BadSSL: comunicare sicuri nell'era della sorveglianza globale (2)

(parte 1)

La ragione per cui ho iniziato ad acquisire dati da un servizio di terzi

Nel corso delle mie numerose visite alla pagina dell'SSL Test, in quella particolare lista in basso a destra ho visto ...navi da combattimento in fiamme al largo dei bastioni di Orione.

Sono rimasto intrigato dall'idea di verificare la densità di organizzazioni tecnologicamente avanzate - alcune di queste professionalmente attive nel settore della sicurezza -, ministeri, istituzioni della sanità, sistemi militari, fornitori di servizio, portali di accesso remoto per telelavoratori, interfacce di gestione di hardware/software protette tanto male da meritare un giudizio così estremamente negativo.


È interessante notare che, sebbene SSL Labs offra la possibilità di non pubblicare i risultati del test (che potrebbero essere sconvenienti apparendo tra i peggiori), nella lista sono presenti molti siti sensibili: è paranoide pensare che diversi test vengono eseguiti non solo dalle organizzazioni stesse (che probabilmente avrebbero utilizzato l'opzione di privacy), ma anche da utenti o dipendenti?

Ho trovato la lista dei peggiori risultati così intrigante, che un paio di mesi fa ho automatizzato la raccolta e archiviazione dei dati della top 10 in un database; durante l'archiviazione di una voce, IP-API viene utilizzato per ottenere le informazioni relative alla nazione; data e ora viene aggiornata quando una voce (già presente nel database) appare nuovamente nella lista.

I dati vengono periodicamente riassunti in una tabella che mostra la quantità di siti web con i peggiori risultati nel test di SSL Labs ordinati per paese ed è disponibile una funzione di ricerca (corrispondenza parziale con il dominio del sito web).

la densità per nazione visualizzata dal progetto badssl (home page)


~disclaimer

Può essere importante sottolineare la possibilità che un sito presente nel database sia nel frattempo stato configurato appropriatamente e riceva una A+ quando verificato successivamente (molto più auspicabile del riscontrare ancora una F sei settimane dopo essere stato inserito nel database).

L'intenzione non è di creare una gogna di alcun genere, ma di memorizzare alcune istantanee nel corso del tempo: sarebbe auspicabile vedere la maggior parte delle voci raggiungere una B o più quando testate successivamente.

Non vi è alcun impegno specifico riguardo la completezza delle informazioni acquisite: la frequenza di acquisizione è volutamente non sufficientemente elevata da garantire che tutte le voci che entrano ed escono nella lista (first-in-first-out) vengano memorizzate; l'idea non è quella di raccogliere tutte le voci ma un campione significativo.

Il titolo Distribuzione Geografica di HTTPS insicuri viene usato con la consapevolezza che questa è, a dir poco, un'approssimazione piuttosto libera: le informazioni acquisite tramite SSL Labs si basano e sono limitate ai risultati generati continuamente dai server testati attivamente, piuttosto che informazioni tratte da progetti di scansione di massa (i dati non sono recenti e/o non contengono dettagli importanti)

Cosa si trova già nei dati, a questo punto

Già in questo (precoce) stadio della raccolta dei dati, la possibilità di effettuare ricerche su termini specifici fornisce l'evidenza che presso diversi siti web (anche sensibili), la sicurezza è - a lungo termine - limitata esclusivamente alla visualizzazione dell'icona del lucchetto nel browser più che essere applicata per l'effettiva protezione delle informazioni e degli utenti.

Può essere inquietante vedere quanti secure, login, vpn, intranet, mail, bank, .gov, .mil nel giro di poche settimane sono stati acquisiti: numerose voci nel database manifestano problemi di lungo termine. (Molti termini interessanti dovrebbero essere ricercati nella propria lingua)

A mio parere, i siti web che ottengono una F due giorni dopo essere stati testati la prima volta, mostrano chiaramente che nessuna funzione responsabile sia quantomeno a conoscenza del fatto; ciò diventa particolarmente preoccupante quando riguarda risorse e istituzioni che dichiarano visioni e missioni ambiziose, finanziate pubblicamente con spese spesso astronomiche..


Nota tecnica

Tutti sono invitati ad utilizzare la funzione di ricerca ma l'attuale sistema potrebbe non reggere un'alto numero di richieste; è stato fatto il possibile per generare codice HTML e contenuti CSS conformi e per offrire un'esperienza ottimale, da desktop cosí come da piattaforme mobili; gli utenti di smartphone e tablet potranno facilmente installare una web app attraverso il browser.

Non ho ancora determinato in che misura o per quanto tempo questo progetto sarà significativo, quindi devo ammettere che non ho ancora organizzato disponibilità / ridondanza / (auto) ridimensionamento del server; tuttavia, ad un certo punto potrei mettere periodicamente a disposizione una copia del database per eventuali utenti intensivi.

Comments

Popular posts from this blog

SSLLabs SSL Test on 716 .gov https sites

Due minuti e mezzo per mezzanotte

Is DHS running honeypots?