08 May 2007
L'SDL e l'importanza della sicurezza applicativa
Ricordate quando ho espresso la profonda soddisfazione di vedere le mie analisi di vulnerabilità riprese dal blog di Michael Howard ? Ebbene, durante il mio recente viaggio a Redmond quel contatto mi ha permesso di conoscere di persona Michael : abbiamo avuto modo di chiaccherare una mezz'oretta, in un brainstorming tanto rapido quanto illuminante. Ho provato a stuzzicarlo come se fossi un cliente, con le tipiche domande e perplessità che vedevo emergere nella blogosfera in quei giorni, sulla sicurezza di Windows Vista, l'SDL e la vulnerabilità sui cursori animati (corretta dal bollettino MS07-017). Lui ha colto questi spunti per raccontarmi con passione dell'entusiasmante lavoro che sta operando sul Security Development Lifecycle (SDL), di come sia fondamentale la parte di analisi delle vulnerabilità per imparare nuovi modi di verifica del codice alla ricerca dei bug di sicurezza: questo tipo di lavoro meritava di essere condiviso e stavano pensando di aprire un blog dedicato all'SDL. Ecco, questo blog è nato appunto una settimana dopo e volevo assicurarmi che non vi fosse sfuggito: è una risorsa preziosa per chi si occupa di programmazione e sicurezza. Proprio il post sull'analisi della vulnerabilità ANI è una efficace dimostrazione del valore del processo SDL, con la sua assunzione di partenza che il software NON PUO' essere bug-free, e che l'iterazione costante di analisi delle nuove vulnerabilità e di conseguente miglioramento del processo, assieme al lavoro di miglioramento architetturale del sistema operativo con l'introduzione di funzionalità che offrono contromisure di difesa con l'approccio defense in-depth, sono il modo migliore per realizzare software sempre più sicuro. Vi confesso che i dettagli sono comprensibili appieno solo da chi mastica quotidianamente concetti di sviluppo: trovate una sintesi fatta dall'amico Paperino in questo suo post.
Michael mi ha poi parlato del suo ultimo libro sull'SDL e segnalato una recensione fatta in un post di Paolo De Nictolis su Programmazione.it (che, essendo in italiano, lui purtroppo non aveva modo di comprendere): io l'ho letta, è una recensione davvero dettagliata, ricca di tanti link di approfondimento, che vi darà una vera anteprima di tutto quanto è presente nel libro, facendo venire voglia di comprarlo anche ai sistemisti poco-sviluppatori come me!
Nonostante il mio attuale know-how di sviluppo non mi permetta di apprezzare in modo completo questi concetti, questo non mi impedirà di trattare sempre più diffusamente i temi della sicurezza applicativa, anzi ! Proprio con Michael mi sono ritrovato d'accordo nella considerazione seguente:
con l'irrobustimento della piattaforma di base, chi attacca tenderà nel tempo a spostare la sua attenzione verso gli strati più alti a livello applicativo, sul codice custom, quello scritto dalle terzi parti o dal cliente stesso, dove sarà più facile ritrovare bug di sicurezza da sfruttare per un attacco, più mirato ma non meno pericoloso. E' per questo che la sensibilizzazione sulla scrittura di codice sicuro e sui processi di revisione del codice stile SDL sono la nuova urgenza nel campo della sicurezza, e io non mancherò di aggiornarvi con tutte le innovazioni su questi temi.
Comment Notification
If you would like to receive an email when updates are made to this post, please register here
Subscribe to this post's comments using
Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.
