Sicurezza proattiva nel Web di seconda generazione
di Roberto Saia

[Tratto dal Progetto wiki promosso da IBM per discutere sul tema della sicurezza delle informazioni nell'era del Web 2.0]

Seppure certamente rivoluzionario nelle caratteristiche, il Web di seconda generazione, oggi sinteticamente definito Web 2.0, condivide numerosi aspetti con la precedente infrastruttura di prima generazione, costituendone, di fatto, una naturale e inevitabile  evoluzione.

Mettendo da parte ogni più o meno sofisticata tecniche “ad hoc” adoperata per garantire la sicurezza in ambito Web, come in ogni branca ICT (Information e Communication Technology) esposta a rischi dal lato sicurezza, ritengo necessario effettuare un doveroso richiamo su quelle attività preliminari che costituiscono le fondamenta sulle quali si andranno poi a innestare tutti i dispositivi di sicurezza attivi: mi riferisco alle attività di tipo proattivo, cioè quelle operazioni volte a prevenire, più che fronteggiare, i potenziali problemi di sicurezza.

Riguardo al Web 2.0, numerosi studi di settore non hanno evidenziato particolari problemi di sicurezza esclusivamente riconducibili alle nuove tecnologie introdotte con il Web di seconda generazione, considerando l’avvento di questo nuovo scenario come un inevitabile sviluppo del precedente ambiente (Web 1.0) e come tale, quindi, gestibile con lo stesso approccio proattivo utilizzato fino a oggi.

Questo non si configura assolutamente come un invito ad abbassare la guardia, in quanto l’introduzione delle nuove tecnologie, come avviene in ogni rivoluzione in questo campo che comporta ripercussioni nell’ambito della sicurezza (come è accaduto, ad esempio, con l’avvento delle tecnologie wireless), deve far considerare ogni innovazione una serie di pericoli di tipo “zero day”, a causa delle poche informazioni che caratterizzano gli elementi di nuova introduzione e, quindi, consigliare una maggiore attenzione nelle attivitò di definizione delle politiche di sicurezza da adoperare e/o nella modifica di quelle esistenti.

Exploit già noti come, ad esempio, il “Cross-Site Scripting” (XSS) o il “Cross Site Request Forgery” (CSRF), espressamente pensati per le vulnerabilità tipiche dell’ambiente dinamico che caratterizza il Web di seconda generazione, possono essere contrastati efficacemente con lo stesso “buon senso”  che necessitava in precedenza, intendendo per “buon senso” un efficiente connubio tra informazioni aggiornate e (conseguente) adeguamento dei sistemi di protezione in uso.

Questo tipo di approccio, che ho definito “proattivo”, non è infatti legato a uno specifico dispositivo di sicurezza bensì a una “forma mentis” che oggi come non mai risulta sempre più vincente e indispensabile in ambito sicurezza: non dimentichiamo che al Web 2.0 seguirà certamente un Web 3.0, 4.0, ecc. Questo impone un approccio mentale regolato da principi omnicomprensivi, svincolati da una specifica tecnologia o ambiente.

Il cattivo comportamento degli utenti, sia quelli che operano come fruitori di servizi, sia quelli che, invece, gestiscono questi ultimi, è sempre ai primi posti nella scala delle cause che consentono la buona riuscita di un attacco informatico: basti pensare che anche nel nuovo Web 2.0, tecniche come il “Phishing”, più vicine all’ingegneria sociale (Social Engineering) piuttosto che allo sfruttamento di una vulnerabilità oggettiva dei sistemi, sono quelle che hanno creato (e creano) i danni più ingenti alle aziende e ai singoli individui.

Ritorna all'indice degli articoli