Vai al contenuto
Home » L’ItaGLia è sicura. Posso già chiudere il blog

L’ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.

E’ successo che questa mattina vedessi
un’intervista
ad un IT Manager di un importante carrier italiano. Questi affermava che
l’Italia era sicura, che esistevano straordinarie misure di protezione contro i
denial of service distribuiti e altre amenità.

Sicuramente la pessima informazione che i media fanno in questo settore, con la
scusa di dover parlare a persone con un livello tecnico basso1, contribuisce
a rendere il nostro Paese, altro che sicuro… lo rende lo zimbello del mondo
in campo tecnologico.

Sicuramente esportare al mondo storie come quella dell’invezione di
sha7: l’algoritmo di cifratura più sicura del
mondo
, con tanto di
comunità italiana delle startup in fermento per tanto concentrato di fuffa, non
rende la nostra immagine come quella di un Paese che è pieno di gente capace
che di tecnologia ne capisce davvero.

In realtà, l’intervista è un puro spot marketing per vendere i servizi di
security offerti dal carrier. Ci potrebbe stare se venduta per quello che è,
ovvero una descrizione dei servizi offerti e bla bla bla ma sparare il titolo
sensazionalistico che l’Italia supera l’esame della sicurezza è pura
disinformazione.

Fa passare il messaggio che la security all’interno delle aziende non serve
perché tanto c’è il carrier che ci protegge dai DDOS.

Quante aziende hanno al proprio interno un processo consolidato di
Vulnerability Management? Quante aziende hanno al proprio interno un processo
di protezione della postazione di lavoro? Quante aziende fanno regolarmente e
fanno fare ai propri outsource, penetration test applicativi e code review
sulle applicazioni web che vengono pubblicate?

La sicurezza non è comprare un prodotto o fare un’attività una tantum di
verifica. Se installi Nessus, ovviamente la versione free mica vorremmo far
spendere soldi all’azienda per il proprio bene, e fai una scansione un paio di
volte all’anno non stai facendo vulnerability management. In realtà non lo fai
neanche se lo fai girare una volta al giorno, a meno che poi tu strutturi il
report e fai scatenare delle attività di patching mirato a fronte delle
vulnerabilità più critiche.

Questo concetto non riesce proprio a fare breccia né nell’IT Manager Italiano
medio, né nella stampa (sia quella generalista che sta ancora in piena crisi
Heartbleed, sia quella specialistica rivolta ai
decision maker).

L’IT Manager non è opportunamente guidato, a mio avviso per decidere cosa deve
chiedere alla propria struttura interna di information security. Ehi, non è uno
stupido, se gli spieghi rischi e benefici anche senza scendere in tecnicismi è
mille volte meglio di propinargli l’ennesima sbobba markettara2.

Le conferenze di settore

Cartina al tornasole di quanto ci piace indorarci la pillola autoproclamandoci
ed autoacclamandoci sono le conferenze di settore, o almeno la maggior parte di
esse.

Spesso organizzate in lussuosi hotel dove regna lo sfarzo e dove l’ergonomia,
la connettività garantita, l’acustica della sala, la logistica tutte
caratteristiche che non riescono ad avere il sopravvento rispetto a due cose
che l’italiota medio ritiene fondamentali:

  • le hostess, possibilmente carine e ancor più possibilmente scollate
  • abbondante catering

Avere track di formazione qualche giorno prima dei talk? Chissenefrega. Avere
dei talk di approfondimento tecnico? Secondario, vuoi mettere se al desk ad
accogliere il panzuto IT Manager non c’è il sosia di Drew Barrimore?

Gli argomenti ultimamente sono sempre gli stessi:

  • la sicurezza nel cloud
  • Identity and Access Management (IAM per gli amici)
  • il dark web, perché alla fine non posso esagerare con la scollatura quindi
    devo dare un po’ di fantapolitica, un po’ di cybercrime.

Per carità, il problema della criminalità organizzata in Internet o delle
cyberwar è molto più che serio. Ma noi qui siamo ancora allo stadio di
avere database pubblicati sui server web aziendali in DMZ o altre porcate
simili tipo memorizzare password in chiaro.

C’è poi una cosa spesso molto curiosa. Le conferenze di security sono fatte da
persone di security, per persone di security o male che vada qualche talk
markettaro per accaparrarsi i clienti. Di sviluppatori, pochi o non pervenuti.

Com’è possibile che io possa costruire una buona cultura di sviluppo sicuro
se non vado alle conferenze di sviluppatori a parlare di security con il
linguaggio degli sviluppatori?

Secondo me l’interlocutore per parlare di vulnerabilità web è chi il codice web
lo mette online, chi lo scrive. Ed è quello che accade all’estero dove spesso
sono gli stessi sviluppatori a raggiungere un livello tale da poter parlare di
security e di come implementano la security nel loro codice.

Sicuramente sulle conferenze e sui talk ci tornerò spesso qui sul blog.

Il prossimo Owasp Day è a Genova

Diverso, ma potrei essere di parte in quanto faccio parte del board di Owasp
Italia
è il taglio che viene dato agli
Owasp Day che vengono organizzati.

Quello organizzato al volo da Matteo Meucci, chair di Owasp Italia, si svolgerà
tra una settimana, il 14 Maggio a
Genova
. Vista anche
la presenza importante di Gary McGraw e vista l’organizzazione nell’Ateneo
della città ligure
che patrocina l’evento,
suggerisco a tutte le persone che scrivono codice, che gestiscono server, che
sono security manager, che sono IT Manager o che hanno a che fare in qualche
modo con codice web rilasciato, di partecipare ad eventi come questi.

  1. se io conosco un argomento bene ed il mio mestiere è scrivere allora sono
    in grado di usare il linguaggio appropriato per far comprendere a tutti un
    concetto senza scendere in tecnicismi. Se io non conosco un argomento, scrivo
    una marea di stronzate nascondendomi dietro alla scusa di dover essere il più
    generale possibile. Questa può essere la definizione dell’informazione su temi
    tecnologici (o scientifici in generale) di molti media. 

  2. ho promesso un blog di application security, non un blog politically correct. 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.