La settimana scorsa, parlando con gli amici, è saltata fuori questa questione: la sicurezza online. Come tutti sapete internet offre grandi benefici, tuttavia il pericolo è sempre dietro l'angolo. E per quanto mi sia difficile concepire ci sono ancora moltissimi individui che cascano come polli alle più banali trappole. In quest'occasione però vorrei spostare l'attenzione su un altro argomento, al di fuori di phishing e truffe in generale. La sicurezza online è solo una responsabilità dell'utente finale? Io dico di no, e spero che la maggioranza sia d'accordo con me.
Molto spesso sempre su internet troviamo articoli e dépliant informativi riguardanti la sicurezza, ma tutte quelle regole d'oro offerte vengono annichilite quando l'anello debole, invece di essere l'utente, è colui a cui diamo le nostre informazioni. Dobbiamo pensare che ogni volta che ci registriamo su qualche sito e inseriamo la nostra mail, password e i nostri dati personali queste informazioni finiscono dirette su un database. Se questo database è vulnerabile perchè il gestore del servizio presta poca attenzione alla sicurezza non c'è articolo sulla sicurezza che possa salvarci. La colpa non è di certo nostra, però intanto i nostri dati sono in mano a persone non autorizzate, ancora peggio se queste informazioni venissero rese disponibili su internet.
Dal punto di vista della sicurezza questa è una TRAGEDIA, in quanto una volta scoperta la vostra mail e password di un servizio web è molto facile che le stesse credenziali possano essere utilizzati per accedere al altri servizi. Ecco perchè tutti consigliano di usare password diverse per ogni servizio, proprio per evitare questo tipo di problema. Immaginate che qualcuno prelevi illegalmente il database di un forum al quale siete registrate e che le stesse credenziali d'accesso per quel forum siano le medesime per il vostro account Amazon o PayPal.
Ecco perchè quando mi trovo davanti ad un forum o un sito che memorizza tali informazioni (e soprattutto la password) in chiaro divento una iena. Non è possibile che nel 2012 ci siano ancora persone che possano solo pensare di fare una cosa del genere. Già hashando queste informazioni la probabilità di decifrare i dati sono abbastanza buone, immaginatevi poi di avere un intero di database di mail e password in chiaro. Una manna per qualsiasi malintenzionato.
La stessa cosa vale per quei siti di shopping, tipo Amazon, che memorizzando i dati delle carte di credito. Già di per se possiamo dire che la sicurezza di una carta di credito è incredibilmente bassa, basta infatti il numero, data di scadenza, nome del titolare e il CVV per poter effettuare un acquisto.
Se un database contenente questa tipologia di dati venisse trafugato le ripercussioni sarebbero tremende. E la cosa più grave è che l'utente potrebbe non essere al corrente che i suoi dati siano in mano ad altre persone. Sono poche le aziende che ammettono pubblicamente di aver perso dati così importanti.
Ma se credete che questa situazione sia poi così improbabile andate a rileggervi le cronache su quello che è successo alla Sony e alla Valve in merito a questa faccenda.
Il tutto si aggrava dal fatto che l'utente finale non può in nessun modo sapere come i dati immessi vengano trattati. L'unica garanzia che abbiamo è la parola che ci vien data dai responsabili del sito e la sicurezza che l'operazione viene fatta utilizzando un protocollo cifrato (il famoso https), questo però non ci da nessuna garanzia che i dati vengano effettivamente cifrati nel database.
Meditate...
