Sicurezza
March 20th, 2008
Ogni modello operativo deve contenere dei componenti che si occupino della sicurezza. Dovrebbero come minimo includere una sessione Wireless Transport Layer Security (WTLS), e una codifica dei dati, almeno per il trattamento dei numeri di carta di credito.
Deve essere previsto anche un controllo veloce dei numeri di carta di credito, che può evitare almeno in parte gli abusi, ed è particolarmente importante se la transazione riguarda beni in formato digitale di cui l’utente può effettuare immediatamente il download. Possibilmente, dovrebbe essere incluso un protocollo di sicurezza comparabile al Secure Electronic Transaction (SET), che offre in più il vantaggio che il venditore non viene a conoscenza del numero di carta di credito dell’acquirente. Questo fa sì che i rischi per i clienti siano molto minori, sia dal punto di vista dei comportamenti scorretti dei commercianti, che da quello delle conseguenze di eventuali falle nella sicurezza dei loro sistemi.
Sarebbe poi opportuno che il venditore firmasse digitalmente tutte le sue pagine. Questo aspetto è quasi sempre completamente trascurato nelle esperienze di mobile commerce e commercio elettronico che si possono incontrare finora. È però di primaria importanza che l’acquirente abbia la garanzia di essere effettivamente collegato con il venditore. Questa non è affatto una rassicurazione eccessiva, se si considera che la maggior parte degli attacchi degli hacker ai siti Internet non consiste in una effettiva penetrazione all’interno dei server, quanto in un re-indirizzamento del traffico verso altri siti. Inoltre la codifica e la firma dei messaggi che hanno dato origine alla transazione possono essere anche usate per garantire che il prezzo, la quantità e l’identità stessa del bene non siano cambiati dopo l’acquisto.
La problematica della sicurezza è riemersa prepotentemente in seguito agli attacchi che alcuni hacker hanno recentemente messo a segno contro i siti Web di diverse imprese. Ad esempio, è stato impedito l’accesso a Yahoo! per oltre tre ore. Più preoccupante quello che è accaduto a RealNames, dove un hacker è riuscito ad introdursi nel sistema di back-office e a rubare oltre 15.000 numeri di carte di credito.
Questi eventi sembrano mettere fortemente in dubbio la sicurezza della rete. In realtà , quello che emerge è la sconcertante sottovalutazione del problema da parte di molte imprese. Tutte le aggressioni che si sono verificate hanno infatti impiegato tecniche che sono ormai ben note, e per cui sono ben note anche le contromisure, tanto da far dire a qualcuno che le cause dei problemi avuti non vanno addebitate agli hacker, quanto alla cattiva configurazione dei sistemi. Il problema va ricercato nel fatto che alcune imprese ritengono accettabile un certo livello di insicurezza, dato che la chiusura delle falle del sistema può rivelarsi molto costosa. Ad esempio, è in circolazione un programma (eBayla) in grado di ottenere gli user name e le password degli utenti del sito di aste eBay. Nonostante le specifiche del programma siano disponibili in rete, eBay non prevede di prendere alcun provvedimento, ritenendo che i costi derivanti dalla correzione e dalla perdita di funzionalità maggiori di quelli derivanti dal rischio. Questo atteggiamento non è del tutto condivisibile perché, anche se nel breve periodo può portare ad un risparmio e quindi ad un maggior guadagno, nel lungo periodo rischia di minare la fiducia della clientela.
Leave a Reply