|
La sicurezza degli acquisti su Internet
di Riccardo Cassanese 
Uno dei timori principali quando si effettuano acquisti su Internet e' quello di subire il “furto” del numero della propria carta di credito e conseguente uso fraudolento dello stesso. Quando si inviano dati in Rete, la trasmissione passa attraverso numerosi nodi (router e server), un esperto di informatica puo' “posizionarsi” in uno di questi nodi e cercare tutte le sequenze di sedici cifre le cui prime quattro cifre siano quelle tipiche delle carte di credito; per evitare questo rischio bisogna criptare le sequenze di numeri trasmessi.
Sul finire degli anni settanta e' stato inventato un metodo che, tuttora pare non sia attaccabile; e' un algoritmo di criptazione conosciuto con la sigla RSA sviluppato dai professori Rivest, Shamir e Adleman. L'idea e' quella di avere due chiavi, una pubblica ed una privata; la chiave pubblica e' utilizzata da un software per criptare i dati che possono essere ritrasformati nella sequenza originale solo avendo la chiave privata.
Utilizzando l'algoritmo RSA la Netscape Communications ha introdotto sul mercato il protocollo SSL (Secure Socket Layer); questo protocollo e' ora il piu' utilizzato in Rete per l'invio di dati sensibili. Quando l'acquirente si collega ad un sito sicuro, riceve dal server la chiave pubblica; il browser, sia esso Explorer o Netscape, provvede a trasformare le sedici cifre della carta di credito in una sequenza alfanumerica irriconoscibile e a inviarla nuovamente al server che la decodifica con la chiave privata. Tutto questo presuppone l'essersi collegati con un sito sicuro che supporti il protocollo SSL (Secure Socket Layer); per verificarlo si deve guardare nella barra degli indirizzi del proprio browser, si notera' che l'indirizzo della pagina non inizia con il classico “http://” ma con “https://”; inoltre nella barra in basso e' presente un lucchetto chiuso.
Come riesce il nostro browser a riconoscere un sito SSL autentico? Non e' difficile utilizzare una falsa chiave pubblica di codifica; chiunque potrebbe simulare una cifratura dei dati per convincerci a comunicare il nostro numero di carta di credito. Per evitare un simile rischio il sistema SSL si basa sui Certificati di autenticita', garantiti da firma digitale ed assicurati da aziende note a livello mondiale come la Thawte e la Verisign; quando ci colleghiamo ad un sito protetto il nostro browser e' in grado di richiedere a queste autorita' certificatrici l'autenticita' degli algoritmi di cifratura proposti.
Prima di effettuare un acquisto e' consigliabile fare un doppio click sul “lucchetto” presente sul nostro browser; in questo modo otterremo informazioni sull'azienda che ha richiesto il certificato, quella che l'ha rilasciato e la sua data di scadenza.
Questo sistema presenta un rischio, volendo rubare il numero di una carta di credito basta “bucare” il sistema del venditore il quale conserva in chiaro i dati relativi ai propri acquirenti, non e' necessario posizionarsi in uno dei nodi di scambio dati ma semplicemente prelevare i numeri delle carte di credito dal database in cui sono conservati; per evitare questo rischio il venditore dovrebbe evitare di conservare i numeri delle carte di credito in proprio e rivolgersi a societa' specializzate.
Il potenziale compratore non ha la possibilita' di sapere in che modo saranno conservati i propri dati; per questo motivo il consiglio, prima di un acquisto su Internet, e' di comportarsi in modo analogo a come faremmo in un qualsiasi acquisto nella vita di tutti i giorni; difficilmente entreremmo in un negozio senza insegna, dall'aspetto scalcinato. Ribaltando il discorso su Internet un sito poco curato nella grafica, che non abbia dietro un'azienda reale, con una sede, un indirizzo ed un numero telefonico di riferimento e' sicuramente da evitare. Nel dubbio e' sempre meglio controllare l'esistenza dell'azienda con una telefonata.
Per evitare che dati importanti, come i numeri delle carte di credito, vengano conservati da aziende con sistemi informatici non a prova di furto alcune importanti societa' operanti nel campo informatico ed economico: VISA, MasterCard, Microsoft, Netscape e IBM hanno definito nel 1995 lo standard SET (Secure Electronic Transaction); il compratore, in possesso di una carta di credito SET, richiede un certificato digitale presso una societa' specializzata, lo installa sul proprio browser il quale lo utilizza per tutte le transazioni. In questo modo il venditore non conosce il numero della carta di credito ma ha solo la conferma da parte dell'istituto di credito della solvibilita' del compratore.
In conclusione, il modo migliore di fare shopping on-line e' imparare a valutare la controparte e conoscere poche elementari regole di sicurezza (lasciando da parte discorsi complessi sui sistemi di cifratura, wallet e certificati di autenticita').
|
Tutto il materiale ©2000-2001 Il Laboratorio