Andrea Beggi

Yes, you can have a cheeseburger.

Quanto è sicuro usare la carta di credito online? (parte seconda)

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Abbiamo già visto alcune precauzioni da adottare prima di un acquisto online; riprendiamo il discorso cercando di spiegare in modo semplice le tecnologie coinvolte nelle transazioni sicure. Una volta stabilito che possiamo ragionevolmente fidarci del venditore, una maggiore comprensione dei processi che proteggono i nostri dati riservati può darci una maggiore consapevolezza degli eventuali rischi connessi all’operazione.

La prima cosa importante è essere ragionevolmente sicuri che il nostro interlocutore sia chi dichiara di essere e che il traffico tra il nostro browser e i suoi server sia criptato e al sicuro da malintenzionati. Questa “ragionevole sicurezza” si ottiene tramite l’utilizzo di alcune tecniche di criptazione dei dati che si basano su un certificato digitale rilasciato al venditore da un’ente autorizzato, detto “Certification Authority”.

Cominciamo con il dire che tutte le transazioni che richiedano sicurezza devono essere effettuate utilizzando il protocollo HTTPS, cosa semplicissima da verificare osservando la barra degli indirizzi del browser: invece del solito http://..., leggiamo https://..., il che significa che il browser comunica con il server remoto utilizzando un protocollo più sicuro che crea un canale di comunicazione criptato tra il client e il server attraverso uno scambio di certificati(*), in questo modo entrambi gli attori sono certi dell’identità della controparte e tranquilli che il traffico sia al sicuro da orecchie indiscrete.

Il primo dubbio che dovrebbe venirvi in mente è: “OK, ma come faccio a fidarmi del certificato del venditore? Come faccio a sapere che non è qualcuno che fa finta di essere lui tramite un certificato farlocco?”. L’obiezione è lecita, considerando che un certificato SSL — necessario al funzionamento di HTTPS — si genera in 5 minuti con un server qualsiasi. Dire: “io sono io perché lo dico io” non è sufficiente, è necessario l’intervento di un soggetto super partes che faccia da garante, proprio come fa un notaio che identifica le controparti durante la stipula di un contratto. Quante volte vi è capitato di leggere il messaggio: “Questa connessione non è affidabile” (Firefox), oppure “Il certificato di sicurezza del sito non è affidabile!” (Chrome), o ancora “Si è verificato un problema con il certificato di protezione del sito Web” (Explorer)? Sono tutti casi nei quali il certificato del server a cui vi state collegando non è valido perché non è stato emesso da una authority riconosciuta, oppure è scaduto, o appartiene a un altro server. In tutti queste occasioni è necessario fare la massima attenzione e, in genere, evitare di trasferire informazioni delicate con queste connessioni.

I “notai digitali” che emettono i certificati SSL sono le Certification Authority (CA). Non sono molte, e poche di esse si dividono la fetta più grossa del mercato; ci sono tuttavia molti rivenditori che si appoggiano a queste multinazionali. Le aziende si rivolgono ad esse per ottenere un certificato che viene emesso dopo un iter di controllo che dovrebbe prevenire le richieste fraudolente o illegittime; ciascun certificato ha generalmente una scadenza e vale per un solo server(*), cioè per un singolo URL.

E’ il momento del secondo dubbio: “Come faccio a sapere se una CA è legittima? Dopotutto in 5 minuti posso farmi una CA in casa ed emettere certificati a mio piacimento: cosa distingue, tecnicamente e legalmente, le CA legittime?”. Grazie per avermi fatto questa domanda. :-D. Dal punto di vista normativo sembra non sia affatto semplice diventare una CA, e ogni anno si viene sottoposti a controlli. Dal punto di vista tecnico la cosa è interessante: come l’autorità di cui è investito il notaio deriva dallo stato, le CA vengono verificate… dal nostro browser. Diventare CA significa anche essere inclusi in una lista predefinita di certificati inserita dai produttori (Microsoft, Mozilla, Google, Opera, ecc..) nei loro browser. Tramite questi “root certificates” i browser sono in grado di capire se il certificato è valido e se è stato rilasciato da una CA ufficiale e riconosciuta. Questa “catena della fiducia” fa sì che il browser riconosca come validi i certificati emessi dalle CA riconosciute; e se il browser si fida, ci fidiamo anche noi. In sostanza, se il certificato è valido, possiamo essere ragionevolmente certi che la nostra controparte sia chi dice di essere e che le nostre comunicazioni sono al sicuro perché criptate. Per completezza diamo un’occhiata a uno di questi certificati. Per tutte le connessioni HTTPS il nostro browser ci può mostrare le informazioni, e questo è il certificato di Gmail visualizzato da Chrome:

Per visualizzarlo basta cliccare sul lucchetto a fianco dell’indirizzo. Verifichiamo che il certificato “Garantisce l’identità di un computer remoto”, è valido fino al 19 dicembre 2011 ed è rilasciato da Thawte a Google Inc, Mountain View California Stati Uniti. Thawte garantisce che questo è un server di Google, Verisign garantisce che il certificato rilasciato da Thawte è valido e lecito, e Chrome sa che Verisign ha un “root certificate” valido inserito direttamente nella sua pancia. La ricorsività del fatto che Chrome sia prodotto da Google fa sorridere, ma è incidentale: le info sono le stesse per tutti i browser. (Inoltre Verisign ha sede a Mountain View ed è di proprietà di Symantec: è tutto un magna-magna e c’è pane per i complottisti. :-))

HTTPS e il sistema dei certificati sono una ragionevole sicurezza, ma c’è una ulteriore complicazione: acquistare un certificato non è poi così difficile, dopotutto Godaddy se li vende a 35 dollari l’anno e garantisce solo il server dove viene installato, non l’azienda che lo acquista; per fare anche quello il certificato è più costoso. Per questo ritorniamo alle considerazioni del post precedente: prima di avere una “ragionevole sicurezza” dobbiamo essere certi che: a) la controparte sia degna di fiducia a prescindere dalle questioni tecniche e che possiamo comprare da “www.cosebelle.com”,  b) che l’indirizzo che inserisco nel browser mi porti effettivamente su un server di Cose Belle S.r.l. c) che il certificato sia valido e quindi l’interlocutore verificato e il traffico criptato.

E’ come se decidessimo di acquistare da una ditta, seria, che venga a domicilio: prima la scegliamo, poi ci assicuriamo di fare entrare in casa una persona che sia effettivamente un funzionario autorizzato e non un truffatore con un tesserino falso.

C’è tutta una serie di considerazioni che esulano dagli scopi di questo post e che riguardano la sicurezza dei nostri dati dopo che il venditore li ha ricevuti. Dobbiamo fare un atto di fede che i nostri estremi e i codici della nostra carta di credito vengano conservati con cura e tenuti al sicuro con diligenza, visto che il database clienti è molto più appetibile per un malintenzionato che non la singola transazione. Anche qui, dipende dalla serietà di un’azienda. In ogni caso è difficile essere sicuri anche in altri contesti: siete certi di non aver mai perso di vista la vostra carta di credito durante un acquisto in un negozio o un pagamento al ristorante? Che ne sappiamo di che fine fanno gli scontrini firmati con il numero della nostra carta? Magari un commesso disonesto ha sbirciato le tre cifre del security code, la scadenza e il nostro nome e adesso ha tutto quello che gli serve per compiere un furto. Per fortuna gli istituti di credito hanno alcuni strumenti per prevenire le frodi, anche quelle online: usateli.

Io non so se vi ho spaventato o rassicurato: le cose è meglio saperle per prendere decisioni consapevoli. Il consiglio che vi do è di fidarvi della vostra pancia e dei consigli delle persone che hanno già avuto esperienze con un particolare rivenditore che vi interessi.

Prossimamente: la crittografia spiegata ai profani. Stay tuned.

(*) Ci sono parecchie semplificazioni

(Gli argomenti trattati sono molto delicati, e sono affrontati in forma semplificata senza la pretesa di una esposizione rigorosa. C’è parecchia letteratura in proposito, ed è quella da considerare di riferimento. Wikipedia, dalla quale ho tratto alcuni concetti, è una buona base di partenza per approfondire.)

Tags: , , ,

4 Commenti

Lorenzo | #

Chiarissimo, come al solito!! ;)
Grazie! :)

D | #

A proposito dei root certificates, perché Windows 7 SP1 non “accetta”(*) un root certificate che aggiungo io a mano (affinché il messaggio di avviso del browser sparisca quando navigo il sito della mia Università)?
Grazie.

(*) il root certificate viene correttamente importato, ma poi non si vede nella lista!

francesco | #

Ma non è sempre meglio comprare da quei siti che fanno completare la transazione con carta sul sito della banca o di paypal o di un altro gateway?
A prescindere dalla grandezza del fornitore, o della sua affidabilità, perché lasciare i dati della carta in giro per il web? Il sito di un gw dovrebbe essere più sicuro, almeno più di un sito e-commerce. E comunque le banche i dati delle carte li hanno già, per cui non li stiamo moltiplicando in più siti…
Sony docet!
che ne pensate?

federica P | #

ho appena acquistato 2 biglietti per una partita di calcio e ora mi stanno venendo 1000 dubbi!! posso controllare in qualche modo che la mia carta sia al sicuro e che venga addebitata solo la cifra pattuita?

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>