Quando i linguaggi di programmazione diventano un rischio

Linguaggi di programmazione Cybersecurity

Il tema della cybersecurity è uno dei più scottanti attualmente, soprattutto dopo i passati eventi che hanno visto emergere minacce di spessore come i ramsonware.

Proprio da uno degli studi più recenti, che ha coinvolto i linguaggi di programmazione più diffusi ed utilizzati, sono emerse alcune vulnerabilità preoccupanti e di cui si ignorava l'esistenza.

Un consiglio made in Italy

La segnalazione proviene da un nostro esponente italiano, Fernando Arnaboldi, personalità impegnata come ricercatore senior all'interno dell'azienda di sicurezza IOActive.

L'uomo ha infatti portato alla luce varie falle provenienti da software noti, come JavaScript, Perl, PHP, Python e Ruby, tutti utilizzati in molteplici settori, per esempio dal data journalism alla data analysis. Questo è stato possibile grazie al "fuzzing test", anche detto "fuzz", una pratica di analisi che invia dati casuali per testare eventuali crash o anomalie all'interno dei programmi.

Tuttavia, va sottolineato che il programma di test utilizzato da lui stesso è una versione che ha personalizzato e che ha ribattezzato con denominativo "XDiFF". Questo consiste in un fuzzer differenziale appositamente creato per il testing comportamentale dei linguaggi di programmazione e di tutte le loro funzioni di base, e ne è inoltre stato stato rilasciato il suo codice sorgente in open source su GitHub.

Errori inaspettati

Tutto ciò risulta essere problematico sotto tanti punti di vista. Prima di tutto è inusuale che programmi rinomati come Python, o NodeJS, riportino errori di tale spessore, come la possibilità di rivelare parzialmente parti di file su cui si sta lavorando.

Arnaboldi ha però preso le difese di tali software, spiegando come questo possa essere dovuto alla semplificazione delle procedure di sviluppo su tali strumenti per permettere a tutti i neofiti di farne un uso più intuitivo e meno frustrante, una procedura ormai avviata tempo fa.

Nonostante le lodevoli intenzioni, questi fattori vanno tenuti in considerazione per tutelare gli utenti che ne fanno uso, soprattutto coloro che fanno parte della categoria "alle prime armi" e che non sono avvezzi al tema della cybersecurity.