by Ken van Wyk

Agosto 2009

Sviluppare applicazioni a prova di sicurezza

 

Nonostante la sicurezza sia di vitale importanza per la nostra esistenza, l’attenzione che le dedichiamo è minima. Sto parlando della sicurezza dei computer e, in particolare, del software. Tutti i tipi di software, dai sistemi operativi fino alle applicazioni che si utilizzano quotidianamente sul desktop, così come tutto il software che gira su un qualsiasi mainframe e quello che si impiega su dispositivi mobili intelligenti.
E’ senz’altro vero, non siamo interessati più di tanto alla sicurezza, altrimenti non si spiega per quale motivo continuiamo a ripetere all’infinito sempre gli stessi errori. Se diamo un’occhiata al software che utilizziamo troviamo ripetutamente difetti che sono legati ad aspetti di sicurezza conosciuti da un sacco di tempo. Prendiamo per esempio le applicazioni Web. Se si prende in esame la Top 10 delle vulnerabilità definite dall’Open Web Application Security Project (Owasp) ci si accorge che è possibile eliminarle applicando semplicemente una positive input validation. Il problema è che questo non accade quasi mai. Perché? Attribuisco la colpa a una serie di fattori, tra questi:
• La corsa frenetica al mercato. La pressione per rendere disponibile il software sul mercato non è mai stata così grande. Una tendenza che è stata amplificata dall’affermazione di una logica simile a una corsa all’oro, come nel caso delle applicazioni per l’iPhone di Apple. L’inevitabile risultato è stata una sempre più debole attenzione verso gli aspetti di sicurezza dei prodotti finali.
• Focalizzazione sulle funzionalità. A causa della divergenza nello sviluppo del software e della sicurezza (le due discipline si sono raramente integrate) si è assistito a un’attenzione esasperata alla semplice funzionalità del software. I problemi di sicurezza si rivelano invece negli aspetti non funzionali o, per essere più corretti, in quella parte di software che non è un’esplicita conseguenza dell’implementazione funzionale.
• Collaudo inadeguato. Proprio perché lo sviluppo software è primariamente concentrato sugli aspetti funzionali, le attività di collaudo sono per lo più dirette alla verifica delle specifiche funzionali. Non solo, ma nei casi in cui realmente viene eseguito un test di sicurezza, che per sua natura è per lo più slegato dagli aspetti funzionali, si effettua un banale test di penetrazione.
• Incapacità di imparare dagli errori. In quasi tutte le discipline ingegneristiche gli errori costituiscono la base della conoscenza. Paradossalmente questo non è vero per l’ingegneria del software. Nonostante esista un’ampia documentazione sulle vulnerabilità di sicurezza del software è raro che gli sviluppatori abbiano un accesso diretto a quelle informazioni. Un comportamento che non sarebbe accettato in altre comunità ingegneristiche, come per esempio nell’ingegneria civile dove difficilmente si disegna un ponte senza prendere in considerazione gli aspetti di sicurezza.

I punti appena elencati sono soltanto alcuni dei fattori che ostacolano una ricerca della sicurezza, ma sono tutti importanti per comprendere la situazione con la quale abbiamo oggi a che fare.

Soluzioni disponibili

Naturalmente non vi sono solo notizie cattive. Alla fine degli anni Sessanta iniziò a emergere una vera disciplina legata agli aspetti di sicurezza del software e da allora sono state condotte attività estremamente significative. Senza dubbio le capacità che abbiamo oggi nel gestire la materia sono aumentate enormemente. Uno tra i più importanti progressi conseguiti è il miglioramento dei processi legati allo sviluppo del software, così come la comprensione di aspetti tecnici e la creazione di alcuni strumenti che si sono dimostrati essere di grande aiuto.

Processi di sviluppo sicuri

Con l’aumentare della comprensione della sicurezza del software sono emerse anche delle metodologie di sviluppo orientate alla sicurezza. Queste ultime sono state ben documentate in numerosi libri pubblicati negli ultimi anni. Tra questi, The Security Development Lifecycle, di Michael Howard e Stephen Lipner edito da Microsoft Press, oppure Software Security, di Gary McGraw edito da Addison Wesley. Questi due libri descrivono i due principali approcci allo sviluppo di un software sicuro.
L’approccio Microsoft SDL definisce un processo a 12 step o livelli che può essere considerato maturo e rigoroso. Creato da e per Microsoft al fine di essere utilizzato internamente per lo sviluppo dei propri prodotti è stato oggetto di continui miglioramenti ed è considerato da molti come l’insieme di pratiche più avanzato attualmente disponibile.
In sintesi, i passi, o livelli, definiti dal processo SDL sono i seguenti:

  1. Education and awareness
  2. Project inception
  3. Define and follow design best practices
  4. Product risk assessment
  5. Risk analysis
  6. Creating security documents, tools, and best practices for customers
  7. Secure coding policies
  8. Secure testing policies
  9. The security push
  10. The final security review
  11. Security response planning
  12. Product release
  13. Security response execution

L’SDL, creato ovviamente con l’idea di favorire lo sviluppo di prodotti software di grandi dimensioni, risente di una forte normalizzazione ed è molto rigoroso. Per essere realmente implementato richiede che vengano messi in atto dei cambiamenti sostanziali alle pratiche software di una specifica organizzazione. Quest’ultimo è uno degli aspetti che rappresenta il maggiore ostacolo perché l’SDL possa essere adottato su larga scala.
Nel suo libro Software Security, McGraw definisce invece un processo chiamato il modello “Touchpoint”. In buona sostanza quest’ultimo differisce dal precedente per essere fondamentalmente un processo basato sulla revisione. Il libro fu scritto per conto della Cigital, ovvero l’azienda di consulenza, in tema di sicurezza, presso cui lavorava McGraw.
L’approccio Touchpoint tende a non mettere in atto cambiamenti sostanziali al processo di sviluppo software corrente, ma a integrare le analisi dei più significativi interventi adottati nel corso dello sviluppo del software.
Il Touchpoint process definisce numerose attività, tra queste:
Abuse cases
Security requirements
Architectural risk analysis
Code review
Penetration testing
Risk-based security testing
Security operations
External analysis
Essendo un processo review-oriented, Touchpoint permette alle organizzazioni di adottare con facilità le misure che sono indicate senza che vengano messe completamente in discussione le pratiche correnti. Dall’altra parte, poiché è un processo basato sulla ricerca degli errori, non contiene le rigidità presenti nel modello SDL di Microsoft.

La base di conoscenza

Se è vero che è importante ispirarsi a processi consolidati, come per esempio quelli appena descritti, è anche vero che senza una conoscenza di base si rischia di non raggiungere alcun valido risultato. Pertanto è indispensabile che gli sviluppatori software abbiano una comprensione dei difetti di sicurezza del software e del modo più corretto per contrastarli. Il punto migliore da cui iniziare a sviluppare queste conoscenze, quanto meno per gli sviluppatori Web, è Owasp.
I contributi resi da Owasp in merito a questi aspetti sono stati numerosi e significativi e includono due affermati tool, WebGoat e WebScarab. Come succede per tutto quanto prodotto da Owasp, WebGoat e WebScarab sono tool open source e vengono resi disponibili gratuitamente alla comunità degli sviluppatori. I due tool sono estremamente utili per creare una solida conoscenza di base.
WebGoat è una semplice applicazione Web basata sul server J2ee Tomcat di Apache. E’ un tool di apprendimento organizzato che permette di eseguire vari esercizi in numerose categorie, come cross-site scripting (Xss), Sql injection, e altre aree della Top 10 di Owasp.
In tutta onestà posso affermare che WebGoat sia uno dei più potenti tool che abbia mai incontrato nella mia ventennale esperienza in questo campo. Senza alcuna eccezione, qualsiasi persona che si interessa di tecnologia software e di tecnologia Web – dall’architetto, al programmatore, al collaudatore – avrebbe l’obbligo di riuscire a superare con successo tutti gli esercizi previsti da WebGoat. E’ un’affermazione un po’ ardita, ma la sottoscrivo pienamente. WebGoat è davvero così come l’ho descritto.
A complemento di WebGoat, esiste WebScarab, un tool general purpose per il testing di software orientato al Web. Funziona interponendosi tra il Web browser del collaudatore e l’applicazione da collaudare e permette di intercettare tutte le richieste e risposte Http che intercorrono tra client e server. I messaggi intercettati possono essere esaminati o essere oggetti di editing a seconda delle necessità del collaudatore. Queste capacità di base, simili a un debugger di un’applicazione desktop, permettono al programmatore e al collaudatore di operare con un ricco set di funzionalità. Esercitandosi con WebGoat e utilizzando WebScarab per eseguire potenziali attacchi si è così in grado di imparare tutte le più importanti lezioni sulla sicurezza delle applicazioni Web.

Tool di analisi del codice

Nel corso degli ultimi anni sono emersi prodotti commerciali nell’ambito dei tool per la sicurezza del software. I più significativi sono senza dubbio i tool di analisi del codice sorgente statico, strumenti che sono frutto dell’evoluzione di un paio di progetti di ricerca compiuti a fine anni Novanta e che ora costituiscono un’offerta matura di prodotti commerciali. Le più importanti aziende per questi tipi di prodotto sono Coverity, Fortify e Ounce Labs. I tool di analisi del codice statico esaminano il codice sorgente per rilevare i più comuni difetti di sicurezza. La maggior parte dei tool può essere estesa per verificare la conformità alle policy di sicurezza aziendali. Se usati nel modo appropriato, e integrati nel processo di sviluppo del codice, questi strumenti possono apportare un grande beneficio ai team di sviluppo e possono aiutare a prevenire alcuni dei più comuni errori.

Il futuro

Queste tre cose — processi consolidati, conoscenza di base e tool di sicurezza – possono essere di grande vantaggio per gli sviluppatori che devono garantire la produzione di software a prova di sicurezza. Quest’ultima, a ogni modo, è un bersaglio in continuo movimento ed è quindi importante mantenersi costantemente aggiornati sulle nuove tipologie di attacco, sulle vulnerabilità e sulle tecnologie correlate.