Durante l’anno appena trascorso, abbiamo registrato un record di attacchi ai siti web; stimiamo che i siti web italiani siano bersaglio di una parte considerevole delle minacce mondiali. Potete verificare in autonomia quanti attacchi hanno avuto conseguenze gravi, tramite i vari portali di monitoraggio, come RansomFeed.it.

Web Site security

Un sito web in produzione di una organizzazione, che non sia la semplice paginetta html chi siamo e dove siamo, svolge oggi primarie attività afferenti al business aziendale; senza arrivare al sito web di e-commerce, indichiamo solo alle informazioni presenti sulle attività e/o i prodotti, il supporto clienti offerto, il download di manuali o documenti, la prenotazione di eventi o servizi, gli annunci degli eventi, il blog aziendale, la newsletter, l’accesso agli strumenti riservati ai collaboratori o alla webmail aziendale, ecc.

Per erogare questa pluralità di servizi, i siti web odierni sono molto complessi; il loro contenuto non è più statico come ai primi tempi (html), ma prodotto tramite strumenti di generazione del contenuto dinamici, per esempio PHP o ASP, che interagiscono con database lato web direttamente correlati con le basi dati aziendali, magari presenti in diversi server usati per la gestione aziendale e/o ERP.

Questo determina che il sito web è l’asset più esposto della intera infrastruttura IT di ogni organizzazione, e la sua compromissione può determinare effetti avversi a cascata anche su server e servizi interni non direttamente esposti, proprio per le caratteristiche di interazione predisposte tra i sistemi; inoltre, un sito web mafunzionante – o peggio off-line – è immediatamente visibile da chiunque, e questa condizione – in genere – rappresenta un data-breach, con le conseguenti attività obbligatorie da effettuare, in capo alla azienda, come da definizione, titolare del trattamento.

Sorvoliamo sugli effetti derivanti dalla interruzione dei servizi erogati, dalla perdita di reputazione o della fiducia dei clienti, dai danni derivanti da eventuali perdite di dati o esfiltrazioni, in quanto non centrali nell’argomento che affrontiamo in questo approfondimento.

Come garantire quindi la sicurezza di un sito web, specialmente se complesso o determinante nelle attività di business della organizzazione?

Dapprima occorre comprendere bene cosa si intende per sicurezza informatica; mantenere un sito web in sicurezza significa proteggerne la riservatezza delle informazioni sottostanti, la loro integrità e la disponibilità. Diversamente, qualora il sito web tratti dati personali, si determina una violazione di dati personali, in quanto si configura la condizione prevista agli artt. 33 e 34 GDPR.

Le minacce primarie ricorrenti verso un sito web.

Gli attacchi ai siti web sono portati sfruttando una delle numerose vulnerabilità che possono esservi presenti; possiamo distinguere tra le vulnerabilità determinate dai componenti software o dai protocolli di cifratura, a quelle derivanti dalla progettazione insicura del servizio web, a quella derivanti da configurazioni errate, sino all’insicurezza da credenziali deboli o dal loro furto.

Un capitolo a parte è costituito dagli attacchi DDOS (Distributed Denial Of Service); è un tipo di attacco informatico in cui un grande numero di dispositivi, spesso costituiti da una rete di computer compromessi (botnet), inviano simultaneamente un altissimo volume di richieste a un sito web o a un servizio online, per esaurire le risorse del sistema di destinazione, facendolo diventare inaccessibile agli utenti legittimi. Da notare gli ultimi attacchi condotti verso siti istituzionali italiani.

Pensiamo alla sicurezza del sito web come al bastione esterno dell’antico castello, il quale è formato da tutta la serie di misure di protezione adottate per garantire la sicurezza del sito web; quando una di esse viene compromessa, si determina una breccia (da questo data breach) e si compromette l’intera sicurezza perimetrale.

I SITI WEB REALIZZATI TRAMITE HOSTING CONDIVISO

OGGIGIORNO il numero di siti web nel WWW stà raggiungendo i due miliardi; per ragioni economiche, molti di essi sono erogati tramite hosting condiviso (si tratta di una speciale configurazione per la quale un unico server pubblica migliaia di siti, distribuendo le sue risorse tra i vari siti web). Questo è positivo per ridurre i costi, ma negativo per la sicurezza di ogni sito ospitato. Anche se il vostro sito web è stato realizzato con tutte le accortezze possibili, una violazione ad un altro sito ospitato sullo stesso web server può propagarsi all’intero server, per questo realizzando un databreach a tutti i siti ospitati nel server.

COSA OCCORRE FARE PER GARANTIRE UNA REALE SICUREZZA AL SITO WEB ED EVITARNE LA VIOLAZIONE?

Il primo consiglio che vogliamo dare è di non abbandonare o trascurare il vostro sito web; questo è il primo errore da evitare e lo abbiamo evidenziato anche in un articolo specifico.

Anche se oggi il vostro sito è ragionevolmente sicuro (e sappiamo bene che la sicurezza totale non è mai raggiungibile), nel fuituro questa condizione potrebbe venir meno. Abbiamo visto come nel tempo emergono gravi vulnerabilità strutturali o specifiche, a carico dei componenti software, agli strumenti di protezione quando non addirittura ai protocolli di cifratura; troverete molti nostri articoli che affrontano gli aspetti tecnici, alcuni esempi rilevanti sono:

Quindi occorre valutare costantemente la presenza di vulnerabilità a tutti i componenti software costituenti del sito web, quali:

  • OS – sistema operativo (in genere una distribuzione di Linux adatta per ruoli da server);
  • il compomente che funge da web server (in genere Apache2, NGINX, OpenLiteSpeed o IIS per ambienti Windows Server);
  • tutti i componenti corollari del webserver, come MySQL, PHP, ASP, Python, Ruby, ecc…);
  • il sistema di gestione del contenuto C.M.S. (es. WordPress, Joomla, Drupal, ecc…) ed i relativi plug-ins;
  • in generale tutti i componenti installati sul web server, come il firewall UFW o IpTables, il componente amministrativo openssh, Fail2Ban, Syslog, e quanto altro.

Questa attività viene chiamata website vulnerability assessment, e costituisce una attività specifica dei controlli ricorrenti che debbono essere svolti, alla ricerca della presenza delle vulnerabilità note; noi svolgiamo anche un assessment esteso, che chiamiamo semplicemente WebSite Assessment, riguardante tutti gli aspetti inerenti al sito web.

Per venire incontro alle esigenze delle aziende di piccole e medie dimensioni, effettuiamo anche – a grande richiesta – un controllo ridotto (che comprende gli aspetti più rilevanti del check di sicurezza) che definiamo Web Site Security; allo stato attuale lo proponiamo in offerta al costo ridottissimo di 99,00 euro, per far comprendere a tutti il rischio che potrebbe gravare sul sito web.

Poi ci sono le altre attività più avanzate, quali penetration test sul servizio web, ed altri innumerevoli controlli di sicurezza, che svolgiamo ma che sono effettuabili solo dopo aver stabilito chiaramente le caratteristiche del perimetro di sicurezza del server web e quindi del sito web ospitato.

Da ultimo, segnaliamo come tutte le attività di assessment devono essere svolte da attori compententi ma soprattutto fidati, in quanto per l’effettuazione delle attività – molto spesso – occorre usare strumenti che testano le misure di sicurezza e che tale modalità – qualora non chiaramente concordata in un protocollo di incarico – potrebbe configurare illeciti.

Diffidate da tutte le organizzazioni che promettono risultati mirabolanti, ma che non ci mettono la faccia ne specificano chiaramente cosa faranno, gli strumenti usati, le persone coinvolte, i limiti dei controlli e gli effetti probabili, specialmente quelli avversi.

Siamo a disposizione per chiarire ogni ulteriore aspetto della complessa attività di hardening della sicurezza dei siti web di ogni azienda e realizzati con ogni tecnologia oggi disponibile.