Visto l’interesse per l’argomento, riassumo lo stato dell’accesso protetto da crittografia di 5 siti web di partiti politici.
Di questi, solo il sito web del Partito Democratico ha un accesso crittografato in maniera sicura. Accettabile con riserva.
Il Movimento 5 Stelle ha un ottimo sistema, Rousseau, ma non tutto è in sicurezza. Fratelli d’Italia, Forza Italia e Lega Nord, totalmente assente.
Unico pensiero politico da parte mia (prendetelo in maniera costruttiva): mi aspettavo maggiore cura dal Movimento 5 Stelle considerando che la rete è il suo cavallo di battaglia.
Immaginate ad esempio che un utente visiti quei siti web da un accesso pubblico (wifi pubblico, albergo, aeroporto etc). Un attaccante potrebbe:
- intercettare in chiaro le credenziali (tra cui in chiaro le passwords, spesso riutilizzate).
- reindirizzare la richiesta (alterando il form html) verso siti web malevoli.
- alterare la risposta di ritorno, inserendo un javascript che funziona da keylogger in modo da intercettare poi ogni possibile interazione anche futura.
Questi ESEMPI di potenziali attacchi valgono per tutti, PD compreso, dato che non ha attivato alcuna forzatura alla versione sicura nei form di credenziali.
La maggior parte di produttori di browser hanno piani a lungo termine per l’abolizione delle connessioni in chiaro (es. Firefox), e i primi passi imminenti sono l’implementazione di warning di sicurezza (es. FireFox, Chrome).
Chrome pubblico usato dalla gente comune è la versione 55. La versione che notificherà che i siti web sopra-citati sono insicuri sarà la 56. E’ davvero molto imminente, imho.
Movimento 5 Stelle / Beppe Grillo
Rousseau https://rousseau.movimento5stelle.it è ottimamente configurato.
Certificato hash algorithm sha256 ok, rating ssl-labs: A+ altissimo (il massimo, abbastanza raro),
ottimo l’uso di HSTS che garantisce a monte che il sito sia interamente sotto crittografia. Versione web-server nascosta.
Una pesante pecca: l’iscrizione punta ad un’altra macchina, malmessa a livello di configurazione:
- Riporta un vecchio Apache/2.2.15, che ha parecchie vulnerabilità note.
Può essere che alcune vulnerabilità siano chiuse (ad esempio come i package debian in repo stable su distro LTS), non ho investigato sulle singole vulnerabilità.
Dei penetration-testing sono più impegnativi di questa mia ricerca da tempo libero. - Restituisce un certificato scaduto da diversi giorni.
- common-name errato (www.beppegrillo.it), che porta a una pagina web inesistente (404).
- hash algorithm sha1, male.
- Vulnerabile a POODLE e weak cipher.
- Scelta incredibile. Di solito è accettabile avere un sito in chiaro con la sezione di autenticazione (login/register) sotto crittografia. Ma avere Rousseau protetto e registrazione in chiaro è tutto il contrario.
L’iscrizione quindi è obbligatoriamente in chiaro, perchè usare un accesso scarso di rating ssl-labs: T equivale a non usarlo.
Vedo ottime premesse, a spanne basta che il team di Rousseau prenda in carico anche l’altra macchina malconfigurata.
Partito Democratico
Buono, non ottimo.
Accesso crittografato https://www.partitodemocratico.it/ è OK.
La pecca è che la versione in chiaro funziona, potrebbe redirigere direttamente alla versione crittografata, o meglio ancora implementare HSTS come Rousseau.
E’ una pecca importante perchè la versione di login funziona anche da accesso non crittografato.
Obiettivamente se un accesso è insicuro e la versione sicura esiste, non è possibile venire incontro alla vita agli utenti che non conoscono la differenza o manco sanno che possono scegliere?
Piccola pecca, https://partitodemocratico.it restituisce ERR_BAD_SSL_CLIENT_AUTH_CERT. Pare solo mal-configurato il terzo livello “www.”.
Certificato SSL, ok per sha256. ssl-labs: B migliorabile, degli accessi con cipher weak andrebbero chiusi. Rousseau è configurato meglio.
Pare usino Apache 2.2.22 su FreeBSD. Non conosco decentemente FreeBSD.
Curiosità: Dal sito web, cliccare Accedi porta a un url da 3228 caratteri/bytes. Tutti fondamentali eh. (ironico).
Fratelli d’Italia
In http://www.fratelli-italia.it praticamente l’accesso cifrato non esiste.
Tesseramento e login solo in chiaro.
La versione cifrata del tesseramento mostra un 503 Service Unavailable, con un certificato self-signed che non corrisponde neanche come common-name.
ssl-labs: F. Vulnerabile al POODLE attack, weak cipher, etc.
Se non altro, nascondono che software web-server usano.
Forza Italia
http://www.forzaitalia.it è solo in chiaro, l’accesso crittografato per il sito principale non risponde.
La login è in chiaro.
L’accesso crittografato per il login spara pagina non trovata (HTTP 404).
Certificato SSL self-signed, scaduto 3 anni fa. 1024 bits. In pratica come se non ci fosse.
ssl-labs: F Tutto weak. Due diverse vulnerabilità, POODLE e CVE-2016-2107.
Praticamente l’accesso crittografato non esiste.
Apache/2.2.25 Amazon.
Lega Nord
http://www.leganord.org/ tutto in chiaro. L’accesso crittografato non esiste.
Apache 2.4.10 su Fedora.