C’è anche un contributo italiano nel libretto di istruzioni della cybersecurity per le app. L’autrice è Mobisec, azienda trevigiana che si occupa di sicurezza delle applicazioni mobile e che ha realizzato una mappatura delle principali debolezze delle app che consentirà sia agli sviluppatori che ai penetration tester di risparmiare tempo e risorse.
Più nello specifico, Mobisec ha elaborato quella che OWASP, ente internazionale che si occupa di cybersecurity mobile della quale l’azienda trevigiana è parte dalla scorsa estate, definisce MASWE (Mobile application security weakness enumeration). Si tratta di un elenco di vulnerabilità note associate ad una specifica funzione svolta dalle applicazioni mobile (come ad esempio attivare la fotocamera o avere accesso alla posizione GPS).
Questo elenco segnala agli sviluppatori quali sono le potenziali falle nel codice legate a ciò che effettivamente fa un’applicazione, così che possano assicurarsi di porre particolare attenzione ai rischi effettivi ai quali è esposta l’applicazione. E indica ai penetration tester, ovvero alle aziende che si occupano di controllare la sicurezza delle app, quali siano gli elementi da andare effettivamente a verificare. In entrambi i casi, questo si traduce in un risparmio di tempo e, giocoforza, di denaro.
MASWE è il terzo capitolo dei MAS (Mobile application security), le indicazioni che devono essere seguite per garantire la sicurezza delle app. Il primo è MASVS (Mobile Application Security Verification Standard), che definisce gli standard di sicurezza delle applicazioni, il secondo è MASTG (Mobile Application Security Testing Guide), che indica le linee guida per chi svolge i test di sicurezza.
L’Open Web Application Security Project, appunto OWASP, è invece una comunità internazionale attiva sul fronte della sicurezza delle app mobile, delle web app e delle API (application programming interface, quei software che consentono a due applicazioni diverse di interagire tra loro).
«Le debolezze software sono state identificate e classificate ormai a quasi un migliaio, ma in questo oceano solo una ventina sono specifiche del mondo mobile», afferma Riccardo Poffo (nella foto), Head of Operations di Mobisec. «MASWE è un progetto estremamente utile, ma mancava un ponte che ne permettesse un facile uso e integrazione da parte degli specialisti. È questo il contributo che abbiamo voluto dare alla comunità internazionale della cybersecurity mobile: una mappatura completa che rendesse MASWE compatibile all’uso delle CWE (Common weakness evaluation), ovvero dell’elenco delle debolezze note».