L’importanza della verifica del codice

La creazione di un semplice sito web, lo sviluppo di siti commerciali che permettono l’accesso a particolari infrastrutture o di applicativi per l’industria e la modifica di software legacy, sono ormai parte integrante delle necessità di piccole aziende e grandi gruppi industriali. Non importa se questi servizi si basano su prodotti pacchettizzati o vengano sviluppati da zero magari sfruttando delle risorse open source, qualunque sia la loro funzione hanno due elementi in comune: la scrittura (o la modifica) di un codice e il programmatore che l’ha eseguita. Ma chi garantisce che sia stato fatto un lavoro adeguato? Il sito o l’applicativo posso funzionare bene, magari sono attivi su strutture aggiornate e protette da poderosi firewall ma, il problema, in particolare per quanto riguarda la sicurezza, potrebbe essere dietro l’angolo. Vuoi per una distrazione, vuoi per l’inesperienza del programmatore qualche falla nel codice non ancora evidenziata potrebbe essere in attesa di un hacker pronto a sfruttarla. Poniamo l’esempio di un codice sorgente modificato per inserirvi nuove funzioni; questa procedura se eseguita senza la necessaria attenzione per le specifiche di sicurezza, potrebbe essere dannosa. Per esempio un malintenzionato potrebbe sfruttare un buffer overflow per andare a corrompere il codice e modificarlo a proprio piacimento. Ovviamente questa non è una critica ai programmatori che, anche anche nel caso di professionisti preparati, su decine di migliaia di righe di codice possono umanamente commettere una svista. Il problema è che quando il codice viene analizzato da chi l’ha scritto, individuare una possibile falla è ancora più difficile ed è qui che entra in gioco la verifica del codice, meglio conosciuta come auditing del codice. Si tratta di una procedura essenziale per individuare eventuali errori e, per ottenere i migliori risultati, è consigliabile farla eseguire da un’azienda di terze parti in grado di valutare e dare un punto di vista oggettivo al lavoro che è stato fatto. l’Audit del codice fa anche parte delle procedure di revisione per le aziende che richiedono elevati standard di sicurezza e che si sottopongono al Vulnerability Assessment, ovvero al processo volto a valutare la sicurezza dei sistemi informatici.

Verifiche per l’industria

SCADA è un termine poco conosciuto ai più, ma è noto a chi si occupa dello sviluppo di software per l’industria, ed è l’acronimo di Supervisory Control And Data Acquisition (supervisione, controllo e acquisizione dati). Ci sono servizi che permettono l’accesso esterno ai sistemi di controllo di un impianto industriale, così come ci sono software che controllano e fanno funzionare le unità periferiche come i PCL ( i computer delegati ai controlli dei processi industriali). Si tratta di elementi essenziali per mantenere l’impianto in produttività in modo efficiente e in sicurezza per le persone che ci lavorano. Tutto questo è gestito da software SCADA che, oltre a garantire il perfetto funzionamento del sistema, non deve presentare falle di sicurezza che possano favorire eventuali intrusioni. Anche in questo caso per verificare che non ci siano problemi nel codice e valutare il lavoro che è stato fatto nella creazione del software è consigliabile avvalersi di professionisti esterni in grado di analizzare il codice per individuare le possibili problematiche, siano esse legate alle istanze di sicurezza che al funzionamento dell’impianto. Il team di esperti di Hypergrid, oltre alle procedure di auditing del codice per siti web e applicativi è in grado di fornire assistenza anche sui software industriali SCADA. Tramite l’uso dei migliori strumenti software, sempre aggiornati, è in grado di valutare il lavoro fatto dai programmatori e nel caso della scoperta di falle del sistema suggerire la soluzione adeguata.

Tutti i servizi sono configurabili in base alle esigenze aziendali, per maggiori informazioni contattaci all’indirizzo info@hypergrid.it

Shares

Iscriviti alla nostra newsletter

Inserisci la tua E-mail ed iscriviti per ricevere aggiornamenti periodici sul mondo della sicurezza informatica