Kiui Blog - I bug nell'attenzione alla sicurezza.

18 giugno 2009

I bug nell'attenzione alla sicurezza.

Conoscete Milw0rm.com?
Ogni giorno su questo sito vengono rilasciati, pubblicamente, exploit in quantità industriale atti a sfruttare vulnerabilità appena scoperte o già conosciute su applicazioni (sia desktop che web based, ma anche per OS o servizi come Web Server, DB, ecc.), al fine di attaccare un sistema per scopi facilmente intuibili. Andate a farvici un giro, così, per farvi un’idea. Velocemente.

Sono partito da qui per fermarmi su un punto, un’affermazione, un po’ banale se vogliamo, ma che richiede, secondo la mia opinione, una riflessione oggettiva e una conseguente presa di posizione: nessuno è al sicuro sulla rete.

Non parlo, ovviamente, dell’utente medio, di chi semplicemente naviga in internet, invia e-mail o aggiorna il suo profilo facebook. Non voglio concentrarmi qui su malware, virus e trojan. Non è questo il luogo.

Vorrei invece mettere a nudo una questione fondamentale: quanta attenzione pongono oggi aziende e sviluppatori nella sicurezza informatica?

Nel ciclo di produzione di un software (per quel che ci riguarda, di una web application), quante energie e risorse vengono impiegate nell’analisi e l’assestamento di possibli vulnerabilità?

Per mia esperienza, purtroppo, ancora troppo poche.

O meglio: troppo poche rispetto al potenziale distruttivo di cui soffrono le vulnerabilità, considerando che anche un ragazzino (script-kiddie), può, dotandosi magari di un OS Linux, utilizzare senza problemi e spesso con risultati ottimi (per lui), il più banale degli exploit, senza alcun bisogno di dover conoscere l’architettura di un’applicazione, tantomeno un linguaggio di programmazione o scripting.

Aldilà di grandi nomi della telecomunicazione, della finanza o della pubblica amministrazione, vi è una spiacevole prassi nelle aziende medio-piccole, per cui, pur di velocizzare i tempi e far contento il cliente, magari riducendo anche i costi, si ignora quasi del tutto l’aspetto sicurezza. Con ovvie ma imprevedibili conseguenze, ed un danno economico e di immagine non indifferente.

E’ coscienza di ogni buon web developer, porre, nel ciclo di sviluppo la giusta attenzione al fattore sicurezza anche mediante l’utilizzo di appositi tool: vi segnalo a proposito WebScarab (free), tool sviluppato in Java e rilasciato dall’OWASP (Open Web Application Security Project), così come lo scanner Nessus (purtroppo a pagamento, ma davvero ottimo), per l’analisi della sicurezza sull’infrastruttura che ospita le web application, o ancora Nmap, un tool unix (free) utilizzabile sia da linea di comando che da una comoda interfaccia grafica, focalizzato sul port-scanning.

E’ prassi obbligatoria seguire gli aggiornamenti e le patch rilasciate per il fissaggio dei bug scovati e, infine, tenersi aggiornati su quali sono i “trend” dei cosiddetti pirati informatici al fine di prevenire possibili attacchi: tecniche sempre più avanzate, che vanno oltre il Cross-Site Scripting (XSS) o la semplice SQL Injection, permettono di ottenere risultati eclatanti, capaci di penetrare il migliore dei sistemi di protezione .

Quindi, sviluppare applicazioni web, farlo bene, non vuol dire solamente funzionalità ed estetica gradevole, user experience avanzata e fuochi d’artificio, ma anche adottare una strategia, durante il workflow di analisi/sviluppo/deploy che ponga la giusta attenzione sulle problematiche relative alla sicurezza, in modo da essere preparati e di saper correre ai ripari, prima che sia troppo tardi.

E sono sicuro, ciò renderà il cliente ancora più felice, anche a scapito di qualche giorno in più di lavoro.

bug , exploit , sicurezza