Nel campo di applicazioni web si è rilevata, da almeno 10 anni, una diffusa debolezza delle applicazioni web di fronte alle aggressioni degli hacker: semplicemente inoculando delle malevole istruzioni nel linguaggio SQL, comune a tutte le applicazioni che usano un database organizzato, come ORACLE, MYSQL e SQL-SERVER, gli hacker riescono ad impadronirsi del database, sia con la possibilità di danneggiarlo sia con la possibilità di esportarlo completamente. Ricordiamo che dagli anni 90 tutte le applicazioni che devono conservare un quantità di dati utilizzano i database.
Un ulteriore motivo di preoccupazione è la condivisione, con la tecnica delle macchine virtuali, di più database di aziende diverse in una singola macchina informatica posizionata nel cosiddetto CLOUD. Le raffinate tecniche degli hacker permettono, una volta impadronitisi di uno dei database, di violare anche quelli contigui.
Anche tecniche cosiddette sicure, come la trasmissione di dati crittografata con la tecnologia SSL e il posizionamento dei database su server diversi da quelli delle applicazioni sono tecniche che rallentano momentaneamente la potenzialità degli hacker, ma che in effetti vengono comunque violate.
Nel campo della lotta agli hacker esistono tecniche, il cosiddetto ETHICAL HACKING, in cui super-specialisti effettuano il PENETRATION TESTING, in cui, utilizzando tecniche di hackering trovano le vulnerabilità del sistema informativo, con la possibilità, sia di commettere errori devastanti sia di violare il contratto col cliente commettendo essi stessi dei reati di hackering.
Esistono strumenti informatici, quali BURP ed altri, che agevolano il PENETRATION TESTER nel suo lavoro, ma hanno comunque una gran parte di manualità appunto per la pericolosità di alcune operazioni, quale ad esempio lo SPIDER, cioè la scansione di tutte la pagine web richiamate dalla pagina principale del sito sotto osservazione.
Altre funzioni, come l’individuazione delle pagine nascoste, non garantiscono la completa scansione di tutte le pagine in quanto il programmatore può aver lasciato nell’applicazione copie vecchie di pagine web identificate con un nome di fantasia.
Inoltre i PENETRATION TESTER talvolta non vengono chiamati dalle aziende, poiché i titolari e i manager possono avere l’errata opinione che possa esserci un danno di immagine se viene rivelato che il proprio sistema informativo è stato violato o può essere violato..
Molto spesso i manager reagiscono come reagirebbe un individuo se gli dici: scusi, le faccio notare che ha le mutande sporche.. compri le nostre mutande che non si sporcano.
La risposta è, ovviamente, molto risentita, ma l’individuo resta con le …mutande sporche!