Durante le consulenze, parlando di siti web per la propria impresa, sempre più persone mi chiedano – prima – se sia possibile avere un sito internet sicuro e – solo dopo – quanto verrebbe a costare.
Nel 90% dei casi, la richiesta di avere un sito internet sicuro è legata a brutte esperienze pregresse e per tale ragione è ovviamente motivata. Chi ha subito un furto in casa sa bene quanto la voglia di sicurezza, spesso tanta sottovalutata prima del fattaccio (“tanto non è mai successo niente”) sfoci quasi in paranoia, quindi se cambia casa vuole almeno che ci sia la porta blindata.
In più creare un sito internet è un investimento: vuoi economico (se te lo realizza qualcun altro), vuoi di tempo (se lo fai da solo), quindi nessuno è felice di perdere tutto o di vederlo violato.
Da qui la volontà di condensare in un articolo
- perché dovrebbero attaccare il tuo sito web
- cosa può accadere se viene attaccato
- cosa poter fare per rimediare
ma soprattutto
- i metodi per avere un sito web sicuro.
Ragionevolmente sicuro, quantomeno.
Perché dovrebbero attaccare il tuo piccolo sito internet?
Se hai una bella casa, fai una bella vita, hai una villa in un bel quartiere è logico che qualche malintenzionato possa chiedersi cosa tu abbia dentro essa. Ma un sito web informativo e semplice, fatto da 3-4 pagine nelle quali ti definisci “una giovane e dinamica realtà imprenditoriale leader nel settore che punta alla tradizione e all’innovazione” (cit.), perché dovrebbe essere attaccato? (dove per attaccare intendo un estraneo che prova ad entrare e prendere il controllo, in gergo “hackerare” o “bucare).
Alcune tra le motivazioni più frequenti
- hai un sito internet facile da violare (quindi idealmente è come se uno scassinatore alle prime armi facesse le prove su una porta chiusa con una corda, così da allenarsi)
- sei vittima di un attacco dimostrativo per ragioni politiche, oppure mostrare le tue debolezze e magari rimediare ad esse. Ecco un esempio:
- dai fastidio a qualcuno (inclusi i concorrenti)
- un tuo ex dipendente, al quale avevi dato in fiducia le chiavi del sito, prima di andarsene toglie ogni protezione per vendetta (quindi è come se lasciasse la porta di casa tua aperta, a disposizione del primo che passa)
- qualcuno vuole diffondere software dannoso tramite il tuo sito.
La morale della favola è: se vogliono entrare, entrano. Ma è improbabile che succeda se hai una normale attività e se adotti le precauzioni che scriverò a breve.
Tre semplici metodi per rendere un sito internet sicuro
Ce ne sono diversi, dai più semplici ai più complessi, ma basterebbero questi tre per avere plausibilmente un sito web sicuro:
1) Una password come si deve (ma facile da ricordare, con un trucchetto)
Lo so, hai già sentito la solita solfa della password complicata bla bla, sai benissimo che è giusto usarla ma è un po’ come bere due litri d’acqua al giorno: proprio non ce la fai. Vediamo però se possiamo trovare un compromesso che vada bene anche per te.
Del resto, ormai i tentativi di accesso non sono fatti a manina ma utilizzando dei bot automatici. Hai presente nei film quando il criminale deve indovinare il codice a 8 cifre della cassaforte? Si mette là a inserire tutti i numeri da 00000000 a 99999999, tanto prima o poi uno sarà giusto? No, attacca una macchinetta figa e vede le cifre scorrere super veloci fino a che non trova quella giusta. Il bot è un po’ la stessa cosa, dato che prova in modo sistematico decine di migliaia di password e nome utente al minuto.
Ora, mettiamo che devi solo mettere nome utente e password. Il nome utente con buona probabilità sarà il tuo indirizzo email, quindi ci vuole poco a scovarlo e a quel punto servirà solo la password. Questa sarà, nel 90% casi…
- o la tua data di nascita
- o il tuo nome al contrario
- o una parola di 6-8 lettere di uso comune
- o la data di nascita tua e del tuo compagno/a
…o comunque una roba che si indovina in pochi secondi se si usano i sistemi suddetti (non hai visto Mr. Robot?). Oggi quasi tutti provano ad arginare il fenomeno costringendo l’utente a scegliere password complicate (maiuscole/minuscole, simboli, numeri) ed è un’ottima cosa. Peccato che all’utente medio sta roba non vada proprio giù. La vede come dover salire all’ottavo piano, poi scendere al secondo, poi salire al quinto e poi tornare al piano terra – dove si trova il suo appartamento – solo per entrare in casa in modo sicuro. Così, se è costretto a mettere una lettera maiuscola e un numero, metterà la maiuscola all’inizio e il numero alla fine.
Morale della favola: una password complicata è noiosa ma necessaria per evitare conseguenze di cui potresti pentirti. E’ un po’ come la cintura di sicurezza, insomma.
Consiglio: c’è un modo semplice e simpatico per prendere due piccioni con una fava. Non è il massimo ma un buon compromesso. Basta sostituire le vocali con i numeri o i simboli che gli somigliano. Esempio: “pincopallo” diventa “p1nc0p@ll0” (N.B. le “o” si trasformano in zero, le “i” in uno, le “a” in chiocciole etc)
Una buona alternativa per una password complessa ma ricordabile è una lunga frase di senso compiuto. Conosco persino chi ha scritto “seproviaconnettertialmiorouterti…” (inserire verbo volgare a scelta).
2) Sistemi automatici di protezione
In pratica sistemi difensivi passivi, l’equivalente per un sito web di ciò che allarmi e grate alle finestre sono per casa tua. Tradotto: tu non devi fare nulla, se non impostarli la prima volta. Ecco qualche idea:
- bloccare in automatico qualunque accesso al pannello di controllo del sito che non sia proprio il tuo. L’equivalente della scansione delle impronte digitali. E per bloccare intendo che se uno prova a ricollegarsi al sito viene estromesso da esso, senza nemmeno riuscire a visualizzarlo come un normale utente.
- aggiungere di un codice captcha: oltre a nome utente e password va inserito anche un testo da ricopiare oppure il risultato di una semplice operazione matematica. Per rendere un sito web sicuro è un sistema semplice ma che funziona spesso molto più di altre cose. Non a caso Google stessa ne promuove l’uso.
- impedire l’accesso da parte di chi è dentro una lunga blacklist nota tra chi si occupa di sicurezza, costantemente aggiornata: è un po’ come se avessi un buttafuori con in mano una lista dei visitatori non graditi.
- monitorare in tempo reale eventuali visitatori sospetti e bloccarli: un po’ come avere un sistema d’allarme a casa che ti avvisa se qualcuno sta provando a forzare il cancello, ben prima che entri in casa.
- impedire l’accesso a chi usa nomi utenti banali, vale a dire quelli predefiniti che tutti dovrebbero cambiare ma pochi fanno. Il più diffuso è “admin”, ossia “amministratore”. Non cambiarlo equivale a bussare un citofono qualunque, aspettare che qualcuno risponda “Chi è?”, dire “Il padrone di casa” e sentire il portone che si apre. Non il massimo della sicurezza, no?
3) Limitare l’accesso solo da determinati paesi del mondo
E’ possibile sfruttare dei sistemi automatici che filtrano i visitatori del proprio sito web, rendendolo inaccessibile a chi usa un PC da specifici paesi stranieri. Quindi in teoria potresti fare in modo che il tuo sito sia visibile solo dall’Italia o dall’Europa.
Ogni volta che lo suggerisco durante una consulenza vedo la gente che storce in naso, come se pensasse che limitare il bacino dei potenziali acquirenti tarpasse le ali alla propria azienda.
In realtà è proprio focalizzare il proprio target in un bacino molto piccolo (ma anche molto interessato al tuo settore) la chiave del successo della vendita di beni o servizi. Se vendi formaggio che si deteriora in giornata, è meglio aprirsi al mercato globale e studiare sistemi costosi di spedizione per mantenerlo mangiabile, magari per un ordine ogni cinque anni, oppure concentrarsi su chi può venire ad acquistarlo a piedi, conquistando un quartiere dopo l’altro?
Tra l’altro, limitare l’accesso diminuisce statisticamente le possibilità che sistemi automatici provino a violare il tuo sito, quindi è sempre una buona prassi.
N.B. E’ possibile far credere che un PC che si trova in India si colleghi dall’Italia, è vero. Tuttavia, se mai dovesse avvenire con le limitazioni geografiche attivate, sarebbe più un sintomo di un attacco deliberato da indagare per scoprirne il movente e il mandante.
Morale della favola: hai già un sito internet sicuro…o no?
Se quanto hai letto qui sopra ti sembra arabo, è probabile che il tuo sito web non implementi nessuno di questi sistemi base o solo alcuni di essi. Il mio consiglio è di rimediare prima che sia troppo tardi.
Leggi, infatti, cosa può accedere se qualcuno dovesse hackerare il tuo sito web.
Contatta dunque chi si occupa del tuo sito web e chiedigli lumi sulla questione sicurezza. Oppure, se preferisci, contattaci per una consulenza, così da analizzare insieme la tua situazione e trovare il giusto compromesso tra sicurezza e praticità.