Preventable But Often Ignored, Web App Attacks Expand Their Reach

Prevenibili, ma spesso ignorati, gli attacchi alle app web continuano ad estendersi

Autore: Teresa Meek

Sentiamo parlare da più di vent'anni di attacchi web che rubano dati o danneggiano siti web. Sebbene siano molto semplici da prevedere, sono comunque causa di problemi e questi ultimi si verificano più spesso.

Gli attacchi, in cui gli hacker riescono ad accedere a un sito digitando un codice nei campi dei moduli, sono aumentati del 25 percento in tutto il mondo nell'ultimo anno, secondo i dati del secondo trimestre pubblicati da Akamai Technologies nel suo rapporto Stato di Internet/Sicurezza. Gli Stati Uniti sono di gran lunga il bersaglio preferito, con 218 milioni di incidenti solo nel secondo trimestre.

A meno che le aziende non adottino misure preventive, rischiano di perdere dati, clienti e ricavi.

Preventable But Often Ignored, Web App Attacks Expand
Secondo un recente rapporto Akamai, un ritardo di 100 millisecondi nei tempi di caricamento ha un impatto negativo sulle vendite fino al 7%.

Tipi di attacchi ad applicazioni web

Gli attacchi ad applicazioni web inseriscono un codice nelle parti interattive di un sito web, portando il server a rilasciare dati o a eseguire file dannosi. Hanno diverse forme, ognuna delle quali può nuocere all'azienda a suo modo.

Un attacco Cross-Site Scripting, o XSS, inserisce un codice in grado di compromettere un sito web o reindirizzare gli utenti a un sito falso, per consentire agli hacker di rubarne le credenziali. Ciò è successo a eBay qualche anno fa. Gli attacchi XSS hanno rappresentato il 9% degli attacchi ad applicazioni web nell'ultimo trimestre, secondo il rapporto Akamai.

Prevalgono anche gli attacchi Local File Inclusion, o LFI, che hanno costituito il 33% degli attacchi ad applicazioni web del secondo trimestre. In questi attacchi, gli hacker aggiungono comandi in codice ai campi interattivi, per richiedere l'accesso a file sensibili sul server web. In alcuni casi, un attacco LFI può eseguire un codice dannoso.

Il tipo più comune di attacco ad applicazioni web, e anche uno dei più gravi, è l'SQL injection, o SQLi, che ha rappresentato il 51% degli attacchi ad applicazioni web nel secondo trimestre. In questi attacchi, un hacker digita dei comandi che possono forzare un server a rivelare informazioni memorizzate nei database.

In che modo più nuocere un attacco SQLi

Mentre cerca dati da rubare, un attacco SQLi blocca le risorse di un server. Ciò comporta un rallentamento significativo nella ricerca di informazioni da parte di altri utenti, inclusi i clienti. Il ritardo può durare pochi millisecondi, ma potrebbe essere molto lungo a volte.

"Se una pagina si carica in un periodo di tempo compreso tra 30 e 100 millisecondi, anziché tra 10 e 20, questo leggero ritardo è abbastanza per costare dei soldi all'azienda", ha affermato John Summers, Vice President e General Manager dell'azienda Akamai Technologies. "Se state vendendo qualcosa, i clienti si rivolgeranno altrove. Questo può comportare una perdita di milioni di dollari".

Secondo un recente rapporto Akamai, un ritardo di 100 millisecondi nei tempi di caricamento ha un impatto negativo sulle vendite fino al 7%. Un ritardo di due secondi raddoppia il numero medio di persone che lasciano un sito.

E c'è ancora dell'altro di cui preoccuparsi. Mentre allontana i clienti, l'attacco recupera anche informazioni da un database. Un singolo attacco può acquisire solo una piccola parte di informazioni. Ma gli hacker spesso attaccano più volte, fin quando non hanno estratto l'intero contenuto del database.

Un attacco può rubare i nomi utente e le password degli account degli utenti, nonché accedere alla loro cronologia di navigazione e degli acquisti. Se un'azienda non crittografa le informazioni delle carte di credito, l'hacker può acquisire anche questi dati.

In genere, gli attacchi non possono rubare i dati crittografati. Ma se uno sviluppatore di siti web memorizza la chiave di crittografia in modo inappropriato, un hacker può trovarla e usarla per scaricare i numeri delle carte di credito e altre informazioni private, spiega Summers.

Prevenire gli attacchi

Le aziende possono fermare facilmente gli attacchi ad applicazioni web. Un modo per farlo è programmare i propri siti per impedire l'inserimento di linguaggio di comando per computer nei campi di risposta del cliente. Un altro modo è installare firewall per applicazioni web.

Questi firewall possono eseguire una scansione del traffico sui siti web e avvisare un'azienda nel caso in cui i visitatori provengano da una parte del mondo in cui normalmente non conducono affari.

"Se la vostra base di clienti è per il 99 percento europea e, improvvisamente, arriva del traffico dall'Australia, dovreste fare attenzione", aggiunge Summers.

Il sistema firewall di Akamai esegue una scansione sul traffico inusuale e classifica anche i singoli indirizzi IP, assegnando un punteggio di alto rischio a quelli che sono stati coinvolti in altri attacchi. Una volta avvertita in merito al traffico sospetto, un'azienda può servirsi di controlli aggiuntivi contro le frodi, prima di approvare le interazioni.

Adottare misure preventive contro gli attacchi ad applicazioni web non è difficile, ma molte aziende non investono abbastanza risorse per renderle efficaci. Altre non riescono ad aggiornare i propri siti, per stare al passo con il panorama cangiante delle minacce.

"Occorrono tempo, energia, soldi e volontà e tutto questo non ha rappresentato una priorità", ha detto Summers.

Nel frattempo, gli hacker setacciano il web alla ricerca di siti web vulnerabili ad attacchi alle applicazioni. Hanno persino uno strumento che rende automatica la procedura di ricerca delle pagine vulnerabili ad attacchi SQLi. Esistono video su YouTube che spiegano come utilizzare questo strumento.

In un tale ambiente, le aziende devono ristabilire le proprie priorità, per prepararsi ad attacchi alle applicazioni web e non solo ad attacchi molto pubblicizzati, come quelli Distributed Denial of Service, ha detto Summers.

"Gli attacchi alle applicazioni web possono bloccare risorse, causare ritardi, costare soldi, rubare i dati dei clienti e farvi finire sui notiziari", ha avvertito Summers. "Non arrestano il vostro sistema come un attacco DDoS, ma a lungo andare, hanno comunque un effetto dannoso sulla vostra azienda".

Teresa Meek vive e lavora a Seattle. Con oltre 15 anni di esperienza nel campo delle comunicazioni, ha anche scritto per il Miami Herald e il Newsday.

Related CIO Content