Cybersecurity, ricerca scopre falle dei siti web e torna la Cyberchallenge

condividi
condividi

Siti di e-commerce, banche, giornali online tra i più visitati al mondo sono vulnerabili anche nell’era dell’https, il protocollo che ha fatto della ‘s’ di sicurezza il suo tratto distintivo. Teoricamente, un hacker potrebbe interferire con l’integrità dei contenuti e dei dati di questi siti, leggendoli e alterandoli arbitrariamente. Colpa dell’interconnessione tra le risorse che navighiamo online: un server finisce con l’ereditare, a sua insaputa, la debolezza di un altro server da cui si serve, ad esempio, di un servizio di advertising.

Lo ha rivelato una ricerca del team sulla cybersecurity dell’Università Ca’ Foscari Venezia, che ha analizzato le home page dei 10mila siti più popolari del web e la loro rete di connessioni con altri 90mila server. Sono stati individuati 977 siti vulnerabili nonostante il browser indichi una connessione https corretta.

La ricerca ha già fatto il giro del mondo riscontrando l’interesse degli addetti ai lavori nelle conferenze più influenti, ottenendo il podio nella Applied Research Competition di CSAW'19 Europe, un evento internazionale di cybersecurity, e finendo anche sulla rivista statunitense Wired.

I ricercatori hanno riscontrato come in circa il 10% dei siti con aree riservate protette da password la segretezza dei dati sia a rischio, permettendo quindi ad un attaccante di rubare le credenziali di accesso degli utenti, impossessandosi della loro identità digitale.

Un altro risultato rilevante è stato individuare, tra i server potenzialmente vulnerabili, quelli che offrono servizi di pubblicità o profilazione ad altri siti: una vulnerabilità su questo tipo di servizio si riflette su tutti i siti che lo utilizzano amplificandone enormemente l’impatto.

“I moderni siti web, per offrire un’esperienza d’uso sempre più accattivante e fluida, recuperano risorse da una moltitudine di altri server - spiega Riccardo Focardi, professore alla guida del team cafoscarino - Ad esempio: il browser, per mostrarci l’homepage di un tipico sito di informazione italiano, crea connessioni con decine di altri server al momento della visita. Tutte queste connessioni sono cifrate, ma ciascuno di questi server ha la sua specifica configurazione di https, che potrebbe non essere buona quanto quella del sito web visitato inizialmente”.

“Nonostante la crittografia sia una scienza fortemente consolidata ed esistano algoritmi crittografici estremamente robusti - aggiunge - stiamo ancora compiendo i primi passi nell’applicarla e il gruppo di Ca’ Foscari sta fornendo il suo contributo a questa nuova sfida”.

Un altro contributo rilevante riguarda la formazione di giovani in grado di gestire la sicurezza informatica e difendere imprese e istituzioni. Oltre al corso di laurea e al dottorato, Ca’ Foscari partecipa con i propri ‘allenatori’ alla Cyberchallenge, l'iniziativa nazionale per individuare ed allenare i migliori giovani talenti sul fronte cybersecurity. L'iscrizione è gratuita e aperta fino al 17 gennaio 2020 per i giovani dai 16 ai 23 anni (cyberchallenge.it). L'edizione 2020, come le precedenti, offrirà corsi di addestramento e culminerà nel terzo campionato italiano Capture-The-Flag in cybersecurity che permetterà di formare la Squadra Nazionale di Cyberdefender che parteciperà alla European Cyber Security Challenge.

Enrico Costa