Sicurezza informatica: Nimaia collabora alla traduzione dell’aggiornata Top10 di Owasp

14 febbraio 2018

La nostra attenzione e il nostro studio costante nell’ambito della sicurezza non è una novità. Si tratta di un aspetto fondamentale che ci preoccupiamo di conoscere a fondo e trasmettere ai nostri clienti al fine di sfruttare al meglio le potenzialità dei loro negozi online, riducendo al minimo ogni possibile rischio che potrebbe condizionarne l’efficacia.

Una breve premessa per dirvi che siamo molto orgogliosi di far parte del team responsabile della traduzione italiana della nuova Top10 di Owasp.
Owasp è una delle più famose organizzazioni internazionali che coordina gli sforzi per promuovere un software più sicuro ( www.owasp.org/index.php/Main_Page ), e cura l’organizzazione di importanti convegni sulla sicurezza informatica, come quello di Roma avvenuto a giugno 2016, a cui abbiamo partecipato.

Questa Top10 evidenzia esattamente "The Ten Most Critical Web Application Security Risks” (“I dieci rischi più critici in merito alla sicurezza delle applicazioni web”). Si tratta di indicazioni di alto livello, sintesi di un enorme lavoro di raccolta dati che richiede diversi anni per essere portato a termine (tanto che l’ultimo aggiornamento risale al 2013!).

In pratica, tutto questo lavoro di ricerca in ambito di security viene rapportato alla diffusione e all'entità dei danni che ciascun problema può portare e si condensa in questa specie di decalogo che rappresenta l'ABC per chiunque opera nel nostro settore. Non si tratta di un elenco astratto, costruito dai teorici del software, ma di un approccio diametralmente opposto: un enorme lavoro di sintesi effettuato da molte centinaia di soggetti che hanno rielaborato i feedback di vulnerabilità scoperti e corretti di molte centinaia di migliaia di applicazioni, utilizzate da centinaia di aziende, quindi con solide radici in quello che è la realtà del software contemporaneo.


Andando ancor più nel tecnico, si può dire che ci sono alcune cose che rimangono stabilmente al proprio posto, in particolare le PRIME DUE POSIZIONI: 

* “Injection”: ovvero il permettere ad un utente malevolo di iniettare dati che l'applicazione non si aspetta e che producono eventi dannosi.
* "Broken authentication and session management": ovvero la Gestione "allegra" dei sistemi di autenticazione e delle sessioni.

Ci sono però anche alcuni elementi che entrano ed escono dalla classifica, in particolare, e abbastanza sorprendentemente per la verità, cedono il passo le vulnerabilità originate dal Cross-Site Request Forgery (CSRF), che escono (a detta di qualcuno, in modo inappropriato) dalla lista. La stessa lista però non poteva cambiar nome e diventare Top11 (…vulnerabilità(!)), quindi una scelta era inevitabile. Al di là di alcune fusioni e trasformazioni di minore importanza, troviamo tre interessanti new entry, su cui vale la pena soffermarsi un attimo:

1) A4-XXE (Entità XML Esterne): Troviamo per la prima volta inclusi, i rischi legati all'utilizzo di un particolare formato per l'interscambio dei dati (XML) estremamente flessibile, e per questo enormemente diffuso ed utilizzato, in particolar modo per lo scambio di informazioni tra le nuove applicazioni e sistemi "legacy".
2) A8-Deserializzazione dei dati: Un problema che riguarda le cosiddette API, cioè quelle interfacce con cui i diversi componenti di un software dialogano tra di loro. Una conferma del fatto che il futuro del software si gioca nel modo con cui i sistemi sono interconnessi. Sempre più diffuse nel mondo orientato al cloud di adesso e sempre più coinvolte in moltissime applicazioni, incluse quelle che utilizziamo tutti i giorni dal nostro smartphone.
3) A10-Sistemi di Log & Monitoraggio Insufficienti: E’ questa terza new entry che è veramente interessante perché ribalta il punto di vista fino ad ora tutto concentrato su chi sviluppa software, per portarlo dalla parte di chi questi sistemi software li usa. 

E' una sorta di accettazione di quello che in fondo tutti sappiamo: che non esiste un software intrinsecamente sicuro. Quindi è inevitabile tenere alto il livello di attenzione, per verificare come si comporta il software, sul campo. Questo controllo non può essere limitato ai soli operatori del settore, ed è imprescindibile. Vale cioè per qualunque persona o azienda che opera in un qualsiasi settore. 

Stiamo lavorando alla traduzione e…vi terremo aggiornati! State sicuri ;-)

Danilo Stefani

Condividi l'articolo!