EXCLUSIV Cyber M: Doar 16,7% dintre site-urile de ştiri monitorizate de BRAT în România au certificat de securitate SSL (HTTPS)

Publicat de

Securizarea site-urilor de ştiri nu este o prioritate pentru instituţiile de presă din România. Un raport BRAT solicitat de Cyber M dezvăluie faptul că doar 16,7% dintre site-urile de ştiri al căror trafic este monitorizat în SATI deţin certificat SSL (HTTPS). Mai precis, 7 din cele 42 de site-uri de ştiri distribuite în 3 categorii. La modul general, din totalul celor 210 site-uri măsurate în SATI, doar 49 oferă o conexiune securizată (23,3%).

Procentele mici nu sunt singurele motive de îngrijorare. Niciun site de ştiri din topul celor cu peste 500.000 de utilizatori unici zilnic NU ESTE SECURIZAT.

O veste bună este totuşi faptul că politica Google de a creşte scorul site-urilor securizate în motorul de căutare a generat, implicit, creşterea procentului de site-uri cu certificat SSL de la aproximativ 5% anul trecut la 23,3% în acest moment.

Toate site-urile monitorizate de SATI, fie că sunt sau nu securizate, adună zilnic aproape 8 milioane de utilizatori unici din toată lumea (inclusiv România). Practic, dintr-o altă perspectivă, 8 milioane de utilizatori care accesează în fiecare zi site-urile monitorizate NESECURIZATE sunt expuşi vulnerabilităţilor de majoritatea publisherilor.

Dacă departamentele IT, administratorii site-urilor, redactorii şefi sau managerii instituţiilor de presă nu conştientizează nevoia securizării unui site care comunică informaţii în spaţiul public, există explicaţii şi argumente care îi pot ajuta să depăşească lipsa de informare pe acest subiect.  Pentru a înţelege mai bine nevoia de HTTPS, mecanismele care stau în spatele acestei denumiri şi modul în care securizarea unui site asigură o serie de garanţii privind securitatea cititorilor, am apelat la specialişti care le explică folosind corelaţii din viaţa obişnuită pentru a fi înţelese mai uşor şi de cele mai non-tehnice persoane.

sabina1De data aceasta, Sabina Alexandra Ştefănescu, membru co-fondator al echipei Security Espresso, explică diferenţa folosirii HTTP şi HTTPS atunci când vine vorba despre accesarea site-urilor pe Internet, dar şi cum oferă siguranţă comunicării pe Internet folosirea HTTPS.



CE ÎNSEAMNĂ CERTIFICAT SSL?

La baza oricărei acțiuni pe Internet stă conceptul de pachet. Când o persoană scrie în browser „http://google.com”, din calculatorul său personal sunt trimise o serie de pachete.

Un pachet este asemănător unei scrisori în plic. Dacă aș vrea să trimit o scrisoare unei mătuși în altă țară, ceea ce ar ajunge la ea ar fi un plic cu adresa mea (expeditorul), adresa ei (destinatarul), timbrul, șampile puse de poștă și câteva foi scrise înăuntru. Structura unui pachet este similară, el fiind format dintr-o serie de headere (headers, in limba engleză) și un payload. Headerele sunt plicul cu informațiile scrise pe el (adrese, timbru, ștampilă) – practic, ele descriu infromații despre pachet. Un pachet are mai multe headere, ca și cum ar fi o scrisoare pusă într-un plic care intră în alt plic ș.a.m.d. Payload-ul este scrisoarea. Este mesajul pe care vreau să îl transmit destinatarului.

Când o persoană scrie în browser „http://google.com”, pachetul trimis de la calculatorul acesteia conține un payload care spune, pe scurt, „dă-mi toată informația de la http://google.com și multe headere care sunt plicurile în care e trimis acest mesaj. Spre exemplu, unul din plicuri descrie cine e destinatarul și cine e expeditorul. Un alt plic descrie cum trebuie transportat mesajul, dacă se dorește un răspuns la el și alte informații utile. De-a lungul drumului până la „http://google.com”, există entități care citesc informațiile de pe plicuri, dar nu citesc și informația din scrisoare. Scrisoarea o citește doar destinatarul de drept.

Totuși, ce împiedică citirea scrisorii? Răspunsul îngrijorător este că, atunci când folosim HTTP, absolut nimic nu stă în calea unei entități care vrea să citească scrisoarea, deși nu îi este destinată.

CARE E DIFERENȚA ÎNTRE HTTP ȘI HTTPS?

„HTTP” este, de fapt, numele unuia dintre headerele pachetului.

HTTP este numele dat unui protocol, adică un set de reguli care descriu ce informații sunt scrise în header (adică pe unul dintre plicuri). Tot HTTP mai descrie și cam cum trebuie formulat payload-ul (scrisoarea din plic) pentru ca destinatarul să înțeleagă cât mai repede și eficient ce informații îi sunt cerute. Setul de reguli face ca toată conversația pe care o poartă browser-ul nostru cu website-uri pe Internet să fie clară, fără ambiguități, astfel încât ambele părți să obțină ceea ce își doresc.

HTTP este un protocol foarte util, fără de care Internetul nu ar mai funcționa la fel. Nu este imposibil să existe un Internet fără HTTP, dar, dacă mâine ar dispărea complet setul de reguli ale protocolului HTTP, ar trebui să reinventăm roata, pentru că nici unul din website-urile existente azi nu ar mai putea să fie folosite.

Mai sus am spus că HTTP este de vină pentru faptul că pachetele pe care le trimitem pe Internet ar putea să fie citite de către oricine. Înainte să vedem de ce, e interesant că protocolul HTTP ar permite și ca o persoană rău-intenționată să modifice conținutul pachetului, adică scrisoarea pe care o trimitem. Deși pe plic ar scrie în continuare că noi suntem expeditorul, textul scrisorii poate fi manipulat astfel încât să pară ca noi înșine suntem malițioși.

Soluția cel mai des citată la problema aceasta, HTTPS, nu este un protocol diferit de HTTP. HTTPS este numele dat unei combinații dintre protocolul HTTP, plus un alt protocol numit TLS (sau, pe numele său mai vechi, SSL). TLS este un alt set de reguli care dictează ce e scris pe un alt plic din pachetul nostru. Este foarte important faptul că plicul HTTP este conținut înăuntrul plicului TLS și nu invers. Una dintre regulile foarte importante ale protocolului TLS este aceea că orice este conținut înăuntrul său este „codat” și nu mai poate să fie citit de nimeni în afara destinatarului de drept.

CUM NE PROTEJEAZĂ HTTPS?

Comunicarea în siguranță pe Internet înseamnă, de fapt, faptul că trei condiții sunt îndeplinite simultan:

1. Entitatea cu care comunicăm poate dovedi că este, în mod sigur, cine credem noi că este.
2. Mesajul pe care îl transmitem nu poate să fie citit de nimeni altcineva decât de entitatea cu care comunicăm.
3. Mesajul pe care îl transmitem nu poate să fie modificat de nimeni, până să ajungă la entitatea cu care comunicăm.

Ultimele două reguli se aplică și mesajelor care ne sunt transmise nouă de către altcineva. În cazul discuției prezente, o entitate poate să fie google.com sau website-ul băncii la care avem un cont deschis. Ar putea să fie Facebook sau un website de știri pe care îl citim zilnic. În toate aceste cazuri vrem ca aceste trei reguli să fie respectate simultan.

HTTPS ne asigură că aceste trei reguli sunt respectate simultan, pe parcursul întregii conversații cu un website de pe Internet care folosește HTTPS. În continuare vom descrie cum reușește HTTPS să respecte aceste trei reguli.

1. TLS (protocolul care, adăugat la HTTP, ne oferă HTTPS) are un set de reguli pentru website-urile care folosesc HTTPS. Aceste website-uri trebuie să folosească un certificat digital semnat. Acesta ar fi echivalentul unui timbru oficial, controlat și emis de serviciul poștal al unei țări. Dacă, după ce am trimis primul pachet (cu „dă-mi toată informația de la https://google.com„), ne vine un răspuns care nu conține un certificat valid (adică are, pe unul din plicuri, un timbru care nu este timbru oficial), browser-ul nostru ne avertizează că acest website nu trebuie vizitat, pentru că poate fi malițios.

SSLwarning

Sistemele de operare de pe calculatoarele, laptop-urile și telefoanele noastre vin cu o listă de autorități ale căror certificate le aprobă. Altfel spus, încă de dinainte să accesăm pentru prima dată Internetul de pe un calculator nou, sistemul nostru de operare știe deja ce timbre va accepta. Noi îi putem spune browserului nostru să accepte certificatul unui website, deși el nu apare în listă, dar ne expunem unui posibil pericol foarte mare. Acestă decizie nu este totdeauna greșită, dar trebuie făcută cu prudență.

2. TLS ne asigură de faptul că doar destinatarul pachetului îi poate citi payload-ul prin faptul că, înainte să trimită pachetul (scrisoarea noastră), codează tot conținutul ei. Este important de știut că plicul TLS este băgat, la rândul său, în alte plicuri, printre care unul care conține inormații despre destinația scrisorii, deci această informație poate fi citită de către oricine. Este necesar ca destinația să fie vizibilă, căci doar așa poate fi transmis corect pachetul către destinatar. Ceea ce nu poate să fie citit este payload-ul (foile scrisorii), care este codat folosind o cheie pe care o are doar destinatarul.

3. Deși nu poate citi conținutul payload-ului (scrisorii), o persoană malițioasă ar putea sa extraga din pachet tot acest conținut codat și să îl înlocuiască cu un conținut care nu înseamnă nimic, ceea ar induce în confuzie destinatarul. TLS ne asigură și de faptul că mesajul nu poate să fie modificat pe drumul către destinatar. Înainte să codeze conținutul payload-ului (scrisorii), TLS introduce, alături de foile cu mesajul nostru, încă un mesaj care este un „rezumat” ilizibil pentru oameni al mesajului. Acest „rezumat” este rezultatul unei operații de hashing. Funcțiile de hashing au o proprietate specială care ne asigură că „rezumatele” a două scrisori foarte similare, cu doar o literă schimbată în tot conținutul lor, sunt foarte diferite între ele. După ce acest „rezumat” a fost introdus, payload-ul (scrisoarea) este codat și impachetat în header-ul (plicul) de TLS. Destinatarul, după ce decodează payload-ul, va face și el operația de a „rezuma” scrisoarea, folosind acelaşi set de reguli. Dacă „rezumatul” nu este identic, este clar că mesajul a fost schimbat și tot pachetul este aruncat.

CUM RECUNOAȘTEM UN SITE CARE FOLOSEȘTE HTTPS?

Orice site care folosește HTTPS va avea o adresă care începe cu https:// .
Exemplu:
CyberM.ro în Google Chrome
cmsecureCyberM.ro în Mozilla Firefox
Mozilla1

Există multe website-uri care pot fi accesate cu o adresă care începe cu http:// (în loc de https://), dar care vor duce în mod automat utilizatorul pe o pagină care începe cu https://. Această acțiune din partea website-ului se numește redirecționare. Spre exemplu, dacă tastăm în browser http://google.ro, vom constata că pagina finală pe care ajungem, unde vedem website-ul familiar Google, are adresa https://google.ro.

secure1Mai mult decât atât, un website care folosește certificate valide (timbre autorizate, pe care browser-ul nostru le recunoaște ca fiind corecte) va face ca, în stânga adresei din browser, să apară imaginea unui lacăt închis.

Subiectul certificatelor SSL este generos, iar modul în care securizarea unui site are impact în viaţa utilizatorilor de internet ne responsabilizează pe toţi să revenim şi cu alte explicaţii în viitor.

 

Surse foto: instantssl.com, slate.com, Google, badssl.com

2 comentarii

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s