Fraunhofer SIT ha reso disponibile uno scanner di vulnerabilità SSL per Android, che permette agli sviluppatori di app di individuare e chiudere automaticamente una lacuna nella sicurezza SSL che si verifica spesso. Il software è scaricabile gratuitamente da questo indirizzo ed è stato sviluppato presso l’European Center for Security and Privacy by Design (EC SPRIDE) a Darmstadt, finanziato dal Ministero federale per l’istruzione e la ricerca. Gli scienziati dell’EC SPRIDE sviluppano nuovi strumenti di testing per codici Android e Java che utilizzano tecniche innovative di analisi e sono integrabili direttamente in contesti di sviluppo. Gli strumenti consentono anche la rilevazione di errori solitamente difficili da individuare nel codice di programmazione.
Molte vulnerabilità della sicurezza sono il risultato di semplici errori di programmazione che, a causa della complessità sempre maggiore dei prodotti software, stanno diventando sempre più difficili da evitare. Il software spesso consiste di varie parti di programmi, talvolta scritti da diversi team di sviluppo. I programmatori non riescono più a comprendere totalmente l’interazione dei diversi componenti software. Ecco il motivo per cui oggi le software house utilizzano strumenti che consentono di testare automaticamente il codice di programmazione.
I tradizionali scanner di vulnerabilità, tuttavia, utilizzabili dal proprio personal computer, sono spesso limitati alla rilevazione di semplici errori, mentre gli errori complessi sono quelli difficili da individuare ed evitare. Per rilevare queste complesse vulnerabilità della sicurezza nel codice di programmazione, in passato le software house dovevano fare esaminare il proprio codice da società esterne, quali ad esempio costosi servizi di testing realizzati all’estero. Spesso, però, le aziende ricevono i risultati con notevole ritardo e quando viene segnalato un problema, gli sviluppatori probabilmente stanno già lavorando a qualcosa di completamente diverso.
Il Prof. Dr. Eric Bodden di Fraunhofer SIT e il suo team presso il centro di sicurezza cibernetica EC SPRIDE hanno sviluppato un efficiente sistema di analisi e l’hanno integrato negli strumenti di testing. Questi nuovi scanner di vulnerabilità sono utilizzabili su semplici computer, ma sono più potenti dei costosi servizi analitici esterni e individuano un maggior numero di errori complessi in minor tempo. Gli strumenti di analisi dei ricercatori di Darmstadt spesso producono risultati perfino nell’arco di millisecondi. Questo è possibile grazie al tecniche analitiche in grado di esaminare rapidamente interazioni anche complesse all’interno del codice.
“Lo sviluppo sicuro del software è proprio come un labirinto” ha dichiarato Bodden: “E’ molto facile prendere la svolta sbagliata ma molto difficile trovare il percorso giusto. Ecco perché le aziende utilizzano gli strumenti di testing per raggiungere il proprio obiettivo nel modo più rapido possibile. Ma gli strumenti convenzionali consentono agli sviluppatori solo di dare uno sguardo dietro l’angolo, mentre grazie ai nostri strumenti, potranno vedere i prossimi dieci angoli”. Le tecniche di analisi sono utilizzabili con vari linguaggi di programmazione e sono ottimizzabili per specifiche operazioni.
L’attuale sistema analitico supporta analisi molto complesse di flussi di dati. Un modo più semplice ma molto pertinente nella pratica è lo scanner per le vulnerabilità SSL, ora pubblicato. Si tratta di un plug-in Eclipse che i programmatori possono implementare facilmente in ambienti di sviluppo tipici. Lo strumento di testing aiuta gli sviluppatori di app a rilevare le implementazioni difettose del protocollo SSL (Secure Socket Layer) nel codice Android ed è utilizzabile gratuitamente come software open source. La gravità del problema SSL nelle app è stata dimostrata l’anno scorso, quando Fraunhofer SIT ha individuato errori in una grande quantità di app che comportavano potenzialmente rischi notevoli per gli utenti.
