Il miraggio irraggiungibile dei servizi Web “blindati”

Sono tante le aziende che iniziano a sperimentare concretamente i vantaggi delle architetture di servizio. Ai benefici sul fronte dell’integrazione dei sistemi informativi, però, fa da contraltare un incremento esponenziale delle vulnerabilità. Ecco un “assaggio” delle principali.

Ne sentiamo parlare da qualche anno, ormai, e molte aziende iniziano a sperimentarne concretamente i benefici. Ma quanto sono sicuri i servizi Internet? Nati per condividere le logiche di business tra le diverse applicazioni aziendali, per migliorare l’interoperabilità e riuscire a includere le divisioni periferiche e i partner all’interno dei processi aziendali, i Web service possono essere definiti come componenti di business modulari. Ciascun modulo è implementato sotto forma di software e distribuito attraverso Internet. I “tasselli” possono essere generati da qualsiasi fonte, sono combinabili e possono essere acquisiti e implementati, dinamicamente, senza l’intervento dell’uomo. Si tratta, in pratica, della “riscoperta” del paradigma del computing distribuito, che sfrutta la logica dell’infrastruttura Internet attuale, i suoi protocolli, i formati e le logiche di trasferimento dei dati proprie della grande Rete. Permettono di far colloquiare tra loro i sistemi informativi di diverse organizzazioni, in ottica B2Bi (integrazione Business-to-Business), ovvero assicurando il coordinamento delle informazioni. Tutti i Web service sono riorganizzabili, poi, all’interno di un’architettura di servizio (Soa) e, nell’ambito di questa, richiamabili e utilizzabili in virtù di semplici modalità di richiesta/risposta. Nello specifico, queste applicazioni sono utili ad aprire una “porta d’accesso”, a partner e altri enti esterni, ai processi di backend dell’azienda. Proprio nella natura stessa dei servizi Web sono, quindi, insite le maggiori falle dal punto di vista della sicurezza.

I “buchi” di Xml


I servizi online sono, infatti, costituiti da un mix di interazioni sistema-sistema e sistema-utente. L’intervento dell’uomo potrebbe creare, quindi, non pochi problemi, che si sommano a quelli dovuti all’automatizzazione spinta delle relazioni tra i sistemi It. Allo stato attuale, la maggior parte dei servizi online utilizzati già esiste. Si tratta solo di apportarvi i “ritocchi” necessari per riuscire a includere le peculiarità e le logiche di business dell’organizzazione che li implementa. Il meccanismo stesso con il quale sono creati i Web service li rende vulnerabili agli attacchi.


Si creano, infatti, come applicazioni online grazie all’Hypertext transfer protocol (Http), un protocollo intrinsecamente poco sicuro, creato per favorire la facilità di connessione, non la protezione dei dati. Su questo nucleo vengono incluse, poi, tecnologie Xml per il migliore utilizzo e la più facile integrazione nell’ambiente It esistente, tra le quali Soap (Simple object access protocol), un protocollo leggero di messaggistica, oppure Wsdl (Web services description language), un linguaggio di descrizione delle interfacce o, infine, Uddi (Universal description, discovery and integration) per la registrazione, la classificazione e la ricerca dei servizi. In questo iter si riscontrano diversi “buchi”, riassunti nel riquadro in alto. Il più rilevante risiede, tuttavia, su Xml, un formato di testo comunemente decifrabile e che permette, quindi, ai malintenzionati di intervenire sui contenuti cambiandoli o facendo spoofing. Quest’ultima tecnica consiste nel falsificare l’indirizzo del mittente di un messaggio, in modo da poter accedere illegalmente a un sistema sicuro.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome