Linee guida per lo sviluppo di software sicuro

Rispettare i principi di integrità, disponibilità e confidenzialità è la base per lo sviluppo di software stabile e sicuro. Realizzare software non è solo il mero risultato di ore ed ore di programmazione, anzi unisce in maniera indissolubile diverse discipline, dall’architettura al design. L’intero processo di sviluppo, dalla realizzazione di un file eseguibile ad una applicazione mobile, passando per siti web e DBMS, richiede tempo e risorse, al fine di evitare prodotti scadenti, costi inutili ed onerose perdite di tempo.

Queste attività sono svolte da diverse figure professionale, ognuno specializzato in diversi ambiti, tra cui: design, progettazione, programmazione e test, ciascuno di essi al fine di realizzare un prodotto di qualità deve possedere notevoli competenze settoriali. Inoltre, tra le fasi ad elevata importanza (troppo spesso trascurata) c’è quella dedicata al controllo di sicurezza, l’aspetto che approfondiremo oggi.

Perchè fare Secure Coding?

Non seguire le regole e linee guida del Secure Coding porterà inevitabilmente ad un prodotto scadente, e di conseguenza a perdere la fiducia di clienti e fornitori, senza dimenticare i danni economici dovuti a probelmi come la perdita di dati ed attacchi informatici. Infatti, una volta scoperta la problematica si necessità una profonda attività di analisi, al fine di comprendere meglio l’errore e quali sono i potenziali rischi, il tutto seguito da una fase di testing, utile a valutare i risultati e da una successiva fase di aggiornamento del codice. L’intero processo, una volta terminato deve essere nuovamente sottoposto a rtest ed analisi per verificare il corretto funzionamento del nuovo update.

Evitando il complesso, ma necessario iter sopracitato, il software potrebbe soffrire di una serie di problematiche, dai più semplici errori di programmazione alle falle in grado di destabilizzare il programma ed i dispositivi di chi lo utilizza. Per questo motivo, prevedere l’inserimento di protocolli di sicurezza all’interno del codice può evitare eventuali bug e vulnerabilità.

Le vulnerabilità più conosciute

Giusto per dare un’idea di cosa stiamo parlando, riportiamo alcuni degli errori maggiormente commessi, nessuno di loro è grave, ma dimostra che senza un adeguato controllo, anche l’errore più banale può dimostrarsi problematico.

Overflow

1. Buffer Overflow: tale problema riguarda l’archiviazione dati oltre il limite prestabilito, ad esempio, se il programma permette di memorizzare solo 10 elementi, quelli che verranno inseriti dopo saranno immessi nella memoria dedicata partendo dall’inizio. Infatti, ci sono due strade, il blocco del sistema e la conseguente interruzione di scrittura di nuovi dati o la riscrittura, cancellando di fatto quanto salvato precedentemente.

2. Integer Overflow: qui si parla di aritmetica, infatti, quando il risultato di tale operazione è troppo grande per essere rappresentato all’interno dello spazio disponibile, il risultato della stessa appare a schermo in maniera errata.

Un attacco overflow potrebbe comportare la riscrittura di dati casuali, eliminando quelli sottoposti a protezione. Inoltre, lo stesso può derivare anche da processi interni o esterni che seguono regole differenti.

Risultati imprevedibili

1. Race Condition: parliamo del comportamento del risultato dipendente da tempi o eventi incontrollabili. Infatti, se l’intero processo non rispetta l’ordine pensato dal team di sviluppo, cominciano a crearsi diverse problematiche.

2. Randomness: consta nell’assenza di un percorso prevedibile dell’iter. Infatti, una sequenza totalmente randomica non può seguire i criteri di intelligibilità, nonostante ciò è possibile comunque prevedere (nella maggior parte dei casi) la frequenza con cui tali risultati appaiono.

Il rischio derivato da un software che non è in grado di prevedere e gestire i risultati può portare a blocchi del sistema, corruzione dei dati e altri bug o falle.

Altre tipologie di attacco

Un attacco del tipo Format String accade nel caso in cui un utente con cattive intenzioni rilascia determinati input, che il software non riesce ad interpretare, in questo caso, non rientrando nelle fattispecie previste il software potrebbe smettere di funzionare, alterare alcuni fattori e persino modificare i dati.

Anche la privacy soffre nel caso in cui un software/sito/ecc. venga programmato senza rispettare i dettami della sicurezza. Infatti, senza tali sistemi, chiunque tenti di effettuare un attacco potrebbe ottenere l’accesso non autorizzato al sistema e modificare/esfiltrare dati ed informazioni importanti.

Come prevenire? 

Per evitare tali problematiche, è necessario seguire queste semplici pratiche:

Identificare in anticipo i requisiti di sicurezza;

Utilizzare sempre software e standard aggiornati;

Evitare di realizzare errori logici all’interno dei progetti concettuali;

Distribuire correttamente il software;

Evitare di inserire errori durante le fasi di manutenzione e/o aggiornamento.

Ogni ambito dovrà premurarsi di seguire una lista ferrea di regole.

Design

Security Requirements: Identificare i requisiti di sicurezza necessari durante le prime fasi di sviluppo, ed assicurarsi che il materiale realizzato sia conforme a tali requisiti;

Security Policies: Individuare le politiche di sicurezza deve rientrare tra i primi passi di un nuovo progetto, infatti tutte le fasi successive dovranno implementarle obbligatoriamente, il tutto al fine di evitare falle;

Difesa a Cipolla: Non tutti i rischi sono uguali, per questo motivo è consigliabile ricorrere a più strategie difensive, così facendo, nel caso uno strato di difesa sia penetrabile, quello successivo può continuare la sua opera di protezione.

Architettura

Standard Sicuri: Nella realizzazione di un software/sito/ecc. Utilizzare standard di codifica sicuri è già un eccellente punto di partenza;

Default Deny: Per prevenire problematiche derivanti da potenziali attacchi, si consiglia di concedere permessi in base alle condizioni e non alle utenze. Quindi di base l’accesso è negato e solo il sistema di controllo identifica le condizioni necessarie per accedere e rilasciare il permesso;

Leggero: Più il materiale programmato è semplice e leggero, minore sarà la possibilità che lo stesso contenga errori (più o meno gravi). Inoltre, gli sforzi per aggiornare e sistemare il codice saranno decisamente minori, aumentando a sua volta la possibilità di ottenere un elevato livello di sicurezza;

Least Privilege: Qualunque accesso a privilegi elevati, deve essere garantito solo se strettamente indispensabile e per il minor tempo possibile. Così facendo, potrete evitare che un utente che attacca il sistema possa eseguire codici altamente dannosi.

Programmazione

Strumenti di analisi: Durante la compilazione del codice, lo sviluppatore verrà avvisato di potenziali errori di compilazione direttamente in fase di scrittura, seguendo queste indicazioni sarà possibile evitare errori di programmazione;

Linee guida di programmazione sicura: Queste utili informazioni sono presenti in rete, assieme ad esempi pratici, illustrando cosa bisognerebbe inserire in fase di coding e cosa no. Grazie ad AGID (Agenzia per l’Italia Digitale) è tutto racchiuso all'interno di questo utilissimo articolo.

Data sanitization: Ogni dato trasmesso ai sistemi di elaborazione devono esser controllati, e se necessario, ripulirli. Un hacker potrebbe utilizzare attacchi di injection e richiamare le funzioni di componenti non controllati;

Input validation: È di importanza fondamentale convalidare gli input provenienti da fonti dati esterni. Facendo ciò, potrete evitare la maggioranza delle problematiche dovute alle vulnerabilità del software.

Testing

Ultima fase, ma non per questo meno importante, è collegata al testing del materiale programmato, infatti, attraverso una serie di prove (fuzz test, penetration test, ecc.) potrete controllare se il vostro software è protetto adeguatamente e se sono necessarie revisioni al codice sorgente.

Speriamo che queste informazioni vi siano utili, e vi ricordiamo che il team di SIGMAR è a vostra completa disposizione sia in ambito programmazione che in ambito Web Marketing.

Continua a leggere:

Corsa ai servizi mobili, la rivoluzione promessa dalle reti 6G

Ormai è chiaro che la tanto attesa rivoluzione annunciata dalle reti #5G stia ancora aspettando di manifestare appieno i suoi frutti. Sebbene lo sviluppo delle infrastrutture stia procedendo, gli operatori si concentrano ora sull’ottimizzazione del processo di implementazione su vasta scala. Tuttavia, in un ambito parallelo, l’industria delle telecomunicazioni sta da tempo plasmando il futuro, dedicandosi alla definizione della tecnologia destinata a modellare i sistemi di trasmissione dati, le applicazioni in mobilità e i servizi di connettività della prossima era digitale: il #6G. Le specifiche delle reti di sesta generazione sono attualmente in fase di sviluppo da parte del #3GPP,

Leggi Tutto »

Intelligenza Artificiale al Servizio dell’Editoria: la partnership con Vivere

L’integrazione dell’#intelligenzaartificiale nel settore dell’#editoria sta rivoluzionando il modo in cui le informazioni vengono concepite e distribuite, rappresentando un passo significativo nel costante adattamento delle industrie alla tecnologia moderna. Un esempio tangibile di questa trasformazione è la partnership rafforzata tra #Sigmar e Michele Pinto, editore del rinomato #networkVivere. Il network, che registra oltre 47 milioni di visite annuali, comprende siti di rilievo come VivereSenigallia e VivereAncona, oltre a più di 200 quotidiani sparsi in tutta Italia. Sigmar, da tempo partner tecnologico del gruppo Vivere, ha recentemente rafforzato l’impegnato nell’ottimizzazione delle piattaforme e nella gestione delle migliorie tecniche per sostenere il

Leggi Tutto »

OpenAI, Nvidia e Amazon investono in Robot umanoidi

Dopo il trionfo di Dall-E e #ChatGPT, #OpenAI mira al prossimo traguardo: sviluppare nuovi modelli di intelligenza artificiale per far operare #robotumanoidi parlanti e introdurli rapidamente sul mercato. Per realizzare questo ambizioso obiettivo, la compagnia, guidata da Sam Altman, ha stretto una collaborazione con Figure AI, una startup impegnata nella creazione dei primi robot umanoidi accessibili al pubblico. Secondo quanto riferisce Business Insider, l’accordo tra OpenAI e #FigureAI mira ad “accelerare le tempistiche commerciali di Figure”, potenziando la capacità dei suoi robot di interagire con gli esseri umani, elaborare informazioni e rispondere ai comandi. Questo sarà possibile attraverso l’utilizzo delle

Leggi Tutto »

Vuoi un riferimento unico per la digitalizzazione della tua azienda?