Vai al contenuto
Home » I pirati della sicurezza applicativa

I pirati della sicurezza applicativa

Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di
essere al timone dell’Arcadia, la nave di Capitan Harlock.

Nei media ormai il pirata informatico ha una connotazione assolutamente
negativa, come di solito hanno tutte le persone che si occupano di security. Da
dove derivi questo stereotipo non lo so, credo come tutti gli stereotipi sia
foraggiato dall’ignoranza della gente sul tema.

Tra avere le competenze per bucare un’applicazione per capire cosa va
migliorato e distribuire malware per avere bitcoin in cambio ci sono tante
sfumature di grigio, sfumature ignorate perché appunto il mainstream conosce un
colore solo: quello associato alla criminalità.

La cinematografia, e l’industria del fumetto hanno riabilitato un po’ il
termine pirata. Harlock era un ribelle, una persona fuori dagli schemi ma la
sua missione era quella di portare ordine e giustizia. Nel film “I pirati
della Silicon Valley”
, Jobs e Woz sono definiti, appunto nel titolo, pirati,
perché hanno rivoluzionato a loro modo l’elaboratore personale, letteralmente
rubacchiando qua e là (furbescamente aggiungo io) elementi che sono poi entrati
nel Mac e nel suo Sistema Operativo.

Perché altri pirati?

Quando ho dovuto pensare ad un logo per il blog, mi è venuto naturale accostare
CodiceInsicuro alla parola pirata.

Innanzitutto, come nella migliore delle tradizioni GNU,
anche questo blog ha un giochino all’interno del nome. Triviale ma potete
leggere sia codice insicuro, per quell’attidudine malsana che hanno molti
sviluppatori di buttare bit alla rinfusa sul web per andare incontro alle
richieste del bizniz, e potete leggere anche codice in sicuro, perché si
spera che dopo le imbeccate che leggete qui sulla sicurezza applicativa, il
livello del vostro codice sia puntato forte verso il miglioramento.

In mente ho una visione dello specialista di sicurezza applicativa che si
discosta molto dalle persone che taroccano i report per compiacere al cliente.
Si discosta dal furbetto che ti consiglia di spendere laddove non serve o che
disegna processi pensando a come piazzare suoi colleghi per aumentare la
fatturazione della società di consulenza lidà di mercato, innovativa ed al
passo coi tempi1.

In mente ho la visione di uno specialista che sia attivo su
github, che segua almeno 3 o 4 blog tematici e vada alle
conferenze di sviluppatori, anche solo per ascoltare. In mente ho la visione di
uno specialista che si senta fuori dagli schemi, che non sia imbrigliato nella
routine 9-17 (o 9-18 qui da noi in Italia, perché si sa… c’è la crisi e
quindi quell’ora investita alla macchinetta del caffè è fondamentale).

In mente ho la visione di uno specialista che abbia dei principi solidi, che
non usi quello che sa per proprio tornaconto ma che non abbia problemi a
rompere il proprio sito web per cercare di indirizzare un problema.

In mente ho un nuovo capitano di un’Arcadia ed è per questo che, quando è stato
il momento di pensare ad un logo per il blog, è stato naturale usare la Jolly
Roger come base2.

And there is another one…

Con Owasp Italia stiamo lanciando una
campagna di adozione di 3-4 progetti opensource ai quali vogliamo dare una mano
per quello che riguarda la sicurezza applicativa.

Io ho rivolto il mio tanto ammore verso WordPress
che ultimamente ne ha tanto bisogno.

Quello che vogliamo fare è configurare WordPress in 3 modalità standard:

  • blog
  • sito vetrina
  • sito ecommerce

Su queste configurazioni vogliamo fare Threat Model, WAPT e Code Review a ciclo
continuo. Vogliamo inoltre rivedere il meccanismo di plugin e di temi visto che
più della metà delle vulnerabilità che escono quotidianamanete non affliggono
il core.

Ad Agosto uscirà WordPress 4.3, sarebbe bello uscisse con tutto il
supporto che possiamo dargli.

Il tutto sarà documentato sul blog del progetto Stand by
WordPress
.

Off by one

In pratica non cambia nulla qui su CodiceInsicuro. Ho giò
spedito al mittente un paio di offerte di banner pubblicitari tematici e sto
vagliando bene l’offerta di sponsorship di una società di antivirus per capire
quanto questo mini l’essere super partes.

Quello che voglio continuare a fare, è quello di essere un blog di sicurezza
informatica non convenzionale, a partire dalla scelta di usare l’Italiano come
lingua fino alla scelta dei contenuti.

  1. la stessa che poi vende al cliente sviluppatori junior in batteria un tot
    al chilo pretendendo che lavorino H24, 7 giorni su 7, giustficandosi dietro ad
    un triste tanto con la crisi che c’è ho la fila davanti alla porta, se non ti
    sta bene tanti saluti.
     

  2. come base appunto, il logo deve essere ancora definito bene, ma almeno
    d’ora in avanti quando vedete una nave con una bandiera con un monitor e
    un’antenna wifi incrociata ad un cavo di rete penserete a questo
    blog

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.