Kaspersky: non fidatevi troppo delle connessioni "sicure"

Kaspersky ha analizzato i pro e i contro delle connessioni crittografate utilizzate per la protezione delle comunicazioni tra server e client. Tali connessioni sono state create per garantire la protezione dei dati scambiati tra due computer ed evitare quindi che informazioni personali possano venire intercettate, ad esempio durante il download della posta elettronica. Anche queste connessioni, generalmente considerate “sicure”, possono essere attaccate con successo da parte di malintenzionati.
Vitaly Denisov, programmatore del team Kaspersky, ha condotto un’analisi sulle varie tipologie di connessioni cifrate analizzando, in un suo studio, le possibili modalità di attacco. “Le classiche applicazioni per la sicurezza informatica sul web possono analizzare ed individuare possibili minacce all’interno di connessioni di una rete tradizionale, non possono però individuare le minacce presenti nelle connessioni crittografate. Per sua stessa natura, verificare il contenuto di una connessione crittografata è infatti impossibile: la crittografia ne protegge appunto il contenuto dalla lettura. In questo modo, codici maligni inviati tramite connessioni sicure possono causare ingenti danni, a volte peggiori anche dei normali attacchi su reti standard”, afferma Denisov.
Nel documento steso da Denisov, si osserva come negli ultimi tempi si sia ampiamente diffuso l’utilizzo di connessioni “sicure” SSL/TLS. Il programmatore fa notare, però, come le competenze degli amministratori che allestiscono e gestiscono server SSL/TLS spesso non siano adeguate per garantire un’elevata sicurezza.
Denisov fa un esempio concreto: si supponga che un’e-mail contenente un allegato nocivo venga recapitata ad un utente del servizio di posta elettronica “GMail”. Si supponga altresì che l’antivirus utilizzato da Google sui suoi server di posta non riconosca l’allegato nocivo (ad esempio perché le definizioni antivirus non risultano aggiornate). Il messaggio pericoloso verrebbe così recapitato sul sistema dell’utente perché l’antivirus installato sul client non sarebbe in grado di analizzarne il contenuto (essendo tutte le comunicazioni con i server GMail cifrate). Cosa ancor peggiore, alcuni antivirus potrebbero successivamente rilevare la presenza del virus nell’archivio di posta dell’utente, una volta terminata la connessione cifrata e scaricato il contenuto dell’e-mail dannosa attraverso il client di posta, esponendo l’utente al rischio di veder persa l’intera corrispondenza.
Chi sviluppa malware potrebbe indurre l’utente a scaricare componenti dannosi attraverso il protocollo HTTPS: in questo modo l’antivirus non rileverebbe il pericolo essendo la connessione crittografata.
La soluzione più semplice può essere quella di impiegare appositi plug-in per le varie applicazioni web in modo da verificare i dati che transitano su una connessione SSL/TLS. Tali plug-in sono integrati nelle suite antivirus più valide ma possono risultare incompatibili, ad esempio, con molti client di posta.
Denisov chiude il suo studio spronando i lettori a non fidarsi del falso senso di sicurezza che può ingenerare nell’utente l’uso di connessioni “sicure”.