May 28, 2015

Analisi sicurezza sito Expo 2015

Dopo aver subito tutta la pubblicità invasiva sull'Expo 2015 mi son detto:
perché non verificare, in modo del tutto legale ed etico, se i vari siti dell'Expo 2015 sono a posto dal punto di vista della sicurezza.

Si scopre facilmente che Expo2015 ha deciso di utilizzare i servizi di Akamai come CDN, scelta che personalmente non condivido.
È Expo MILANO 2015, usare una CDN Italiana, no?

Se ci si prova a connettere al sito principale dell'Expo 2015 mediante il protocollo HTTPS, ovvero https://www.expo2015.org, vedrete il browser darvi un errore in quanto non esiste un certificato valido per quel nome a dominio, ma solo il certificato standard di Akamai.

Com'è possibile che uno non possa visitare in maniera "sicura" il sito dell'Expo 2015?
Inoltre HTTPS è obbligatorio per HTTP/2, e quindi il suo predecessore SPDY, che sono due protocolli che permettono di accedere ai siti internet più velocemente (detto in soldoni) e che sono supportati (o almeno uno dei due) da praticamente tutti i nuovi browser e dai maggiori siti internet (Facebook, Twitter, Google, etc).

Il sito per comprare i biglietti, fortunatamente, utilizza HTTPS, senza però supportare HTTP/2 né SPDY e questo per l'utente significa avere una iterazione col sito più lenta.

Il sito supporta degli "algoritmi di crittografia (cipher)" obsoleti e poco sicuri e non supporta, invece, HTTP Strict-Transport-Security che è una funzionalità che obbliga il tuo browser ad accedere al sito, in maniera sicura, per un determinato periodo di tempo e che quindi impedisce ad un attaccante di poter fare MITM, ovvero di poterti intercettare le credenziali del sito (sempre detto in soldoni). Se volete potete trovare l'analisi completa della configurazione SSL, ovviamente in inglese, del sito dell'Expo 2015 usando sslcheck.

I siti dell'Expo 2015 non supportano neanche l'header X-Frame-Options che è necessario per impedire attacchi di Clickjacking.

Non ho verificato se sono possibili attacchi di tipo XSS (Cross-site scripting), o una analisi più "approfondita", in quanto per la legge italiana è considerato un reato.

Spero che risolvano questi problemi al più presto, che facciano verificare il sito da un team di esperti di sicurezza e che utilizzino dei partner tecnici più affidabili a sicuri (Best Union, il partner di Expo 2015 per il "ticketing" è già stato bucato da Anonymous https://twitter.com/OperationItaly/status/599607756681781249).