Già da molto tempo, nel pannello di controllo offriamo le cosiddette one-click app che consentono, semplicemente premendo un tasto, di installare applicazioni web come Typo3, Joomla!, WordPress e molte altre ancora.

Di volta in volta sarà installata la versione più recente dell’applicazione selezionata. Suona facile e lo è anche nella realtà. Rimane tuttavia un pericolo del quale non si è sempre così consapevoli.

Defacements e altri abusi
Purtroppo, in tali applicazioni si insidiano sempre piccoli e grandi errori che gli sviluppatori competenti provvedono ad eliminare di tanto in tanto, pubblicando la versione corretta in un nuovo release. Sovente tali errori sono importanti lacune nella sicurezza. È così possibile, ad esempio, apportare modifiche al contenuto di un sito web, oppure accedere a dati privati. In questo modo i siti web sono frequentemente deturpati, inserendovi contenuti estranei a scopi politici, oppure “just for fun”. In questo modo gli hacker si autocelebrano, rendendo noto nel loro ambiente il numero di pagine da loro prese in possesso o deturpat.

Purtroppo, sovente, l’alterazione non si esaurisce in questi cosiddetti “defacements””; l’abuso delle pagine oggetto dell’attacco ha anche altre finalità – finalità che consentono di trarre profitto! Ciò non avviene ovviamente in modo legale, ma perpetrando truffe e abusi. Ulteriori dettagli riguardo agli abusi sono da noi illustrati in un Sarticolo del Support Center.

Parecchie lacune nella sicurezza
Anche se nel frattempo gli sviluppatori di tali applicazioni dimostrano molta più sensibilità riguardo alla necessità di eliminare preventivamente gli errori o di evitare che ve ne siano, non trascorrono mai due settimane senza che si scoprano lacune nella sicurezza delle più conosciute applicazioni Internet. Così, già una ricerca semplice in heise Security vertente sull’ampiamente diffuso content management System Typo3 giunge a 29 risultati mentre, per la nota applicazione Blog WordPress, i risultati sono addirittura 51 per gli ultimi 2 anni.

Gli update regolari delle app aumentano la sicurezza

Gli update dovrebbero essere eseguiti il più tempestivamente possibile
Per esperienza personale, vi consiglio di non rinviare mai gli update. Fateli al più presto: l’applicazione sarà così sempre aggiornata e, in tal modo, sarete anche protetti contro gli attacchi commessi sfruttando quelle lacune nella sicurezza che sono già note. Talvolta può anche accadere che la singola release contenga modifiche più incisive. Tuttavia, se si installa ciascun nuovo aggiornamento, tali ingenti modifiche non comportano l’insorgere di problemi fra le diverse versioni. Ovviamente è chiaro anche a me che sono uno sviluppatore che per certe applicazioni non è possibile effettuare un aggiornamento diretto alla versione più recente, ad esempio perché sono state da noi apportate delle modifiche personali al source code dell’applicazione, oppure perché per il sito web è semplicemente più importante evitare un’interruzione che interverrebbe con l’installazione della nuova versione.

Tuttavia, poiché frequentemente si tratta di lacune nella sicurezza molto critiche, si consiglia caldamente di effettuare l’aggiornamento con la massima solerzia. Diversamente, nella maggior parte dei casi, saranno principalmente i dati personali sui server web ad essere esposti al rischio di abusi.

Cosa fa il provider?
Poiché noi tramite il nostro control panel mettiamo sempre a disposizione la versione più recente, è possibile aggiornare l’applicazione semplicemente premendo un tasto (ciò dovrebbe comunque essere la regola anche per le applicazioni da voi personalmente installate nel relativo menu). Noi informiamo inoltre i clienti via e-mail, indicando quali sono le applicazioni da noi installate per le quali è disponibile un aggiornamento. Queste comunicazioni e-mail non sono concepite quale obbligo di effettuare un aggiornamento, ma piuttosto quale azione di sensibilizzazione sull’importanza di mantenere sempre aggiornate le proprie applicazioni.

Poiché la nostra infrastruttura gode di una protezione altamente conservativa, fortunatamente non abbiamo finora mai registrato nessun caso in cui sussisterebbe una possibilità di attacco e di abuso. Di conseguenza, ad esserne interessati sono perlopiù “solo” i dati sull’account webhosting personale. Come se per la persona colpita ciò non fosse già abbastanza grave, gli account presi di mira dagli hacker sono poi perlopiù utilizzati anche per l’invio di spam. È al più tardi da quel momento che noi siamo obbligati a bloccare l’account webhosting. Impiegando speciali meccanismi di sicurezza, come ad esempio Mod_Security, siamo tuttavia in grado di bloccare già sul nascere molti casi critici.

Tuttavia, ogni singolo utente è responsabile dello stato d’aggiornamento delle applicazioni da lui installate ed è lui solo a decidere se intende o meno assumere il rischio che l’attacco da parte di un hacker vada a buon fine.

Gli update regolari delle app aumentano la sicurezza

Elias Wittwer

Elias Wittwer egli è responsabile dello sviluppo ed è il primo interlocutore quando si tratta di nuove feature per il control panel. Lui si definisce un "digital native": è cresciuto con i computer e oggi non potrebbe quasi più fare a meno delle possibilità offerte dalla comunicazione mobile. Sul suo primissimo calcolatore, un Wang Writer era tuttavia unicamente possibile l'elaborazione di testi o l’esecuzione di tabelle di calcolo. Quando mosse i suoi primi passi nel mondo dello sviluppo di software, programmò semplici giochi in BASIC.

0