Quando si parla di cyber defence si pensa sempre ai cattivi pirati informatici e a coloro che, dall'altra parte della barricata, li combattono. Eppure, tutto ha inizio molto prima.
In particolare per gli aspetti software tutto ha inizio quando si progetta e si realizza un programma.
La cattiva progettazione, la mancanza di conoscenze nel campo della programmazione di software sicuro, l'inefficienza nei test e nei controlli di qualità sono all'origine dei problemi che affrontiamo tutti i giorni nel cyberspace. Eppure esistono standard per la produzione di applicazioni sicure: Open Web Application Security Project, in breve OWASP, è uno standard per la produzione di applicazioni web sicure e se consideriamo che ormai quasi tutte le applicazioni sono web...
OWASP è anche un'organizzazione mondiale che ha lo scopo di migliorare la sicurezza del software. La documentazione prodotta dall'organizzazione viene rilasciata sotto licenza Creative Commons Attribution-ShareAlike.
La fondazione OWASP è on-line dal 1 dicembre 2001 ed è riconosciuta come organizzazione non profit americana a partire dal 21 aprile del 2004. La fondazione e i collaboratori si attengono alla regola fondamentale di non affiliarsi ad alcuna industria tecnologica per mantenere intatta la propria imparzialità e credibilità.
OWASP naturalmente ha un fondatore: Mark Curphey, cresciuto in Inghilterra. Nel 2000 Curpey, dopo aver conseguito un master in Information Security, specializzazione in crittografia, lascia l'Inghilterra per gli Stati Uniti dove inizia a lavorare per la Internet Security Sistems, poi acquisita da IBM. È in quegli anni che dà vita a OWASP.
Dopo diverse esperienze nel campo della sicurezza, nel 2014, fonda SourceClear con sede in San Francisco e continua a collaborare alla diffusione di OWASP.
Ma perché OWASP è così importante?
Owasp è importante perché è ormai uno standard mondiale per lo sviluppo di software sicuro ma non solo, è importante perché vi sono migliaia di esperti di sicurezza informatica che collaborano quotidianamente sui progetti di OWASP, è importante perché è una raccolta di best practices che sono rese disponibili gratuitamente, è importante perché tra i tanti progetti vi è anche la OWASP Academy che ha lo scopo di diffondere la conoscenza sullo sviluppo di software sicuro.
OWASP è uno standard de facto, adottato da singoli sviluppatori ma anche da grandi produttori di software. In effetti trattandosi di uno standard, va da se che la sua adozione da parte di una organizzazione diventi parte integrante della struttura di cyber defence della organizzazione stessa, questo perché la cyber defence non è solo quella che si vede nei film, che potremo chiamare "tattica" ma anche quella che non si vede ma che fa parte del contesto, della "strategia".
Una organizzazione che produce software, come pure una organizzazione i cui processi di business sono fortemente dipendenti dal software impiegato (prodotto o meno da essa) deve porre attenzione anche ad aspetti di policy quale per esempio l'adozione di OWASP al suo interno.
L'adozione di OWASP o di altro standard di sicurezza è dunque parte integrante della cyber defence aziendale e in quanto tale merita attenzione da parte della dirigenza. È assolutamente inutile infatti effettuare investimenti nel settore sicurezza senza pensare anche alla policy di settore.
Per fare un paragone stupido ma comprensibile a tutti, è come voler filtrare l'acqua con un colino, se occorre eliminare le particelle di una certa dimensione dall'acqua e il mio colino non è efficace, posso anche comprare un colino più grande ma se nell'acquisto non bado alla dimensione dei buchi probabilmente avrò solo speso più soldi per un colino più grande, senza aver migliorato le prestazioni!
Ecco, se quando si produce software (o lo si acquista) non si bada allo standard di sicurezza impiegato in fase di produzione e test, occorrerà mettere in piedi tutta una serie di controlli di sicurezza successivi che consentano di affrontare i rischi presenti spendendo molto di più di quanto spenderei se badassi agli aspetti di sicurezza del software sin dall'inizio.
Naturalmente l'adozione di uno standard di produzione di software sicuro non garantisce che non vi possano essere problemi ma quantomeno garantisce dai problemi già conosciuti.
Uno dei prodotti più importanti di OWASP è la Top Ten, una lista dei primi 10 rischi legati alle web applications. Nella sua versione iniziale questi erano i punti proposti, ad oggi ancora sotto osservazione:
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Broken Access Control
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Insufficient Attack Protection
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Underprotected API
La lista del 2017 nonostante sia molto simile alla precedente, è stata molto dibattuta principalmente a causa del punto 7, non da tutti ritenuto condivisibile. Fatto sta che, seppure non condivisa da tutti, questa può essere considerata come ottimo punto di partenza per lo studio dei rischi presenti nel mondo delle web application.
Per approfondire:
- https://www.owasp.org
- https://www.sourceclear.com
- http://www.cert.org/secure-coding/standards/index.cfm
- https://2017.appsecusa.org/