Buongiorno a tutti,
in epoca di piena emergenza nazionale vorrei porre l’attenzione su un tema di cybersicurezza che potrebbe sfuggire a tantissimi dei più, ma che avrebbe molto valore a regime. Non vuole essere un atto d’accusa, ma un reminder a mettere a posto un po’ di best practices.
Contesto: Di poche settimane fa era la notizia delle ASL/ATS che raccoglievano dati dei pazienti a rischio SARS-CoV-2, notizia lanciata da una rivista hi-tech online e poi seguita a un intervento del Garante.
I fatti: Vorrei adesso sottolineare l’attenzione sull’invio di link ai cittadini e l’uso di URL shortener pubblici. In questo thread faccio esplicito riferimento al servizio bit.ly, ma la tematica non si limita ad esso. E bit.ly non è “sotto accusa” da parte mia
Un esempio pratico: In piena emergenza sanitaria ricevo oggi un SMS al mio numero di cellulare:
Mittente: “Memo sanità”
Testo: “Appuntamento XXXXXXX del XX-XX-2020 annullato per coronavirus. Ulteriori info verranno pubblicate sul sito http://bit.ly/prenotazioni_sanitarie”
Notate nulla di strano? Io premetto di avere (avuto) davvero un appuntamento medico in tale data, quindi non è la comunicazione a destarmi dubbi, bensì la modalità di comunicazione.
L’uso dell’URL shortener pubblico, per quanto uno strumento spesso utilizzato per avere link compatibile coi 160 caratteri degli SMS, è da considerarsi un rischio per la cybersicurezza. In generale il mittente degli SMS non può essere considerato affidabile, vedi esempio successivo.
Secondariamente, queste società che offrono servizi gratuiti o meno di URL redirection sono aperte a tutti e non possono apportare forme di filtraggio preventivo degli URL.
Dunque un mittente incerto mi invia un link a un servizio di pubblica riscrittura degli URL. Come essere certi che quel link poi porti ad una pagina autentica della PA italiana? Un esperto di cybersecurity potrebbe aprire il link e controllare dopo che il sito punti correttamente ad una pagina autentica della PA, in particolare io l’ho verificato.
Non metto in dubbio l’autenticità di questo SMS. Ma il casalingo di Voghera queste cose le pensa? D’altro canto, come faccio io esperto a educare un casalingo di Voghera, non me ne vogliano, a non fidarsi dei link e a non aprirli perchè potrebbero infettare il telefono con il prossimo Exodus o chiedere dati personali indebitamente?
Contro-esempio pratico: Sapete perchè apro questo thread? Perchè nella memoria del mio cellulare ho ripescato il seguente SMS dell’8/01/2020 che lascio a voi commentare, perchè ritengo sia abbastanza eloquente
Mittente: “poste” (le maiuscole sono rispettate)
Testo: “Abbiamo sospeso le sue utenze postali per mancata sicurezza web. La attivi al link seguente: http://bit.ly/36A86qn. Distinti saluti, Poste Italiane”
Ripeto: per chi frequenta questo forum il testo si commenta da solo. E ripeto: non sto accusando bit.ly (dietro cui c’è Facebook Inc.)
E mi ricordo di un altro link tempo addietro “http://qualcosa.short/verifica_account_poste”. Appunto…
Credo di aver detto tutto?
Proposta: quando la PA comunica con i cittadini (via mail o SMS), eventuali link dovrebbero presentare caratteristiche semplici di sicurezza che anche l’utilizzatore medio possa riconoscere facilmente. Mi permetto di proporre:
- Dovrebbero essere sempre https
- Il cittadino deve poter riconoscere nel nome host (per il casalingo, leggi “il link deve iniziare per…”) un dominio conosciuto ed affidabile della PA di riferimento, in particolare sarebbero da considerare validi quelli terminanti con .gov.it
Allo scopo anche un ente pubblico locale o nazionale potrebbe implementare un URL shortener personalizzato purchè sul proprio dominio.
Sarà cura di noi tecnici istruire le persone diversamente alfabetizzate tecnologicamente.
In conclusione, è necessario uno sforzo maggiore da parte di tutti, specie in emergenza sanitaria, perché è notoriamente questo il momento in cui i criminali informatici possono approfittare più facilmente della nostra vulnerabilità. Mai come adesso gli attacchi di social engineering trovano purtroppo terreno fertile. Non spargiamo altro concime.
Grazie e buon lavoro