Lo studio è stato effettuato dall'Università Ca' Foscari di Venezia (qui l'abstract del paper) e mette in dubbio, forse più nettamente di altri situazioni studi simili, l'effettiva sicurezza del protocollo HTTPS: insomma, la presenza di questa sigla nell'indirizzo di un sito non è più una condizione sufficiente per sentirsi tranquilli quando si naviga su un sito.
Come risaputo, il protocollo HTTPS serve a rendere sicura la comunicazione sul web fornendo un livello di protezione criptata che garantisca riservatezza e integrità alla comunicazione. Abilita inoltre l'autenticazione tra client e server. L'HTTPS si basa però, a sua volta, su un insieme di protocolli SSL / TLS che nel corso degli anni hanno dimostrato di avere alcune falle che ne hanno "certificato" una certa vulnerabilità. Questa problematica ha richiesto patch e mitigazioni sia nei server che nei browser, portando ad un complesso mix di diverse versioni di protocolli e implementazioni che, talvolta, rendono assai difficile capire quali tipi di attacchi siano ancora efficaci sul web e quali ripercussioni causino alle applicazioni di sicurezza.
Nel paper dell'Università di Venezia, i ricercatori presentano, per la prima volta, un tentativo di valutazione quantitativa e sistematica della vulnerabilità delle applicazioni web causata da vulnerabilità nei protocolli di criptazione. E quello che emerge, è uno scenario preoccupante.
Nell'abstract della ricerca, che sarà poi resa definitivamente pubblica a Maggio nell'ambito del 40° IEEE Symposium on Security and Privacy a San Francisco, i ricercatori affermano che i risultati indicano che un rilevante numero di siti web è gravemente compromesso da vulnerabilità di crittografia. Sono stati 10mila i siti web (assieme ai relativi sottodomini, per un totale di circa 100mila URL complessivi) analizzati, tra quelli più frequentati dagli utenti e sono state rilevate vulnerabilità a livello di TLS (Transport Security Layer) in 5574 host. Tra questi:
4818 sono risultati vulnerabili ad attacchi man-in-the-middle, dove un soggetto terzo si frappone e intercetta le comunicazioni tra client e server;
733 sono risultati a rischio di decriptazione completa (intendendo cioè il rischio che un attaccante possa decriptare le comunicazione e vederle completamente in chiaro);
912 a rischio decriptazione parziale.
Come conseguenza di queste vulnerabilità, i ricercatori spiegano che:
898 siti sono interamente compromissibili, consentendo l'iniezione di script, mentre 977 siti presentano una scarsa integrità della pagina dalla quale un attaccante potrebbe trarre vantaggio;
660 di questi 898 siti web vulnerabili includono script esterni da host vulnerabili, ampliando a dismisura la superficie di attacco;
il 10% dei form di login analizzati presentano vulnerabilità che potrebbero consentire il furto di password. 412 di questi sono soggetti al rischio di furto dei cookie, esposti al rischio di dirottamento (hijacking) della sessione;
142 siti includono anche contenuti provenienti da host vulnerabili ad un tracker piuttosto diffuso che espone gli utenti ad attacchi di profilazione, con il rischio che tale tipo di attacco possa, tenendo conto delle vulnerabilità qui elencate, estendersi fino a riguardare 986 siti web.
Insomma, considerando che il protocollo HTTPS nasce specificatamente per garantire che client e server siano gli unici soggetti a conoscere il contenuto dei pacchetti trasmessi e che non sia possibile l'intervento di terzi, siamo di fronte ad un grave problema: gli attaccanti potrebbero compromettere un sito web e, a cascata, compromettere indirettamente anche i portali che li ospitano. Emerge chiaramente come un numero limitato di vulnerabilità HTTPS "exploitabili" potrebbe amplificare a dismisura il rischio a causa della complessità dell'ecosistema web.
La buona notizia...
Ovviamente l'Università di Venezia ha già avvisato tutti i siti coinvolti e sono già state apportate le prime migliore di sicurezza: da Myspace a Linkeding, passando per Yandex, Baidu e altri.. L'altro dato che emerge chiaramente infatti è che la criticità più diffusa è sostanzialmente l'uso di tecnologie non correttamente aggiornate... insomma il problema esiste ed è mitigabile/risolvibile, ma non vi si presta abbastanza attenzione.