La domanda è nata perché questo tizio aveva letto il mio PCPro un'indagine sulla sicurezza bancaria online, che lo aveva portato a riflettere sulla pausa che sperimenta quando accede al suo conto bancario online LloydsTSB mentre interroga il server WebTrendsLive.
La sua tesi era che, sebbene non ci siano prove che suggeriscano che qualcosa di brutto sia successo (o sia effettivamente successo a chiunque altro), una ragionevole paranoia suggerirebbe che l'esecuzione di script di terze parti su un sito bancario dovrebbe essere evitato.
"Posso semplicemente visualizzare masse di dati contenenti hash negli URL in attesa di analisi", ha riflettuto.
Mi affretto ad aggiungere che non esiste alcun collegamento, per quanto ne so, tra l'hacking di Kaspersky e WebTrendsLive (o qualsiasi altro altri servizi di analisi web), né alcun suggerimento che fosse un'applicazione di analisi web a consentire a questi hacker di farlo sciopero. Tuttavia, la sua conversazione ha suscitato il mio interesse abbastanza da chiedere in giro e vedere cosa pensavano su questo problema gli altri con più esperienza pratica di me.
Vettore di attacco principale
Chris Richter, vicepresidente della sicurezza presso il fornitore di servizi di infrastruttura IT Savvis, lo ammette le applicazioni web sono oggi considerate il principale vettore di attacco per qualsiasi hacker che cerchi di rubare dati.
"Tali dati potrebbero essere sotto forma di informazioni legacy che si trovano all'interno dei database o che vengono attivamente inserite nei moduli all'interno dell'applicazione rivolta al web", ha affermato. "Le scarse pratiche di codifica e applicazione delle patch sono tra le ragioni principali per cui le applicazioni web vengono prese di mira così frequentemente", ha aggiunto.
Richter implora tutti gli sviluppatori di seguire pratiche formali formali di ciclo di vita di sviluppo di applicazioni sicure per il web applicazioni, come “la prima e più importante misura per proteggere le risorse informative che potrebbero essere compromesse tramite Internet".
Le aziende che offrono servizi basati sul web dovrebbero, ovviamente, utilizzare firewall per applicazioni web e anti-intrusione sistemi di rilevamento e prevenzione e tecniche appropriate di classificazione e separazione dei dati come a minimo.
Ma che dire del rischio specifico nel mondo reale derivante dal richiamare script da siti di terze parti non sotto il tuo controllo diretto e che potrebbero lasciare la tua azienda e i tuoi clienti vulnerabili agli exploit?
Ma che dire del rischio specifico nel mondo reale derivante dal richiamare script da siti di terze parti non sotto il tuo controllo diretto e che potrebbero lasciare la tua azienda e i tuoi clienti vulnerabili agli exploit?
Rik Ferguson, consulente senior per la sicurezza presso Trend Micro (e cantante del gruppo heavy-rock Clearly Deluded), è stato felice di calmare un po' le acque, dicendomi che mentre "teoricamente dovrebbero potrebbero essere violati e modificati in modo dannoso per rubare dati o deturpare o altrimenti deviare siti Web", il rischio reale derivante dagli script analitici di terze parti "deve essere considerato uno dei più bassi".
Come sottolinea Ferguson, per quanto riguarda i fornitori di analisi, tali JavaScript sono il loro stock nel commercio, e qualsiasi azienda che consentisse l’hacking del proprio codice non rimarrebbe in attività per molto lungo.
"È molto più semplice per i criminali entrare in siti web innocenti e inserire il proprio JavaScript dannoso piuttosto che entrare in Googleplex e modificarne la fonte", conclude. “È ciò che i criminali fanno ormai da alcuni anni, e ciò che continuano a fare”.
Cos'è un ricercatore di sicurezza?
Anche se oggigiorno viene chiamato con il titolo un po' più vistoso di consulente senior per la sicurezza, Ferguson lo è tipico di chi mi viene in mente ogni volta che sento il termine “ricercatore di sicurezza” – o almeno lo usava essere.
