Contattaci
icon1 Revenue
Inbound Marketing
Attira traffico e converti lead
Inbound Sales
Ottimizza il tuo flusso di vendita
Piani SEO
Fatti trovare sui motori di ricerca
ADV
Ottimizza il tuo budget online
Consulenza
La miglior strategia per la tua azienda
Segreteria di prevendita
Aumenta il successo delle chiamate
Group 553 BRAND
Concorsi a premi
Raggiungi gli obiettivi con il gioco!
Visual Brand Identity
Dai una nuova veste alla tua azienda
Video strategy
Per eventi, prodotti, ADV e funnel
Metaverso Experience
Fidelizza i tuoi clienti in un mondo alternativo
Programmi Fedeltà
Fidelizza i clienti e aumenta le vendite
Group 556 Legal
Legal Annual
PAG, DPO e MOP
Legal Automation
Firma digitale, Blockchain, Conservazione sostitutiva, HubSpot
Legal Process
IT Security in conformità al GDPR
Legal Training
La Formazione certificata, digitalizzata e automatizzata
Group 560 DEVELOPMENT
Sviluppo siti web
Siti che attirano, convertono e vendono
Integrazioni tra software
Creiamo connessioni tra sistemi diversi
Progetti custom
Ad ogni tua esigenza un software ad hoc (leggi le case study)
Preventivatori
Automatizza le richieste di preventivo
HUBSPOT
La marketing e sales automation
Scopri il software
Video tutorial
Onboarding
Shopify
Il miglior software per eCommerce
Automation
Le piattaforme create da Archimedia per automatizzare ogni attività
Leadmatiq
Gestisci le lead con la rete vendita
Learnmatiq
Formazione online automatizzata
Winmatiq
Concorsi a premi per brand awareness e lead generation
Loymatiq
Programmi Loyalty per fidelizzare i clienti
Software Custom

Un software per ogni esigenza
Case study
Storie di successo e risultati ottenuti 
Portfolio
Tutte le cose fatte per i nostri clienti
Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call
Ebook
Raccolta gratuita di guide e libri digitali
Video tutorial HubSpot
Video-consigli su HubSpot e Inbound 
Blog Inbound
Ogni settimana un nuovo approfondimento 
Blog Legal
Tutto su Conformità GDPR e sicurezza aziendale
L'AZIENDA
Tutti gli esperti che ti affiancano
PARTNER
Le migliori aziende con cui lavoriamo
RELAZIONI
Le Relazioni che danno valore al brand
LAVORA CON NOI
Entra a far parte del team
EVENTI
TEDxRovigo
Condividiamo idee per un futuro migliore 
Corsi
Corsi online web marketing
Formazione digital Marketing e Sales

Vulnerabilità siti Web: attenzione a tutti gli elementi

23 ago , 2016 | 4 minuti

TOPICS

vulnerabilità siti web

Un sito web deve il suo funzionamento ad una gerarchia di elementi in cui l’uno dipende dall’altro per questo l’efficienza e la sicurezza della piattaforma sono legate ad ognuno di essi.

Un problema in un livello qualsiasi è un problema per l’intero sito, ogni componente deve essere valutato attentamente in fase di progettazione e poi manutenuto nel tempo per garantire la continuità del servizio.

Questi elementi sono:

  • Hardware fisico o virtuale sul quale si appoggia la piattaforma, le cui risorse computazionali devono essere dimensionate considerando il tipo di sito il presunto traffico da gestire.
  • Sistema operativo adottato, solitamente Windows o Linux, per il funzionamento di tutti i servizi necessari.
  • Strato dei servizi come il Web Server (IIS, Apache, Tomcat) , database (SQL Server, Oracle, MySQL) o FTP server (es. FileZilla)
  • Pagine che compongono il sito, possono essere statiche in html oppure scritte in linguaggi come php, jsp, asp per aggiungere aspetti più complessi come le comunicazioni con i database e tutte le caratteristiche dinamiche del sito.
  • CMS, gratuito o proprietario e non è obbligatorio ma offre molta flessibilità, facilità e indipendenza nell’aggiornamento dei contenuti del sito e quindi permette al proprietario di affidarsi agli sviluppatori solamente per gli aspetti più specifici e tecnici.
  • Template, sono strutture di siti preimpostate gratuite o a pagamento da completare solamente con i contenuti e poco altro, permettono di ridurre i tempi di realizzazione riducendo i costi.
  • Widget, elementi interattivi già fatti (come i template) che inserendoli nel sito mettono a disposizione informazioni in tempo reale come il meteo, social, maps e molto molto altro.

Tutte le componenti software in quanto tali sono afflitte da un problema, quello delle vulnerabilità, difetti o se vogliamo peculiarità nel codice di programmazione che danno la possibilità di eseguire delle operazioni sulla piattaforma da remoto all’insaputa del proprietario e degli sviluppatori, operazioni che vengono adattate a scopo di attacco e compromissione del sito.

Un altro aspetto importante è che una vulnerabilità in un dato elemento della gerarchia per sua natura può consentire di attaccarne un altro, quindi non necessariamente lo stesso nel quale è stata individuata, per esempio tramite il CMS andare a toccare il sistema operativo o il comportamento di uno dei servizi.

Questo aspetto diventa ancora più grave quando il nostro sito è ospitato in una piattaforma condivisa con altri le cui vulnerabilità possono compromettere gli elementi in comune a tutti o del nostro in particolare.

Esistono diverse tecniche di hacking per fare cose di questo tipo attraverso le vulnerabilità scoperte, una delle più famose è l’SQL Injection che nel 2012 ha contato ben 4 attacchi al mese rivolti molto più spesso ai provider che alle aziende, proprio perché sui database condivisi dei provider sono presenti i dati di n aziende. Un altro esempio è il Cross-Site-Scripting che consiste nell’inserire degli script all’interno di una pagina web che quando viene visualizzata da un browser esegue delle operazioni in genere riconducibili all’ estrazione di informazioni dal PC in uso quali username e password contenuti nei coockies.    

Conoscere e sfruttare una vulnerabilità siti web rappresenta un modo certo per portare a segno un attacco ed è per questo motivo che queste informazioni possono costare anche 400-500K a chi è interessato.

Infatti chi scopre la vulnerabilità non conduce l’attacco ma vende la preziosa informazione sul mercato nero ad un altro team di hacker che eseguirà la sua attività finché non avrà coperto i costi e raggiunto il margine desiderato.

Da notare anche che molto spesso l’ hacking di una piattaforma web non è il fine ultimo dell’attacco ma solamente una parte, basti pensare ai ransomware in cui il malware di cifratura viene scaricato da siti web compromessi.

Il principio economico dietro ad un attacco non è difficile da comprendere quanto lo sono i tecnicismi e quindi è facile capire come ai ricercatori di vulnerabilità convenga concentrare gli sforzi sui software più diffusi, perché sono questi che consentono agli altri hacker di portare a termine il più alto numero di attacchi ed ottenere un ricavo nel più breve tempo.

Per esempio attualmente in tema di siti web stanno spopolando i CMS free come Joomla!, Wordpress e Drupal per inequivocabili aspetti di economicità, tuttavia allo stesso tempo rappresentano il target ideale per chi si occupa di scovare vulnerabilità.

Per due motivi, il primo è quello statistico, tutti stanno andando in quella direzione e tutti saranno attaccabili con una singola vulnerabilità, il secondo è che piaccia o no un prodotto gratuito non potrà mai godere della stessa qualità in ricerca e sviluppo di uno proprietario, soprattutto in termini di rilascio delle patch, perché viene data maggiore attenzione al rilascio di nuove features e al miglioramento del prodotto.

Analogamente al CMS tutte le componenti che vengono caricate a completamento del sito possono contenere vulnerabilità e ancora più spesso vengono create appositamente e rese disponibili su store gratuiti privi di controlli a generosa disposizione di tutti.

Il risultato è che felici di aver ottenuto un bel template gratuitamente installiamo di nostra mano una grave falla sul nostro stesso sito con l’add-on di essere tracciati nel momento in cui lo facciamo, come puntarsi addosso il fucile!

Tutto questo è per dire che ogni elemento software senza distinzioni è un potenziale portatore di vulnerabilità per cui se vogliamo pensare alla sicurezza delle nostra piattaforma web dobbiamo tenerlo presente e cercare di ridurre al minimo questo pericolo valutando le componenti che utilizziamo anche da questo punto di vista.

In generale più andiamo nella direzione in cui vanno tutti più siamo esposti.

Resta fondamentale applicare sempre tutti gli aggiornamenti che vengono rilasciati per ogni componente in modo tale da chiudere almeno le falle per le quali esiste un rimedio. Oltre a questo è sempre consigliato proteggere il nostro sito tramite un firewall sul quale attivare il servizio IPS, in questo modo si può aumentare ulteriormente il grado di protezione perché potrebbe contenere firme atte a chiudere vulnerabilità per le quali non sono ancora state rilasciate le patch.

Attualmente i ransomware sono tra i virus maggiormente diffusi tramite siti web compromessi perchè l'utilizzo di link nel corpo delle mail phishing è una modalità difficile da verificare e tutti i comuni antispam in questo trovano il loro limite. Chi riceve una mail di questo tipo e non è attento finisce per cliccare ed entrare in queste pagine modificate nelle quali sono state inserite delle istruzioni per scatenare le infezioni.

Con l'occasione ti consiglio di scaricare questa Checklist con la quale puoi verificare alcuni aspetti molto importanti che ti possono aiutare ad aumentare la tua sicurezza contro i ransomware.

 

Cristiano Pastorello

DPO & Amazon Web Service Specialist

Articoli Correlati

18.mag.2017 | Cristiano Pastorello
Posta elettronica sicura: attacchi e contromisure
Leggi l’articolo
17.mar.2016 | Cristiano Pastorello
Google Play vs. Apple Store: Aspetti di sicurezza
Leggi l’articolo
13.mar.2019 | Stefano Lodo
Dal Phishing allo Spear phishing: cos’è? come evitarlo?
Leggi l’articolo
Scroll