Perchè HTTPS può creare danno alle Aziende

Una breve opinione sul perchè l'uso intensivo di HTTPS possa comportare persino un danno alle Imprese e come mitigare questi rischi.

HTTPS: un sistema (un protocollo per la precisione) per rendere confidenziale e sicura una comunicazione tra il nostro personal computer o tablet e un server disperso da qualche parte del pianeta accessibile via Internet. Introduce un concetto di confidenzialità perché aggiunge meccanismi che cifrano i dati sul nostro dispositivo, li trasmettono attraverso Internet e che possono essere interpretati solo dal server che li riceve e che costituisce il nostro unico interlocutore (o “endpoint”). Introduce un concetto di sicurezza perché sia i dati che trasmettiamo che ciò che riceviamo dal server ha una “firma digitale” che attesta che tali dati non sono stati alterati nel loro transito.

È un po' come con le comunicazioni via radio ricetrasmittenti: se si conosce la frequenza (canale) è possibile ascoltare quello che dicono le due parti. In gergo tecnico questo tipo di minaccia viene detta “Man In The Middle” (MitM) o “Uomo nel mezzo”, e consiste esattamente in un personaggio che ascolta di nascosto le conversazioni tra i due interlocutori. Il sistema HTTPS costituisce un meccanismo che alcuni avranno sentito nominare come “scrambler”: si tratta di un dispositivo che alterava la voce e la rendeva inintelligibile a chi si mettesse in ascolto sulla frequenza (o sul doppino telefonico) ma che poteva essere rialterata alla sua normalità dall'altro interlocutore.

Quindi è una cosa buona, giusto? La risposta è... dipende (stranamente).

Da un punto di vista di protezione delle comunicazioni previste, necessarie o confidenziali decisamente rappresenta una cosa buona. Non vorremmo mai che i nostri dati relativi al conto corrente bancario o numero di carta di credito venissero trasmessi in chiaro su Internet perché “chiunque” possa leggersi i dati “ascoltando” tale comunicazione in Rete. Figuriamoci poi dati finanziari o altre comunicazioni più delicate che potrebbero essere ascoltate da un concorrente o peggio (ricordiamoci che lo spionaggio industriale è più che mai in voga in questo periodo). Quindi HTTPS è una cosa buona.

Da un punto di vista diverso, chi non volesse far intercettare qualcosa potrebbe adottare lo stesso metodo. Un dipendente malintenzionato potrebbe prendere i dati aziendali e depositarli su Dropbox per portarli fuori dall'azienda, usare una WebMail per trasmettere informazioni, utilizzare strumenti come Skype per trasmettere file o effettuare conversazioni con parti non desiderate. Potrebbe anche solo passare l'intera giornata su Facebook senza che nessuno possa controllarlo. Potrebbe essere banalmente un altro sito compromesso che diffonde virus ad utenti ignari attraverso un canale cifrato e sicuro (è successo all'inizio di quest'anno con Yahoo Ads). Ma potrebbe non essere un utente, potrebbe essere un software che si installa di nascosto su un dispositivo e trasmette periodicamente informazioni sensibili o consente a qualcuno di collegarsi dall'esterno. Gli esempi potrebbero andare avanti per pagine e pagine e presenterebbero scenari sempre diversi e complessi. Quindi HTTPS non è sempre una buona cosa.

Purtroppo tecnicamente gestire le connessioni cifrate non è una cosa semplice proprio per la loro natura. E allora che fare? In un mondo in cui sempre più operatori iniziano a gestire il proprio sito in “https” grazie alle rivelazioni di Snowden che dall'anno scorso continuano a fare più danni della grandine. Google, Facebook, Twitter, LinkedIn come social network, ma anche tutte le webmail da Outlook a GMail passando per Yahoo: tutto cifrato, tutto sicuro, tutto nascosto. 

Che alternative hanno le aziende? Aprono “tutto” il mondo cifrato e consentono la navigazione indiscriminata praticamente su tutto, oppure chiudono tale canale cadendo in un vortice di delirio amministrativo per la gestione di eccezioni che, si e no in una settimana (a essere buoni) la porterà all'esasperazione e tornare alla prima alternativa.

Esiste una soluzione tecnica non invasiva che risponde alle esigenze delle Aziende di qualsiasi dimensione, anche quelle molto piccole ma attente alla propria proprietà intellettuale. Si tratta di sistemi di difesa perimetrali (Firewall) che sono in grado di operare su tre livelli differenti senza causare emicranie a chi li deve amministrare (nella peggiore delle ipotesi, può dare l'emicrania in Outsourcing - nda).

Immaginiamo una strada molto lunga con portoni di ingresso sulla destra e sulla sinistra. Siccome siamo nell'era delle megalopoli, diciamo che questa via ha 10.000 civici per tutta la sua lunghezza.

Il primo livello di controllo è basato sulla “categorizzazione” della destinazione richiesta. Supponiamo che vogliate andare sul sito Facebook (sempre i soliti ignoti). Con un firewall di concezione generica potete solo determinare se “aprire” o “chiudere” una via di comunicazione verso un determinato indirizzo. Questo sistema equivale a dire che a me utente (corriere espresso) viene interdetto l'accesso ad alcuni portoni. Immaginate il lavoro amministrativo necessario perchè chi coordina le operazioni decida a quale dei 10.000 portoni io possa o meno accedere, oltre a dover mantenere un elenco di attività e dettaglio di chi ci sia a quale civico: a dire il vero mi viene il mal di testa solo a pensarci. Con la categorizzazione, al contrario, mi viene solamente detto che posso solo entrare solo nei civici che corrispondono a negozi di ferramenta. La medesima cosa avviene nei firewall che supportano questo tipo di funzionalità (con la differenza che gli indirizzi non sono 10 mila, ma miliardi).

Il secondo livello di controllo è più incisivo, e viene denominato “Deep Packet Inspection” o “DPI”. Tecnicamente sfrutta la forma di minaccia “Man in the Middle” per ascoltare il traffico tra gli interlocutori, con delle differenze fondamentali. La prima è che tutto avviene in un ambiente isolato dal quale nemmeno l'amministratore di sistema può estrarre dati, e (la seconda) che una volta elaborati provvede a cifrarli nuovamente per trasmetterli al dispositivo di destinazione. In questo modo (e con i dovuti accorgimenti) è possibile garantire la confidenzialità della comunicazione tra i due interlocutori mantenendo tuttavia un elevato livello di sicurezza. Il DPI (come descritto nel mio precedente articolo “Che cos'è un Firewall”) consente non solo di verificare per “categoria” la destinazione, ma anche ciò che vi viene trasferito: in questo modo possiamo, per esempio, evitare che possano entrare virus nell'azienda (attraverso un canale cifrato e sicuro) o uscire dati importanti da parte di personale non autorizzato (o software malizioso, o malware che si voglia). Torniamo sulla strada di prima: posso già decidere di chiudere tutti i portoni che non siano determinate attività commerciali, ma ora posso anche decidere che cosa portare dentro e cosa no. Per esempio posso procedere a far si che il nostro corriere possa si entrare nelle ferramente, ma consegnare unicamente utensili e non minuteria, e che non possa percepire pagamenti in contrassegno (ossia “portare via” qualcosa dalla destinazione).

Il terzo livello, molto più complesso nel suo funzionamento, è un'ulteriore livello di sicurezza che, essenzialmente, potrebbe portare il nostro corriere sia in grado anche di verificare gli incartamenti per accertarsi che l'attività venga svolta nel rispetto della legge e che non sia fraudolenta. Questo sistema che, tecnicamente, consiste nella verifica della validità dei Certificati Digitali si assicura che nelle comunicazioni sicure (e cifrate) le identità degli interlocutori (determinate appunto dai certificati) siano  valide e non contraffatte.

Le funzionalità sopra descritte sono tutte disponibili in dispositivi che si adattano dalla micro impresa da 1 a 5 postazioni fino a salire alle attività con migliaia di dipendenti. Sono sistemi che riescono ad interagire in modo trasparente ed in piena autonomia con l'utenza senza comportare un inappropriato sforzo amministrativo nella propria gestione. Già a partire dal modello T10 di Watchguard suddette funzionalità sono già tutte disponibili: WebBlocker è lo strumento di categorizzazione dei siti ed indirizzi basato sul più famoso WebSense in edizione Enterprise Edition, Gateway Anti Virus è la soluzione che, sulla parte DPI è in grado di effettuare la scansione dei contenuti scaricati per evitare l'ingresso di malware indesiderato anche attraverso le connessioni cifrate (e sicure - tanto per non dimenticarci mai). Application Control è persino in grado di controllare le singole applicazioni all'interno di canali “https”, facilitando ulteriormente la gestione di attività la cui quantità potrebbe diventare demotivante anche per i più accaniti sostenitori della sicurezza informatica, consentendo con pochi click di disattivare (per esempio) tutti gli strumenti di amministrazione remota dei computer (che - guarda caso - si appoggiano prevalentemente sul protocollo in oggetto). Tutto questo (e molto di più) già in un dispositivo grande quanto due custodie Blu Ray Disc una sopra l'altra. Immaginatevi cosa può fare la macchina più grande della famiglia.