Quanto è (in)sicuro il nostro traffico dati?

Inseriamo nella linea editoriale TSW un post atipico, dal sapore tecnico, ma che riteniamo molto utile per tutti i fruitori della rete.
Quanti di voi utilizzano le connessioni WIFI gratuite per consultare il proprio conto corrente o leggere le mail? E’ giusto sapere che le vostre credenziali d’accesso, e non solo, possono essere in pericolo.

Cerchiamo di spiegare il perché: quando ci autentichiamo in una pagina web utilizzando il protocollo HTTP, il nostro potenziale hacker può intercettare la nostra richiesta, mostrarci una pagina uguale in tutto e per tutto a quella originale che abbiamo cercato, intercettare il traffico dati che generiamo e analizzare così le nostre informazioni.
Questo accade perché il traffico è protetto solo in parte da connessioni sicure. I due esperti di sistemi informatici Jackson C. e A. Barth, hanno ideato nel novembre 2012, e successivamente pubblicato, la specifica RFC6797, che definisce che ogni comunicazione fra client e server e viceversa deve essere svolta in modo sicuro, ed essere eventualmente interrotta al presentarsi di un problema. Tale specifica, così sintetizzata, vuole evitare gli attacchi di tipo “Man In The Middle” (sopra descritto) o hijacking dei cookies.

La soluzione proposta nella specifica RFC prende il nome di HTTP Strict Transport Security (HSTS) ed obbliga il browser a redirigere in modo permanente tutte le connessioni sul protocollo HTTPS, permettendo così la criptazione del traffico. L’utilizzo di questa policy si sta diffondendo solo ultimamente, da quando quasi tutti i principali browser implementano il riconoscimento, in concomitanza con l’inserimento di HSTS da parte dei maggiori attori internet, Google e Facebook.

Si può effettuare una facile verifica dell’utilizzo di questa policy analizzando la risposta del server attraverso lo strumento di analisi di Chrome o Firefox, o attraverso il più popolare Firebug. L’immagine che vi riporto propone appunto l’intestazione di risposta alla richiesta di facebook.com:

Occorre evidenziare che il problema, nel caso ad esempio dell’attacco di un hacker, è solo parzialmente risolto in quanto l’implementazione di HSTS non è immune all’attacco “Man In The Middle” quando la prima connessione avviene attraverso il protocollo non protetto HTTP.
Pensando quindi di fornire alcuni punti pratici, vi suggeriamo:

  • la lettura delle direttive max-age e includeSubDomains, atte a dettare la tempistica con cui un browser identifica una sito come “Know HSTS Host” e a determinare se i suoi sottodomini sono soggetti alle stesse policy di sicurezza del dominio principale;
  • la consultazione dello stato di applicazione delle policy di sicurezza adottate dai vari browser, con l’interessante possibilità di testare il proprio browser in tempo reale.

 

Statisticamente gli attacchi da parte di hacker della rete sono più frequenti sulle connessioni WIFI, ma corrono lo stesso pericolo anche gli utenti che usano le altre connessioni.
Tuttavia, seguendo i nostri suggerimenti e implementando questa specifica si può arginare il problema ed evitare spiacevoli inconvenienti.

12 maggio 2014 Andrea Feltrin