Presentazione Extended summary of "Accept the Risk and Continue: Measuring the Long Tail of Government https Adoption"
1. Extended summary of “Accept the Risk and Continue:
Measuring the Long Tail of Government https Adoption”
ANNO ACCADEMICO 2021/2022
CANDIDATO:
MARCO LO GIUDICE
RELATORE:
PROF ALBERTO BARTOLI
Sudheesh Singanamalla, Esther Han Beol Jang, Richard Anderson, Tadayoshi Kohno, and Kurtis Heimerl. 2020. Accept
the Risk and Continue: Measuring the Long Tail of Government https Adoption. In ACM Internet Measurement
Conference (IMC ’20), October 27–29, 2020, Virtual Event, USA. ACM, New York, NY, USA, 21 pages.
2. Introduzione
• I siti web dei governi dovrebbero essere una fonte affidabile di informazioni in quanto
essi contengono spesso dati sensibili, come informazioni sull’identità, mediche o legali.
• Lo scopo di questo lavoro è verificare il livello di sicurezza di tali siti
• Oggi la comunicazione web più sicura avviene tramite HTTPS
• Si verifica quindi l’uso di HTTPS sito per sito
• Si parte da un elenco iniziale di siti web successivamente ampliato per includere la
«coda lunga» dei siti governativi in tutto il mondo
3. HTTPS
• Protocollo di trasferimento dati criptato attraverso un browser web e un server web
che fornisce una versione sicura del vecchio protocollo HTTP
• Usa il Transport Layer Security (TLS) garantendo agli utenti autenticazione (tramite i
certificati), integrità e riservatezza dei messaggi
• HTTP, senza HTTPS, consente attacchi man-in-the-middle (MITM)
4. Procedimento
• Database iniziale
• Set di dati iniziale: Alexa Million Dataset, Cisco Million, Majestic Million
• Unione dei dataset, filtraggio e deduplicazione per eliminare le copie uguali
• Separazione dei siti web governativi e non governativi tramite un filtro di espressioni regolari
(es.: .gov.codice-paese)
• 27.532 nomi host trovati
• Espansione del dataset
1. Crowdsourcing
2. Scansione dei siti web
3. Ricerca manuale
5. Procedimento
1. Crowdsourcing
• Utilizzo di Amazon Mechanical Turk
• Inserimento fino a sei URL governativi per i paesi che hanno meno di 11 siti che
compaiono nel dataset iniziale
2. Scansione dei siti web
• Creazione di un web crawler che visita ogni sito raccolto finora andando a seguire ogni link
presente all’interno fino a sette livelli di profondità
3. Ricerca manuale
• Ricerca su Google, scansione manuale dei siti già presenti nel dataset, ricerche su siti di
ambasciate straniere
• Al termine di queste operazioni, si dispone di 135.408 nomi host.
6. Risultati
Di 135.408 siti web analizzati,
• 82.152 (60,67%) supportano solo HTTP
• 53.256 (39,33%) dispongono di HTTPS
• Di questi, solamente 38.033 (28,08%) usano HTTPS
senza errori.
7. Errori più comuni
Dei 53.562 siti che tentano di supportare HTTPS, gli
errori più comuni sono:
• Mancata corrispondenza del nome host (36.6%)
• Errori nel recupero del certificato dell’emittente
(24.5%)
• Certificati auto firmati (13.2%)
• Certificati scaduti (5.5%)
8. Certificati non validi
Analizzando i certificati non validi, si notano delle correlazioni tra l’invalidità del
certificato e certe sue caratteristiche
• Utilizzo di chiavi crittografiche
• Chiavi crittografiche a 1024 bit
• Certificati firmati usando MD5 o SHA1
• Riutilizzo di certificati
• Utilizzo errato di certificati wildcard (es.: utilizzo di un certificato valido per *.portal.gov.bd su
tutti i siti del tipo *.gov.bd)
9. Certificati non validi
• Durata del certificato
• I certificati validi vengono generalmente rilasciati per un periodo fisso di 2-3 anni
• I certificati non validi hanno spesso una durata molto più ampia
10. Conclusioni
• Su 135.139 siti web governativi circa il 72% non utilizzano ancora HTTPS, a causa della
mancanza di un’infrastruttura TLS o a causa di una grande varietà di errori sui certificati.
• Gli errori principali consistono nella configurazione errata dei nomi host, certificati
scaduti, riutilizzo di chiavi tra siti che sono ospitati su server diversi, uso di algoritmi
crittografici non sicuri come MD5 o SHA1, certificati auto firmati.
• L’assenza di HTTPS e la presenza di errori nei certificati possono portare a una serie di
potenziali minacce, tra cui:
• Censura
• Manomissione dei collegamenti tra vari siti