare anche le classiche tecniche del [[phishing]] per dirottare l’utente su siti situati altrove, ma in tutto e per tutto verosimili, nei quali però verrà derubato prima dei dati riservati e poi dei soldi. Molti soldi.

E ADESSO, CHE FACCIAMO? – Questo tipo di attacchi è talmente subdolo e a più livelli che non esiste una soluzione definitiva; certamente lo standard usato verrà reso ancora più severo, ma non basta. Molto possono fare i gestori dei siti, usando in maniera più efficace le tecnologie a disposizione (bando alle pagine di login http, dalle quali le nostre password vengono inviate in chiaro, lunga vita a quelle https, criptate). Ma soprattutto questa faccenda ci ricorda che chi usa internet non può permettersi di ignorare anche i basilari princìpi di sicurezza. Bastano alcuni piccoli accorgimenti per ridurre i rischi: non usare reti pubbliche per effettuare operazioni sensibili online, crittografare la Wi-Fi di casa in modo che non possa usarla tutto il vicinato, aggiornare il software (sempre!), conoscere le funzioni avanzate dei browser e saper riconoscere i segnali che lanciano quando si incontrano delle anomalie. Chi usa Firefox può trovare nell’estensione NoScript, nel caso non la conosca già, un potente alleato.

Se Marlinspike è riuscito, come ha lui stesso dichiarato, ad impadronirsi facilmente e in poco tempo di oltre un centinaio tra conti Paypal, carte di credito, indirizzi di posta, profili Facebook senza che nessuno se ne accorgesse, il “merito” va non tanto alla insicurezza intrinseca del sistema quanto alla scarsa preparazione e soprattutto alla disattenzione di chi lo usa. Può succedere a tutti di abbassare la guardia nel momento sbagliato, e – ironia della sorte – è capitato allo stesso Moxie di essere gabbato: era tanta l’attesa da parte della comunità di hacker che uno di questi è riuscito a scovare la pagina – ancora segreta – nella quale veniva presentato SSLStrip, e non contento l’ha anche segnalata su Slashdot alcune ore prima che il “legittimo proprietario” divulgasse il suo lavoro al grande pubblico.