La sicurezza del software: tra insidie persistenti e strategie innovative

La sicurezza del software è un problema persistente che richiede un rigoroso approccio scientifico per prevenire errori che potrebbero alterare i risultati. Elisa Bertino, una rispettata autorità nel campo della sicurezza informatica alla Purdue University, espone il panorama di tale sfida. Il suo studio, "The persistent problem of software insecurity", evidenzia come l'insicurezza rimanga un problema consistente nonostante la crescente digitalizzazione in vari settori. Esempi significativi di questa trasformazione digitale includono la "softwarizzazione" delle reti informatiche, lo sviluppo di applicazioni mobili e di sistemi per il cloud. Nonostante i tentativi di risolvere il problema con il patching, l'insicurezza sembra essere più radicata e strutturale.

Le tecniche di analisi per il controllo della sicurezza del codice

Per identificare e misurare l'insicurezza del codice, il team della professoressa Bertino svolge diverse tipologie di analisi sul codice sorgente e/o oggetto. Questi test cercano di rilevare difetti, o bugs, che potrebbero diventare vulnerabilità sfruttabili dagli hacker. Il loro lavoro considera vari tipi di difetti e utilizza diversi strumenti di analisi a seconda del tipo di vulnerabilità. Le tecniche includono l'analisi statica e dinamica del codice, il "code slicing", e persino tecniche di machine learning. In alcuni casi, combinano queste tecniche; ad esempio, in un recente lavoro che mirava a identificare gli errori nella gestione della memoria nei programmi open source, hanno utilizzato una combinazione di Natural Language Processing (NLP) e analisi statica.

Le sfide della sicurezza nei luoghi digitali

Con l'adozione della digitalizzazione, la tecnologia basata su codice di programmazione si è introdotta in ogni aspetto della vita quotidiana. Questo ha portato alla crescita esponenziale del software in termini di reti, protocolli e applicazioni abilitanti. Tuttavia, le categorie di software più a rischio di difetti di programmazione non sono state adeguatamente testate o analizzate, con conseguenti limitazioni. Un'area di particolare interesse per il team della Bertino riguarda i protocolli di comunicazione per le reti cellulari 5G e next-gen. Questi protocolli sono complicati e spesso specificati in linguaggio naturale, rendendoli non formalmente definiti e propensi ad inconsistenze ed errori di implementazione.

L'inquietante persistenza dell'insicurezza del codice

Il digitale ha permeato ogni aspetto della nostra vita, da applicazioni per cellulari a droni e software open source. Tuttavia, come ha rilevato Bertino in un'analisi di oltre 13.000 applicazioni mobili, circa il 18% non controllava correttamente il certificato inviato dal server o non lo controllava affatto. Anche la minaccia di attacchi di iniezione SQL persiste. Nonostante l'aumento della consapevolezza della necessità di una migliore sicurezza del software, molte applicazioni sviluppate negli ultimi anni sono ancora insicure. Questo richiede un impegno costante per migliorare le tecniche di patching e test, così come l'implementazione di strumenti automatici per la gestione del patching. L'intelligenza artificiale può giocare un ruolo chiave in questo, sebbene sia importante assicurarsi che i sistemi di IA siano addestrati su codice di alta qualità.

L'insicurezza del software globale può essere attribuita a una serie di fattori, tra cui la mancanza di responsabilità dei fornitori, una formazione inadeguata degli ingegneri e degli sviluppatori di software, e l'uso di linguaggi di programmazione non sicuri. È importante ricordare che sebbene la digitalizzazione possa portare vantaggi significativi, come la semplificazione dei processi lavorativi e l'efficienza dei cicli produttivi, richiede anche un investimento per gestire le sue conseguenze, tra cui l'implementazione di tecniche di protezione dei dati come la crittografia e l'autenticazione a più fattori.