Migliaia di server non sicuri in siti web popolari
Più della metà dei server web permettono ancora l'uso di chiavi RSA insicure. Allo stesso tempo, la revoca dei certificati è ancora problematica. Inoltre, quasi ovunque ci sono ancora server vecchi e raramente aggiornati. Queste vulnerabilità sono spesso abusate per campagne di phishing.
Il Relazione sulla telemetria TLS 2021 di F5 Labs, un fornitore di soluzioni di sicurezza e cloud, ha esaminato 1 milione di siti web tra i più importanti del mondo. Secondo lo studio, gli aggressori stanno usando sempre più spesso Transportation Layer Security (TLS) a loro vantaggio nelle campagne di phishing. TLS, noto anche come Secure Sockets Layer (SSL), è un protocollo di crittografia per la trasmissione sicura dei dati su Internet, quindi il suo abuso è comprensibilmente ancora più grave. Più della metà dei server web permettono ancora l'uso di chiavi RSA insicure.
Server insicuri dietro siti web importanti
Inoltre, secondo F5 Labs, le nuove tecniche di fingerprinting sollevano domande sulla proliferazione di server malware che si nascondono in siti web chiave. "Più che mai, sia gli stati nazionali che i criminali informatici stanno cercando di aggirare la crittografia forte", ha detto David Warburton, senior threat research evangelist di F5 e autore dello studio. "Dati questi rischi pervasivi, non è mai stato così importante usare configurazioni HTTPS forti e aggiornate. Questo è particolarmente vero quando si usano i certificati digitali di vari servizi".
Due passi avanti, un passo indietro
Secondo F5 Labs, il protocollo TLS 1.3, più veloce e più sicuro, è sempre più utilizzato. Per la prima volta, TLS 1.3 era disponibile per la maggior parte dei server web sul Lista Tranco Top 1M il protocollo di crittografia scelto. Quasi il 63% dei server ora preferisce TLS 1.3, così come oltre il 95% di tutti i browser utilizzati attivamente. Negli Stati Uniti e in Canada, anche fino all'80% dei server web usano TLS, mentre in Cina o Israele è solo il 15%.
Il DNS Certification Authority Authorisation (CAA) può prevenire l'emissione fraudolenta di certificati. Dal 2019 (1,8 % di siti web) al 2021 (3,5 %) mostra un aumento significativo dell'uso, ma rimane a un livello molto basso. Preoccupante è anche il fatto che mentre quasi tutti i server nella top list preferiscono accordi sicuri a chiave Diffie-Hellman, il 52 per cento dei server permette ancora l'insicuro scambio di chiavi RSA menzionato all'inizio.
Inoltre, le analisi di F5 Labs hanno dimostrato che i metodi di revoca delle chiavi sono quasi completamente inutili. Pertanto, le autorità di certificazione (CA) e i produttori di browser vogliono sempre più passare a certificati a brevissimo termine. Revocare un certificato rubato è molto più facile se scade comunque tra qualche settimana. Attualmente, la durata di vita più comune dei certificati è di 90 giorni, che si applica a poco più del 42% di tutti i siti web.
Aumento dei rischi per la sicurezza
Il numero di siti di phishing che utilizzano HTTPS con certificati validi è aumentato dal 70% nel 2019 a quasi l'83% nel 2021. Circa l'80% dei siti web maligni provengono solo dal 3,8% dei provider di hosting. I phisher preferiscono Fastly, seguito da vicino da Unified Layer, Cloudflare e Namecheap.
I marchi più frequentemente spoofati negli attacchi di phishing sono Facebook e Microsoft Outlook/Office 365. Allo stesso tempo, le credenziali rubate da questi siti hanno un grande valore, anche perché molti altri account li usano come identity provider (IdP) o come funzione di reset della password. F5 Labs ha anche scoperto che le piattaforme di webmail sono imitate quasi altrettanto spesso di Facebook per effettuare attacchi di phishing, al 10,4 per cento.
Fonte: F5 Labs
