Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Tutto ciò che è utile sapere sulla sicurezza delle API
- GIOVEDÌ 1 OTTOBRE 2020


Un Application Programming Interface (API) è un insieme di procedure che consente alle applicazioni di comunicare con altre. Fornisce agli sviluppatori la possibilità di costruire applicazioni software che garantiscano l'estrazione e la condivisione dei dati in maniera accessibile. 

Le API possono essere usate anche per facilitare attacchi informatici, dato che sono ampiamente utilizzate per elaborare informazioni di ogni tipo, molto spesso sensibili. Vulnerabilità come credenziali deboli per l'autenticazione, mancanza di criptazione, bug, endpoint non sicuri rendono le API vulnerabili agli attacchi. 

Tra gli attacchi che vengono comunemente portati sfruttando falle di sicurezza mentre si implementano le API troviamo:

Attacchi MITM (Man in The Middle)
in questa tipologia di attacco un intruso intercetta il traffico tra due parti in comunicazione al fine di ottenere informazioni sensibili. Tra le comunicazioni intercettate molto spesso ci sono anche gli scambi API.

API Injection (XSS e SQLi)
In un attacco di code injection, il codice dannoso viene inserito in un software vulnerabile per portare attacchi del tipo cross-site scripting (XSS) e SQL injection (SQLi). Ad esempio un attaccante potrebbe inserire codice dannoso in un messaggio API, come il comando per la cancellazione di oggetti o in un record di un database. 

Distributed Denial of Service (DDoS)
In un attacco DDoS, più sistemi concentrano la propria larghezza di banda su un sistema bersaglio, molto spesso un web server. Un attacco DDoS contro un API tenta di sovraccaricarne la memoria inondandola di connessioni simultanee o inviando / richiedendo grandi quantità di informazioni per ogni richiesta. 

DNS Hijacking
L'hijackiing (potremmo tradurre con dirottamento) del domain name server (DNS), conosciuto anche come "DNS redirection", è un tipo di attacco nel quale le richieste DNS sono inaspettatamente reindirizzate verso un sito dannoso. Ad esempio è un caso di DNS hijacking quello in cui, mentre l'utente tenta l'accesso ad un sito, avvengono continui redirect verso un altro sito web contenente pop up e ads indesiderati Questi attacchi sono finalizzati principalmente alla generazione di profitto tramite visualizzazioni. 

In alcuni casi questo attacco è portato a fini di phishing: l'utente viene reindirizzato, senza che ne sia consapevole, ad una copia fake di un sito web o di un form di login / pagamento. Senza rendersene conto quindi, la vittima inserisce i propri dati una pagina simile a quella legittima ma falsa, che reinvia tutti i dati inseriti all'attaccante. 

Noi di Quick Heal ci stiamo impegnando per mettere in sicurezza le nostre API!

HTTPS al posto di HTTP
Il Transport Layer Security (TLS) è uno standard che mantiene private le connessioni Internet e verifica che i dati scambiati tra due sistemi siano criptati e non vengano manomessi. Un sito Web è protetto con il TLS quando il suo URL inizia con HTTPS (HyperText Transfer Protocol Secure). 

Lo standard TLS è essenziale per le interazioni basate su API: se il TLS non è presente, il rischio di attacchi Man In The Middle è molto molto alto. Qui a Seqrite usiamo lo standard TLS nelle nostre API e preferiamo rigorosamente l'HTTPS all'HTTP. 

Autenticazione Sicura
Per determinare l'identità di un utente finale in una API, è possibile implementare l'autenticazione usando il protocollo TLS. Tuttavia, OAuth2 e OpenID Connect sono alternative più sicure. 

Non esponiamo informazioni sugli URL
Abbiamo deciso di non esporre mai alcuna informazione vulnerabile o sensibile negli URL. 

Criptazione solida
L'uso di un solido algoritmo di criptazione per proteggere le informazioni mentre sono processate dalle API è altamente raccomandato. Noi usiamo un algoritmo estremamente solido, ma leggero: AES256. AES sta per Advanced Encryption Standard ed è il primo algoritmo di criptazione pubblicamente disponibile approvato dall'Agenzia di Sicurezza Nazionale (NSA) degli Stati Uniti per la protezione di informazioni top secret. 

Ad oggi sono stati pochissimi gli attacchi segnalati contro l'implementazione di AES256. La maggior parte di questi erano attacchi side-channel, portati cioè sull'implementazione dell'algoritmo sul sistema e non sull'algoritmo in sé. Siamo convinti che il design e la solidità della chiave di criptazione proteggano l'algoritmo AES e che una chiave lunga 256-bit sia perfetta per informazioni top secret. Quando si parla di sicurezza dei dati non accettiamo compromessi e l'AES256 è per adesso il metodo più sicuro disponibile sul mercato per criptare i dati. 

Algoritmi per lo scambio delle chiavi
Usiamo solidi algoritmi di Key Exchange, per scambiare le chiavi di Autenticazione e Criptazione. Per lo scambio delle chiavi private usiamo il metodo più solido di Public Key Exchange, chiamato Diffie Hellman Secured key-exchange. 

Il Diffie Hellman Secured key-exchange è molto complesso, ma ha il grande vantaggio di rendere molto facile i calcoli per la chiave e molto complessi, se non impossibili, quelli necessari per calcolarla in maniera inversa. Ha anche altri vantaggi, primo tra tutti quello per cui le due parti possono anche non conoscersi prima di scambiarsi informazioni, ma anche quello per cui una volta che le chiavi sono scambiate, la comunicazione resta sicura anche se condotta tramite canali non sicuri. Infine la condivisione della chiave privata è molto sicura. 

Autenticazione con Token
L'autenticazione con token ha un grande vantaggio, poichè annulla il rischio di violazione di credenziali deboli. Un token è un insieme di dati altamente sicuro usato per trasmettere informazioni sensibili tra due parti ed è ormai sempre più diffuso come metodo sicuro per i processi di autenticazione. 

Qui a Quick Heal usiamo il JWT Token che si compone di:
  • un header che definisce il tipo di token e l'algoritmo usato;
  • un payload che contiene informazioni sull'utente e altri metadati;
  • una firma che certifica l'identità del mittente e l'autenticità del messaggio. 
Sicurezza VS Performance
Ad oggi, le performance sono una funzione la sicurezza è una necessità: vanno, semplicemente, implementate di pari passo senza che l'una possa compromettere l'altra. Per soddisfare i requisiti di sicurezza senza compromettere le prestazioni, stiamo cercando di implementare misure di sicurezza elevate che però risultino quanto più leggere possibile sui sistemi.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 22 OTTOBRE 2020
Quick Heal supporta il Windows 10 October 2020 Update
Microsoft ha recentemente reso disponibile un nuovo update per Windows 10, il Windows 10 October 2020 Update (Versione build 20H2). Ecco qui gli elementi chiave di questo...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2020 nwk - Privacy Policy - Cookie Policy - Login