«Ma chi vuoi che venga ad hackerare proprio il nostro sito?»
Questa è la reazione di molte persone (indifferentemente singoli cittadini e responsabili di aziende o enti pubblici) che hanno o gestiscono un sito web quando viene segnalata loro l’importanza della sicurezza.
Innanzi tutto, quello che fa gola a chi attacca non è un sito specifico, ma “un altro sito” da aggiungere al proprio carnet per sfruttarlo in seguito o rivenderlo ad organizzazioni criminali come sito zombizzato (stesso discorso vale per i PC infetti, ma non divaghiamo).
In secondo luogo, l’attacco raramente avviene in modo mirato, ma tramite una serie di script e software creati ad hoc che fanno la scansione di un gruppo di siti, non di IP perché lo stesso IP potrebbe ospitare centinaia di virtual host.
A parte le norme di base della sicurezza come nessun default, password e nomi utente difficili da indovinare e costante aggiornamento del software, possono venire in aiuto dei sistemi di auditing.
Indipendentemente dal linguaggio utilizzato, un software esposto al web scritto da qualche anno e mai manutenuto o scritto da persone che non hanno ben presente il concetto di sicurezza del web verrà prima o poi attaccato e sconfitto. È infatti solamente una questione di tempo perché è un sito contro il resto del mondo.
Uno dei pericoli più insidiosi è l’attacco tramite SQL injection e, anche in questo caso, tutti i server SQL sono suscettibili di attacco. Ogni linguaggio di programmazione ha dei sistemi per sanificare l’input, che, assieme a delle buone pratiche di programmazione, permettono di mitigare o scongiurare questo tipo di rischio.
Ci sono vari software per verificare se effettivamente il proprio sito sia a prova di SQL injection, uno di questi è la nuova versione di Havij, la cui versione free è più che sufficiente per testare la gran parte dei siti. Sottoporre il prorpio sito a questo tipo di attacchi simulati potrebbe essere utile sia per imparare come vengono portati questi attacchi, sia come riconoscere a colpo d’occhio un attacco guardando il log, sia per imparare come scrivere un software più sicuro.
Meglio fare questa simulazione di attacco prima che qualcun altro decida di farlo.
3 risposte a “Ma chi vuoi che…”
Quante volte l’ho detto, e quante volte sono stato ignorato…
[…] state sfruttate da dei simpaticoni che hanno spiattellato la falla sulla home page del sito stesso. Tanto chi vuoi che sia interessato al nostro sito! dicono in […]
[…] evitare che questo succeda, ma spesso il programmatore si dimentica di utilizzarle, vuoi perché non pensa che qualcuno possa sfruttare proprio quella vulnerabilità proprio in quella parte di prog…, vuoi perché ha fretta e non ha voglia o tempo di mettere troppi controlli perché il […]