[NEWS] (in)sicurezza/ La politica dell'ignoranza

[c.m.g]

lunedì 03 marzo 2008

Roma - Nelle scorse settimane abbiamo assistito ad un vero e proprio tripudio di segnalazioni di vulnerabilità sui siti web facenti capo a siti di vari ed eventuali partiti politici. Lo stesso Punto Informatico ha dedicato alle problematiche anche l'articolo "Elezioni, siti web a rischio?". A dare apertura alle danze è stata la segnalazione di Roberto Scaccia che descrive come il sito web del Partito Democratico sia vulnerabile ad un attacco condotto mediante una inclusione di file piuttosto "sbadata", che espone come scaricabile un file normalmente privato, il "web.config" che nelle applicazioni sotto piattaforma ASP.NET contiene le credenziali di accesso e le configurazioni dell'applicativo. Non che si trattasse di un episodio isolato, poiché decine di altri siti sfruttavano il CMS (gestore di contenuti) usato per la pubblicazione di contenuti.

In realtà, a ben vedere, strali di segnalazione erano stato mandati anche da Alessio Marziali che segnalava oltre alle problematiche di "web.config" anche una serie di XSS di varia gravità. E, come detto in precedenza, le stesse problematiche sono ancora una volta presenti in una serie di siti web quali, tra gli altri, lanouvastagione.it, romanoprodi.it, incontriamoci.fabbricadelprogramma.it, ulivo.it, governareper.it, lafabbricadelprogramma.it, rosybindi.it, paologentiloni.it, ulivisti.it, margheritaonline.it, margheritaperlunione.it... Che dire? Come se l'intera sinistra italiana propendesse come una moda per le vulnerabilità sui propri applicativi web.

A rimettere in prospettiva bipartisan la questione mi ci sono messo pure io con vulnerabilità non solamente di XSS ma anche di SQL Injection sul sito radicali.it, su popolariudeur.it e su misconrauti.it, seguito a ruota dopo qualche giorno dalle segnalazioni sulle problematiche del blog i Piero Fassino.

Non c'è che dire, una vera moria... Oppure, come recita il sempre incredibile XKCD un vero acquario di vulnerabilità.

E allora perché questo titolo: "la politica dell'ignoranza"? Perché a conti fatti si tratta della pura e semplice verità. Ciascuno degli esperti (e non mi annovero tra questi) che hanno segnalato le problematiche non stanno utilizzando tecniche di élite e stratagemmi incredibili per scovare problemi, ma stanno semplicemente notando come a chi abbia realizzato i vari siti web sembrino mancare le basi di una corretta programmazione, a partire dal secure coding passando per l'input sanitization. Accorgimenti che dovrebbero costituire una normale prassi lavorativa, assodata e consolidata.

Giova quindi ricordare che esistono ormai decine di volumi, esistono guide disponibili online gratuitamente (e da ultimo dei reviewer ufficiali della OWASP Testing Guide posso garantirne la completezza), esistono
metodologie di testing gratuite e complete, esistono precedenti, esistono best practices per ogni linguaggio: all'alba del 21esimo secolo non è digeribile infilare una stringa "' and 1=1" in un campo che si aspetta un semplice numero. Soprattutto se quell'errore poi finisce reiterato su decine di realtà web diverse.

Questi episodi ricordano come l'Italia, sotto questo versante, abbia ancora molto da imparare. Credo che sia assolutamente necessario iniziare a chiedere la qualità. Tutti coloro che devono selezionare fornitori di applicativi e realizzazioni, magari per la gestione di dati personali, dovrebbero sempre tenere presente alcuni punti chiave:

- Che l'applicazione sia conforme alle regole di Input Validation
- Che l'applicazione segua i Principi di Secure Coding
- Che l'applicazione passi un test secondo quanto prescritto dalla OWASP Testing Guide

Nulla di troppo complesso, soprattutto se in ballo c'è la privacy, i dati dei cittadini. Tutto questo dovrebbe costituire il minimo comune denominatore di qualunque azione intrapresa su web e che debba essere finanziata dai cittadini. E questo, si badi bene, vale anche per i siti dei partiti politici: quelle sono spese elettorali, spese che pagano i contribuenti.

Matteo Flora
LastKnight.com

I precedenti interventi di M.F. sono disponibili a questo indirizzo


Fonte: Punto Informatico