Lori MacVitte: “I bot non fanno distinzione tra app e API”

Apr 25, 2024 Stefano Silvestri Approfondimenti, Attacchi, Minacce, Software, Vulnerabilità 0

---

Lori MacVitte, Distinguished Engineer di F5, parte da un presupposto alquanto semplice: le applicazioni e le API che utilizziamo sono continuamente esposte a potenziali minacce. Ma cosa sono esattamente le API e come si differenziano dalle app che usiamo ogni giorno?

Un’API, acronimo di Application Programming Interface (Interfaccia di Programmazione delle Applicazioni), è un insieme di regole e definizioni che permette a programmi diversi di comunicare tra loro. Funziona come un intermediario che consente a due applicazioni di interagire e scambiare dati o funzionalità in modo sicuro e strutturato.

Per esempio, supponendo di voler creare un’app che usi Google Maps, si utilizzerà la relativa API per incorporare le mappe e sfruttarne le funzionalità direttamente nella nostra app, senza dover reinventare queste funzionalità da zero. Le app, invece, non crediamo sia necessario spiegarle.

Fatta questa distinzione, cominciamo a entrare nel vivo del discorso. Sebbene a prima vista sembrino identici i loro endpoint, ovvero i punti di accesso tramite i quali i dati vengono scambiati con API e app, in realtà non lo sono. Questo perché spesso utilizzano lo stesso metodo per comunicare attraverso la rete, ossia tramite connessioni sicure HTTPS e comandi come il GET per recuperare informazioni.

Tuttavia, mentre una richiesta API trasporta dati essenziali in formati come JSON o XML, necessari per facilitare comunicazioni complesse tra servizi, una richiesta a un’app può risultare vuota, poiché l’interazione può limitarsi a recuperare dati statici o pagine web, senza l’invio di informazioni aggiuntive.

La tesi di Lori MacVitte, sorprendentemente, è che nonostante l’importanza crescente delle API, molte organizzazioni tendono a sottovalutare la loro sicurezza rispetto alle app tradizionali. Ciò emerge chiaramente dal rapporto di F5 dal nome State of Application Strategy, dove si nota che nonostante il numero di API in molte aziende sia pari o superiore a quello delle app, la sicurezza a loro dedicata spesso non è all’altezza.

State of Application Strategy

Il rapporto annuale di F5 del 2021 riportava che il 61% delle persone intervistate stava utilizzando le API per ammodernare le loro interfacce utente. La API, usate per rendere le interfacce più moderne, non sono sempre direttamente collegate alle applicazioni principali.

A volte, agiscono come una sorta di facciata che aiuta a migliorare l’aspetto e la funzionalità delle applicazioni, come quelle per i cellulari o i servizi online, o facilitano la comunicazione con partner e fornitori. Questi usi delle API sono supportati da tecnologie speciali nei server che aiutano a gestire il traffico di dati, facendo da ponte tra l’API e l’applicazione stessa.

Molte delle API sono progettate per essere usate dal pubblico e sono accessibili su internet, generalmente protette da sicurezza HTTPS. Comunque siano utilizzate, queste API visibili pubblicamente affrontano molti dei problemi di sicurezza tipici delle app, specialmente quando i bot entrano in azione.

Se le API sono ben documentate, gli hacker possono usarle più facilmente per attaccare in grande scala. E nel corso del 2023, osserva la MacVitte, una notevole percentuale di transazioni protette era costituita da attività automatizzate, molte delle quali erano tentativi di intrusione da parte di cosiddetti “bad bots”. Questi bot malevoli tentano di sfruttare le vulnerabilità delle API per compiere atti illeciti, come il furto di dati o l’interruzione dei servizi.

Nonostante ciò, la preoccupazione per la sicurezza da bot sembra essere sorprendentemente bassa, specialmente all’aumentare del numero di API gestite. Questo potrebbe essere dovuto al fatto che molte di queste API sono interne e utilizzate principalmente per microservizi all’interno delle aziende, il che potrebbe far sembrare meno probabile un attacco esterno.

Tuttavia, il rischio è reale e gli attacchi attraverso le API stanno diventando sempre più comuni. Quindi è essenziale che le organizzazioni prendano sul serio la protezione delle loro risorse digitali, sia che si tratti di applicazioni che di API. Impiegare soluzioni complete di sicurezza, inclusa una gestione efficace dei bot, è fondamentale per prevenire gli attacchi e proteggere i dati aziendali.

Ai bot importa poco se stanno attaccando un’app o un’API: il loro obiettivo è sfruttare qualsiasi vulnerabilità possibile. E le aziende devono essere preparate e proteggere entrambi gli ambienti con la stessa serietà e dedizione.

---

• API, app, bot malevoli, F5 Networks, Lori MacVitte

---

---