Portali Web: aumentano le richieste e diminuisce la sicurezza

È in continua crescita la richiesta dei portali web, anche per piccole aziende o per la pubblicazione di contenuti privati. Quali sono le motivazioni? I rischi e i vantaggi?

Spesso mi trovo a parlare di “portali web”, cercando di sottolineare il significato della parola portale. Non si tratta di un “comune sito internet”, parliamo bensì di una piattaforma (più correttamente un software) che garantisce interattività tra utente e applicazione web. Un portale, generalmente, permette di effettuare un log-in o di avere accesso ad una serie di moltitudine di servizi personalizzati.

Nel corso degli ultimi 3 anni c’è stato un vero e proprio incremento di questi sistemi a vantaggio dei classici siti web ad hoc, ossia quei siti che venivano progettati e disegnati da zero, su richiesta del cliente. Benchè offrissero un’esperienza grafica unica, realmente personalizzata, essi rappresentavano un modello di difficile auto-gestione, con dei costi notevoli per il mantenimento e l’aggiornamento dei contenuti.

Eppure i sistemi di content mangament system (CMS) sono sì cresciuti in quanto ad adozione ma anche divenuti maggiormente rischiosi. Gli exploit che interessano i principali CMS, tra cui spiccano Joomla e WordPress, denotano in taluni casi criticità nella programmazione della parte centrale del software (il cosiddetto core).

Nel corso del 2016 sono stati tre gli interventi per ripristinare le funzionalità di portali oggetto di attacchi. Le falle principali sono da attribuirsi a tre fattori principali:

  1. La gestione dei permessi delle cartelle del server che ospita il portale.
  2. La gestione e aggiornamento dei plug-in che si integrano con il portale.
  3. L’aggiornamento del portale stesso.

L’aggiornamento diviene quindi un elemento chiave per mantenere in sicurezza ed in stabilità il proprio portale ma non basta: è necessario che il server ospitante abbia tutte le condizioni di sicurezza per evitare la proliferazione delle minacce. Spesso questo comporta un livello di privilegi su cartella (tecnicamente CHMOD) molto ristretti. Anche più di quanto consigliato dagli sviluppatori del portale stesso.

Il vero problema subentra nella gestione dei plug-in. I plug-in permettono di estendere le funzionalità del portale, sfruttandone le potenzialità di base ed introducendone delle nuove. Ad esempio, è possibile implementare la funzionalità di e-commerce per quei portali che non la prevedono nativamente. Eppure questo comporta una possibile falla nella sicurezza che deve essere opportunamente tenuta sotto controllo.

JoomlaXCloner
L’exploit XCLONER per Joomla.

Per questo motivo si cerca di contenere il numero di plug-in ma anche di template grafici utilizzati. I template grafici sono la prima porta d’ingresso per attacchi come il de-facing. Ma allora come si può coniugare il bisogno di funzionalità con quello legato alla sicurezza?

Fermo restando che possano esistere delle situazioni limite, che richiederanno interventi molto tecnici e radicali, nella maggior parte delle volte è sufficiente effettuare un’analisi delle esigenze prima della fase di realizzazione. Bisogna capire bene quali siano le necessità del cliente e individuare come realizzare la soluzione in modo da capire se fosse veramente opportuno utilizzare un plug-in o magari se fosse possibile utilizzare uno dei componenti nativi messi a disposizione dal CMS. Inoltre è importante predisporre sistemi di backup&disaster recovery in grado di garantire la giusta risposta nel caso di problematiche.

Infine è importante capire che, in alcuni rari casi, il problema non ha origine solo dal vostro CMS ma anche dall’hosting in generale. Ci sono stati nel 2016 casi di hosting che non sono stati in grado di schermare le problematiche infrastrutturali dei server e tali problematiche si sono ripercosse sui CMS dei clienti. Inutile mettersi a discutere, è necessario avere una buona capacità di reazione per far fronte alle emergenze e risolvere il problema. Successivamente il cliente valuterà di trasferire il portale presso un altro hosting-provider.

Tuttavia è anche indispensabile fare una precisazione. Negli ultimi cinque anni i CMS sono stati snaturati. La piattaforma WordPress, ad esempio, nacque esclusivamente come sistema di blogging. Consentiva, in sostanza, di gestire un semplice blog mentre oggi, grazie ai cambiamenti apportati e ai plug-in in continua evoluzione, può trasformarsi in qualunque sito si voglia. Dal blogging al commercio elettronico, dal project managament al team working. Eppure questo cambiamento ha finito per snaturare la filosofia di sviluppo, dando origine a exploit di sicurezza nel codice sviluppato. Una sorte non tanto diversa è toccata e sta toccando a Joomla: gli ultimi 24 mesi sono stati oggetto di aggiornamenti più o meno corposi, orientati alla parte core e all’introduzione di nuove politiche di upgrade e security maintenance.

Si apre qui un capitolo legato alla gestione della sicurezza ICT e alla capacità del proprietario del portale, di far fronte adeguatamente ad eventuali problemi di sicurezza e stabilità. Nella primavera del 2016 un portale di un progetto internazionale di un mio cliente, è stato oggetto di ripetuti attacchi non mirati ma che trovavano un accesso tramite la parte core del portale. La cosa era pressappoco impossibile stando a quanto dichiarato dal produttore del portale. La ricerca ha poi svelato che tramite un plug-in erano stati modificati alcuni dei file principali del portale rendendo il tutto molto meno sicuro. La riparazione ha richiesto decisioni molto delicate: essenzialmente il portale era stato fortemente compromesso, è stato necessario migrare i contenuti su un portale equivalente ma a tempi di record.

Esistono delle risorse online per supportare gli utenti che mostrano chiaramente le vulnerabilità di questi portali. Uno tra tutti è https://www.exploit-db.com che raccoglie i principali exploit dei portali mostrando modalità di attacco e di risoluzione.

Qualche consiglio quindi è dovuto: assicuratevi di aver fatto una buona progettazione. Almeno la metà dei portali che naufragano hanno difetti nella progettazione delle esigenze e della fase di realizzazione. Non esagerate con l’impiego dei plug-in. Assicuratevi di avere sempre il pieno controllo dei parametri di sicurezza.

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: