Ormai è cosa risaputa, la maggior parte degli attacchi e delle minacce arrivano dal web. Tuttociò è anche abbastanza scontato visto la quantità di applicativi e programmi in cloud che utilizziamo (e che utilizzeremo sempre più di più visto la tendenza del mercato) in aggiunta al fatto che il sito internet di un’azienda costituisce sempre una porta d’ingresso “pubblicata” sulla rete. Come proteggersi? Come limitare i rischi?
Brevemente il nostro team di Web&Marketing che da anni sviluppa siti ed interfacce web elencherà 3misure minimali di cui dotarsi per garantire un livello di difesa basilare dagli attacchi che hanno come oggetto il nostro sito internet:
Quante volte pensiamo che una volta “fatto il sito” lo stesso rimanga in eterno perfettamente funzionante senza nessun update? Pensiamo a quante volte nella nostra vita abbiamo cambiato cellulare, passando dai modelli tradizionali fino agli smartphone più evoluti… e sempre su questo punto, quante volte siamo stati noi a volerlo cambiare perché effettivamente non più funzionante e quante volte invece la scelta ci è stata imposta dal mercato perché il nostro dispositivo non supportava più le nuove tecnologie?
Per un sito web vale ESATTAMENTE LO STESSO CONCETTO, che sia funzionante o meno ha un ciclo di vita dettato dal mercato e dall’evolversi della tecnologia e quando questo ciclo si esaurisce c’è poco da fare, il sito DEVE essere rifatto così come lo smartphone deve essere cambiato o l’auto sostituita a meno che non si voglia correre il rischio di ritrovarsi senza poter comunicare, o a piedi, oppure nel nostro caso con un malware di ultima generazione che a causa di una piattaforma obsoleta è riuscito ad “hackerare” il nostro sito web trovando un varco per provocare danni ben più importanti.
Chi di noi non ha mai notato negli indirizzi web il prefisso “https” con il lucchetto al posto del normale “http”? Ormai non ci facciamo quasi più caso visto che è una pratica che fortunatamente negli ultimi tempi si sta sempre più diffondendo però quello che permette di “taggare” il sito come sicuro e di aggiungere la “s” finale all’acronimo “http” è il cosiddetto certificato SSL.
I certificati digitali SSL (Secure Sockets Layer) sono protocolli che hanno la funzione di criptare il flusso di informazioni che vengono raccolte dal proprio sito in modo che qualsiasi dato, nel passaggio dal singolo PC alla rete, non possa essere “visto” da altri soggetti.Usare il certificato SSL non solo per siti web ma anche per domini di posta, servizi di file sharing, servizi di archiviazioni non serve solo a proteggere la trasmissione dati, sempre di più il certificato permette di essere certi che ci si sta connettendo al dominio corretto. Che sia per un sito internet o per qualsiasi altro servizio “pubblicato” sulla rete il certificato SSL associato al servizio sta diventando un elemento tecnico da cui non si può più prescindere per garantire un livello di sicurezza accettabile nello scambio di informazioni.
Di che cosa si tratta? Anche se non ne conosciamo l’acronimo di sicuro ci abbiamo avuto a che fare molte volte durante la navigazione di siti web quando compiliamo un form online o inseriamo delle informazioni in specifici campi… in sostanza ci stiamo riferendo a quei test (come vedi immagine) in cui ci viene richiesto di compiere determinate azioni per verificare che siamo utenti umani ed impedire a dei programmi chiamati “bot” di utilizzare gli stessi canali per creare spam dal nostro indirizzo di posta pubblicato sul sito o per violare la sicurezza con operazioni di hacking come il brute force.
Di CAPTCHA ce ne sono di diverse tipologie, dall’inserimento del risultato di un’operazione matematica fino alla replica di una sequenza alfanumerica, spesso di difficile lettura e interpretazione perché distorta o offuscata.
Ultimamente dato che questi test si sono dimostrati facilmente aggirabili con le tecnologie più avanzate Google tramite il suo CAPTCHA denominato “No CAPTCHA reCAPTCHA” e le sue successive evoluzioni ha introdotto un nuovo test meno invasivo per l’utente (molte volte basta solo spuntare la casella “non sono un robot” o anche non fare nulla)attraverso il quale il programma è in grado di acquisire una serie di informazioni tecniche (indirizzo IP, cookie, ecc.) e comportamentali (movimento del mouse, tempo impiegato per rispondere) sufficienti per riconoscere con sufficiente grado di affidabilità se l’utente è umano o è una macchina (bot).