Il punto di vista di Umberto Pirovano, Senior Manager Systems Engineering di Palo Alto Networks: come cambia la cybersecurity nel breve, medio e lungo termine

Quando si parla del ruolo dell’Intelligenza Artificiale nella cybersecurity è essenziale considerare innanzitutto gli impatti a breve termine, perché sono quelli più evidenti e poiché si tratta di un territorio inesplorato che richiede la capacità di andare al di là del clamore immediato. Per questo motivo, si ritiene che l’AI svolgerà un ruolo cruciale nelle campagne di disinformazione su vasta scala sulle piattaforme social media. Queste campagne possono verificarsi prima, durante e dopo grandi eventi globali, come conflitti geopolitici ed elezioni, che mettono in dubbio la fiducia nella capacità di verificare i fatti. Sebbene manchino prove concrete, l’intelligence open source suggerisce un trend in crescita dell’utilizzo dell’AI nelle campagne di disinformazione.

Darrell West, senior fellow presso il Center for Technology Innovation della Brookings Institution, ha recentemente lanciato un allarme sul potenziale impatto di questo caso d’uso, affermando che “ci sarà uno tsunami di disinformazione nelle prossime elezioni; in pratica, chiunque può usare l’intelligenza artificiale per creare video e audio falsi, e sarà quasi impossibile distinguere il reale dal fake.”

A questo fa eco la creazione di deepfake. Sebbene non siano direttamente collegati alla sicurezza informatica tradizionale, i deepfake iniziano a essere combinati con attacchi di social engineering. Questa intersezione tra tecnologia e manipolazione è fonte di preoccupazione per i professionisti della sicurezza, soprattutto perché gli algoritmi si affinano sempre più per aggirare le difese tradizionali, incapaci di contrastare gli attacchi più sofisticati.

Impatti a medio termine – Strumenti più efficaci

Nel medio termine, prevediamo che gli attori delle minacce affineranno ulteriormente i loro strumenti con l’AI. Ad esempio, potrebbero istruire modelli di intelligenza artificiale per identificare le risorse di un’azienda esposte a Internet con i rispettivi servizi in esecuzione per aiutare a individuare le vulnerabilità potenzialmente presenti.

Prevediamo un continuo aumento della sofisticazione delle minacce, con l’AI generativa sempre più utilizzata dai cybercriminali per elevare le loro abilità. È importante notare che queste tecnologie, come i modelli linguistici, sono attualmente utilizzate come supporto alle operazioni esistenti, ma non sono ancora state utilizzate appieno per creare malware o condurre campagne pericolose su larga scala.

Tuttavia, con ogni probabilità queste tecnologie verranno utilizzate per migliorare gli attacchi nel prossimo futuro, ad esempio per ottimizzare e perfezionare i testi delle email di spear phishing, che potrebbero diventare più convincenti grazie all’utilizzo di riferimenti geografici corretti, gergo e testo grammaticalmente accurato anche per rivolgersi a persone madrelingua.

Inoltre, possiamo aspettarci l’uso potenziale a breve termine dell’intelligenza artificiale generativa a scopi di ricognizione, per raccogliere informazioni su vittime specifiche, pre-compromissione, come intervalli di netblock, servizi/porte aperti e anche assistenza nella scansione di vulnerabilità.

Impatti a lungo termine – Co-pilot di sicurezza dotati di intelligenza artificiale

Guardando al futuro, prevediamo la possibilità di sviluppo da parte degli attori delle minacce di propri co-pilot di sicurezza dotati di intelligenza artificiale. Questi co-pilot potrebbero assistere i cybercriminali in diverse fasi della catena di attacco, come il movimento laterale e l’escalation dei privilegi all’interno di ambienti compromessi. Sebbene questo concetto non sia ancora una realtà pienamente realizzata, nei forum e nei social network underground si registra una crescente attenzione e discussione su come gli attaccanti possano sfruttare la tecnologia AI.

AI e il futuro della sicurezza informatica

In sintesi, l’AI è destinata a svolgere un ruolo sempre più significativo nel campo della cybersecurity. Con l’evolversi della tecnologia, è probabile che essa modifichi il modo stesso in cui professionisti della sicurezza e personale dei SOC affrontano il loro ruolo. Mentre nel breve termine possiamo aspettarci il suo utilizzo per campagne di disinformazione e deepfake, gli sviluppi a medio termine si concentreranno sull’affinamento degli strumenti lungo tutta la catena di attacco, ad esempio per la ricognizione e lo spear phishing. A lungo termine, infine, potremmo assistere all’emergere di co-pilot di sicurezza dotati di intelligenza artificiale, utilizzati per rendere ancora più efficaci le attività pericolose.

Tutto questo sottolinea la necessità per i professionisti della sicurezza di restare vigili, adattandosi all’evoluzione del panorama delle minacce. Con la continua evoluzione del settore della cybersecurity, è chiaro che l’AI sarà una forza trainante nelle strategie sia difensive che offensive. Alle aziende e ai responsabili della sicurezza spetta il compito di rimanere informati, adattare costantemente le loro difese ed essere pronti a contrastare efficacemente le minacce alimentate dall’AI.

L'articolo Artificial Intelligence, quale impatto sulla sicurezza informatica? proviene da il blog della sicurezza informatica.

l gruppo APT36 (alias Transparent Tribe) continua a distribuire applicazioni Android dannose utilizzando l’ingegneria sociale. Questa volta, gli hacker hanno preso di mira i giocatori mobile, gli appassionati di armi e gli utenti di TikTok.

“I nuovi APK continuano la tendenza tradizionale del gruppo di introdurre spyware nelle applicazioni di visualizzazione video. Ora i loro obiettivi sono i giocatori mobile, gli amanti delle armi e gli utenti di TikTok”, affermano gli specialisti di SentinelOne.

Questa campagna dannosa, chiamata CapraRAT, è stata descritta per la prima volta nel settembre 2023. Gli hacker utilizzano app Android (il più delle volte imitando YouTube) per infettare i dispositivi dei loro obiettivi con il trojan CapraRAT, che è una versione modificata di AndroRAT ed è in grado di rubare un’ampia gamma di dati sensibili.

APT36 è un gruppo di hacking collegato al Pakistan noto principalmente per l’utilizzo di app Android dannose per attaccare la difesa indiana e le agenzie governative. Il gruppo utilizza CapraRAT negli attacchi da più di due anni e in passato Transparent Tribe si è anche impegnato in phishing mirato e ha anche effettuato attacchi Watering Hole per fornire spyware ai dispositivi con Windows e Android.

Come dicono ora gli esperti, il gruppo continua a utilizzare l’ingegneria sociale e inoltre “massimizza la compatibilità del suo spyware con le versioni precedenti di Android, espandendo contemporaneamente la sua superficie di attacco alle versioni moderne del sistema operativo”.

Questa volta SentinelOne ha identificato i seguenti file APK dannosi:

• Crazy Game (com.maeps.crygms.tktols);
• Video sexy (com.nobra.crygms.tktols);
• TikToks (com.maeps.vdosa.tktols);
• Arms (com.maeps.vdosa.tktols).

CapraRAT, nascosto in queste applicazioni, utilizza WebView per aprire l’URL di YouTube o il sito di gioco mobile CrazyGames[.]com e, in background, abusa dei diritti ottenuti durante l’installazione: accede alla posizione, ai messaggi SMS, ai contatti e ai registri delle chiamate, effettua telefonate , acquisisce screenshot, registra audio e video.

Così, l’applicazione TikTok apre YouTube con la richiesta “Tik Toks”, e l’applicazione lancia il canale YouTube Forgotten Weapons, dedicato a vari tipi di armi e con oltre 2,7 milioni di iscritti.

Un altro cambiamento evidente è che il malware non richiede più autorizzazioni come READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS e REQUEST_INSTALL_PACKAGES, il che significa che è più probabile che gli aggressori lo utilizzino come strumento di spionaggio piuttosto che come backdoor.

“Le modifiche al codice CapraRAT apportate tra la campagna di settembre 2023 e la campagna attuale sono minime, il che indica che gli sviluppatori sono concentrati nel rendere il loro strumento più robusto e stabile. La loro decisione di passare alle versioni più recenti del sistema operativo Android sembra logica ed è probabilmente coerente con la continua presa di mira da parte del gruppo di individui del governo e dell’esercito indiano che difficilmente utilizzano dispositivi con versioni precedenti di Android, come Lollipop, uscito otto anni fa”, affermano i ricercatori.

L'articolo I Pakistani di APT36 Colpiscono i Giocatori e gli Utenti TikTok con il malware CapraRAT proviene da il blog della sicurezza informatica.

Il 1 luglio 2024 Scientifica Venture Capital ha lanciato GlitchZone, una nuova competizione per start-up progettata per individuare soluzioni innovative nel campo della sicurezza informatica. L’iniziativa, promossa con l’Agenzia per la Cybersicurezza Nazionale (ACN), mira a rafforzare il panorama della cybersecurity attraverso il supporto a progetti emergenti.

Un’iniziativa strategica per la sicurezza digitale

Con il Cyber Innovation Network, ACN si impegna a sostenere le start-up e gli spin-off nel settore della sicurezza informatica, offrendo servizi e contributi finanziari per testare le tecnologie in contesti reali e promuovendo lo sviluppo imprenditoriale di soluzioni già validate.

In sinergia con Scientifica Venture Capital, ACN fornirà anche percorsi formativi e opportunità di accelerazione per le start-up selezionate.

L’importanza cruciale della cybersecurity

In un’epoca di crescente interconnessione digitale, la cybersecurity è diventata essenziale per proteggere infrastrutture digitali e dati sensibili. Le minacce informatiche sempre più sofisticate richiedono soluzioni all’avanguardia per prevenire intrusioni malevole, frodi informatiche e violazioni dei dati.

Le start-up della cybersecurity giocano un ruolo chiave in questa difesa, sviluppando tecnologie innovative in risposta alle sfide emergenti.

Obiettivi e opportunità di GlitchZone

GlitchZone si pone l’ambizioso obiettivo di identificare e sostenere le migliori soluzioni tecnologiche in settori come data science, intelligenza artificiale, robotica, Internet of Things, blockchain, computazione quantistica e crittografia.

I partecipanti selezionati avranno accesso a numerosi vantaggi, tra cui:

• l’opportunità di accedere, previo processo di selezione, ad un contributo a fondo perduto da parte dell’Agenzia per la cybersicurezza nazionale;
• un percorso di accelerazione totalmente customizzato;
• percorsi formativi per rafforzare la business strategy;
• collaborazioni strategiche con leader del settore;
• visibilità globale grazie ad un network internazionale;
• un possibile ticket di investimento da parte di Scientifica Venture Capital

Riccardo D’Alessandri, managing partner di Scientifica Venture Capital, ha espresso grande entusiasmo per il lancio di GlitchZone: “In un’epoca in cui la sicurezza informatica è più critica che mai, GlitchZone rappresenta un’importante iniziativa per identificare le migliori soluzioni in grado di rafforzarla. Il nostro obiettivo è creare un ecosistema resiliente per affrontare le sfide sempre più complesse del panorama digitale odierno.”

Anche il Direttore Generale di ACN, Bruno Frattasi, ha sottolineato l’importanza del progetto: “Con il Cyber Innovation Network abbiamo scommesso su realtà giovani e innovative. Crediamo che l’ecosistema cibernetico nazionale possa giovarsi di una sempre più efficace collaborazione tra i soggetti della ricerca, pubblica e privata, le Istituzioni, il mondo dell’imprenditoria e i fondi di investimento.”

Come Partecipare

Tutte le informazioni e le modalità di partecipazione a GlitchZone sono disponibili sulla pagina dedicata all’iniziativa.

Questa competizione rappresenta un’opportunità unica per le start-up del settore cybersecurity di ottenere supporto e visibilità, contribuendo a costruire un futuro digitale più sicuro per tutti.

L'articolo GlitchZone: la Nuova Frontiera della Cybersecurity Promossa da Scientifica Venture Capital proviene da il blog della sicurezza informatica.

Parliamo di sicurezza dei linguaggi di programmazione. Avete mai sentito dire che esistono linguaggi di programmazione sicuri e altri meno?

Io si, ma mi sono sempre chiesto cosa ciò possa significare in pratica. Credo sia arrivato il momento di scoprirlo assieme.

Per non perderci nei meandri dei linguaggi di programmazione cercherò di concentrarmi solo su una categoria, ovvero su quei linguaggi più adatti allo sviluppo di applicazioni web.

La sicurezza è un aspetto fondamentale nello sviluppo di applicazioni web ed ogni linguaggio ha le proprie caratteristiche e best practice da rispettare per garantire la sicurezza delle applicazioni. Naturalmente non tutti gli aspetti di sicurezza dipendono dal linguaggio di programmazione, è importante anche l’architettura generale del sistema e l’hardware su cui gira, per non parlare poi delle persone che in qualche modo interagiscono col processo di sviluppo. Noi cercheremo però di focalizzare il nostro interesse su quegli aspetti di sicurezza che hanno a che fare col linguaggio di programmazione impiegato o con i framework derivati.

Ci tengo a dire, prima di iniziare, che esistono differenze tra linguaggi intrinsecamente sicuri e best practices per lo sviluppo sicuro, che valgono generalmente per tutti i linguaggi o specificatamente per un linguaggio.

I primi, quelli intrinsecamente sicuri, possiedono delle funzionalità create apposta per impedire il verificarsi di problemi di sicurezza semplificando, in un certo qual modo, la vita al programmatore.

HTML e CSS

Tanto per cominciare, anche se non si tratta propriamente di linguaggi di programmazione, dobbiamo considerare HTML e CSS. Ricordiamo brevemente che HTML significa Hyper Text Markup Language e che serve per strutturare il contenuto delle pagine web mentre CSS significa Cascading Style Sheets e si utilizza per formattare i contenuti delle pagine web e per indicare al browser come questi devono essere visualizzati. In linea di massima HTML e CSS sono sempre in qualche modo impiegati nella realizzazione di applicazioni web ed è importante considerare l’interazione di questi, tra essi e con altri framework e linguaggi.

Per quanto riguarda la sicurezza in HTML e CSS possiamo affermare che trattandosi di linguaggi che si occupano del contenuto dell’applicazione o pagina web è di fondamentale importanza validare e sanificare gli input utente per prevenire attacchi di tipo Cross-Site Scripting e minacce simili. Per migliorare la sicurezza è consigliato l’uso di un layer aggiuntivo chiamato Content Security Policy (CSP). Attraverso le CSP lo sviluppatore può definire quali risorse possono essere caricate dal browser per ogni pagina, attenuando così i rischi di attacchi XSS, Clickjacking e simili.

Python

Uno dei linguaggi più utilizzati per produzione di applicazioni web è Python. In particolare due dei framework più noti che permettono lo sviluppo in Python sono Django e Flask.

Per quanto riguarda Django, ricordiamo che si tratta di un framework web open source per lo sviluppo di applicazioni web con il linguaggio Python. Questo framework è stato progettato per facilitare la creazione di applicazioni web complesse e ad alte prestazioni in modo rapido e semplice. Tra le sue caratteristiche, di rilievo per la sicurezza, vi è la presenza di un sistema di autenticazione e autorizzazione integrato, che supporta la gestione degli utenti, dei permessi e delle sessioni. Inoltre Django ha adottato una architettura chiamata Model-View-Template (MVT) allo scopo di separare logicamente i dati dalla logica di presentazione e dalla logica di controllo, questo è da considerare sicuramente come un vantaggio dal punto di vista della sicurezza.

Questo tipo di architettura riduce i rischi che eventuale codice malevolo venga inserito o eseguito nel contesto errato, per esempio le SQL injection. Grazie all’autoescape automatico anche attacchi XSS possono essere evitati, infatti Django possiede una funzione che converte i caratteri speciali in ingresso, tramite template utente, in testo normale prevenendo così eventuali azioni dannose. I caratteri speciali vengono infatti così convertiti: diventa [code][code]> diventa >& diventa &" diventa &quot.[/code][/code]

Django migliora la protezione da attacchi Cross-Site Request Forgery utilizzando token che assicurano che le richieste provengano da fonti autorizzate.
Flask a differenza di Django è un framework di sviluppo molto leggero che richiede, se necessaria, l’implementazione manuale di molte funzionalità di sicurezza come la protezione CSRF. L’uso di estensioni di sicurezza come Flask-Security può aiutare a rafforzare la protezione dell’applicazione.

Javascript

JavaScript è un linguaggio di programmazione essenziale per lo sviluppo web, utilizzato per creare contenuti dinamici e interattivi nei siti web. Funziona sia lato client, per migliorare l’esperienza utente, che lato server, grazie a runtime come Node.js, permettendo la creazione di applicazioni web scalabili e performanti. Oltre al web, è impiegato nello sviluppo di app mobile, desktop e nell’Internet of Things (IoT).

Per quanto riguarda la sicurezza occorre differenziare tra lato client e lato server.

Per quanto attiene il lato client, il codice viene eseguito nel browser dell’utente, ed è vulnerabile a manipolazioni e attacchi XSS. È dunque di cruciale importanza evitare le injection di codice non sicuro e gestire correttamente i dati provenienti dall’utente.

Con riferimento alla gestione delle vulnerabilità in Javascript, come in altri linguaggi, occorre utilizzare librerie di terze parti verificate e aggiornate, e applicare politiche di sicurezza rigorose come la CSP.

Lato server (Node.js): Evitare l’esecuzione di codice non attendibile e implementare pratiche sicure per la gestione delle dipendenze e la configurazione del server, adottando misure e metodologie atte a garantire che le librerie e i componenti software esterni utilizzati in un progetto non introducano vulnerabilità o problemi di sicurezza.

PHP

PHP (Hypertext Preprocessor) è un linguaggio di scripting lato server ampiamente utilizzato per lo sviluppo web. E’ stato progettato per creare contenuti dinamici e interattivi su pagine web. La sua facilità d’uso, unita a una curva di apprendimento accessibile, ha reso PHP uno dei linguaggi più popolari per lo sviluppo di siti e applicazioni web. E’ particolarmente adatto per la gestione di database, la generazione di pagine HTML dinamiche e l’integrazione con vari sistemi di gestione dei contenuti (CMS) come WordPress, Drupal e Joomla. PHP dispone di un’ampia gamma di librerie e framework, come Laravel e Symfony.

PHP è stato molto criticato per problemi di sicurezza ma ultimamente sono state introdotte funzionalità di sicurezza migliorate. In ogni caso è importante sanificare l’input utente e utilizzare funzioni sicure per le query SQL, per esempio attraverso l’uso di librerie come PHP Data Object, per prevenire SQL injection. E’ inoltre necessario mantenere il server PHP sempre aggiornato e configurare correttamente le impostazioni di sicurezza.

Ruby

Ruby è un linguaggio di programmazione dinamico, interpretato e orientato agli oggetti. Conosciuto per la sua sintassi semplice ed espressiva ed apprezzato per la sua capacità di favorire la produttività degli sviluppatori. Ampiamente utilizzato per lo sviluppo web grazie a framework come Ruby on Rails, che semplifica la creazione di applicazioni web robuste e scalabili. Oltre al web development, Ruby trova applicazione anche nello scripting, nell’automazione dei task e nello sviluppo di applicazioni desktop.

Dal punto di vista sicurezza, Ruby on Rails come framework per lo sviluppo di applicazioni web, fornisce diverse protezioni integrate per prevenire vulnerabilità comuni come XSS (Cross-Site Scripting), SQL injection e CSRF (Cross-Site Request Forgery). Per quanto riguarda XSS vale il concetto di “escaping” automatico dei dati di output, ciò significa che i dati inseriti dagli utenti sono automaticamente filtrati per evitare che codice JavaScript dannoso venga eseguito nel browser. Invece, per prevenire SQL InjectionRails utilizza un ORM (Object-Relational Mapping) chiamato ActiveRecord che automatizza la generazione di query SQL parametrizzate. In questo modo previene efficacemente l’SQL injection, in quanto i parametri delle query vengono trattati separatamente dai comandi SQL, evitando l’inserimento di codice SQL dannoso direttamente nelle query. In merito ad attacchi di tipo CSRF (Cross-Site Request Forgery), Rails implementa l’uso di token CSRF generati automaticamente. Questi token vengono inclusi in ogni form e richiesta AJAX generata da Rails. Il framework verifica che il token CSRF inviato corrisponda a quello generato dal server, impedendo così che le richieste provenienti da siti esterni non autorizzati siano eseguite.

Un ulteriore meccanismo di sicurezza, chiamato “Strong Parameters“, è stato introdotto in Rails per controllare quali parametri sono accettabili. Questo aiuta a prevenire l’inserimento di dati non desiderati o malevoli attraverso le richieste HTTP.

Java

Java è un linguaggio di programmazione ad alto livello, orientato agli oggetti e fortemente tipizzato, creato negli anni ’90. È uno dei linguaggi più popolari e diffusi nel mondo dello sviluppo software, grazie alla sua portabilità, alla robustezza del suo sistema di tipizzazione e alla sua ampia adozione sia in ambito enterprise sia nel settore delle applicazioni desktop e mobili. Java è molto conosciuto anche grazie alla sua virtual machine (JVM) che consente l’esecuzione del codice Java su diverse piattaforme senza la necessità di doverlo ricompilare. Oltre alla libreria standard, esiste un vasto ecosistema di framework e strumenti di sviluppo, come Spring Framework, che semplificano la creazione di applicazioni scalabili e robuste per il web e altri contesti.

Per quanto riguarda gli aspetti di sicurezza, Spring Security è un modulo potente per gestire autenticazione e autorizzazione, offrendo protezione contro CSRF e altre minacce.

L’uso di Java e dei suoi framework richiede una gestione accurata della configurazione per prevenire l’accesso non autorizzato e la divulgazione di dati sensibili. Mantenere aggiornato l’ambiente di runtime (JVM) e il framework stesso è cruciale per evitare vulnerabilità note.

C# (C Sharp)

C# è un linguaggio di programmazione sviluppato da Microsoft nel 2000 come parte della piattaforma .NET. Si tratta di un linguaggio orientato agli oggetti, fortemente tipizzato e progettato per essere robusto, sicuro e adatto allo sviluppo di una vasta gamma di applicazioni tra cui siti e applicazioni Web.

C# combina elementi presi da C, C++ e Java, offrendo una sintassi moderna e intuitiva che facilita lo sviluppo di software complesso. È noto per la sua affidabilità, prestazioni elevate e per il supporto integrato per il garbage collection, che semplifica la gestione della memoria. C# è ampiamente utilizzato per lo sviluppo di applicazioni desktop Windows, applicazioni web tramite ASP.NET, applicazioni mobile con Xamarin e una varietà di altre soluzioni basate sulla piattaforma .NET, comprese le applicazioni cloud con Azure. Grazie alla sua interoperabilità con altre tecnologie Microsoft e alla sua continua evoluzione attraverso il framework .NET Core e .NET 5 e successivi, C# continua a essere una scelta popolare tra gli sviluppatori per la creazione di software robusto e scalabile.

In particolare, parlando di sicurezza nello sviluppo di applicazioni Web con ASP.NET occorre dire che offre strumenti avanzati per la protezione contro attacchi XSS, CSRF e SQL injection. Tra questi ASP.NET Identity per gestire in modo sicuro l’autenticazione e l’autorizzazione degli utenti.

Stiliamo una graduatoria di sicurezza

Per riassumere, se dovessi stilare una graduatoria tra i differenti sistemi analizzati (seppur molto sommariamente) attribuendo punteggi da 0 a 10, direi che:

1. Java: 10. Ottima sicurezza intrinseca, gestione robusta della memoria e forte tipizzazione. Framework come Spring Security offrono protezioni avanzate contro molte vulnerabilità comuni.
2. Ruby (Ruby on Rails): 9. Fornisce protezioni integrate contro XSS, SQL injection e CSRF grazie a meccanismi come ActiveRecord e i token CSRF generati automaticamente.
3. C# (ASP.NET): 9. ASP.NET offre strumenti avanzati per la protezione contro attacchi XSS, CSRF e SQL injection, inclusi meccanismi come ASP.NET Identity e l’implementazione automatica di token CSRF.
4. Python (Django): 8. Include una serie di misure di sicurezza come il sistema di autenticazione integrato, il supporto per template sicuri e la gestione delle sessioni.
5. PHP: 7. Ha migliorato significativamente la sua sicurezza nel corso degli anni, ma richiede attenzione nella gestione delle query SQL e nella validazione degli input per prevenire SQL injection e altre vulnerabilità comuni.
6. JavaScript: 6. E’ vulnerabile agli attacchi XSS, soprattutto quando eseguito lato client. L’uso di librerie di terze parti e politiche di sicurezza come CSP sono fondamentali per mitigare questi rischi.
7. Python (Flask): 6. E’ un framework più leggero rispetto a Django e richiede una maggiore implementazione manuale di funzionalità di sicurezza come la protezione CSRF. L’uso di estensioni come Flask-Security può migliorare la sicurezza dell’applicazione.
8. HTML e CSS: 5. Pur essendo essenziali per la strutturazione e la presentazione delle pagine web, HTML e CSS non offrono nativamente meccanismi di sicurezza avanzati. La sanitizzazione degli input è cruciale per prevenire attacchi XSS.

E’ ovvio che questa graduatoria si basa su considerazioni generali e non esclude la possibilità che, rispettando le best practices dei differenti linguaggi e framework e con le corrette configurazioni, tutti questi linguaggi possano essere utilizzati in modo sicuro per lo sviluppo di applicazioni web.

Consigli Generali sulla Sicurezza

Nei paragrafi precedenti abbiamo visto alcune caratteristiche di sicurezza dei linguaggi di programmazione più utilizzati in ambito sviluppo di applicazioni Web. Non dobbiamo però mai dimenticare, nonostante gli aiuti diretti dei linguaggi di programmazione, di applicare sempre e comunque le best practices per lo sviluppo sicuro, brevemente riassunte qui sotto:

• Aggiornamenti: Mantenere sempre aggiornato il software, inclusi i linguaggi di programmazione, framework e librerie.
• Input Sanitation: Validare e sanificare tutti i dati in ingresso per prevenire iniezioni di codice.
• Autenticazione e Autorizzazione: Implementare meccanismi robusti per garantire che solo gli utenti autorizzati possano accedere a determinate funzionalità.
• Crittografia: Utilizzare protocolli di crittografia per proteggere i dati in transito e a riposo.
• Log e Monitoraggio: Tenere traccia delle attività sospette e monitorare l’integrità del sistema.

Per finire, programmare è anche una questione di collaborazione e buonsenso.

Scrivere e leggere il codice da soli non è bene. Occorre scrivere il codice, commentarlo, e farlo leggere e revisionare ad un altro programmatore.

Ricordiamo sempre il detto: quattro occhi vedono meglio di due!

L'articolo Sicurezza dei Linguaggi di Programmazione: Qual è il Più Sicuro per le Tue App Web? proviene da il blog della sicurezza informatica.

Eccoci qui. Dopo aver trascorso gli ultimi anni leggendo tra il fediverso e il web alternativo, ho deciso di creare il mio posto dove le persone orientate alla libertà possano discutere di libertà nell'informatica e nella società. Lo scopo generale è ricreare le vibrazioni familiari dell'era BBS mettendo insieme strumenti vecchi e moderni, da IRC a Mastodon. Ecco dove spiego tutto:

- [ENG] dmi.unict.it/nfarceri/articles…
- [ITA] dmi.unict.it/nfarceri/articles…

Benvenuti a casa... vostra!

Questo è il primo articolo di questo sito, dove vengono introdotti gli scopi del sito stesso. In sintesi, il sito ha lo scopo di ricreare il feeling familiare e comunitario delle BBS degli anni '80 e '90 aggregando insieme più strumenti, vecchi e mod…

^{www.dmi.unict.it}

Il quotidiano di sinistra tedesco ND ha pubblicato recentemente un articolo che racconta l’esperienza dei lavoratori del collettivo di fabbrica della ex GKN di Campi Bisenzio (Firenze), licenziati nel luglio 2021 e da allora in assemblea permanente, a partire da un’iniziativa di solidarietà alla lotta dei lavoratori promossa in Germania da Tobi Rosswog, un attivista tedesco nella lotta per il clima e per la trasformazione dell’intera industria automobilistica: https://www.nd-aktuell.de/artikel/1183320.konversion-lastenrad-aus-besetzter-fabrik-auf-deutschlandtour.html .

La didascalia dell'immagine dice: "Una cargo-bike della fabbrica occupata in giro per la Germania"

Tobi Rosswog usando una cargo-bike elettrica prodotta dal collettivo di fabbrica della ex GKN ha fatto un giro di sette giorni, per alcune città tedesche, partendo da Wolfsburg, la città della Volkswagen per arrivare a Stoccarda, la città della Mercedes Benz e l’ha chiamato “Konversiontour”, in questo suo tour è stato accompagnato da Anton Benz, un giornalista di ND.
Questo è il link alla home page del suo sito: tobi-rosswog.de/

Il collettivo di fabbrica della ex Gkn dopo il licenziamento collettivo, si è costituito in cooperativa, ha lanciato una campagna di azionariato popolare e ha presentato un piano industriale che prevede una riconversione della fabbrica per la produzione di cargo-bike e di pannelli solari, al momento questo piano non ha ricevuto alcuna risposta dalle autorità di governo e dagli amministratori regionali.

Quando Tobi Rosswog parte per il suo tour (metà giugno), i lavoratori dell’ex GKN sono già da 165 giorni senza stipendio, ogni sera l’attivista arriva in una città diversa, lo aspetta un incontro assemblea sulla situazione della fabbrica di Firenze, fa provare agli interessati la cargo-bike e raccoglie i pre-ordini, in una settimana ne ha raccolti circa 25. Il denaro è destinato a finanziare l'ulteriore produzione di cargo bike, e in alcuni casi può essere utilizzato anche per pagare gli stipendi. Dopo una settimana, due compagni sostituiscono Rosswog e girano la Germania per un'altra settimana.
Qui sotto l'immagine di due cargo-bike prodotte dalcollettivodi fabbrica,lo slogan dilangio è "La cargo-bike con la lotta attorno".

La cargo -bike con la lotta attorno

La cargo - bike si può pre-ordinare anche in Italia: ecco la pagina del sito del collettivo di fabbrica da cui è possibile farlo:
insorgiamo.org/cargo-bike/

Qui sotto invece una foto dall’incontro tenuto a Braunschweig, città sede di una delle fabbriche della VolksWagen, lo striscione dice: "Conversione della ex GKN subito. La lotta per il lavoro è lotta per il clima".

Foto di gruppo dell'incontro di Braunschweig

Un grosso grazie a Tobi Rosswog e a ND 🙂✊

#GKNFirenze #lavoro #CargoBike #solidarietà #Germania #MobiitàSostenibile #CrisiClimatica
@nd.Aktuell @macfranc @lgsp