Linee guida per lo sviluppo di software sicuro

Rispettare i principi di integrità, disponibilità e confidenzialità è la base per lo sviluppo di software stabile e sicuro. Realizzare software non è solo il mero risultato di ore ed ore di programmazione, anzi unisce in maniera indissolubile diverse discipline, dall’architettura al design. L’intero processo di sviluppo, dalla realizzazione di un file eseguibile ad una applicazione mobile, passando per siti web e DBMS, richiede tempo e risorse, al fine di evitare prodotti scadenti, costi inutili ed onerose perdite di tempo.

Queste attività sono svolte da diverse figure professionale, ognuno specializzato in diversi ambiti, tra cui: design, progettazione, programmazione e test, ciascuno di essi al fine di realizzare un prodotto di qualità deve possedere notevoli competenze settoriali. Inoltre, tra le fasi ad elevata importanza (troppo spesso trascurata) c’è quella dedicata al controllo di sicurezza, l’aspetto che approfondiremo oggi.

Perchè fare Secure Coding?

Non seguire le regole e linee guida del Secure Coding porterà inevitabilmente ad un prodotto scadente, e di conseguenza a perdere la fiducia di clienti e fornitori, senza dimenticare i danni economici dovuti a probelmi come la perdita di dati ed attacchi informatici. Infatti, una volta scoperta la problematica si necessità una profonda attività di analisi, al fine di comprendere meglio l’errore e quali sono i potenziali rischi, il tutto seguito da una fase di testing, utile a valutare i risultati e da una successiva fase di aggiornamento del codice. L’intero processo, una volta terminato deve essere nuovamente sottoposto a rtest ed analisi per verificare il corretto funzionamento del nuovo update.

Evitando il complesso, ma necessario iter sopracitato, il software potrebbe soffrire di una serie di problematiche, dai più semplici errori di programmazione alle falle in grado di destabilizzare il programma ed i dispositivi di chi lo utilizza. Per questo motivo, prevedere l’inserimento di protocolli di sicurezza all’interno del codice può evitare eventuali bug e vulnerabilità.

Le vulnerabilità più conosciute

Giusto per dare un’idea di cosa stiamo parlando, riportiamo alcuni degli errori maggiormente commessi, nessuno di loro è grave, ma dimostra che senza un adeguato controllo, anche l’errore più banale può dimostrarsi problematico.

Overflow

1. Buffer Overflow: tale problema riguarda l’archiviazione dati oltre il limite prestabilito, ad esempio, se il programma permette di memorizzare solo 10 elementi, quelli che verranno inseriti dopo saranno immessi nella memoria dedicata partendo dall’inizio. Infatti, ci sono due strade, il blocco del sistema e la conseguente interruzione di scrittura di nuovi dati o la riscrittura, cancellando di fatto quanto salvato precedentemente.

2. Integer Overflow: qui si parla di aritmetica, infatti, quando il risultato di tale operazione è troppo grande per essere rappresentato all’interno dello spazio disponibile, il risultato della stessa appare a schermo in maniera errata.

Un attacco overflow potrebbe comportare la riscrittura di dati casuali, eliminando quelli sottoposti a protezione. Inoltre, lo stesso può derivare anche da processi interni o esterni che seguono regole differenti.

Risultati imprevedibili

1. Race Condition: parliamo del comportamento del risultato dipendente da tempi o eventi incontrollabili. Infatti, se l’intero processo non rispetta l’ordine pensato dal team di sviluppo, cominciano a crearsi diverse problematiche.

2. Randomness: consta nell’assenza di un percorso prevedibile dell’iter. Infatti, una sequenza totalmente randomica non può seguire i criteri di intelligibilità, nonostante ciò è possibile comunque prevedere (nella maggior parte dei casi) la frequenza con cui tali risultati appaiono.

Il rischio derivato da un software che non è in grado di prevedere e gestire i risultati può portare a blocchi del sistema, corruzione dei dati e altri bug o falle.

Altre tipologie di attacco

Un attacco del tipo Format String accade nel caso in cui un utente con cattive intenzioni rilascia determinati input, che il software non riesce ad interpretare, in questo caso, non rientrando nelle fattispecie previste il software potrebbe smettere di funzionare, alterare alcuni fattori e persino modificare i dati.

Anche la privacy soffre nel caso in cui un software/sito/ecc. venga programmato senza rispettare i dettami della sicurezza. Infatti, senza tali sistemi, chiunque tenti di effettuare un attacco potrebbe ottenere l’accesso non autorizzato al sistema e modificare/esfiltrare dati ed informazioni importanti.

Come prevenire? 

Per evitare tali problematiche, è necessario seguire queste semplici pratiche:

Identificare in anticipo i requisiti di sicurezza;

Utilizzare sempre software e standard aggiornati;

Evitare di realizzare errori logici all’interno dei progetti concettuali;

Distribuire correttamente il software;

Evitare di inserire errori durante le fasi di manutenzione e/o aggiornamento.

Ogni ambito dovrà premurarsi di seguire una lista ferrea di regole.

Design

Security Requirements: Identificare i requisiti di sicurezza necessari durante le prime fasi di sviluppo, ed assicurarsi che il materiale realizzato sia conforme a tali requisiti;

Security Policies: Individuare le politiche di sicurezza deve rientrare tra i primi passi di un nuovo progetto, infatti tutte le fasi successive dovranno implementarle obbligatoriamente, il tutto al fine di evitare falle;

Difesa a Cipolla: Non tutti i rischi sono uguali, per questo motivo è consigliabile ricorrere a più strategie difensive, così facendo, nel caso uno strato di difesa sia penetrabile, quello successivo può continuare la sua opera di protezione.

Architettura

Standard Sicuri: Nella realizzazione di un software/sito/ecc. Utilizzare standard di codifica sicuri è già un eccellente punto di partenza;

Default Deny: Per prevenire problematiche derivanti da potenziali attacchi, si consiglia di concedere permessi in base alle condizioni e non alle utenze. Quindi di base l’accesso è negato e solo il sistema di controllo identifica le condizioni necessarie per accedere e rilasciare il permesso;

Leggero: Più il materiale programmato è semplice e leggero, minore sarà la possibilità che lo stesso contenga errori (più o meno gravi). Inoltre, gli sforzi per aggiornare e sistemare il codice saranno decisamente minori, aumentando a sua volta la possibilità di ottenere un elevato livello di sicurezza;

Least Privilege: Qualunque accesso a privilegi elevati, deve essere garantito solo se strettamente indispensabile e per il minor tempo possibile. Così facendo, potrete evitare che un utente che attacca il sistema possa eseguire codici altamente dannosi.

Programmazione

Strumenti di analisi: Durante la compilazione del codice, lo sviluppatore verrà avvisato di potenziali errori di compilazione direttamente in fase di scrittura, seguendo queste indicazioni sarà possibile evitare errori di programmazione;

Linee guida di programmazione sicura: Queste utili informazioni sono presenti in rete, assieme ad esempi pratici, illustrando cosa bisognerebbe inserire in fase di coding e cosa no. Grazie ad AGID (Agenzia per l’Italia Digitale) è tutto racchiuso all'interno di questo utilissimo articolo.

Data sanitization: Ogni dato trasmesso ai sistemi di elaborazione devono esser controllati, e se necessario, ripulirli. Un hacker potrebbe utilizzare attacchi di injection e richiamare le funzioni di componenti non controllati;

Input validation: È di importanza fondamentale convalidare gli input provenienti da fonti dati esterni. Facendo ciò, potrete evitare la maggioranza delle problematiche dovute alle vulnerabilità del software.

Testing

Ultima fase, ma non per questo meno importante, è collegata al testing del materiale programmato, infatti, attraverso una serie di prove (fuzz test, penetration test, ecc.) potrete controllare se il vostro software è protetto adeguatamente e se sono necessarie revisioni al codice sorgente.

Speriamo che queste informazioni vi siano utili, e vi ricordiamo che il team di SIGMAR è a vostra completa disposizione sia in ambito programmazione che in ambito Web Marketing.

Continua a leggere:

Whistleblowing, obbligo per le aziende dal 17 dicembre

L’obbligo è entrato in vigore il 15 luglio 2023 per le aziende con più di 250 dipendenti e sarà esteso dal 17 dicembre 2023 per le aziende con più di 50 dipendenti. Inoltre, si applicherà anche alle realtà con meno di 50 dipendenti appartenenti ai settori indicati dalla normativa.   Le disposizioni normative richiedono l’adempimento da parte non solo del settore pubblico e delle società partecipate dalla Pubblica Amministrazione, ma anche delle aziende del settore privato che hanno adottato il modello 231, nonché di tutte le imprese che, nell’anno precedente, hanno impiegato più di 50 dipendenti o che operano in

Leggi Tutto »

Web Marketing per PMI

#webmarketing #PMI #strategia Web Marketing per PMI: Mini guida Uno dei primi passi da fare per qualsiasi PMI interessata al web marketing è la creazione di un sito web aziendale completamente responsive. La navigazione da dispositivi mobili ha superato quella da desktop, è essenziale, quindi, che il sito sia in grado di adattarsi a qualsiasi dispositivo, garantendo un’esperienza d’uso ottimale. Altrettanto importante è che il sito web aziendale sia autorevole, ciò comporta: un hosting affidabile la scelta di un nome di dominio adeguato la registrazione del dominio stesso contenuti di alta qualità l’ottimizzazione per i motori di ricerca (SEO) per

Leggi Tutto »

La qualità dei contenuti AI come fattore di ranking Google

#IA #EEAT #RANKING #ContentIsKing Come definiamo  la qualità dei contenuti AI rispetto al ranking Google? E cosa significa questo per i creatori di contenuti online? L’intelligenza artificiale ha cambiato il modo in cui Google e altri motori di ricerca valutano e classificano i contenuti (ranking). 1. Rilevanza e contenuti di valore La rilevanza è il pilastro per la qualità dei contenuti. Google cerca di presentare agli utenti risultati di ricerca che siano direttamente collegati alle loro query. Ciò significa che i contenuti dovrebbero essere pertinenti e offrire valore agli utenti. Un articolo o una pagina web di alta qualità dovrebbe

Leggi Tutto »

Crea il tuo piano editoriale: guida

#seocopywriting #pianoeditoriale #keyword #semantica #SEO Un piano editoriale in chiave SEO è un documento che indica, passo per passo, come aggiornare il tuo sito web per ottenere un posizionamento di rilievo nei risultati dei motori di ricerca. Le pagine inutili dal punto di vista del SEO sono quelle che i motori di ricerca, come Google, considerano irrilevanti per ricevere traffico organico. Le pagine che fanno deragliare il tuo sito web rispetto alla nicchia di riferimento. Produci nuovi contenuti regolarmente ma hai notato un calo costante del traffico sul tuo sito web? E se la perdita di visibilità dipendesse proprio dalla

Leggi Tutto »

Vuoi un riferimento unico per la digitalizzazione della tua azienda?