Sommario dell'articolo
Premetto che questo è un articolo ispirato a tutti i clienti che me lo chiedono e dunque non è la solita robetta complicata per addetti ai lavori che…
Buuu, allora è una fesseria di articolo! Basterebbe scrivere che per avere un sito web sicuro devi un codice alfanumerico a 475 cifre da immettere in una VPN hacker-proof che ti fa rimbalzare il ping in dodici città mondiali diverse per poi passare dal deep web tramite TOR, facendo si che un hacker che ti vuole rubare tutto si ritrovi invece in galera subito dopo aver digitato www!”
Niente di tutto questo (anche perché ho scritto robe a caso). In realtà tutto nasce dal fatto che sempre più persone mi chiedano – prima – se sia possibile avere un sito web sicuro e – solo dopo – quanto verrebbe a costare. La cosa che più mi ha incuriosito sta nel fatto che tale domanda non mi viene posta soltanto da imprenditori ma anche da persone comuni che vogliono aprirsi alla comunicazione sul web, così ho cominciato a chiedere il perché.
Un sito web sicuro e blindato: perché?
Risposte tipiche:
“Avevo un sito web su Wix.com che è stato hackerato e…oddio non le posso dire cosa hanno messo al posto della mia foto!”
Immagino.
“Avevo un sito web fatto dieci anni fa che è stato hackerato e…oddio le non posso dire cosa hanno nella prima pagina! Povera mamma!”
…
“Avevo un sito web fatto pure da poco. Mi è costato 2000 euro, me l’hanno dato dopo due anni e tempo una settimana è stato hackerato e…”
“…ha trovato in prima pagina una roba che non mi può dire , eh?”, mormoro io, mettendo i piedi sul tavolo, accendendo un sigaro e bullandomi della mia esperienza.
A quel punto per la cronaca le reazioni sono due
1) …no, in realtà non c’era più niente, hanno cancellato tutto
oppure
2) …E LEI COME FA A SAPERLO?
…che preannuncia un clima di sospetto per l’ora successiva.
Detto ciò, la richiesta di avere un sito web sicuro è legata a brutte esperienze pregresse e ci sta tutta. Chi ha subito un furto in casa sa bene quanto la voglia di sicurezza, spesso tanta sottovalutata prima del fattaccio (“tanto non è mai successo niente”) sfoci quasi in paranoia, quindi se cambia casa vuole almeno che ci sia la porta blindata.
In più creare un sito è un investimento: vuoi economico (se te lo realizza qualcun altro), vuoi di tempo (se lo fai da solo), quindi nessuno è felice di perdere tutto o di vederlo violato.
Da qui la volontà di condensare in un articolo
- perché dovrebbero attaccare il tuo sito web
- cosa può accadere se viene attaccato
- cosa poter fare per rimediare
ma soprattutto
- i metodi per avere un sito web sicuro.
Ragionevolmente sicuro, quantomeno. Come disse il fabbro che mi montò la porta blindata a casa
“Oh, se vogliono entrare, entrano”.
Allegria. Iniziamo proprio da questo.
Perché dovrebbero attaccare il tuo sito web piccino piccino?
Se hai una bella casa, fai una bella vita, hai una villa in un bel quartiere è logico che qualche malintenzionato possa chiedersi cosa tu abbia dentro essa. Ma un sito web piccolino, fatto da 3-4 pagine nelle quali ti definisci “una giovane e dinamica realtà imprenditoriale leader nel settore che punta alla tradizione e all’innovazione” (cit.), perché dovrebbe essere attaccato? (dove per attaccare intendo un estraneo che prova ad entrare e prendere il controllo…ok ok, volgarmente “hackerare”).
“Perché sono un VIP!”
Seee, ok.
“Perché mi vogliono rubare tutto!”
Certo, se sei Camilleri e tieni le bozze dell’ultimo libro di Montalbano per qualche strana ragione da qualche parte nel tuo sito web è plausibile.
“Mmm…boh! Perché c’è gente brutta e cattiva!”
Sicuramente, ma per statistica non può andare in giro a violare tutti i siti web del mondo (siamo ben oltre il miliardo).
Alcune tra le motivazioni più frequenti
- hai un sito facilissimo da violare (quindi idealmente è come se uno scassinatore alle prime armi facesse le prove su una porta chiusa con una corda, così da allenarsi)
- sei vittima di un attacco dimostrativo per ragioni politiche, oppure mostrare le tue debolezze e magari rimediare ad esse (ricordi “I Signori della Truffa“? Ma non credo sia il tuo caso). Ecco un esempio:
- dai fastidio a qualcuno (motivo per il quale questo blog è stranamente tartassato da continui tentativi di irruzione da parte dei truffatori)
- un tuo concorrente ha pagato per tagliarti le gambe (giuro che c’è chi lo chiede…una volta passai mezz’ora al telefono cercando di convincere uno che voleva farlo a tutti i costi perché aveva un omonimo scomodo…scriverò un articolo in merito, è una storia che merita, soprattutto per come l’ho convinto a non farlo)
- un tuo ex dipendente, al quale avevi dato in fiducia le chiavi del sito, prima di andarsene toglie ogni protezione per ripicca (quindi è come se lasciasse la porta di casa tua aperta, a disposizione del primo che passa)
- qualcuno vuole diffondere software dannoso tramite il tuo sito.
La morale della favola è: se vogliono entrare, entrano. Ma è improbabile che succeda se hai una normale attività e se adotti le precauzioni che scriverò a breve.
Cosa accade a un sito web se viene violato?
Anche qui non c’è un’unica risposta e torno all’esempio dei ladri. C’è chi entra e sfascia tutto, c’è chi va mirato a prendere qualcosa… In realtà per i siti web c’è pure
- chi ti lascia qualcosa, come materiale compromettente che Google trova, pensa sia stato tu a metterlo e per tale ragione ti sega nei risultati della ricerca. Mi capitò un caso del genere facendo una consulenza a una testata online che vide crollare la visite (e quindi gli introiti pubblicitari) da un mese all’altro. Motivo? Un paio di immagini pedopornografiche ben nascoste dentro lo spazio web che ospitava il sito.
- chi ti cambia l’homepage e lascia la propria firma (“Hacked by…”). La versione simpatica di questo caso è quella di chi si firma e scrive sotto un messaggio al proprietario del sito, tipo “Cura un po’ di più la tua sicurezza, pensa a cosa avrei potuto fare se avessi avuto cattive intenzioni“, oppure dà qualche suggerimento (vedi sopra).
- chi ti cambia i link, specie se hanno codici di affiliazione. Capita nei siti di recensioni che campano con le commissioni che i grandi eCommerce gli riconoscono se qualcuno passa dalle loro recensioni prima di atterrare su Amazon, Alibaba etc, come fossero dei procacciatori. In pratica tu procacci, gli altri guadagnano.
- chi installa malware, ossia software maligno con il quale carpire dati sensibili, far apparire pop up pubblicitari (con robe zozze, spesso…povera mamma! cit.) e così via. La moda del momento è quella di sfruttare i PC di ignari utenti come meccanismo di estrazione di bitcoin (in pratica si sfrutta il cervellino del tuo umile computer come un minatore schiavo mandato in miniera).
Ho scritto giusto quattro esempi ma la lista continuerebbe. Il 90% delle volte ti accorgi subito che qualcosa è successo, altre volte te ne accorgi indirettamente, magari col crollo del numero dei visitatori. A quel punto che si fa?
Come poter rimediare se il tuo sito web è stato hackerato?
Hai mai scritto una tesi di laurea o un libro? Oppure tieni forse la contabilità della tua azienda in un file Excel? O, giusto per andare sul sicuro, hai presente la rubrica del tuo cellulare prima di memorizzare tutto nel cloud? Se ne hai un’unica copia e la perdi/ti viene rubata, ti attacchi al tram e cerchi uno spigolo per una sonora craniata.
Nel caso di un sito web la prima parola da imparare è questa: backup, vale a dire una copia completa di ciò che per un motivo o per un altro potresti perdere, ovviamente conservata altrove e magari fatta in automatico per averla sempre aggiornata. Grazie ad essa, puoi ripristinare tutto alla data dell’ultimo salvataggio. Avrai lo shock della scoperta, avrai il tempo perso per sistemare tutto però sarà possibile ed è ciò che conta.
Ovviamente poi scatta la fase due, ossia la ricerca della falla che ha permesso a qualcuno di entrare e fare danno, onde evitare accada di nuovo.
Questa fase due può essere evitata in un unico modo: prendendo sin da subito delle accortezze che aumentino la possibilità di avere un sito web sicuro.
Tre semplici punti per rendere un sito web sicuro
Ce ne sono diversi, dai più semplici ai più complessi, ma basterebbero questi tre per avere plausibilmente un sito web sicuro:
1) Una password come si deve (ma facile da ricordare, con un trucchetto)
Lo so, hai già sentito la solita solfa della password complicata bla bla, sai benissimo che è giusto usarla ma è un po’ come bere due litri d’acqua al giorno: proprio non ce la fai. Vediamo però se possiamo trovare un compromesso che vada bene anche per te.
Del resto, ormai i tentativi di accesso non sono fatti a manina ma utilizzando dei bot automatici. Hai presente nei film quando il criminale deve indovinare il codice a 8 cifre della cassaforte? Si mette là a inserire tutti i numeri da 00000000 a 99999999, tanto prima o poi uno sarà giusto? No, attacca una macchinetta figa e vede le cifre scorrere super veloci fino a che non trova quella giusta. Il bot è un po’ la stessa cosa, dato che prova in modo sistematico decine di migliaia di password e nome utente al minuto.
Ora, mettiamo che devi solo mettere nome utente e password. Il nome utente con buona probabilità sarà il tuo indirizzo email, quindi ci vuole poco a scovarlo e a quel punto servirà solo la password. Questa sarà, nel 90% casi…
- o la tua data di nascita
- o il tuo nome al contrario
- o una parola di 6-8 lettere di uso comune
- o la data di nascita tua e del tuo compagno/a
…o comunque una roba che si indovina in pochi secondi se si usano i sistemi suddetti (non hai visto Mr. Robot?). Oggi quasi tutti provano ad arginare il fenomeno costringendo l’utente a scegliere password complicate (maiuscole/minuscole, simboli, numeri) ed è un’ottima cosa. Peccato che all’utente medio sta roba non vada proprio giù. La vede come dover salire all’ottavo piano, poi scendere al secondo, poi salire al quinto e poi tornare al piano terra – dove si trova il suo appartamento – solo per entrare in casa in modo sicuro. Così, se è costretto a mettere una lettera maiuscola e un numero, metterà la maiuscola all’inizio e il numero alla fine.
Morale della favola:
non puoi avere la botte piena e la moglie ubr…ehm, il sito web sicuro. Una password complicata magari ti annoia, un po’ come mettere la cintura in auto perdendo quei due secondi in più, però allo stesso modo ti può salvare la pelle.
Consiglio: c’è un modo semplice e simpatico per prendere due piccioni con una fava. Non è il massimo ma un buon compromesso. Basta sostituire le vocali con i numeri o i simboli che gli somigliano. Esempio: “pincopallo” diventa “p1nc0p@ll0” (N.B. le “o” si trasformano in zero, le “i” in uno, le “a” in chiocciole etc)
Una buona alternativa per una password complessa ma ricordabile è una lunga frase di senso compiuto. Conosco persino chi ha scritto “seproviaconnettertialmiorouterti…” (inserire verbo volgare a scelta).
2) Sistemi automatici di protezione: li imposti e fanno tutto loro
In pratica sistemi difensivi passivi, l’equivalente per un sito web di ciò che allarmi, grate alle finestre e missili Cruise che escono dal giardino sono per casa tua. Tradotto: tu non devi fare nulla, se non impostarli la prima volta. Ecco qualche idea:
- bloccare in automatico qualunque accesso al pannello di controllo del sito che non sia proprio il tuo. L’equivalente della scansione oculare che si vede nei film. E per bloccare intendo che se uno prova a ricollegarsi al sito viene sbattuto fuori e non lo visualizza nemmeno.
- aggiungere di un codice captcha: oltre a nome utente e password va inserito anche un testo da ricopiare oppure il risultato di una semplice operazione matematica. Per rendere un sito web sicuro è un sistema semplice ma che funziona spesso molto più di altre cose. Non a caso Google stessa ne promuove l’uso.
- impedire l’accesso da parte di chi è dentro una lunga blacklist nota tra chi si occupa di sicurezza, costantemente aggiornata: è un po’ come se avessi un buttafuori con in mano una lista dei visitatori non graditi.
- monitorare in tempo reale eventuali visitatori sospetti e bloccarli: un po’ come avere un sistema d’allarme a casa che ti avvisa se qualcuno sta provando a forzare il cancello, ben prima che entri in casa.
- impedire l’accesso a chi usa nomi utenti banali, vale a dire quelli predefiniti che tutti dovrebbero cambiare ma pochi fanno. Il più diffuso è “admin”, ossia “amministratore”. Non cambiarlo equivale a bussare un citofono qualunque, aspettare che qualcuno risponda “Chi è?”, dire “Il padrone di casa” e sentire il portone che si apre. Non il massimo della sicurezza, no?
3) Limitare l’accesso solo da determinati paesi del mondo
E’ possibile sfruttare dei sistemi automatici che filtrano i visitatori del proprio sito web, rendendolo inaccessibile a chi usa un PC da specifici paesi stranieri. Quindi in teoria potresti fare in modo che il tuo sito sia visibile solo dall’Italia o dall’Europa.
Ogni volta che lo suggerisco durante una consulenza vedo la gente che storce in naso, come se pensasse
“Posso fare entrare solo europei?! E se il sultano Abdul che mi ha scritto stamattina dalla Costa d’Avorio per dichiararmi unico erede della sua fortuna volesse visitare il mio sito come faccio?!?”
Tranquillo, il sultano Abdul capirà.
Il messaggio che provo (faticosamente) a trasmettere è il seguente: se vendi formaggio al dettaglio e non hai un eCommerce, credi davvero che qualcuno dall’Uruguay, dall’India o da Taiwan possa essere interessato a sapere cosa scrivi? Se si, il problema nel bilancio della tua azienda non sta nel sito web. Non sarebbe meglio concentrarti su quelli del tuo quartiere, che possono raggiungere a piedi il tuo negozio e comprare i tuoi prodotti?
Tra l’altro, limitare l’accesso diminuisce statisticamente le possibilità che sistemi automatici provino a violare il tuo sito, quindi vinci comunque.
N.B. E’ possibile far credere che un PC che si trova in India si colleghi dall’Italia, è vero. Tuttavia, se mai dovesse avvenire con le limitazioni geografiche attivate, sarebbe più un sintomo di un attacco deliberato (“Se vogliono entrare, entrano”, cit.) da indagare per scoprirne il movente e il mandante.
Morale della favola: hai già un sito web sicuro…o no?
Se quanto hai letto qui sopra ti sembra arabo, è probabile che il tuo sito web non implementi nessuno di questi sistemi base o solo alcuni di essi. Il mio consiglio è di rimediare prima che sia troppo tardi…Vale un po’ il discorso del
Vabbè, le batterie dei sensori del mio allarme le cambio domani…
…e i ladri vengono quella sera. Anche perché di solito non le cambi davvero “domani” ma “il domani del domani del domani del domani [venti minuti dopo] del domani dell’indomani del furto”.
Contatta dunque chi si occupa del tuo sito web e chiedigli come stai messo a sicurezza del sito. Oppure, se preferisci, contattami per una consulenza per analizzare insieme la tua situazione e trovare il giusto compromesso tra sicurezza e praticità.
Se invece hai dubbi o vorresti approfondire qualche aspetto, lo spazio commenti qui sotto è a tua disposizione.
Commenta