Vai al contenuto
Home » Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo
la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni
fa, preoccupato lo ero veramente.

Pochi giorni prima esprimevo i miei malumori a Matteo, il nostro
chapter leader e di come lo stato comatoso della mailing list italiana fosse
cartina tornasole di una situazione di stallo preoccupante.

Come nazione siamo da sempre presente in molti progetti importanti. Ad esempio,
Matteo guida con successo l’Owasp Testing Guide da anni,
partecipiamo all’Owasp Top 10 e alla Owasp Code Review Guide. Di sicuro mi sto dimenticando qualcosa o qualcuno.

A questo attivismo fa da contraltare una scena nostrana che definire in coma è
farle un complimento.

Come dicevo, sono preoccupato.

Una volta avevamo WebbIT…

L’Owasp APPSEC Europe manca dal nostro paese ormai dal 2007. Sta girovagando in
paesi dove il mercato dell’ICT Security, non solo è più maturo ma
semplicemente esiste.

Non so voi ma il 100% delle offerte che ricevo dagli head hunter per posizioni
nel campo della sicurezza applicativa è estero. Statisticamente l’assenza anche
solo di una richiesta italiana per posizione da stagista o da senior con paga
da junior (perché di solito in campo ICT di questo parliamo in Italia)
significa solo che il mercato è morto, fermo.

Il Security Summit è forse l’evento più
importante, visto che il Clusit presenta il suo rapporto annuale sullo stato
degli attacchi informatici. Scorrendo l’agenda però vediamo che gli interventi
sono per lo più istituzionali e pochissimi vendor neutral.

Se con Smau il livello si alza veramente di poco, il Festival ICT provaa dare un
evento più tecnico con risultati incoraggianti, tuttavia dobbiamo e possiamo dare di più.

Gente che viene ad annunciare un exploit fico, che mostri un attacco nuovo
dalla A alla Z, facendo disclosure responsabile. Nessuna.

Startup dedicate allo sviluppo di software di Securiy? Praticamente nessuna.

Arene con CTF? Zero, e forse buona parte delle persone che sono lì a seguire
i talk dovrebbe andare a controllare su google per cosa sta l’acronimo CTF.

Una volta sì, avevamo WebbIT, ma mi fermo prima dell’arrivo dell’effetto
nostalgia. Il succo è che noi non abbiamo un blackhat, noi non
abbiamo un defcon, noi non abbiamo un ruxcon, noi non abbiamo un shmoocon.

Guardate l’elenco degli eventi ICT security nel mondo per il 2015 e cercate Italy. Emblematico vero?

Abbiamo come Owasp Italia l’Owasp Day ma molto è ancora da fare affinché
diventi l’evento di application security che tutte le persone in Italia
aspettano febbrilmente o al quale non vogliono mancare.

Come dicevo, sono molto preoccupato.

ICT Italiano a due marce ed il gap che resta lì

Lato sviluppatori le comunità PHP, Javascript e Ruby stanno provando ad
organizzare eventi di respiro internazionale e, con soddisfazione, noto che ci
stanno riuscendo.

Talk di buon livello. Specialisti che dall’estero vengono a portare un modo
nuovo di lavorare. Atmosfera densa.

Ma la security? E’ loro il nostro target.

Organizzare eventi di security per sole persone di security quando si parla
di codice sicuro è come andare a parlare del vino e del suo profumo
inebriante al circolo astemi.

Gli specialisti di sicurezza informatica devono sentire l’esigenza di andare a
fare awareness laddove serve, ovvero dove ci sono sviluppatori, dove c’è il
codice sorgente da proteggere.

Come dicevo, sono estremamente preoccupato.

Come ti defibrillo il capitolo

Dalla mia email di una decina di giorni fa qualcosa si è smosso.
Per prima cosa è stata creata sul wiki di
Owasp
una pagina
che descrive gli obiettivi che vogliamo darci come Owasp Italia nel 2015.

Le novità più succose sono due:

  • i meetup
  • il progetto “Adotta un progetto opensource”

Owasp Italia fa il federalismo

A mio avviso uno dei motivi per i quali la sicurezza non è rappresentata in
eventi, nelle aziende e soprattutto nel codice che va online, è da ricercarsi
nel fatto che ci sono pochi eventi delocalizzati sul territorio.

Fare una grande conferenza all’anno, può portare pochi benefici se il gruppo è
popolato da persone che trovano difficile muoversi o che pensano, ahimé, di non
essere all’altezza dell’evento1.

Quello che può fare la differenza per noi, sono piccoli meetup, piccoli
incontri di una decina di persona delocalizzati lungo tutta la penisola.
Obiettivo: portare la sicurezza applicativa alle masse, agli sviluppatori, agli
imprenditori, alle startup, ai decision maker che di sicuro non verranno mai al
singolo evento a Roma o Milano, ma magari sono incuriositi dall’aperitivo
mensile a pochi chilometri da casa.

Adotta un progetto opensource

Heartbleed, GHOST e Shellshock hanno
dimostrato che opensource è bello ma non è vero che vuol dire più sicuro.
Certo, potenzialmente un sacco di persone può fare review del codice, ma a
conti fatti nessuno lo fa.

Guidati da @ikki_ proveremo a definire un
processo di adozione di un progetto opensource in modo da fornire una mano alla
comunità per quello che riguarda test di security, code review, patching e
tutto quello che può venire in mente, purché collegato alla security.

Una nuova conferenza, nuova e lucente nella sua armatura

Accanto a queste iniziative sul territorio, stiamo anche pensando ad un evento
che si staccherà di molto dalle conferenze alle quali siamo abituati in Italia.
L’ispirazione viene dagli eventi internazionali, Owasp AppSEC in primis.

Il pilota 0, non abbiamo ancora trovato un nome fico, avrà una singola track e talk rivolti a:

  • defenders – sviluppatori, imprenditori, decision maker, ovvero tutte le
    persone che “subiscono” la sicurezza. Dovremo fare awareness, parlando la
    loro lingua.
  • attackers – noi. Vogliamo talk su nuovi tool, nuovi attacchi, nuove
    vulnerabilità, tutto quello che mi porta dalla form alla shell.

Accanto alla track di conferenza vera e propria, due appuntamenti che di sicuro
non si vedono spesso qui da noi:

  • un CTF a 360 gradi. Quindi web application da difendere, codici da
    revisionare alla ricerca di bug e indizi, exploit da scrivere per servizi
    esposti.
  • un hardening fest. Di solito i Linux User Group organizzano gli install
    fest, dove gli esperti installano e configurano Linux alle nuove leve. Noi
    organizzeremo l’harderning fest, ovvero i più esperti metteranno in sicurezza
    laptop dei visitatori/sviluppatori oppure supporteranno i tester alle primer
    armi nell’installare e configurare Kali Linux per i test di tutti i giorni.

Nuova e fresca energia

Ad un paio di amici avevo confidato che se questo mio progetto non avesse
riscosso alcuna reazione, probabilmente avrei smesso del tutto. La risposta
invece c’è stata ed è stata grande, quindi mi lascio trascinare dall’energia di
questa nuova sfida.

Proviamo a far ripartire Owasp Italia,
proviamo a far ripartire tutta la scena, proviamo a smuovere il mercato,
proviamo a far capire alle aziende che investire in un proprio team di security
non è una spesa inutile ma è il primo passo come il richiedere l’airbag e
sistemi di sicurezza quando ordiniamo una nuova macchina.

Proviamoci, male che vada sarà stata l’ennesima avventura.
Al 2016 l’ardua sentenza.

Enjoy it.

  1. purtroppo quest’affermazione è figlia di alcuni feedback che ho recepito
    qua e là. “Io non sono in grado”, o “Voi siete di un altro livello” sono
    frasi che come semplice cittadino di Owasp odio e non vorrei mai sentire.
    Ognuno contribuisce per quanto può e “nessuno è nato imparato”. Se tu
    pensi di non essere in grado, fidati… non è così; sei di sicuro una
    persona che può portare un valido apporto. 

Tag:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.