Utilizzo di URL shortener nelle comunicazioni della PA

Buongiorno a tutti,

in epoca di piena emergenza nazionale vorrei porre l’attenzione su un tema di cybersicurezza che potrebbe sfuggire a tantissimi dei più, ma che avrebbe molto valore a regime. Non vuole essere un atto d’accusa, ma un reminder a mettere a posto un po’ di best practices.

Contesto: Di poche settimane fa era la notizia delle ASL/ATS che raccoglievano dati dei pazienti a rischio SARS-CoV-2, notizia lanciata da una rivista hi-tech online e poi seguita a un intervento del Garante.

I fatti: Vorrei adesso sottolineare l’attenzione sull’invio di link ai cittadini e l’uso di URL shortener pubblici. In questo thread faccio esplicito riferimento al servizio bit.ly, ma la tematica non si limita ad esso. E bit.ly non è “sotto accusa” da parte mia

Un esempio pratico: In piena emergenza sanitaria ricevo oggi un SMS al mio numero di cellulare:

Mittente: “Memo sanità”
Testo: “Appuntamento XXXXXXX del XX-XX-2020 annullato per coronavirus. Ulteriori info verranno pubblicate sul sito http://bit.ly/prenotazioni_sanitarie

Notate nulla di strano? Io premetto di avere (avuto) davvero un appuntamento medico in tale data, quindi non è la comunicazione a destarmi dubbi, bensì la modalità di comunicazione.

L’uso dell’URL shortener pubblico, per quanto uno strumento spesso utilizzato per avere link compatibile coi 160 caratteri degli SMS, è da considerarsi un rischio per la cybersicurezza. In generale il mittente degli SMS non può essere considerato affidabile, vedi esempio successivo.

Secondariamente, queste società che offrono servizi gratuiti o meno di URL redirection sono aperte a tutti e non possono apportare forme di filtraggio preventivo degli URL.

Dunque un mittente incerto mi invia un link a un servizio di pubblica riscrittura degli URL. Come essere certi che quel link poi porti ad una pagina autentica della PA italiana? Un esperto di cybersecurity potrebbe aprire il link e controllare dopo che il sito punti correttamente ad una pagina autentica della PA, in particolare io l’ho verificato.
Non metto in dubbio l’autenticità di questo SMS. Ma il casalingo di Voghera queste cose le pensa? D’altro canto, come faccio io esperto a educare un casalingo di Voghera, non me ne vogliano, a non fidarsi dei link e a non aprirli perchè potrebbero infettare il telefono con il prossimo Exodus o chiedere dati personali indebitamente?

Contro-esempio pratico: Sapete perchè apro questo thread? Perchè nella memoria del mio cellulare ho ripescato il seguente SMS dell’8/01/2020 che lascio a voi commentare, perchè ritengo sia abbastanza eloquente

Mittente: “poste” (le maiuscole sono rispettate)
Testo: “Abbiamo sospeso le sue utenze postali per mancata sicurezza web. La attivi al link seguente: http://bit.ly/36A86qn. Distinti saluti, Poste Italiane”

Ripeto: per chi frequenta questo forum il testo si commenta da solo. E ripeto: non sto accusando bit.ly (dietro cui c’è Facebook Inc.)

E mi ricordo di un altro link tempo addietro “http://qualcosa.short/verifica_account_poste”. Appunto…

Credo di aver detto tutto?

Proposta: quando la PA comunica con i cittadini (via mail o SMS), eventuali link dovrebbero presentare caratteristiche semplici di sicurezza che anche l’utilizzatore medio possa riconoscere facilmente. Mi permetto di proporre:

  • Dovrebbero essere sempre https
  • Il cittadino deve poter riconoscere nel nome host (per il casalingo, leggi “il link deve iniziare per…”) un dominio conosciuto ed affidabile della PA di riferimento, in particolare sarebbero da considerare validi quelli terminanti con .gov.it

Allo scopo anche un ente pubblico locale o nazionale potrebbe implementare un URL shortener personalizzato purchè sul proprio dominio.

Sarà cura di noi tecnici istruire le persone diversamente alfabetizzate tecnologicamente.

In conclusione, è necessario uno sforzo maggiore da parte di tutti, specie in emergenza sanitaria, perché è notoriamente questo il momento in cui i criminali informatici possono approfittare più facilmente della nostra vulnerabilità. Mai come adesso gli attacchi di social engineering trovano purtroppo terreno fertile. Non spargiamo altro concime.

Grazie e buon lavoro

6 Mi Piace

Ciao, complimenti per l’ottimo thread.

Io stesso sono il “Social Media Manager” del mio Comune, e ammetto di utilizzare bit.ly all’interno dei post su social.

Effettivamente hai assolutamente ragione, non ci avevo mai pensato così a fondo.

Tuttavia ti pongo una domanda. Il mio Comune è Agliè, il cui dominio è comune.aglie.to.it. Mi sono già accertato ed il dominio è esattamente comune.aglie.to.it, quindi non esiste il dominio aglie.to.it.

L’unica soluzione sarebbe avere il proprio servizio di URL-Shortener (vi do una preziosa spunta), e quindi avrei una cosa del tipo: https://url.comune.aglie.to.it/XXXXXX.
È palese che url.comune.aglie.to.it sia molto più lungo di bit.ly o v.ht, per cui è quasi vanificato l’utilizzo.

Servirebbe un servizio unico, un bit-ly.gov.it per intenderci, al quale solo le PA, tramite SPID ci possano accedere, per la generazione di URL brevi.

In questo modo si avrebbe un unico dominio (più corto di url.comune.aglie.to.it) e la cosa avrebbe senso di esistere. Uno short-url non può essere lungo per definizione.

Attendo il parere di tutti, grazie e buona giornata! :slight_smile:

Pif,

la tua argomentazione mette in luce che, forse, la mia tesi iniziale era mal posta perchè troppo sbilanciata. Sono stato un po’ miope io, non avendo alcun account social.

Il mio punto di vista era influenzato:

  • Dal mezzo di comunicazione: SMS come mezzo non affidabile di verifica del mittente.
  • Dagli eventi recenti: notavo la leggerezza di certe PA sulle misure di sicurezza ed il terreno fertile a truffe e furti di identità
  • Dalla professione che svolgo: la difficoltà a educare soggetti “diversamente alfabetizzati” in informatica sui rischi e pericoli

Nel tuo caso specifico, io vedo il punto di vista di un SMM e probabilmente per la tua specifica attività il problema si pone di meno. Anzi, potrebbe non porsi.

Si pone di meno sia perchè le piattaforme social autenticano i mittenti: anche grazie all’uso del bollino blu, il cittadino/follower ha sempre certezza di chi gli manda i messaggi. Il social inoltre bannerebbe facilmente pagine fake quando segnalate.
Non conosco, ma lascerei la parola a gente più esperta, esserci state campagne di phishing aventi come vettore pagine social fake di autorità durante crisi nazionali.

Il secondo aspetto della piattaforma social è che spesso è essa stessa a shortare i link. Lo fanno in maniera trasparente e non disattivabile. Lo fanno per profilare i click, ma ufficialmente è per sicurezza in modo da bloccare i redirect a pagine dannose. Quindi bit.ly e t.co, caro mio, te li devi tenere su determinati social.

La proposta di un dominio “autorevole” url.gov.it potrebbe solo mitigare principalmente il terzo dei punti. Aiuterebbe quelli che lavorano nell’IT a istruire dipendenti, familiari, amici ecc. a “non accettare link da sconosciuti” e “non cliccare su link non affidabili” come “non aprire email se non sei certo dell’origine”.

Ma forse, il tema potrebbe essere: chi ha davvero bisogno che i link siano così corti? Così spinti? Ma davvero ci preoccupiamo che qualcuno trascrive sul browser carattere per carattere quegli url? Ma se gli SMS non sono più limitati…!

E se comune.aglie.to.it/pages/contents/article?id=98374hhs&ref=am3n&vabbe=insomma&ci=siamo&capiti=true potesse diventare comune.aglie.to.it/r/abCDef4? Sarebbe un compromesso? Il mio collaboratore sportellista avrebbe una migliore percezione dell’“autenticità” del contenuto. Ed io maggiore facilità a spiegargli come definire “ufficiale” un link

Buon week.

1 Mi Piace

Ciao,
sarà per la lunghezza o perché sono profano io sui temi della cybersecurity, ma mi sfugge un po’ il punto: da un lato proponi che ogni PA abbia un url shortner proprio e ci sta pure… a proposito, hai qualche software opensource da proporre?
Sui social pero’ abbiamo già capito che non aiuterebbe molto, perché li sei obbligato a usare quelli loro, quindi aiuterebbe nella comunicazione via SMS? Non saprei, perché le URL sono oggetti oscuri per i profani, io temo che la maggior parte cadrebbe su bit.ly esattamente come su www.ministero-della-salute-pubblica.sgov.it.
Forse con l’app IO si risolve piu’ semplicemente e con maggior sicurezza, non trovate?

2 Mi Piace

Ciao @lorello,
qui delle opzioni open source.

Il problema di base è che bit.ly ti può portare letteralmente ovunque [ e quindi sei / dovresti essere scoraggiato ad aprirlo ], mentre invece un link di istruzione.it sai che può portarti solo a contenuti del Ministero dell’Istruzione [ affidabili e non portatori di virus ].

Riguardo IO, non posso dare contributi non essendo residente di comuni in beta.

Buona serata.