8759 Letture

Posta certificata e phishing: meglio passare a EV-SSL

Dopo il lancio di PostaCertificat@, il nuovo servizio che mette gratuitamente a disposizione di tutti i cittadini maggiorenni che ne facciano richiesta, una casella di posta elettronica certificata (PEC), gli esperti stanno iniziando a valutarne gli aspetti prettamente tecnici. Marco Giuliani, malware analyst di Prevx, ci ha inviato alcune osservazioni sul funzionamento di "PostaCertificat@" offrendo una serie di considerazioni relative ad aspetti legati alla sicurezza.
Il servizio appena lanciato dal Governo (ved. questo nostro articolo), offre due modalità per l'accesso alla propria casella PEC: via web, attraverso il portale "PostaCertificat@", oppure ricorrendo ad un qualsiasi client e-mail (le impostazioni da specificare nei campi "server di posta in arrivo" e "server di posta in uscita" sono riportate in questa pagina).


Come purtroppo succede quotidianamente nel caso dei siti web dei più famosi istituti bancari, anche il portale "PostaCertificat@" potrebbe essere preso di mira per attacchi di tipo "phishing". Attraverso la PEC transiteranno informazioni particolarmente "sensibili": si tratterà per buona parte di dati che avranno carattere strettamente personale e che riguarderanno, in prima persona, il singolo cittadino. Secondo Giuliani, truffatori ed aggressori vedranno nella possibilità di accedere agli account PEC altrui un'ottima opportunità per sottrarre illecitamente dati personali. Per ingannare gli utenti, quindi, verranno posti in essere i soliti espedienti che consistono, ad esempio, nella creazione di siti web truffaldini che espongono indebitamente la grafica del portale "legittimo". I cittadini che dovessero cadere nella trappola potrebbero così rivelare a terzi senza scrupoli le proprie credenziali di accesso all'account PEC.

Giuliani osserva come il portale "PostaCertificat@" utilizzi sì un certificato SSL ma non la specifica tipologia EV-SSL (Extended Validation SSL). "Questi certificati non solo garantiscono – come tutti gli altri – la sicurezza delle transazioni, ma garantiscono inoltre il massimo livello di verifica dell’identità del proprietario del sito web". Il ricercatore continua: "questi certificati vengono mostrati in maniera differente dal browser: oltre al solito prefisso https:// e all’immagine del lucchetto, nei browser che supportano l’EV-SSL – tutti gli ultimi browser – la barra degli indirizzi si colorerà interamente di verde, oppure solo una parte di essa" (ved., in figura, cosa succede nel caso di Mozilla Firefox). L’utente, vedendo questo cambio di colore, potrà essere sicuro dell’identità del sito web e potrà continuare ad inserire i propri dati con ancor più tranquillità.
Per non far insospettire l'utente, infatti, i malintenzionati che pongono in essere attacchi phishing fanno sempre più uso del protocollo https:// e quindi di certificati DV-SSL che non richiedono alcuna verifica sull'identità del proprietario.


Il suggerimento appannaggio degli utenti meno esperti, che spesso viene ricordato, consiste nel controllare la presenza del famoso "lucchetto" nella barra degli indirizzi del browser. Tale indicazione visiva attesta l'uso del protocollo https://. Questo consiglio, come abbiamo appena evidenziato, non è però più sufficiente.
I cosiddetti certificati DV-SSL (Domain Validated SSL) vengono rilasciati previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà installato. Alcune società mettono a disposizione certificati DV-SSL a titolo completamente gratuito: i "phishers" hanno così vita nettamente più facile avendo l'opportunità di utilizzare un certificato valido a tutti gli effetti. L'identità non è in alcun modo verificata dal momento che il controllo si limita alla proprietà del sito web.

Ecco quindi la necessità di guardare ai certificati EV-SSL che forniscono un livello di sicurezza nettamente superiore. In questo caso il fornitore del certificato verifica l'identità del richiedente garantendola con la massima certezza.
Attenzione quindi, come ricordato ormai da un sempre maggior numero di esperti, a non dare troppa fiducia alla comparsa della dizione https:// nella barra degli indirizzi del browser web. A meno che questa si colori di verde, ad informare circa l'utilizzo di un certificato EV-SSL.

Per questi motivi Giuliani auspica la pronta adozione di un certificato EV-SSL su un portale, come quello di "PostaCertificat@", che ambisce a gestire dati appartenenti a 50 milioni di italiani.

  1. Avatar
    jacopo
    12/03/2011 15:18:52
    A me funziona correttamente.
  2. Avatar
    brunoroberto
    12/03/2011 10:47:11
    Scusate ma ho visto questo link ma non riesco ad accedere alla pagina https://www.vengine.it/framereseller/mo ... eller=1103 per scaricare dei certificati e acere la posta certificata.. mi da coem errore : La connessione è stata interrotta * Il sito potrebbe non essere disponibile o sovraccarico. Riprovare fra qualche momento. * Se non è possibile caricare alcuna pagina, controllare la connessione di rete del computer. * Se il computer o la rete sono protetti da un firewall o un proxy, assicurarsi che Firefox abbia i permessi per accedere al web. firewal disattivato, proxy come deve essere impostato? nessun porxy o automatico..? couqnue ho provato è non funziona....
  3. Avatar
    dinodini
    01/05/2010 11:21:50
    :roll: Sono in perfetta sintonia con chulo,sarà necessario comunque che ognuno di noi stia molto attento (specialmente i poco esperti).
  4. Avatar
    Jake
    28/04/2010 09:01:57
    @Lamantino L'articolo spiega appunto la differenza tra certificati EV-SSL (che garantiscono l'identità del titolare del sito) e DV-SSL (che NON garantiscono l'identità).
  5. Avatar
    Lamantino
    27/04/2010 23:19:36
    Mi spiace ma non c'è che abbiamo capito cosa vuole dire articolo, un po' sembra che il DV-SSL si utile, ma poi dice che si può avere certificato di quel tipo gratis e senza controlli quindi a che serve o forse è da interpretare che DV e meglio che certificato semplice ma che poi è meglio che niente?
  6. Avatar
    Chulo
    27/04/2010 21:43:44
    Citazione: Per questi motivi Giuliani auspica la pronta adozione di un certificato EV-SSL su un portale, come quello di "PostaCertificat@", che ambisce a gestire dati appartenenti a 50 milioni di italiani
    Osservazione che mi sembra sacrosanta. Questo della PEC nel bene e nel male ed a prescindere dai suoi difetti o meno, trovo che sia finalmente un passo verso il nuovo. Che però dovrebbe essere curato e trattato con la massima attenzione ed utilizzando gli strumenti migliori, per garantirne la buona riuscita e la garanzia di sicurezza per il cittadino.
Posta certificata e phishing: meglio passare a EV-SSL - IlSoftware.it