La seconda analisi del CERT-AgID sugli aggiornamenti del protocollo HTTPS e dei CMS sui siti della Pubblica Amministrazione, effettuata a distanza di poco meno di un anno dalla prima, mostra risultati incoraggianti. Sono decisamente di più i portali che utilizzano il protocollo sicuro HTTPS, mentre ci sono ancora degli sforzi da compiere sull’aggiornamento dei CMS.
Indice degli argomenti
Siti della PA: dettagli sui test del CERT-AgID
Come previsto nel Piano Triennale per l’informatica nella Pubblica Amministrazione 2020-2022, il CERT-AgID ha quindi effettuato una nuova rilevazione al fine di monitorare il corretto utilizzo del protocollo HTTPS e dei livelli di aggiornamento delle versioni dei CMS nei portali istituzionali della PA.
Al fine di aumentare il livello di sicurezza informatica dei portali istituzionali (OB.6.2) sono stati stabiliti dei target annuali per gli anni 2020, 2021, 2022. Nel 2020 doveva essere definita una baseline di portali istituzionali caratterizzati da utilizzo esclusivo del protocollo HTTPS e dall’impiego di CMS non vulnerabili. Nei due anni successivi, si poneva invece l’obiettivo di un incremento rispetto alle due baseline rispettivamente del 25% nel 2021 e del 75% nel 2022.
Per la verifica dei siti della Pubblica Amministrazione, il CERT-AgID ha utilizzato l’Indice PA (IPA), nel quale, tuttavia, è opportuno ricordare come non siano presenti tutti i siti della PA.
Il punto sull’implementazione del protocollo HTTPS
Sono stati 19.130 i domini correttamente testati per la configurazione HTTPS nel 2021, mentre nel 2020 erano stati 20.018.
CERT-AgID ha stabilito 4 livelli di voto:
- Senza HTTPS – Il sito non supporta SSL/TLS.
- Grave – Il sito supporta SSL/TLS ma la sua configurazione lo rende aggirabile (ad esempio se ha un certificato non valido).
- Mal configurato – Il sito supporta SSL/TLS ma ha configurazioni non considerate idonee dalle buone pratiche moderne o addirittura deprecate. Attaccanti con le necessarie risorse o ben intenzionati potrebbero degradare la sicurezza del canale.
- Sicuro – La configurazione è ritenuta accettabile per gli standard attuali.
Tenendo a mente questi 4 criteri, si nota un netto miglioramento per quanto riguarda i siti definiti sicuri, che sono più che raddoppiati, passando da 1.766 a 4.149, con un salto, quindi, da un 9% nel 2020 a un 22% nel secondo monitoraggio.
È dunque aumentato l’impiego di ciphersuite PFS e del protocollo TLS 1.3, che, tra i siti sicuri, raggiunge una percentuale del 40%, mentre sul totale si attesta leggermente sotto il 9%, indicando chiaramente la direzione da seguire per ulteriori miglioramenti.
I portali senza HTTPS sono diminuiti da 445 a 340, con un calo del 25% circa in termini assoluti, mentre la percentuale sul totale è rimasta sostanzialmente invariata rispetto all’anno precedente.
I siti con gravi problemi di sicurezza vedono un trend in netto miglioramento, grazie ad una diminuzione del 14%. Nel primo monitoraggio, il 67% dei siti testati era risultato gravemente insicuro.
Rimane stabile, invece, la situazione dei siti mal configurati, con il 22% circa dei siti testati che supportano configurazioni deprecate o obsolete, ma è positivo il calo dell’utilizzo di protocolli TLS 1.0 e 1.1, che scendono all’incirca di 2.500 unità l’uno.
Il redirect da HTTP a HTTPS è stata la misura scelta nella maggior parte dei casi per ottenere il miglioramento degli standard di sicurezza, ma si è fatto anche largo uso della correzione del certificato, cessando quindi l’uso di quelli precedenti, non più validi.
L’uso di CMS non aggiornati rappresenta una minaccia
La verifica di CMS non è semplice, perché ce ne sono di tanti tipi diversi e vengono aggiornati spesso, senza peraltro avere una modalità standard di pubblicazione del proprio stato, né liste ufficiali, magari degli aggiornamenti dei produttori.
Ci sono, in aggiunta, delle protezioni (plugin di sicurezza) che hanno la funzione di rendere i CMS non riconoscibili per contrastare dei sistemi di scansione automatica e in particolare rimuovono di default la versione del CMS. Gli analisti del CERT-AgID hanno quindi sviluppato uno strumento che utilizza la libreria WAD del CERN.
L’utilizzo di CMS non aggiornati rappresenta una minaccia perché è tra le falle di sicurezza più utilizzate dai cyber criminali per colpire i propri obiettivi.
Lo sviluppo e la manutenzione di molte piattaforme CMS sono open source, quindi non c’è qualcuno preposto a scoprire vulnerabilità e a correggerle per tempo, ma è la comunità di utilizzatori, di sviluppatori o di hacker etici a dover testare i siti e segnalare i problemi.
Non è difficile identificare le falle e, una volta scoperte su un sito che sfrutta un certo CMS, si può facilmente replicare un attacco su tutti i siti realizzati nello stesso modo. I CMS, inoltre, utilizzano plugin, temi, moduli, a loro volta semplici da aggredire con tecniche come il Cross Site Scripting (XSS), il DDoS o la SQL injection.
Il rapporto conferma che il CMS più diffuso è WordPress, utilizzato in più del 50% dei casi valutati (4490 siti), seguito a distanza da Joomla (2248 siti) e, ancora più indietro, Drupa (con 801 siti), poi gli altri. Alcuni CMS che erano stati identificati nel primo rapporto non sono stati più rintracciati. È il caso di XOOPS, Orchard CMS e PHP-Nuke.
I siti CMS correttamente testati ammontano a 17.203 rispetto ai 20.018 del primo monitoraggio.
La situazione generale è meno positiva di quella dei portali HTTPS: i siti con CMS in versione aggiornata sono passati dal 13,7% del totale all’8,3%, come sono aumentati dell’11% i siti con CMS sicuramente non aggiornati.
Il CERT-AgID, nel rapporto, avvisa che solo la metà dei siti ha un CMS rilevato dallo strumento di scansione utilizzato e che potrebbero essere stati esclusi dal test “i siti che fanno redirect verso nuovi domini”, dunque potrebbe esserci stata una parziale alterazione dei risultati.
Conclusioni
Una valutazione della sicurezza dei siti della PA sulla base di test sull’impiego di HTTPS e CMS costituisce sicuramente un’ottima base di partenza per procedere con continui miglioramenti.
Se l’utilizzo del protocollo HTTPS, correttamente configurato, è ormai un requisito di base, la messa in sicurezza dei CMS richiede un aggiornamento costante, in automatico o quando viene notificato, avendo l’accortezza di aggiornare anche i componenti aggiuntivi oltre a quello principale.
In generale, il monitoraggio degli analisti del CERT-AgID rivela sia una flessione nella percentuale di CMS aggiornati, sia i netti progressi nell’utilizzo di HTTPS rispetto al primo monitoraggi, segno di un concreto miglioramento della postura di sicurezza dei portali istituzionali.
