Ma chi vuoi che…

«Sicurezza» sulla rampa di Malpensa / «Safety at Malpensa ramp»«Ma chi vuoi che venga ad hackerare proprio il nostro sito?»

Questa è la reazione di molte persone (indifferentemente singoli cittadini e responsabili di aziende o enti pubblici) che hanno o gestiscono un sito web  quando viene segnalata loro l’importanza della sicurezza.

Innanzi tutto, quello che fa gola a chi attacca non è un sito specifico, ma “un altro sito” da aggiungere al proprio carnet per sfruttarlo in seguito o rivenderlo ad organizzazioni criminali come sito zombizzato (stesso discorso vale per i PC infetti, ma non divaghiamo).

In secondo luogo, l’attacco raramente avviene in modo mirato, ma tramite una serie di script e software creati ad hoc che fanno la scansione di un gruppo di siti, non di IP perché lo stesso IP potrebbe ospitare centinaia di virtual host.

A parte le norme di base della sicurezza come nessun default, password e nomi utente difficili da indovinare e costante aggiornamento del software, possono venire in aiuto dei sistemi di auditing.

Indipendentemente dal linguaggio utilizzato, un software esposto al web scritto da qualche anno e mai manutenuto o scritto da persone che non hanno ben presente il concetto di sicurezza del web verrà prima o poi attaccato e sconfitto. È infatti solamente una questione di tempo perché è un sito contro il resto del mondo.

Uno dei pericoli più insidiosi è l’attacco tramite SQL injection e, anche in questo caso, tutti i server SQL sono suscettibili di attacco. Ogni linguaggio di programmazione ha dei sistemi per sanificare l’input, che, assieme a delle buone pratiche di programmazione, permettono di mitigare o scongiurare questo tipo di rischio.

Ci sono vari software per verificare se effettivamente il proprio sito sia a prova di SQL injection, uno di questi è la nuova versione di Havij, la cui versione free è più che sufficiente per testare la gran parte dei siti. Sottoporre il prorpio sito a questo tipo di attacchi simulati potrebbe essere utile sia per imparare come vengono portati questi attacchi, sia come riconoscere a colpo d’occhio un attacco guardando il log, sia per imparare come scrivere un software più sicuro.

Meglio fare questa simulazione di attacco prima che qualcun altro decida di farlo.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “Ma chi vuoi che…”

Spazio per un commento