La stragrande maggioranza dei siti web dei comuni italiani non sono sicuri e possono rappresentare una minaccia per i cittadini che vi navigano; il rischio aumenta quando vengono compilati i moduli online, lasciando i propri dati personali.

A far luce su questo fatto è una ricerca degli esperti di sicurezza informatica del mes3hacklab di Mestre che Agid (Agenzia per l’Italia Digitale) ha potuto consultare in esclusiva. Tuttavia i risultati sono stati condivisi con il Cert-Pa (Computer emergency response team italiano per la pubblica amministrazione) che ha invitato “le amministrazioni a verificare che il proprio sito internet sia sempre aggiornato all’ultima release del software in uso”.

Prima di entrare nello specifico delle vulnerabilità c’è già un elemento di forte preoccupazione: il mancato utilizzo del protocollo https che garantisce la criptazione dei dati in fase di trasmissione e la prevenzione degli attacchi “In the middle”, dove la richiesta di un sito viene intercettata da una terza parte che si trova così i dati per lei utili. Ho già trattato il tema nell’articolo, scritto nel 2017, “Google impone https: standard minimo obbligatorio?

Vulnerabilità dei CMS usati

Molti siti sono costruiti con piattaforme, tecnicamente chiamate CMS (Content Managment System – Sistema di Gestione dei contenuti), che richiedono aggiornamenti tecnici costanti volti a coprire falle di sicurezza che sono inevitabili anche per i software meglio sviluppati al mondo; queste, se trascurate, sono delle vere porte aperte per hacker e malintenzionati.

I tre principali CMS sono WordPress, Joomla e Drupal, di cui il primo è quello più usato in assoluto su tutti i siti mondiali; sono stati presi in esame dalla ricerca e i risultati sono decisamente allarmanti:

  • il 67% dei siti analizzati non sono aggiornati da più di un anno;
  • il 29% dei siti WordPress sono fermi con gli aggiornamenti a prima del 2015, mentre il 35% hanno la versione 4.6, rilasciata ad agosto del 2016; questi dati possono non essere comprensibili per un profano ma se si vuole capire fino in fondo la gravità della situazione si pensi che WordPress nel 2017 ha implementato una funzione chiamata Rest-Api, che consente al sito di dialogare con le app. Quando uscì, questa funzionalità presentò subito un grosso bug che consentiva agli hacker di “defacciare” il sito, quindi di entrare nella parte di amministrazione e modificare i contenuti delle pagine. Poco dopo uscì la patch a questa falla ma i siti non aggiornati dopo il mese di Gennaio 2017 hanno ancora questo problema;
  • Peggio ancora va con Drupal, dove il 64,5% dei siti utilizza versioni vulnerabili a Drupalgeddon2, potente malware che consente a un attaccante di ottenere il pieno controllo del sistema infetto ed è in grado di installare miner di criptovalute come CoinHive, oppure ottenere pieno accesso ai dati contenuti nei server.

Queste vulnerabilità sono un serio rischio per le amministrazioni comunali: possono essere compromessi archivi, anagrafi e catasti; inoltre possono essere installati virus sui computer dei visitatori, compresi i dipendenti pubblici che usano i portali per lavoro.

Monitoraggio automatico dei siti web

Al fine di porre rimedio a questa situazione si sta realizzando un sistema automatico di monitoraggio che invierà alle persone preposte una notifica nel caso in cui il sistema non fosse aggiornato e sicuro. Tutti i dati relativi alla falla non saranno pubblicati prima di 90 giorni dall’invio della prima notifica, così i Comuni avranno il tempo di mettere in regola tutti i loro sistemi. Viene così seguita la pratica del “responsible disclosure” che impone la segretezza della falla scoperta per 90 giorni, trascorsi i quali può essere resa pubblica.

I CMS sono più esposti ma non più insicuri

I CMS, in sé, non sono più insicuri di un sito in puro codice poiché ne escono versioni aggiornate in continuazione, sviluppate dalle community che li promuovono; tuttavia sono sotto osservazione dei malintenzionati perché sono molto usati, quindi è conveniente buttarsi su sistemi molto popolari piuttosto che su un sito custom dove bisogna ingegnarsi a trovare la falla di sicurezza per colpire un portale solo, a meno che il proprietario sia una grossa società o, perché no, un ente pubblico.

Il vantaggio di usare un CMS sta nel suo sviluppo ad opera di molte persone che ricevono segnalazioni di problemi e provvedono, al più presto, a creare le patch risolutive. Va da sé che per usufruire di questo beneficio bisogna installare sul proprio sito gli aggiornamenti che escono di volta in volta.

Come mantenere sicuro un sito web

Purtroppo molti proprietari, non solo gli enti pubblici, credono che un sito, una volta pubblicato, può rimanere lì se non ci sono contenuti da aggiornare. Questa è una credenza del tutto fuorviante, specie quando il motore del sito è un CMS, che è tra i primi ad essere presi di mira dagli hacker, come abbiamo visto.

In conclusione voglio dare alcuni consigli ai proprietari dei siti web, enti pubblici e non:

  • affidare la gestione tecnica del sito a una persona competente, specie quando si conservano sul server i dati degli utenti;
  • evitare hosting a basso costo, specie se il sito è complesso;
  • usare il protocollo https che oggi è uno standard minimo;
  • se il sito è costruito con un CMS installare gli aggiornamenti rilasciati; tuttavia se il sito è complesso, e gli aggiornamenti possono comprometterne il funzionamento, fare un backup prima di procedere; è inoltre possibile non installare subito un aggiornamento e aspettare quello successivo, ma è bene non far passare troppe versioni;
  • per i CMS si possono installare estensioni e plugin che permettono il monitoraggio dei siti dal punto di vista della sicurezza (ad esempio, per WordPress c’è WordFence).
  • usare password forti e difficilmente deducibili, esempio nome e data di nascita, nome del cane, ecc…

È bene ricordare, infine, che nessun sito è a prova di bomba, ci può essere sempre una falla, specialmente quando si implementa una nuova funzionalità. Tuttavia avere un buon sever ben configurato, un sito sempre aggiornato e tenere delle buone abitudini, tipo impostare delle password forti, possono fare molto per evitare brutte sorprese.

Share This