Certificato SSL, un caso pratico

Tutti noi abbiamo più o meno sentito parlare di “siti protetti”, “certificati”, “SSL” ed a quelli di noi che usano un servizio di remote banking dovrebbe essere noto il significato del lucchetto sulla barra degli indirizzi del browser.

Ma all’atto pratico cosa c’è dietro ad un certificato SSL e perché dovrebbe essere di primaria importanza per le aziende?

Vediamo un caso reale, purtroppo accaduto ad un cliente.

Durante le ferie il Sig. Mario (nome di fantasia) si trovava in Germania e quotidianamente consultava la posta dal suo personal computer, tramite l’interfaccia web di Exchange (OWA). Il PC era connesso ad Internet tramite la rete WiFi dell’hotel. Qualche settimana dopo il rientro dalle ferie, Mario riceve una delle tante conferme d’ordine da parte di un suo fornitore. La ditta importa merce dalla Cina ed è pratica comune ricevere una fattura proforma e delle coordinate bancarie per il bonifico internazionale. Mario quel giorno ha fatto svariati bonifici, tutti corrispondenti ad ordini realmente effettuati.

Peccato che una di quelle conferme, riportasse in calce delle coordinate bancarie fasulle, di un terzo soggetto che, ricevuto il bonifico, è prontamente scomparso. Ma com’è possibile alterare della corrispondenza reale? Questo non è un caso di phising, Mario è un utente esperto e sa come proteggersi da siti o mail pericolose. Cosa è successo?

Facciamo ordine. Il WiFi è un mezzo di trasmissione insicuro ed in particolare quelli pubblici e quelli degli hotel hanno standard di sicurezza veramente bassi. In una rete WiFi, tutti vedono tutto, nel senso che un PC può intercettare il traffico di rete di un altro PC e viceversa. Per farlo non serve un esperto hacker, basta un semplice programma come Wireshark (https://www.wireshark.org/).

Un altro ospite dell’hotel, un malintenzionato di turno, ha intercettato il momento in cui il Sig. Mario inseriva login e password nel browser per consultare la posta elettronica. Queste informazioni – a meno dei famosi certificati di cui parleremo dopo – viaggiavano in chiaro. Ottenuto l’accesso alla posta elettronica, ha osservato la corrispondenza, atteso il momento propizio e calato la trappola, cancellando la mail originale (con i corretti riferimenti bancari) ed inserendo la mail alterata.

Il danno è fatto.

Cosa avrebbe potuto fare Mario per proteggersi da questa eventualità, considerato che in viaggio (per vacanza o lavoro) usa abitualmente reti WiFi pubbliche?

Il protocollo SSL – il famoso lucchetto nella barra degli indirizzi – garantisce che le informazioni in transito tra il browser ed il server siano criptate. Il modo in cui ciò avviene esula dall’obiettivo di questo articolo, ma comprendere che se ci fosse stato avrebbe potuto evitare i guai del Sig. Mario è fondamentale.

Regola nr. 1 – Non digitare mai login, password, dati sensibili o numeri di carte di credito se il sito non è protetto (il “lucchetto” / HTTPS) neanche se questo sito è aziendale o residente su hardware aziendale.

Browser Https

Il lucchetto però da solo non basta. Ci dice solo che le informazioni saranno criptate. Ma chi ci garantisce che dall’altra parte ci sia proprio il nostro server aziendale e non quello di un malintenzionato? Ecco che entra in gioco il “certificato SSL”, un file emesso da un ente terzo ed attendibile (c.d. “autorità di certificazione”) che garantisce l’identità del server remoto.

Troppo spesso le aziende esportano servizi web (posta elettronica, gestionali, intranet…) in connessione HTTPS ma con certificati auto-prodotti e non rilasciati da fonti attendibili. Questo perché ottenere e un certificato attendibile costa e va rinnovato ogni anno.

Quando andiamo su un sito protetto ma non attendibile, il browser ci avverte. Ho visto decine e decine di procedure sviluppate da IT aziendali in cui c’è scritto “… ignorare l’avviso sul certificato di sicurezza …” e così giorno per giorno l’utente perde coscienza del problema.

Errore certificato

Se il certificato di questo sito fosse stato emesso da un ente attendibile, la comunicazione non sarebbe stata solo criptata ma l’utente avrebbe avuto certezza dell’identità del server, inserendo eventuali informazioni confidenziali con maggiore tranquillità.

Regola nr. 2 – Diffidate sempre sei siti protetti ma non attendibili. Se li dovete usare per lavoro, domandate all’IT perché non può spendere 100$ anno per un certificato attendibile.

Ultima domanda. Come fa il browser a sapere quali sono i certificati attendibili e quali invece no? Sempre tralasciando l’aspetto tecnico, bisogna sapere che ogni certificato ha una origine (c.d. “radice”), in pratica un genitore che genera tutti i certificati “figlio”. Se si stabilisce che il genitore è attendibile lo diventano automaticamente tutti i figli. Così il computer deve conoscere l’identità solo di pochi attendibili genitori per certificare milioni e milioni di siti.

Questi certificati radice sono preinstallati nel computer o nello smartphone al momento dell’acquisto. Non ci sono molti enti certificatori e questa lista protetta viene scambiata tra produttori (Microsoft, Apple, Google…).

Authority

Anche qui però si cela un rischio. Se in questa lista finisce un certificato non attendibile, tutti i certificati figlio da esso generati diventeranno attendibili. Così un eventuale sito fasullo risulterà protetto (lucchetto) e attendibile (senza avviso).

Chi può manomettere questa lista? Su un PC pubblico (esempio un dispositivo in biblioteca) la risposta è: chiunque. Sul proprio PC può essere alterata volontariamente dall’utente, da un virus o dall’amministratore del dominio, se il PC è connesso ad una rete aziendale.

Se abbiamo dei dubbi quindi possiamo verificare l’origine del certificato, cliccando sul lucchetto all’interno del browser:

Origine Certificato

Il browser ci mostra il certificato corrente e la “catena” di certificazione (nell’esempio c’è un padre “RapidSSL” ed un nonno “GeoTrust” e tutti ereditano l’attendibilità da quest’ultimo).

Regola nr. 3 – Se utilizziamo un computer pubblico o abbiamo dubbi sul nostro, anche se il sito remoto è sicuro ed attendibile, verifichiamo che il certificato sia effettivamente stato emesso da un ente certo.

Infine vale sempre la regola nr. 4: cambiare spesso le proprie password.

 

Chiama subito per maggiori informazioni +39 0113473770
oppure lasciaci i tuoi recapiti e sarai contattato il prima possibile:



 

Lascia un commento