Cybersecurity

HTTPS: siamo davvero più al sicuro?

23 Aprile 2019

Quando si parla di cyber security una delle teorie più in voga fra gli addetti ai lavori è che “l’anello debole è l’utente”.

E questo è sicuramente vero. Quasi sempre capita di prendere un malware o un ranwsomware solo perché un dipendente ha cliccato sul link sbagliato, ha scaricato un allegato di troppo o ha navigato su siti dai quali sarebbe stato meglio tenersi alla larga.

Ma smettiamola di dare la colpa sempre e solo agli utenti: i cyber criminali stanno diventando sempre più bravi e identificare le minacce sta diventando sempre più difficile.

Non possiamo pretendere che tutti gli utenti (e i tuoi clienti) abbiano un grado di informatizzazione tale da riuscire a scovare ogni singola email di phishing o sito pericoloso che capita sotto il loro naso.

Alcuni di questi “cyber-trucchetti” sono fatti talmente bene che anche chi lavora nel settore deve fare una serie di verifiche per riuscire a smascherarli o a verificarne la legittimità.

O davvero pretendi che la cara signora Maria, receptionist presso un tuo cliente e appassionata di uncinetto e telenovelas, sappia individuare questo tipo di minacce? E soprattutto, che cosa credi che farebbe navigando su un sito che usa il protocollo HTTPS e che il suo browser identifica come “sicuro”?
 

Negli ultimi anni i grandi player del web come Google hanno spinto con forza verso l’adozione del protocollo HTTPS perché in grado di aumentare la sicurezza durante la navigazione.

Ma è davvero così?

Al giorno d’oggi l’adeguamento al nuovo (che poi ormai tanto nuovo non è) protocollo di navigazione è pressoché completo e quasi ogni browser identifica come “poco sicuri” i siti basati su http, segnalando la loro pericolosità con allarmanti simboli rossi e assicurandosi che anche gli utenti meno esperti ne stiano alla larga.

Tuttavia quello che alla signora Maria e alla maggior parti degli utenti sfugge è che HTTPS non ha nulla a che fare con la protezione da minacce, il simbolo “con il lucchetto” che tanto piace ai browser significa solo che il sito è sicuro dal punto di vista della privacy.

Il protocollo HTTPS, infatti, nasce per crittografare le comunicazioni tra un client (in questo caso il browser che il tuo cliente usa) e un server web. In questo modo è impossibile intercettare i dati che vengono scambiati durante questa comunicazione al contrario di quanto avviene con il protocollo HTTP.

Ma così come i siti “legittimi”, anche quelli che contengono malware o materiale pericoloso si sono adeguati al nuovo standard, finendo per essere considerati “affidabili” da Google & Co. L’unica verifica che viene fatta dai browser è sul dominio web, se questo è ok allora l’intero sito viene validato senza ulteriori filtri.

E questo è molto pericoloso per gli utenti meno esperti, come alcuni dei tuoi clienti, che ci navigano senza preoccupazioni, cliccano link, scaricano file, ecc.

Per farti capire quanto è facile ed economico adeguarsi a HTTPS, pensa soltanto che, secondo un’indagine effettuata da Webroot, il 93% dei domini di phishing individuati nel bimestre settembre-ottobre 2018 aveva un certificato HTTPS valido.

In più, poiché le conversazioni con il server sono totalmente criptate, per molti sistemi di sicurezza diventa difficile andare a capire se il sito veicola dei virus o meno perché non riesce a verificarne il contenuto.

Cosa puoi fare per evitare che i tuoi clienti cadano vittima di queste minacce?

La prima cosa da fare per evitare la maggior parte dei problemi è formare adeguatamente i tuoi clienti.

Devono essere in grado di utilizzare gli strumenti informatici di base e non cascare almeno nei più maldestri tentativi di phishing. Devono, inoltre, sapere quali siti evitare e dove inserire o non inserire username e password dei servizi online che usano.

In questo modo filtrerai le minacce, lasciando i tuoi clienti scoperti solo verso quelle più studiate e ben realizzate.

Ma per fare il passo successivo è importante avere un sistema di protezione degli endpoint valido e sempre aggiornato come Webroot.

Webroot, come ogni altro strumento di sicurezza, non può leggere le conversazioni client-server ma è in grado di agire sulla macchina del tuo cliente andando ad analizzare quello che scarica e bloccando l’esecuzione di file dannosi o potenzialmente tali.

L’ideale sarebbe associare allo strumento di sicurezza degli endpoint anche un sistema di protezione e monitoraggio della navigazione web come Webroot DNS Protection per andare a bloccare a monte tutti i siti notoriamente considerati pericolosi o intere categorie di siti web che potrebbero veicolare malware e virus.

Se vuoi conoscere più da vicino gli strumenti con cui proteggere i tuoi clienti scrivi un commento qui sotto o manda un’email a sales@achab.it: io e i miei colleghi siamo pronti a rispondere a tutte le tue domande.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.