Migliorare la sicurezza del web per gli utenti comuni
Gli attacchi informatici rappresentano una violazione dei diritti umani che può esercitare conseguenze devastanti per gli individui e la società nel suo complesso. «Tra gli attacchi figurano ransomware che richiedono un pagamento da parte di utenti e organizzazioni», spiega Matteo Maffei, coordinatore del progetto Browsec e docente presso la TU Wien, in Austria. «I ciberattacchi prendono di mira anche le infrastrutture critiche, mentre i deepfake, che si servono dell’intelligenza artificiale per impersonare individui, possono ingannare le loro vittime.» Gli autori di attacchi informatici spesso sfruttano il nostro ampio utilizzo dei browser web: man mano che essi si evolvono, diventano inevitabilmente vulnerabili a bug critici per la sicurezza potenzialmente difficili da individuare. «Inoltre, gli standard di sicurezza integrati nei browser moderni non sono compresi in modo esaustivo», aggiunge Maffei. «I ciberattacchi cercano di sfruttare non solo i bug di codifica, ma anche le falle logiche presenti negli stessi standard web.»
Estensioni dei browser e tecniche per la verifica del codice
L’obiettivo del progetto Browsec, finanziato dal Consiglio europeo della ricerca, era quello di affrontare queste criticità, una finalità raggiunta innanzitutto proteggendo il codice del browser e, aspetto ancora più importante, assicurando che gli standard di sicurezza web forniscano agli sviluppatori e agli utenti rigorose garanzie di sicurezza. «La nostra ricerca si è basata su tre pilastri fondamentali», spiega Maffei. «In primo luogo, abbiamo sviluppato un modello formale che definisce il comportamento del browser e le interazioni con siti web e server potenzialmente conflittuali.» Questo modello ha permesso al team di condurre test rigorosi, scoprendo interazioni inaspettate e rivelando possibili vulnerabilità. «In secondo luogo, abbiamo riconosciuto che la necessità di mantenere i browser aggiornati costituisce una sfida significativa», osserva Maffei. «Per risolvere questo problema, abbiamo creato una tecnica automatizzata intesa a formalizzare il comportamento dei browser, riadattandola per l’analisi della sicurezza.» Il team ha quindi sviluppato estensioni dei browser e tecniche per la verifica del codice, che sono state concepite al fine di applicare collettivamente rigorose garanzie di sicurezza alle applicazioni web.
Standard web e sicurezza dei browser moderni
Browsec ha apportato un notevole contributo agli standard web e alla sicurezza dei browser moderni. Innanzitutto, le vulnerabilità scoperte nel corso del progetto sono state divulgate e risolte. «Alcune di queste vulnerabilità derivavano da problemi concettuali dei framework di sviluppo web utilizzati per costruire quasi tutte le applicazioni web», aggiunge Maffei. «Grazie al nostro lavoro, questi problemi sono stati risolti.» L’équipe ha inoltre scoperto diverse incongruenze e difetti negli standard web, che sono stati segnalati agli organismi di standardizzazione. Infine, il quadro di analisi della sicurezza dei browser elaborato dal progetto può fungere da solida base per lo studio delle implicazioni sulla sicurezza generate dai futuri aggiornamenti dei browser.
Sicurezza del web sin dalla progettazione
Grazie a Browsec, gli sviluppatori web hanno ora accesso a librerie che consentono loro di scrivere codici più sicuri. I fornitori dispongono di un framework volto a testare non solo la funzionalità, ma anche la sicurezza dei loro browser, mentre gli organismi di standardizzazione hanno ora a disposizione un quadro di riferimento per valutare formalmente la sicurezza degli standard web. «In tal modo, Browsec ha esercitato un profondo impatto sulla sicurezza dell’intera società digitale», osserva Maffei. «Il nostro quadro di analisi sarà aggiornato per stare al passo con i cambiamenti in essere e puntiamo inoltre a garantire una maggiore integrazione con il processo di standardizzazione.» Per Maffei, una lezione chiave (e un’eredità duratura di Browsec) riguarda il fatto che i metodi formali sono uno strumento efficace e pratico per garantire la sicurezza del web. «I metodi che abbiamo sviluppato si sono dimostrati efficaci non solo in relazione all’individuare i bug, ma anche all’influenzare il processo di standardizzazione», spiega il docente, che conclude: «Così facendo, abbiamo avvicinato il concetto di “sicurezza del web sin dalla progettazione” alla realtà.»
Parole chiave
Browsec, ciberattacchi, digitale, browser web, ransomware, deepfake
