Un’analisi condotta dai laboratori di ricerca sulla sicurezza di HP mette in luce l’aumento esponenziale del numero di attacchi che sfruttano vulnerabilità generate da errori di scrittura del codice delle applicazioni.
Secondo il Cyber Security Risk Report presentato nei giorni scorsi da Hewlett Packard, le applicazioni web e mobile sono le nuove frontiere della guerra contro gli attacchi informatici.
Il rapporto rivela che gli attacchi SQL injection (SQLi) contro le applicazioni web sono rapidamente passati dai circa 15 milioni del 2010 a oltre 50 milioni lo scorso anno.
Nel 2011, gli attacchi SQLi sono divenuti la tecnica più popolare usata per “bucare” le applicazioni web, tre volte più numerosi rispetto al numero di attacchi combinati che prevedono l’inclusione di file PHP e gli attacchi di scripting cross-site.
“Un buon software non dovrebbe introdurre vulnerabilità di sicurezza, eppure l’86% delle applicazioni web analizzate ha presentato qualche tipo di vulnerabilità”, ha detto Simon Leech, direttore prevendite di HP Enterprise Security.
Le vulnerabilità delle applicazioni web rappresentano il 36% di tutte le vulnerabilità, dice il rapporto, una situazione aggravata, poi, dalla personalizzazione e dagli add-on sviluppati internamente alle aziende.
Le analisi statiche hanno rivelato che dei semplici errori di codifica sono sfociati in un numero significativo di vulnerabilità, con il 54% di queste contenente buchi di scripting cross-site e l’86% difetti di iniezione del codice. “Anche se non tutte le vulnerabilità a livello di codice vengono attaccate, queste possono causare la mancata conformità alle normative di legge e problemi nella condivisione dei dati che possono, in definitiva, alimentare gli attacchi in altre aree della sicurezza IT”, dice il rapporto.
L’analisi dinamica delle applicazioni web in uso ha dimostrato che il 74% di queste è risultata vulnerabile agli attacchi di cross-site scripting e il 12% si è dimostrata vulnerabile alle injection.
Il rapporto afferma che, anche se questi numeri non sono al momento significativi, in realtà si associano a rischi molto alti, in quanto queste vulnerabilità sono difficili da individuare e sanare senza ostacolare le normali attività d’impresa.
Pure in aumento sono gli attacchi condotti contro le applicazioni mobili, sempre più variegati. “La sicurezza delle applicazioni mobile è ancora nella sua fase primordiale, ma un approccio minimale è inadeguato”, ha detto Leech, notando che molte applicazioni sono “progettate per il furto dei dati” e che “nessuna piattaforma è sicura”.
Indipendentemente dalla piattaforma, la ricerca mostra che applicazioni web e mobili stanno diventando rapidamente l’obiettivo primario per gli attacker.
I dati utilizzati nel report provengono dall’Open Source Database Vulnerability, dalla HP DVLabs Zero Day Initiative (ZDI), dall’HP Fortify Web Security Research Group e dal Fortify on Demand. Le informazioni sugli attacchi sono desunte da una rete mondiale di tipping point di sistemi di prevenzione delle intrusioni HP e da analisi sugli exploit condotte dagli HP DVLabs.
