di  -  mercoledì 3 settembre 2008

Ormai Internet ed i servizi che vi si appoggiano sono diventati parte della nostra realtà quotidiana. Le Pubbliche Amministrazioni utilizzano il Web per gestire il rapporto con il cittadino e semplificare, velocizzando le procedure, gran parte della burocrazia, le aziende propongono i prodotti online aumentandone la visibilità, il socialnetworking ha cambiato il nostro modo di comunicare sia nel privato sia nel mondo business/enterprise (basti pensare ai soli blog aziendali).

Ma le maggiori opportunità comportano anche un maggior numero di rischi: i nostri dati viaggiano in forma di bit attraversando i canali telematici dell’intero globo terrestre, spesso a nostra insaputa e senza che si possa ricostruire né l’intero percorso né le macchine in cui vi sia stata conservata la traccia.

rapportoIBM_S1-2008

IBM ha pubblicato poco tempo fa’ una ricerca svolta dal proprio team di Ricerca e Sviluppo X-Force; questi, oltre che occuparsi dei prodotti Internet Security Systems, ha il compito di analizzare anche lo stato della Rete e delle applicazioni, come fanno la maggiorparte delle grandi aziende coinvolte nel settore della sicurezza informatica (TrendMicro, Kaspersky,F-Secure, Symantec ecc.).

I dati, aggiornati con cadenza semestrale, sono a dir poco preoccupanti.
Circa il 94% degli attacchi viene utilizzato a distanza di 24 ore dalla pubblicazione della vulnerabilità (quel che viene chiamato “zero-day-exploit“), prima ancora che venga quindi rilasciata una patch che tappi la falla; un fenomeno reso possibile sia una mancanza di protocolli per la comunicazione e diffusione delle vulnerabilità stesse (di solito comune dove non vi siano politiche aziendali particolarmente rigide e consolidate in merito alle security-policy) sia all’automazione dei processi di bug-tracking utilizzati da cracker e criminali, ormai organizzati in vere e proprie reti, che si scambiano informazioni e fanno affari a nostro discapito (non a caso i dati della provenienza di malware e spam citano in particolar modo Stati quali Russia, Cina e gli stati dell’Est Europa in cima alla classifica, stati in cui la normativa su privacy e digital rights non sono esattamente all'”avanguardia”, per usare un eufemismo).

I tre maggiori vendor, nella classifica sono Microsoft, HP ed Apple e sono responsabili di più del 50% del resto della top10.

A conferma poi dello spostamento delle attività verso il mondo “online”, in particolare con le tecnologie RIA, il browser occupa ormai il 60% delle vulnerabilità sul totale disponibile per quanto riguarda il lato client. Come si può valutare nel grafico postato, l’attenzione dei malintenzionati si è concentrata soprattutto sui plugin dei browser, che offrendo architetture estendibili (come i prodotti di casa Mozilla), si presta a questi pericoli. Ovviamente ci sono pro e contro: feature quali la possibilità di editing HTML/CSS fa felice molti sviluppatori web, ma rende difficile il controllo di tutte le estensioni disponibili a differenza di altri prodotti quali IE o Opera, dove non solo il core ma l’intera applicazione viene controllata e rilasciata solo dalla casa madre.
Il tipo di attacco maggiormente utilizzato pare essere quello denominato SQLinjection; una conseguenza dell’aumento dei dati e dell’utilizzo di database, non sempre configurati ad hoc e con poca attenzione soprattutto riguardo l’aspetto di validazione.

“Da un grande potere derivano grandi responsabilità” diceva Ben Parker e questo invito dev’essere preso in considerazione sia da noi utenti finali, con una maggiore attenzione sia nella configurazione dei propri strumenti per la navigazione e il fruire in generale di risorse online, sia da parte da parte delle software house che non possono mettere in secondo piano, di questi tempi, l’aspetto della sicurezza, perché magari si ha fretta di rilasciare il proprio prodotto.

5 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    Cesare
     scrive: 

    Che dire: impressionante. Sono numeri che fanno paura, e non soltanto a chi si protegge adeguatamente: purtroppo gli effetti ricadono su tutti (vedi spam).

    Il fatto che la maggior parte delle vulnerabilità sia ormai dominio delle estensioni / plug-in (e che la maggior causa sia la famigerata SQLInjection) dimostra la scarsa preparazione di chi li realizza.

    Come ripeto da tempo, c’è troppa gente che è passata troppo velocemente dalla zappa alla tastiera.

  • # 2
    Riccardo
     scrive: 

    Stento sinceramente a credere che la SqlInjection sia ancora tra le vulnerabilità più note… È evidente che sono sempre meno coloro in grado di progettare database, perché basterebbe il solo uso di stored procedures per ridimensionare considerevolemente il problema.

    Il fatto è che, a mio avviso, per i DB ci si affida troppo spesso a pacchetti già pronti, sicché nel momento in cui occorre progettare da zero una soluzione custom si commettono molti gravi errori di design.

  • # 3
    Cesare
     scrive: 

    C’è anche da dire che le stored procedure sono arrivate soltanto nella versione 5 su MySQL, che è uno degli engine SQL più diffusi (purtroppo).

    A completare il quadro c’è PHP, anch’esso molto diffuso (purtroppo 2) che invoglia particolarmente a scrivere codice attaccabile con SQLInjection…

  • # 4
    Jacopo Cocchi (Autore del post)
     scrive: 

    Anche io sn rimasto piuttosto colpito dal dato delle SQLinjection…eppure i numeri parlano chiaro, nell’ultimo anno c’è stato un aumento dal 25 al 40% sul totale degli attacchi (ed è veramente tanto); ero convinto che il Cross-Site-Scripting, anche perché piuttosto semplice da effettuare, fosse il più gettonato.
    Evidentemente come analizzato anche nei commenti gli errori di progettazione del DB sono piuttosto comuni.
    Credo ci sia a volte proprio una mancanza di know-how nella divisione logica delle applicazioni web e quindi si commettano errori ad esempio per quanto riguarda il mapping (che risulta poi attaccabile ad un livello più alto dall’esterno).
    MySQL da quel punto di vista si è messo, in parte, in pari solo ultimamente e considerato che molti servizi di hosting e webapp sono basati su piattaforma LAMP, i problemi sono aumentati purtroppo…

  • # 5
    Riccardo
     scrive: 

    Nella fattispecie non ho usato MySql granché, ma sono molto stupito di sapere dell’introduzione delle SP solo nelle ultime versioni!

    Tra l’altro non sono certo un concetto nuovo: fanno parte addirittura del vecchio standard SQL:1999, e di fatto altri DBMS (SqlServer, Oracle solo per citari i più famosi) ne fanno uso da circa una decina’anni…

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.