Attenzione non sempre il sito con il lucchetto verde nella barra indirizzi è sicuro

Negli ultimi dieci anni ha assillato la nostra testa: attenzione sul sito web, prima di consegnare tutte le informazioni personali, assicurarsi che sul sito utilizzato, sia attivato il protocollo Https (Hypertext Transfer Protocol Secure, per la comunicazione su Internet, protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti). E’ possibile identificare il sito che utilizza il protocollo Https dal confortante simbolo del lucchetto verde sulla barra indirizzi di tutti i browser: il piccolo segnale visivo indica che il sito che si sta utilizzando è sicuro. L’icona verde indica che il sito sta usando il certificato digitale SSL (Secure Sockets Layer, o SSL, riporta la lettera S alla fine del protocollo Https). Per esempio, con il browser Chrome se ho l’indirizzo di PayPal prima del login, vedrò questo:

Grazie agli sforzi di Google, Facebook, l’Internet Engineering Task Force, e altri, quasi ogni sito che vi chiederà i dati sensibili utilizzerà il protocollo Https. E’ stato un passo fondamentale nella creazione di una rete che è notevolmente più sicura di quella che esisteva dieci o quindici anni fa. I siti che utilizzano la certificazione SSL consentono vari tipi di protocolli di cifratura, aumentano notevolmente la difficoltà ai malintenzionati che cercano di organizzare attacchi tipo “man in the middle” (“uomo nel mezzo” nella crittografia e nella sicurezza informatica, è un attacco in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro), o spiare una connessione mentre si accede al conto in banca.
I siti web che vogliono offrire la navigazione sicura con protocollo Https, hanno bisogno di ottenere un certificato di sicurezza SSL, emesso dall’autorità certificatrice. Fino a poco tempo fa, gli operatori del sito web avrebbero dovuto pagare una tassa per ottenere il certificato da società come Symantec, Comodo, e Verisign, abbastanza costosa, in rapporto al traffico, numero di connessioni sicure garantite con una struttura tecnologica di livello.
La situazione è cambiata nel 2016 con una società denominata Let’s Encrypt, ha eliminato le tasse per il rilascio di certificati SSL, e notevolmente semplificato il processo per ottenere un certificato SSL.
L’obiettivo di Let’s Encrypt è di democratizzare la crittografia SSL a favore di un vasto numero di siti che non sarebbero in grado di sostenere il costo per ottenere un certificato SSL attraverso le più grandi società certificatrici. E’ stato un grande successo, dalla sua fondazione per i siti ha emesso trenta milioni di certificati SSL.

Il lucchetto verde di Let’s Encrypt presente su tanti siti con la parola PayPal
Ecco il punto, solo perché un sito ha un certificato SSL (e, quindi, quel piccolo lucchetto verde nella barra del browser) non significa che sia un sito legittimo, o che è in realtà il sito che ha la pretesa di essere.
Vincent Lynch, analista di sicurezza di alto livello per l’Archivio SSL, ha detto:
«La missione di Let’s Encrypt di emettere il maggior numero possibile di certificati SSL ha creato una situazione di pericolo, facilità e libertà di utilizzo, ha trovato il gradimento di molti siti di phishing e malware. Let’s Encrypt da un mio rapido conteggio ha emesso 988 certificati SSL per i siti che nell’indirizzo hanno la parola “PayPal”. Ecco un esempio di alcuni siti (ora sono inattivi) che avevano il certificato SSL rilasciato da Let’s Encrypt. Tutti questi siti per chi si fosse connesso, sulla barra degli indirizzi avrebbero mostrato il confortante, piccolo lucchetto verde, ma a giudicare dagli indirizzi url, avrebbero fatto passare un brutto momento a chi effettivamente sarebbe entrato con il proprio nome utente PayPal e la password:

www.activity-paypal-account.tk
www.login-paypal-inc.com
www.paypal-co.com
www.paypal-verification-zone.com
www.verifyed-your-paypal-account.com
www-paypal-com -confirmation-limited.customers-area.tk.

Le autorità di certificazione hanno sempre detto: “Non diamo la certificazione a siti potenzialmente dannosi, o la revoca della certificazione SSL così gli utenti possono essere informati”. Let’s Encrypt, per sua stessa ammissione, ha detto che non rientra nei suoi compiti vedere quali siti deve ottenere i certificati SSL.
L’aumento improvviso di siti phishing PayPal con certificazione SSL sembra essere sorto dall’avvento di Let’s Encrypt, prima, ho stimato che i siti sospetti con la parola “PayPal” inserita nell’indirizzo url erano 258, ora, sono quasi 1.000. Il dato è stato confermato anche dal ricercatore di sicurezza Eric Lawrence».

Appello a Let’s Encrypt
Vincent Lynch ha aggiunto: «La mia richiesta a Let’s Encrypt è di cessare di emettere certificati SSL a qualsiasi sito che ha nell’indirizzo la parola “PayPal”, quindi rimuovere dalla barra del browser l’icona verde del lucchetto, può confondere gli utenti meno esperti di tecnologia, o semplicemente quelli che non prestano particolare attenzione a un indirizzo url».
Josh Aas, direttore esecutivo di Let’s Encrypt, ha risposto:
«Non è così semplice bloccare la parola PayPal, è impossibile per la nostra società impegnata a diffondere la certificazione SSL nel modo più ampio possibile, non siamo noi a dover indicare quali siti possono essere autorizzati ad avere la certificazione SSL e il lucchetto verde. Il vero problema è che siamo cresciuti affidandoci troppo a quel lucchetto verde, quando lo vediamo, ci consideriamo al sicuro da qualsiasi cosa, invece di renderci conto che siamo solo su una connessione sicura.
I siti che utilizzano certificati SSL phishing sono un problema per Google o Microsoft, per fortuna hanno risorse per identificare i problemi. Microsoft riesce a capire quando si tratta di un sito di phishing».
In conclusione chiedere a un’organizzazione come Let’s Encrypt, di agire da supervisore per ogni sito web che vuole ottenere la certificazione SSL sarebbe troppo oneroso, probabilmente metterebbe fine al buon lavoro che sta facendo per rendere la certificazione SSL, uno standard sul web. Poi, bannare una parola come “PayPal”, diventerebbe un precedente per vietarne altre.
I siti di phishing sono dannosi, in particolare quelli che permettono ai malintenzionati di accedere a siti come Paypal probabilmente collegati a conti bancari e carte di credito degli utenti; a tal proposito dopo la scansione di 988 certificazioni PayPal SSL emessi da Let’s Encrypt, il giudizio di Vincent Lynch è schietto: «Solo una minima percentuale di questi siti ha un uso legittimo, tutto il resto è utilizzato per danneggiare il web».
Google, Mozilla, Safari e Microsoft, dopo averli scoperti fanno un lavoro decente per mettere gli utenti in guardia contro i siti di phishing e malware, purtroppo la facilità di nuovi siti di accedere alla certificazione SSL, permette a quelli dannosi di superare le difese del browser prima di essere contrassegnati, la loro url sul browser appare come sicuro con quel lucchetto verde.
La stragrande maggioranza della nostra vita che si tratti di quanti soldi, abbiamo nel conto in banca, alle cartelle cliniche, le decine di migliaia di messaggi personali e professionali, è contenuta in file digitali. Venti anni fa la maggior parte di queste informazioni si trovava in uno scadente desktop Gateway remoto di una rete privata o aziendale, ora quasi tutti i dati sono in un server cloud da qualche parte, l’accesso richiede solo un nome utente, una password, e forse l’autenticazione a due fattori.
La creazione di un web sicuro non può più fare affidamento solo sui certificati SSL e la presenza di quel lucchetto verde; ci dovrà essere una grande spinta verso una migliore progettazione, più educazione dei consumatori, e, forse, la creazione di corpo normativo per eliminare i siti veramente dannosi per gli utenti di Internet, prima che qualcuno accidentalmente inserisca la propria password PayPal su un sito “mascherato”, solo perché ha il lucchetto verde nella parte superiore del browser, ciò non garantisce di essere completamente sicuro.