MobilitySicurezzaWorkspace

Sicurezza delle applicazioni. Il caso dell’Internet banking

Giornalista. Ha collaborato con TechWeekEurope IT fin dal suo inizio

Follow on: Google +

Paparelli (F5 Networks): la sicurezza è un asset aziendale e non un costo

Da un lato un problema concreto, quello della sicurezza dei pagamenti online con carta di credito e della normativa PCI (Payment card industry), dall’altro un problema strettamente tecnico, quello dell’implementazione della sicurezza delle applicazioni. In mezzo alcune strade da percorrere indicate da alcuni fornitori: nel caso specifico F5 Networks, Verizon Business e il branch italiano di Owasp.

Manlio Paparelli, country manager di F5 in Italia, nel corso di un briefing organizzato su questo tema ha tenuto a precisare un obiettivo generale per tutti i fornitori di tecnologia di rete e di sicurezza: “La sicurezza deve essere vissuta dalle aziende utenti come asset aziendale e non come costo”. E’ un passaggio difficile, ma la tecnologia può essere di aiuto. Nel caso specifico dei pagamenti online “la sicurezza richiede spesso prestazioni. L’accesso deve avvenire in tempi ragionevoli. L’utente deve avere una percezione positiva della sicurezza e le risposte del servizio devono essere adeguate”.

Sotto il termine generale di Payment card industry passano una serie molto vasta di attività relative alle carte di pagamento di ogni tipo (di debito, di credito, prepagate) fino alla transazioni via bancomat e tutte le attività commerciali associate. Poco meno di due anni fa per iniziativa di American Express, Discover Financial Services, JCB, MasterCard Worldwide and Visa International è stato dato vita a un consorzio indipendente che ha lo scopo di gestire l’evoluzione, spesso molto rapida, dei Data Security Standard (Dss) in ambito PCI. Di questo organismo fa parte anche F5 Networks.

Giorgio Fedon, Coo di Minded Security ed esponente italiano di Owasp (Open Web Application Security Project), richiamando l’esigenza di un framework di metodologie comuni per il testing delle applicazioni via web, ha proposto alcuni dati sullo stato italiano della sicurezza di un campione di venti banche tutte dotate di servizi di home banking. Quello offerto dalle banche ai loro utenti è un servizio web ovviamente molto esposto alle minacce per la sua caratteristica di dover essere raggiungibile ovunque e quindi di dover presentare le applicazioni al di fuori dei confini delle intranet aziendali, di solito messe al riparo dietro le varie tecnologie di sicurezza perimetrale. Per di più “le applicazioni evolvono, vanno aggiornate con processi interni e restano sempre esposte verso l’esterno”.

Nel corso delle attività di supporto all’auditing informatico e di penetration test i Minded Security Labs hanno raccolto alcuni dati e statistiche sulle minacce che arrivano via web ai sistemi di pagamento in Italia. Il primo dato è l’alta percentuale di banche (45%) che concedono ancora accessi con un controllo dell’identità tramite una semplice procedura di login e password (single factor). “C’è ancora poca autenticazione forte – spiega Fedon – ma nel corso di quest’anno si può prevedere che l’accesso single factor diminuirà del 20%, con un incremento dell’uso dei token Otp”. Ma le maggiori vulnerabilità del sistema di Internet Banking emergono nel corso dei test di validazione dei dati: “ Un filtro non corretto sui dati in ingresso apre la strada a diverse vulnerabilità”.

Diventano più facili attacchi di phishing con collegamenti dell’ignaro utente a siti web diversi da quello regolare, mentre anche gli application server aziendali sono esposti ad attacchi di code injection. In pratica l’applicazione accetta in input stringhe di dati che sono in grado dar eseguire codice in remoto sul server oggetto dell’attacco.