Il cosiddetto web 2.0 è nato con i servizi online, ovvero quei siti che funzionano come veri e propri programmi, dalle applicazioni di Google e Yahoo!, fino ai social network e ai vari servizi che i siti specialistici offrono. Ora però una ricerca dell’Università dell’Indiana dimostra che queste applicazioni sono un vero e proprio colabrodo per le informazioni sensibili, anche se crittografate e con connessioni di massima sicurezza: per occhi indiscreti è molto facile dedurre non solo quali termini inserite nei motori di ricerca, ma anche quale sia il vostro reddito, i medicinali di cui fate uso e le malattie che avete.
Connessioni ‘sicure’?
Le connessioni sicure crittografano il traffico in modo tale che i contenuti siano visibili solo al vostro browser e il server del sito che state visitando. Tuttavia, la dimensione del traffico tra il browser e il server rimane visibile e da questo dato si possono dedurre molte informazioni. Ad esempio, si può inferire la pagina che state vedendo dalla dimensione della richiesta del browser (la dimensione dell’URL) o dalla risposta del server (la dimensione della pagina che state vedendo). Ora, siccome le applicazioni web 2.0 sono, per l’appunto, dei veri e propri programmi online, il numero di interazioni tra il vostro browser e il server aumenta esponenzialmente, e con questo anche i dati che possono essere dedotti.
Ad esempio, i motori di ricerca che suggeriscono i termini mentre li state digitando possono rivelare esattamente ciò che state inserendo. Quando digitate un carattere, il motore di ricerca lo invia al server, il quale a sua volta invia una lista di termini suggeriti. Ebbene, la dimensione dei termini suggeriti dipende da quale carattere avete digitato. Ciò significa che chi vede la dimensione della risposta crittografata può dedurre la lettera che avete digitato. E questo è proprio ciò che hanno fatto i ricercatori dell’Indiana, con successo, non solo sui più popolari motori di ricerca ‘generalisti’ Yahoo!, Google e Bing, ma anche su numerosi e rinomati siti che offrono servizi fiscali, finanziari e medici, i cui nomi sono stati tenuti riservati.
Anche il nome del vostro dottore
“Una spia può dedurre le malattie, i medicinali e le operazioni dell’utente, il suo reddito familiare annuo, i suoi investimenti e la ripartizione del suo denaro, anche se il traffico web è protetto dall’HTTPS” afferma la ricerca “Abbiamo dimostrato che anche in un azienda che utilizza le crittografie WPA/WPA2 aggiornate, uno sconosciuto senza credenziali può sedersi fuori dall’edificio e spigolare i termini di ricerca inseriti nei portatili dei dipendenti, come se fossero esposti a chiare lettere nell’aria”.
I ricercatori hanno potuto dedurre il nome del dottore e le condizioni mediche di una persona che aveva utilizzato il servizio di “una delle aziende più stimate di servizi online”. Lo stesso metodo è stato applicato a un sito che offriva un servizio di consulenza fiscale online. Il sito faceva delle domande semplici e adattava quelle seguenti in base alle risposte che riceveva. Controllando le risposte cifrate, potevano determinare che il sito stava rispondendo a domande riguardo a deduzioni fiscali per studenti, che si applicano solo a contribuenti che guadagnano meno di 145.000 dollari all’anno. Confrontando questo dato con altre risposte che riguardavano sempre delle deduzioni, i ricercatori hanno potuto inferire con una certa precisione il reddito dell’utente.
Una soluzione di là da venire
E se riempissimo il traffico con dati superflui per confondere gli hacker? Purtroppo, la ricerca dimostra che questa soluzione non è sempre efficace, oltre ad appesantire notevolmente la trasmissione e la ricezione dei dati. “Bisogna individuare dei correttivi efficaci ed efficienti specifici per ogni applicazione” concludono i ricercatori “gli sviluppatori dovranno identificare le vulnerabilità e poi adottare strategie di correzione di conseguenza”.
Quel che è certo è che la messa in sicurezza dei siti web 2.0 sarà un grattacapo per diversi anni a venire.
***
