Mi è appena arrivato il resoconto delle spese della mia carta di credito di CartaSì (sigh!), insieme al quale come al solito è allegato un giornalino di due pagine, che di solito non leggo perché dedicato principalmente ad offerte commerciali.
Questa volta però in prima pagina c’è un articolo dal titolo: “Sicurezza on-line: come difendersi dal phishing”, che elenca sei punti per non avere problemi di phishing per quanto riguarda i servizi di CartaSì. Il concetto principale è: noi non chiediamo mai i vostri dati via mail o via SMS. Se vi arriva una mail o un SMS, non fate niente: collegatevi invece direttamente al nostro portale. Oltre a questo concetto fondamentale, i soliti consigli su antivirus e (novità degli ultimi tempi) una “toolbar antiphishing”.
Perfetto! In effetti, questo è tutto quello che dovrebbe sapere l’utente/cliente. Tutto il resto dovrebbero essere problemi delle azeinde.
Le raccomandazioni fatte all’utente naturalmente funzionano se effettivamente poi l’azienda si attiene a quanto indicato, ovvero non usa la posta elettronica per chiedere dati o indicare link all’utente, ma solo per dirgli di connettersi al sito web dove troverà copia della comunicazione con i riferimenti necessari. Tuttavia, probabilmente non basta. Non basta infatti che un’azienda si comporti correttamente: se altre invece mandano comunicazioni con link magari a domini diversi da quelli istituzionali, è difficile che l’utente si ricordi quali hanno deciso di comportarsi correttamente e quali no; in pratica, un’azienda virtuosa può vedere vanificati i propri sforzi, almeno in parte, se le altre aziende non hanno lo stesso comportamento virtuoso.
In Italia peraltro, la maggior parte delle aziende più critiche dal punto di vista del phishing (banche, ad esempio) sembra si comporti correttamente, almeno dal punto di vista dell’uso della posta elettronica. Al contrario, un uso improprio della posta elettronica lo vedo frequente da parte di aziende e associazioni statunitensi, comprese alcune associazioni che dovrebbero avere una certa cultura della sicurezza… se vi occupate di sicurezza, provare a far caso a quante delle mail vi arrivano dalle diverse associazioni fanno riferimento a siti con indirizzi del tutto scollegati dal portale principale dell’associazione. In qualche caso, non è neppure possibile raggiungere lo stesso indirizzo se, non fidandosi della mail, si decide di raggiungerlo dal portale ufficiale dell’associazione.
Come dicevo, l’utente non ha alcun onere se non di ignorare le istruzioni del messaggio di posta. L’azienda però, oltre all’uso corretto della posta elettronica, per ridurre i problemi di phishing ne ha altri, . Cominciano infatti a diffondersi gli attacchi di man-in-the-middle, (in effetti, questa è la logica del pharming) contro i quali la maggior parte dei siti, anche nostrani, è impreparata.
Vediamo quindi un’azienda virtuosa, di nuovo Cartasì. Se io voglio autenticarmi sul portale di Cartasì, mi viene presentata una pagina di login interamente su https (ovvero, usando SSL/TLS). Il mio browser, Firefox, è contentissimo: mi avverte con un popup (se è settato per farlo), cambia il colore della barra dell’URL e nella barra in basso, quindi fuori dalla pagina, mi mostra un lucchetto chiuso. Nei limiti in cui le Certification Authority accettate dal mio browser sono affidabili, e dell’uso corretto di SSL da parte del sito, attacchi di man-in-the-middle non sono praticabili: ad esempio, eventuali manomissioni del DNS mi porterebbero su una pagina che, non avendo un certificato per il dominio cartasi.it, non si potrebbe presentare con gli stessi messaggi tranquillizzanti da parte di Firefox; come minimo, avrei un pop-up che mi avverte dell’uso di un certificato anomalo. Lo stesso fanno siti come Amazon o Paypal, quest’ultimo parte direttamente con una home page in https.
L’uso comune, purtroppo anche in Italia, è invece avere una home page in http con un frame per l’autenticazione. Magari c’è uno spreco di lucchettini dorati disegnati nella pagina, ma il browser rimane inerte: niente popup di avvertimento, niente cambio di colore della barra, niente lucchetto chiuso a pié di finestra. Eppure, normalmente quel frame di autenticazione invia i dati in https… ma il browser non rassicura. Questo perché il frame è parte di una pagina http (quindi in chiaro), e quindi il browser non può indicare una pagina sicura, perché la maggior parte della pagina non lo è; di conseguenza, non si distinge a vista da una che, in seguito ad un attacco di man-in-the-middle, i dati li invia su http, in chiaro. Naturalmente, se controllate le proprietà di quel singolo frame, dovreste (sperabilmente) vedere che quel frame è effettivamente https, ma sappiamo che non è realistico chiedere all’utente medio di fare un controllo di questo tipo. Il problema quindi è che se fosse in corso un attacco di man-in-the-middle, quel frame potrebbe utilizzare http normale (non https) senza che l’utente se ne accorga. Viceversa, con il sistema usato da CartaSì, si vedrebbe la differenza nel comportamento del browser… in effetti, tutta la logica dei lucchetti, dell’https e dell’SSL stesso sono nati proprio per poter rendere evidente in questo modo la differenza fra una pagina sicura e una che non lo è.
Insomma, non basta usare https da qualche parte per avere un servizio sicuro. Un uso corretto, come quello del sito di CartaSì, ha molte più probabilità di resistere in futuro a tentativi di phishing e pharming di quante non ne abbia un sito medio.
A scanso di equivoci, non ho niente a che fare con la realizzazione del sito di CartaSì, né ho mai lavorato per CartaSì 😉