Sicurezza online: 5 consigli per difendersi dagli hacker

26 ottobre 2016
0 commenti

Solo pochi giorni fa un massiccio attacco DoS ai sistemi DNS di uno dei più grandi provider statunitensi ha provocato il panico su internet: nella sola mattinata di venerdì 21 ottobre, centinaia di migliaia di siti web sono diventati irraggiungibili per molti utenti in Europa, America e Asia. Il problema si è andato intensificando nel pomeriggio, con il lancio di un nuovo attacco. 

Secondo il rapporto Verizon 2016 Data Breach Investigation, hacking, malware e attacchi DoS, crescono ogni anno in media del 15%. Lo scopo principale rimane la sottrazione dei dati personali, in particolare quelli relativi a metodi di pagamento e indirizzi email. È dunque importante pensare a come prevenire questi attacchi, agendo soprattutto sulla tecnologia.  

 

La sicurezza dei siti web

Sempre secondo il rapporto Verizon, un numero molto alto di siti web soffre di almeno una vulnerabilità, dovuta a una progettazione sommaria del sito o, come vedremo più avanti, riconducibile a una vulnerabilità intrinseca della tecnologia. A fare quindi la differenza in molti casi è la consapevolezza di gestori e proprietari dell’esistenza di queste minacce.
In neen, grazie all’esperienza maturata soprattutto sui progetti business critical, abbiamo individuato alcuni degli attacchi più comuni e stilato una checklist utile a individuare le potenziali minacce a cui il nostro sito è esposto.

 

  1. Man in the middle, l’attacco che sfrutta il protocollo HTTP

Il man in the middle, spesso abbreviato nella sigla MITM, è un attacco informatico che sfrutta la trasmissione dei dati tramite il protocollo HTTP. In questa tipologia di attacco, divenuto molto comune soprattutto dopo l’avvento degli access point WI-FI, l’aggressore è in grado di inserirsi tra due client che stanno comunicando, ritrasmettendo o alterando le loro informazioni.

Per proteggersi da questa tipologia di attacchi esistono varie strategie, più o meno complesse. La soluzione più rapida è rappresentata dall’adozione dei certificati SSL, di cui abbiamo già parlato in questo articolo. In sostanza, i certificati SSL consentono alle applicazioni di trasmettere le informazioni in modo sicuro e protetto, tramite l’invio e la ricezione di chiavi di protezione in grado di criptare/decriptare le informazioni.

 

  1. Il punto debole della applicazioni, il cross-site scripting

L’XSS, acrononimo di Cross Site scripting, è una vulnerabilità che consiste nell’inclusione di codice HTML all’interno di una pagina web per effettuare operazioni malevoli quali il prelievo di cookies privati. Questo errore viene generalmente creato in fase di programmazione, dove vengono mostrate sulla pagina web le variabili di contenuto prelevato direttamente da un input dell’utente (ad esempio da una keyword immessa nel motore di ricerca del sito).

I moderni framework se la cavano abbastanza bene nel bloccare la maggior parte degli script malevoli, sono quindi gli applicativi legacy a risentire della maggior parte dei problemi. Uno tra i metodi più efficaci per proteggersi dal cross-site scripting è filtrare gli inuput e gli output delle variabili, in modo che i suddetti caratteri non possano provocare alterazioni o modifiche al comportamento del codice.

 

  1. SQL Injection: attenzione alle query di esecuzione

Come suggerisce il nome questo tipo di vulnerabilità interessa in particolare i database server SQL. In questo caso gli aggressori sfruttano delle stringhe di codice SQL malevole, inserendole all’interno dei campi di input. Una volta penetrati nel back end è quindi possibile per i malintenzionati ottenere dati sul sistema, gestendo i dati a proprio piacimento.

Un aiuto concreto nel prevenire questo tipo di attacchi è rappresentato dall’utilizzo dei WAF, Web Application Firewall, in grado di impedire l’iniezione di query SQL mediante l’applicazione di liste nere in cui sono contenuti schemi di attacco noti, che utilizzano espressioni regolari o tecniche simili. Il WAF è in grado di bloccare la maggior parte degli scanner automatizzati (noti come bot) e fornire contemporaneamente un certo grado di protezione verso gli attacchi generalizzati al database.

Nonostante questo attacco non sia più diffuso come in passato, annovera tra le sue vittime anche grandi aziende come Bell Canada, il Wall Street Journal e il sito di Microsoft UK, solo per citarne alcune.

 

  1. Il Cross-site Request Forgery

Il Cross site request Forgery, abbreviato anche in CSFR o XSRF, è una vulnerabilità tipica dei siti web dinamici progettati per ricevere richieste da un client senza che esso verifichi l’intenzionalità della richiesta. L’aggressore, sfruttando l’autenticazione  di un utente su un particolare sito, inserisce script malevoli nel codice sorgente, mettendolo in condizione di inviare richieste HTTP. Il sistema, avendo la certezza che la richiesta provenga da un utente già precedentemente autenticato la esegue, senza sapere che in realtà la richiesta non è volontaria, ma forzata.
È uno degli attacchi informatici più pericolosi e subdoli perché permette all’aggressore di compiere operazioni al posto dell’utente, come ad esempio acquistare un prodotto nel caso di un ecommerce o cancellare e modificare immagini nel caso di un blog, senza destare grandi sospetti.

Per prevenire questa tipologia di attacchi è consigliabile utilizzare dei token CSRF che intraprendono controlli incrociati sulla volontarietà della chiamata (ad esempio inserendo codici di verifica come conferma delle azioni quali richieste di blog in  modifica della password).  

 

  1. Aggiornare i software obsoleti

Per ultimo abbiamo lasciato un operazione che di buona norma andrebbe sempre effettuata, non solo per il proprio sito web ma anche per i propri dispositivi hardware: l’aggiornamento del software. Aggiornare sempre, o comunque quando se ne ha la possibilità, è uno dei metodi più semplici per proteggere il vostro sito web e gli utenti.

Ricordate infatti che può bastare anche una sola vulnerabilità non patchata a consentire a un utente malintenzionato di compromettere interamente il vostro server. È quindi importante calendarizzare con regolarità le attività di aggiornamento software.

 

Per individuare e prevenire tutte le possibili minacce, neen propone ai propri clienti le attività di Vulnerability e Security assesment.
Si tratta di scansioni e test automatici effettuati direttamente da neen con software dedicati, con l’obiettivo di individuare le vulnerabilità, le configurazioni errate e i punti critici in caso di attacco, attraverso la comparazione delle attuali configurazioni con i database di vulnerabilità note e con le tecniche di attacco comunemente utilizzate. La metodologie utilizzate si basano sulle indicazioni dettate da
OWASP (Open Web Application Security Project) e OSSTMM (Open Source Testing Methodology Manual). Grazie alla valutazione del rischio connesso, è quindi possibile intervenire modificando le configurazioni dei software utilizzati, al fine di migliorare affidabilità e sicurezza dei sistemi.


Per richiedere maggiori informazioni o un preventivo su questo o altri servizi neen scrivi a
sales@neen.it o chiamaci al numero 0245485420

 

Jessica  Ventura Social Media Manager