Ma sei sicuro?

Negli ultimi anni ho lavorato quasi esclusivamente su Internet. È un bell’ambiente: si può lavorare con Mac e vendere i frutti del proprio lavoro ai peones che usano un PC. ;-)
Credo che la realizzazione di un sito web puro e semplice sia ormai un lavoro che i tecnici come me debbono lasciare per intero ai grafici specializzati e agli esperti di comunicazione. Lo HTML che scrivo io, a mano, è ancora molto migliore di quello che tirano fuori i programmi come GoLive o DreamWeaver, ma lo HTML oggi fa sempre meno la differenza. Così mi sono dedicato ai siti a valore aggiunto: e-commerce, localizzazione in lingue straniere, motori di ricerca, basi dati, statistiche, sicurezza... ecco, oggi vorrei proprio parlarvi di sicurezza.
Avevo già maturato conoscenze ed esperienze nel campo della sicurezza in rete lavorando alla realizzazione di alcuni siti di commercio elettronico. Una pepita: il commercio elettronico genera il 2% del fatturato europeo della carta di credito Visa... e anche il 47% delle contestazioni. Il problema non è mai del consumatore ed è sempre del venditore, perché in caso di contestazione Visa e i suoi concorrenti assegnano d’ufficio il torto a chi non teneva fisicamente la carta di credito in mano. In una pizzeria questi è il cliente, ma su Internet è il venditore. Soluzioni? Ce n’è, ma non sono certo banali.
Durante l’estate appena trascorsa ho incontrato un cliente che, lavorando nell’alta finanza, mi ha incaricato di proteggere le sue operazioni sulla Rete. Mi sono rimboccato le maniche... e messo le mani nei capelli.
La nostra posta elettronica può venire intercettata e letta con facilità da uno qualsiasi dei computer attraversati lungo la strada. Tenere traccia di quali siti abbia visitato un navigatore della Rete non è banalissimo ma è fattibile, basta posizionare un computer dedicato sulla rete interna del suo provider. Chi visita un newsgroup, magari di quelli a luci rosse, può venire facilmente registrato: poco ci vuole a tenere traccia esattamente di quali messaggi abbia selezionato e scaricato. Se usate Netscape 4.5 per navigare siete alla mercé dei malintenzionati, perché quel browser ha un mucchio di buchi nella sicurezza.
Come succede quasi sempre, l’unica consolazione sta nel fatto che dall’altra parte stanno peggio. Conosco tante persone che usano il PC e che sono rimasti infettati da Melissa quest’inverno e da win.explore.zip quest’estate, senza sapere chi ringraziare...
Se poi siete su Internet non solo come visitatore, ho altre cattive notizie. Se avete un sito, infatti, siete nelle mani del provider che lo ospita fisicamente. Se il server ospitante è una macchina Windows NT tanto vale che vi spariate in un piede, soffrirete di meno. Se è un Mac avete almeno la speranza che i malintenzionati non lo conoscano. Se è una macchina Unix... dipende. In linea di massima, però, un server condiviso (“sito in hosting”) non è mai completamente sicuro, perché il provider deve accettare l’accesso di tutti i suoi clienti e cercare di soddisfare le esigenze di ciascuno: e c’è chi vuole un CGI, chi le FrontPage extension, chi l’FTP anonimo.
Se avete un server vostro (“sito in housing”) dovete fare affidamento sull’abilità del sistemista del provider. Il ciel vi protegga se vi siete messi nelle mani di una di quelle società che punta sui prezzi bassi per conquistare clienti a centinaia.
...stavolta non c’è. Internet, nonostante i suoi vent’anni di vita, è insicura come un’automobile dell’Ottocento. L’unica cosa certa è che starne lontani per paura è la scelta più sbagliata. Buon viaggio a tutti.

---

Luca Accomazzi (luca@accomazzi.net) usa Internet dal 1992, sviluppa siti dal 1995 e ormai non si stupisce più di nulla.