Falle di sicurezza sui siti: cosa sono e come si gestiscono

Falle di sicurezza sui siti: cosa sono e come si gestiscono

In questo blog sono solito, in più occasioni, descrivere le falle informatiche che vengono scoperte sui vari CMS e siti in generale: conoscerle, infatti, è di grande interesse per chiunque debba gestire un server, un sito o un hosting in generale.

In linea generale, una falla di sicurezza è un problema di cui è affetto un software, e in certi casi può coincidere con una porta di accesso secondaria (backdoor) che permette l’accesso non autorizzato al nostro sito. In altri casi, piuttosto frequenti su CMS come WordPress e Joomla!, può essere un difetto di programmazione nel codice che, se sfruttato da script malevoli, può provocare problemi come la manipolazione dei dati del database, il furto di informazioni di accesso o il defacement della nostra homepage. Nel caso dei software open source queste informazioni sono di solito (anche se non sempre) note in tempo reale, cioè non appena vengono scoperte: in alcune circostanze, vengono rivelate da chi le ha scoperte gradualmente, in modo da dare il tempo agli sviluppatori di prendere provvedimenti.

Quando si dice ad esempio che è stata trovata una falla su WordPress (una ulteriore è stata svelata ieri e riguarda WP 4.2) si fa riferimento ad un problema potenziale che il nostro sito potrebbe avere. Non è detto, infatti, che tale vulnerabilità venga effettivamente sfruttata, ma è come dire, ogni volta, che le chiavi di casa nostra (cioè l’accesso al nostro sito come amministratore, ad esempio) sia teoricamente possibile per un qualsiasi estraneo. Questa falla è stata, ad esempio, svelata solo dopo una notifica collettiva alla comunità di sviluppatori, ma su molti plugin è rimasta aperta per molto tempo. In altri casi come una recentemente scoperta falla su Magento, ad esempio, la falla non è (al momento in cui scrivo) ancora stata risolta.

La gestione dei casi di sicurezza informatica sul web è, invece, decisamente controversa. Tutto dipende dalle politiche stabilite dagli autori del software, che possono essere open o chiuse oppure, come avviene forse più frequentemente per il software web, “graduali“. Nel primo caso le falle scoperte vengono pubblicate direttamente su un bollettino via email apposito, dal nome seclist (Security Lists): in altri termini i ricercatori informatici non fanno altro che segnalare che il plugin X o la versione Y di un CMS ha un problema di codice: diventa interessante in questo frangente verificarlo – molte segnalazioni sono fake o relative a problemi non effettivi – e soprattutto fornire una prova fattiva della presenza dello stesso (proof of concept). Nello scenario delle disclosure aperte, fenomeno tipico del software open source come WordPress, quindi, le falle informatiche sono svelate “ai quattro venti“, con tutti i rischi del caso: chiunque, finchè la falla non viene riparata, potrebbe approfittarne. Questo crea una situazione di pericolo che porta, di fatto, molti produttori di CMS non tanto a produrre software web più sicuro quanto, di fatto, a “nasconderlo sotto il tappeto”, o nella migliore delle ipotesi a svelarlo solo in parte o solo dopo che la falla è stata risolta.

Per questi motivi, quindi, le falle informatiche creano una certa preoccupazione negli utenti, che degenera in una paura amplificata a mille, addirittura a danno della produttività del sito: ma l’approccio corretto a questo tipo di problematiche dovrebbe essere sempre costruttivo. Nel caso dei CMS open source, quantomeno, i pericoli derivanti dalle vulnerabilità informatiche sono noti periodicamente, ed è tutto sommato un bene che sia così, cosa che non succede con i software “chiusi” (tipo quelli Apple o Microsoft) che vengono invece rivelati ad esclusiva discrezione dei proprietari. Sapere che il proprio CMS ha dei rischi e potrebbe subire un furto (leak) di dati o un defacciamento è una cosa utile da conoscere per farci prendere contromisure utili al caso: ma non deve in nessun caso farci diffidare dalle tecnologie web.

In molti casi, infatti, è sempre bene avere un backup aggiornato dei dati del proprio sito (via FTP/PhpMyAdmin) e sfruttare i plugin per la sicurezza per stare relativamente più tranquilli, ricordando che questo problema ci sarà sempre ed è praticamente impossibile da evitare a priori.

 

Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Falle di sicurezza sui siti: cosa sono e come si gestiscono

Votato 10 / 10, da 1 utenti