Vai al contenuto principale

Quanto sono sicuri i siti delle banche italiane ?

Serie di chiavi colorate
Sicurezza, mezza bellezza

Le banche sono considerate molto sicure, se così non fosse nessuno affiderebbe loro i propri soldi. Non posso giudicare la loro sicurezza fisica, ma quella online è abbastanza facile. Ispirato dal noto Troy Hunt, che si pone la stessa domanda sulle banche australiane ho deciso di fare una piccola ricerca sulla sicurezza dei siti della maggiori banche italiane, come individuate da Wikipedia.

Per farlo useremo un servizio fornito da Qualys per controllare la sicurezza delle configurazioni TLS/SSL. In sostanza esso si connette al sito richiesto diverse volte, ogni volta indicando di essere un sistema diverso, ad esempio IE6 o un iPhone e poi giudica la sicurezza della risposta ottenuta. Ovverosia controlla se sarebbe possibile compromettera la cifratura scelta e con quali conseguenze.

Iniziamo subito con un problema, alcune banche reindirizzano i clienti che accedono al proprio conto ad un dominio differente rispetto a quello ufficiale, per cui se avessi testato unicamente quello avrei probabilmente ottenuto una lunga sfilza di F. Pertanto ho scelto di controllare il dominio a cui ci si collega per accedere al proprio conto. Questo è comunque un problema di cui parleremo più avanti. A parte Unicredit, che bizzarramente ha un sito "di presentazione" più sicuro di quello usato dai clienti per accedere ai propri conti (grado B invece di C).

Sicurezza dei siti delle banche italiane
Cosa significa tutto ciò

Al di là dei voti, cerchiamo di capire cosa significano esattamente alcuni termini.

Benché il protocollo sia popolarmente chiamato SSL l'uso di SSL è scoraggiato e dovrebbe essere sostituito con TLS. Infatti la maggiora parte delle volte le persone usano TLS. Il problema è che alcuni vecchi browser supportano solo, al massimo, SSL 3, da cui la volontà di alcuni amministratori di mantenere il supporto per SSL 3. In particolare, la mera presenza di SSL 3 permette l'attacco POODLE, che consente di forzare un browser sicuro ad usare il protocollo insicuro SSL 3.

RC4 e SHA1 sono algoritmi usati di cifratura e hashing, rispettivamente, molto usati, ma ormai considerato insicuri.

(Perfect) Forward secrecy è una caratteristica di alcuni protocolli di garantire la sicurezza delle singole comunicazioni, passate, anche nel caso in cui, in futuro, le chiavi principali fossero rubate. Immaginate un ferramenta che vi fa la chiave di casa, ma poi voi vi aggiungete un pezzo, che rende impossibile al ferramenta farne una seconda.

Se il voto della vostra banca è basso non significa che dovete correre a mettere i vostri risparmi sotto il materasso (a meno che non sia F, probabilmente).

PFS è meglio averlo, soprattutto per siti che si occupano di comunicazioni, ma nel caso di una banca la sua assenza non è un problema eccessivo. Non è che qualcuno vi possa derubare nel passato.

L'uso diffuso di TLS_FALLBACK_SCSV, per mitigare POODLE, indica che esiste una buona attenzione alla sicurezza, come ci si aspetterebbe, e che taluni problemi potrebbero essere dovuti alla notoria reticenza di molte persone ed aziende italiane (ie. clienti) ad aggiornare i propri computere e software. L'unico aspetto veramente preoccupante è il continuo uso di RC4. É vero che potete disattivare RC4 sul vostro browser, in modo che nessuno lo possa utilizzare, ma vostra madre saprà fare altrettanto ?

Il rischio dei molti reindirizzamenti

Alcune banche reindirizzano alla versione insicura chi tenta di collegarsi al sito sicuro. Altre, come Banco Popolare o BNL hanno addirittura lasciato scadere il certificato della versione sicura o non ne hanno uno.

Credo ciò sia dovuto ad esigenze commerciali, vale a dire, il sito principale esiste per trasformare i visitatori in clienti e quindi traccia gli stessi come qualsiasi altra attività commerciale, mentre il sito per i clienti, semplicemente, serve i clienti. Indubbiamente ci saranno anche delle considerazioni derivate dalle differenti infrastrutture, dato che molte di queste banche sono gruppi che controllano altre banche.

Un altro problema è che molte banche italiane reindirizzano i propri clienti a domini differenti rispetto a quelli ufficiali quando un cliente tenta di accedere al proprio conto.

La cosa è importante perché allena i clienti a non dare peso al dominio a cui sono collegati. Questo aumenta i rischi per il cliente. Rischi a cui la banca solitamente fa attenzione, quando vi manda un email in cui vi avvisa di fare attenzione al sito a cui vi collegate e non cliccare i collegamenti sospetti nelle email che ricevete. E poi vi allena a collegarvi ad un dominio non ufficiale. Geniale.

Esiste il rischio che qualcuno intercetti la richiesta fatta al sito commerciale, insicuro, e la reindirizzi ad un dominio differente, controllato dal criminale stesso. Immaginate l'uso normale a cui i clienti sono stati abituati:

  1. ti connetti al sito bancaufficiale.it
  2. premi il pulsante "accedi"
  3. questo ti reindirizza al sito https://login.gruppobancaufficiale.net per accedere al tuo conto

Questo iter è facile da trasformare in:

  1. tenti di connetterti al sito bancaufficiale.it
  2. la richiesta viene intercettata da un criminale che sostituisce semplicemente il collegamento del pulsante "accedi"
  3. premi il pulsante "accedi"
  4. questo ti reindirizza al sito https://login.gruppobancaufficale.net per accedere al tuo conto

Avete notato la differenza ?

É vero che le banche possono usare altri mezzi per mitigare questo rischio, ad esempio di token o one-time password, ma il rischio esiste e sarebbe facilmente superabile.

Conclusione

Le banche italiane sono generalmente sicure di per sè, a parte alcuni casi disperati, ma la complessità dovuta alle necessità commerciali di ogni attività d'impresa le rende più rischiose di quello che ognuno vorrebbe.

Pubblicazione