hit counter
L'SDL e l'importanza della sicurezza applicativa - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

L'SDL e l'importanza della sicurezza applicativa

L'SDL e l'importanza della sicurezza applicativa

  • Comments 8
  • Likes
 

Ricordate quando ho espresso la profonda soddisfazione di vedere le mie analisi di vulnerabilità riprese dal blog di Michael Howard ? Ebbene, durante il mio recente viaggio a Redmond quel contatto mi ha permesso di conoscere di persona Michael : abbiamo avuto modo di chiaccherare una mezz'oretta, in un brainstorming tanto rapido quanto illuminante. Ho provato a stuzzicarlo come se fossi un cliente, con le tipiche domande e perplessità che vedevo emergere nella blogosfera in quei giorni, sulla sicurezza di Windows Vista, l'SDL e la vulnerabilità sui cursori animati (corretta dal bollettino MS07-017). Lui ha colto questi spunti per raccontarmi con passione dell'entusiasmante lavoro che sta operando sul Security Development Lifecycle (SDL), di come sia fondamentale la parte di analisi delle vulnerabilità per imparare nuovi modi di verifica del codice alla ricerca dei bug di sicurezza: questo tipo di lavoro meritava di essere condiviso e stavano pensando di aprire un blog dedicato all'SDL. Ecco, questo blog è nato appunto una settimana dopo e volevo assicurarmi che non vi fosse sfuggito: è una risorsa preziosa per chi si occupa di programmazione e sicurezza. Proprio il post sull'analisi della vulnerabilità ANI è una efficace dimostrazione del valore del processo SDL, con la sua assunzione di partenza che il software NON PUO' essere bug-free, e che l'iterazione costante di analisi delle nuove vulnerabilità e di conseguente miglioramento del processo, assieme al lavoro di miglioramento architetturale del sistema operativo con l'introduzione di funzionalità che offrono contromisure di difesa con l'approccio defense in-depth, sono il modo migliore per realizzare software sempre più sicuro. Vi confesso che i dettagli sono comprensibili appieno solo da chi mastica quotidianamente concetti di sviluppo: trovate una sintesi fatta dall'amico Paperino in questo suo post.

Michael mi ha poi parlato del suo ultimo libro sull'SDL e segnalato una recensione fatta in un post di Paolo De Nictolis su Programmazione.it (che, essendo in italiano, lui purtroppo non aveva modo di comprendere): io l'ho letta, è una recensione davvero dettagliata, ricca di tanti link di approfondimento, che vi darà una vera anteprima di tutto quanto è presente nel libro, facendo venire voglia di comprarlo anche ai sistemisti poco-sviluppatori come me!

Nonostante il mio attuale know-how di sviluppo non mi permetta di apprezzare in modo completo questi concetti, questo non mi impedirà di trattare sempre più diffusamente i temi della sicurezza applicativa, anzi ! Proprio con Michael mi sono ritrovato d'accordo nella considerazione seguente:

con l'irrobustimento della piattaforma di base, chi attacca tenderà nel tempo a spostare la sua attenzione verso gli strati più alti a livello applicativo, sul codice custom, quello scritto dalle terzi parti o dal cliente stesso, dove sarà più facile ritrovare bug di sicurezza da sfruttare per un attacco, più mirato ma non meno pericoloso. E' per questo che la sensibilizzazione sulla scrittura di codice sicuro e sui processi di revisione del codice stile SDL sono la nuova urgenza nel campo della sicurezza, e io non mancherò di aggiornarvi con tutte le innovazioni su questi temi.

Comments
  • <p>Ciao Feliciano!!!!!</p> <p>Sono proprio contento di leggere questo tuo post sulla sicurezza applicativa :-) soprattutto perch&#232; il tuo super-blog &#232; letto da molti NON DEV...</p> <p>Io penso alla sicurezza nei sistemi IT come all'insieme della sicurezza delle reti, la sicurezza dei sistemi e la &nbsp;sicurezza delle applicazioni (un po' come i 3 porcellini:-)).Questi tre ambiti (&quot;ambiti&quot;, meglio di &quot;porcellini&quot;...soprattutto visto che fine fanno 2 su 3!!),come si pu&#242; facilmente intuire, sono fortemente legati tra loro ed una vulnerabilit&#224; in uno qualsiasi di questi livelli pu&#242; compromettere l'intero sistema.Poi, come &#232; normale, ogni area ha le proprie particolarit&#224;,i propri &quot;internals&quot; ma chi amministra un sistema dovrebbe avere una precisa idea di quello che avviene nelle applicazioni in ambito sicurezza...soprattutto se queste sono custom! </p> <p>La sicurezza applicativa delle tre &#232; da sempre la pi&#249; sottovalutata.All'inizio proprio dai programmatori e dai progettisti software perch&#232; sicurezza era sinonimo di attivit&#224; da sistemisti...poi negli ultimi anni il coninvolgimento sull'argomento ha portato una netta sensibilizzazione da parte di molti specialisti nell'area sviluppo...PERO',a mio avviso,manca ancora quello che &#232; il trait-dunion tra i due mondi di sicurezza e la sfera applicativa: un policy enforcement infrastrutturale per le applicazioni legato ad un processo di change management.</p> <p>Questo policy enforcement in realt&#224; &#232; solo la punta dell'iceberg di un processo molto pi&#249; ampio e complesso che prevede un insieme di policy di sicurezza che andranno a creare una security baseline per tutte le applicazioni custom che verranno deployate in ambiente di produzione...e, last but not least... dei meccanismi automatici di verifica di compliance a queste policy.</p> <p>Queste attivit&#224; per&#242; non possono essere fatte solo dagli esperti di sicurezza delle reti o dei sistemi...ma devono essere eseguite a braccetto (si fa per dire...mi raccomando) con i solutions architect ed esperti di sicurezza applicativa per avere la famosa visione olistica della sicurezza :-)</p> <p>Tutto questo panegirico per dirti che sono molto contento che all'interno del tuo super blog ti occuperai anche di sicurezza applicativa...per avvicinare alle problematiche di gestione della sicurezza nelle applicazioni anche chi non si occupa di sviluppo.</p> <p>Ma tu ti ricordi che una volta (l'unica) abbiamo partecipato come speaker allo stesso evento:-)??? </p> <p>Era il lontano 16 Marzo 2004 (Cisco Conference Tour 2004)!</p> <p>io me lo ricordo bene perch&#232; era la prima volta che parlavo ad un'audience non DEV...e sono pure sopravvissuto :-):-) di cosa parlavo??... ma di sicurezza applicativa :-):-)</p> <p>Ciao</p> <p>--Mario</p> <p>PS:complimenti per la menzione da parte del GURU:-)</p>

  • <p>La sicurezza applicativa e' l'unica sicurezza *vera*.</p> <p>Il resto sono misure per mitigare codice che non si vuole e puo' fissare.</p> <p>Divagando un po', se vuoi farti due risate, guarda le implicazioni che un software scritto male (non validava l'input - che e' IL problema di sicurezza applicativa che produce intere FAMIGLIE di vulnerabilita') mi ha causato tempo fa: <a rel="nofollow" target="_new" href="http://www.muscetta.com/2007/05/05/ancient-and-modern-aka-digital-printouts-and-writing-secure-systems/">http://www.muscetta.com/2007/05/05/ancient-and-modern-aka-digital-printouts-and-writing-secure-systems/</a></p>

  • <p>Carissimo Mario, grazie dei complimenti ... a quando il piacere di leggere il TUO super-blog ? Da un super-Mario non si pu&#242; che aspettarsi un super-blog ... Ho tanto bisogno di avere qualcuno da referenziare sui temi della sicurezza dei web services ...</p> <p>Non tardare !</p>

  • <p>Un post da non perdere &#232; quello in cui David LeBlanc spiega il tool di prossima pubblicazione MOICE, &quot;Microsoft Office Isolated Conversion Environment&quot;. Lasciandovi il piacere di leggerlo per intero, richiamo in questa sede alcuni spunti interessanti</p>

  • <p>E alla fine... dopo tanto titubare, tentennare e tergiversare ho deciso anch’io di aprire una finestra</p>

  • <p>Se avete letto il mio precedente post, quando il mio collega Jeff Jones ha pubblicato il report simile sui primi 90 giorni di Windows Vista, sapete gi&#224; come la penso sulle statistiche di confronto delle vulnerabilit&#224; tra i diversi sistemi operativi. Ma</p>

  • <p>Delle &quot;17 perle&quot; di cui vi ho appena detto, quella che ha suscitato maggiori domande di approfondimento nei 3 eventi in cui ho avuto modo di parlarne &#232; stata appunto la 15a: Sei sicuro della sicurezza del TUO codice ? Il concetto di fondo che ho espresso</p>

  • <p>Post originale: Le &quot;17 perle&quot; della Security Governance dove trovate le slide aggiornate in allegato.</p>

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment