Vai al contenuto
Home » 2 anni son passati

2 anni son passati

2 anni fa nasceva il progetto Codice Insicuro. Partivamo
sull’onda della vulnerabilità
heartbleed
e da
lì abbiamo collezionato 97 post, poco meno di un post a settimana.

1 anno fa, festeggiavamo il primo compleanno del
blog

con un post su come costruire un framework di autenticazione con
Sinatra e Warden.

Quest’anno abbiamo introdotto due nuovi contenitori di post:

  • i Rimedi del bucaniere dove andremo a collezionare
    tutte quelle piccole cose che facciamo o che usiamo ogni tanto e vogliamo
    avere sempre sottomano durante un penetration test applicativo o una code
    review;
  • i Chicchi di sviluppo sicuro dove andremo a dare
    piccole ricette per risolvere problemi comuni di sviluppo. Problemi che spesso
    portano a vulnerabilità noiose da sanare.

Nel prossimo futuro, penseremo ad un logo e ad un template più carino per il
sito, che nel frattempo si è spostato di casa: siamo migrati su Digital
Ocean
ma non abbiamo abbandonato
Jekyll come traduttore da Markdown a HTML.

Ah, se volete usare questo link per aprire
una vostra VPS su Digital Ocean, mi date un bonus referral. Non vi confesso
che, non avendo pubblicità per scelta mia, farebbe comodo per aiutarmi a
sostenere questo progetto.

Dove siamo

Quest’anno è l’anno della conferenza Owasp APPSEC Europe
2016
qui in Italia. Il team di Owasp Italy ha fatto un
buon lavoro organizzativo e a fine Giugno sviluppatori e persone del mondo ICT
security potranno godere delle ultime novità nel campo della sicurezza
applicativa.

Purtroppo noto che, mentre all’estero nessuno batte ciglio se deve sborsare dei
soldi per la propria formazione, l’italiano vuole l’evento gratis. Vedetela
così, è un po’ come quando il vostro committente vi vuole pagare noccioline,
perché tanto che ci vuole a fare un sito o un pentest, basta il cugino o il
tool. Se vuoi pagare 0 per la tua formazione, 0 è quello che devi aspettarti in
cambio. Forse una mentalità differente farebbe fare davvero il salto di qualità
a molti.

Fermandomi un attimo sembra, e dico sembra, che la sicurezza applicativa inizi
ad essere un argomento mainstream anche qui, nel bel Paese con un tasso elevato
di analfabetismo funzionale.

I recenti casi di Panama Papers, il presunto legame tra Hacking Team ed
il caso Regeni
, una falla grave in un’applicazione mobile destinata a
bambini
, sono indicatori che le problematiche di protezione del dato stanno
abbandonando il settore degli addetti ai lavori.

Forte è ancora il dibattito se
Carrai

sia l’uomo giusto a capo di un’intelligenza di cybersecurity nazionale. Sta di
fatto che un decennio fa, il nostro Governo era a livello di ECDL. Ora almeno
inizia a porsi il problema della cybersecurity o della sicurezza cibernetica,
come preferite voi.

Su LinkedIN ormai se cerchi posizioni per cyber security trovi qualcosa anche
qui da noi e, notiziona, gli headhunter italiani, iniziano a chiamarti per
posizioni in questa nazione.

Dove andremo

Io credo che ormai le aziende stiaano metabolizzando l’idea che debbano
investire in sicurezza. Le compromissioni, arrivano ormai in settori dove non
te lo saresti aspettato, basti pensare ai filoni importanti legati ad
automotive e Internet delle cose.

Esistono poi un sacco di temi legati alla protezione di contenuti digitali, con
un mercato dei media che sta cambiando alcuni paradigmi della propria offerta.
Sia la TV che la musica ora è costantemente in streaming, proteggere i
contenuti da accessi e redistribuzioni non autorizzate, diventa un argomento
topico per qualsiasi manager dotato di buon senso.

Saremo attaccati come cittadini. Oddio, questo accade già. Chi di noi non ha
ricevuto un qualche malware? Un cryptolocker? Un teslacrypt? Come specialisti,
dovremmo necessariamente affrontare anche il tema del reversing e analisi di
codice per individuare potenziali malware.

Alcuni di noi dicono che è in corso una cyberguerra. In realtà sarebbe stupido
affermare il contrario. La criminalità si è spostata, dal mondo reale al mondo
dell’etere. Semplicemente perché rende un sacco ed il mercato della protezione
è ancora un po’ immaturo.

Quindi il futuro è pieno zeppo di lavoro per chi si occupa in maniera seria di
application security. Spero, ce ne sia sempre meno per i cioccolattai
dell’ultim’ora. Ricordatevi che se paghi noccioline, attirerai solo
scimmie
.

Enjoy it.

Tag:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.