Il 2021 TLS Telemetry Report elaborato dagli F5 Labs fa luce sulle criticità insiste nella crittografia Web
Sebbene l’adozione della crittografia Web sia sempre maggiore, la natura flessibile dell’HTTPS e della negoziazione delle suite cipher, combinata con la stagnazione o la recessione in molte aree, sta ostacolando il progresso e mettendo a rischio i siti Web.
Secondo 2021 TLS Telemetry Report realizzato dagli F5 Labs, i laboratori di ricerca di F5, che eseguono regolarmente la scansione di un milione dei principali siti Web nel mondo, oltre la metà dei server utilizzati da questi siti consente ancora l’utilizzo di chiavi RSA non sicure. Allo stesso tempo, la revoca dei certificati rimane problematica e i server vecchi e non aggiornati con frequenza sono visibili ovunque.
La ricerca ha anche rilevato che, per le proprie campagne di phishing, gli hacker stanno imparando a utilizzare sempre di più a proprio vantaggio la Transportation Layer Security (TLS). Allo stesso tempo, nuove tecniche di fingerprinting stanno sollevando molti interrogativi sulla presenza di malware nascosti nei server del milione di siti WEB analizzati.
“Oggi più che mai, sia i governi che i criminali informatici si adoperano per aggirare i blocchi causati dalla crittografia avanzata. A causa di questo rischio sempre maggiore, è divenuto fondamentale focalizzarsi su configurazioni HTTPS solide e aggiornate, in particolare quando i certificati digitali vengono condivisi tra servizi diversi”, spiega David Warburton, Senior Threat Research Evangelist di F5 e autore del report.
“Due passi avanti e un passo indietro”
Gli F5 Labs hanno scoperto che il protocollo TLS 1.3, più veloce e sicuro, sta guadagnando terreno. Per la prima volta, TLS 1.3 è stato indicato come il protocollo di crittografia preferito dalla maggior parte dei server Web nell’elenco Tranco 1M. Quasi il 63% dei server ora preferisce TLS 1.3, così come oltre il 95% di tutti i browser in uso.
I dati, tuttavia, variano notevolmente a livello locale: in alcuni Paesi, come Stati Uniti e Canada, viene scelto per l’80% dei server Web, mentre in altri, come Cina e Israele, solo il 15% dei server lo supporta.
Nel frattempo, i record CAA DNS sull’autorizzazione dell’autorità di certificazione, che possono aiutare a prevenire l’emissione fraudolenta dei certificati, sono cresciuti dal 1,8% dei siti nel 2019 al 3,5% dei siti nel 2021. Gli F5 Labs ritengono che questo dato dimostri un aumento positivo e costante del loro utilizzo ma ancora limitato a pochi siti Web.
Nel 52% dei casi, anche se quasi tutti i server nella top list preferiscono scambi di chiavi Diffie-Hellman sicuri, i server consentono ancora l’utilizzo di scambi di chiavi RSA non sicuri (perché supportati e richiesti dal client).
Inoltre, la ricerca di F5 Labs ha mostrato come i metodi di revoca vengano quasi totalmente superati e questo implichi una crescente richiesta da parte delle autorità di certificazione (CA) e dei browser di adottare in modo progressivo certificazioni con una scadenza molto breve. La revoca di un certificato rubato, infatti, diventa molto meno problematica se questo è destinato a scadere in poche settimane.
Nel report, la durata dei certificati utilizzati più comunemente dai siti era mediamente di 90 giorni, dato confermato dal 42% di tutti i siti.
Rischi in aumento
Dal report emerge anche una preoccupazione crescente rispetto alle attività nascoste dei cybercriminali. In particolare, il numero di siti di phishing che utilizzano HTTPS con certificati validi per apparire legittimi è cresciuto dal 70% nel 2019 a quasi l’83% nel 2021. Circa l’80% dei siti dannosi ora proviene solo dal 3,8% dei provider di hosting.
Facebook e Microsoft Outlook/Office 365 sono stati i brand più falsificati negli attacchi di phishing. Le credenziali rubate da questi siti hanno un grande valore, anche perché molti altri account tendono a fare affidamento su questi come provider di identità (IdP) o per reimpostare la password.
Gli F5 Labs ha anche scoperto che le piattaforme di Webmail rappresentano il target del 10,4% dei tentativi di personificazione, un dato smile a quello dei tentativi di violazione via Facebook. Ciò significa che gli attacchi di phishing contro le Webmail sono tanto comuni quanto quelli contro gli account Facebook.
“È chiaro che, in vista del 2022, dobbiamo prendere coscienza di due fatti fondamentali”, ha aggiunto Warburton. “Il primo è che il desiderio di intercettare, aggirare e indebolire la crittografia non è mai stato così elevato. I criminali informatici lavorano 24 ore su 24 per sconfiggere gli ostacoli dalla crittografia avanzata, alla ricerca di modi creativi per intercettare o acquisire informazioni prima o dopo che siano state crittografate. Il secondo aspetto importante è che le debolezze maggiori non sono legate alle funzionalità nuove che facciamo fatica ad adottare, ma a quelle vecchie che siamo restii a disabilitare. Fino a quando entrambi questi problemi non verranno affrontati in modo più consapevole e diretto, è importante considerare prioritario l’utilizzo di protocolli di supporto, come DNS CAA e HSTS, per garantire che alcune lacune minori nella forza del HTTPS non possano essere sfruttate”.
Lo studio
La maggior parte dei dati di questo studio provengono dalle scansioni Cryptonice dei siti Web più popolari elencati nella Tranco top 1M list, che classifica un milione di domini noti. Il report ha preso in analisi anche i siti di phishing identificati da OpenPhish e il report è stato arricchito con l’analisi dei dati sui client (browser) raccolti da Shape Security per giungere a una comprensione completa di quali siano i browser e i bot utilizzati più frequentemente.