Vai al contenuto
Home » Molto benissimo: il racconto del talk a ISACA Venice

Molto benissimo: il racconto del talk a ISACA Venice

Lo scorso 23 Settembre, il capitolo veneziano di ISACA
ha organizzato un evento su sicurezza applicativa e Internet delle cose.
Curioso che nello stesso periodo, centinaia di migliaia di device connessi
abbiano lanciato il più grande DDoS fin qui registrato contro il popolare
blog Krebs on Security.

Sapete come sono fatto. Io faccio la punta agli eventi italiani, perché spesso
dimentichiamo la cura dei dettagli. In questo caso, e sinceramente già in
alcune cose degli eventi di Ottobre e Novembre, mi devo ricredere fortemente.

Ottima organizzazione e location… wow. Era la prima volta che vedevo il
polo tecnologico dell’Università Ca’ Foscari
e devo dire che hanno creato
una bellissima struttura, anche grazie ai fondi ricevuti dall’unione europea
come si legge in un cartello nel parco del campus.

Nota di colore. Molti cartelli indicavano una caffetteria che né io, né Lorenzo
abbiamo trovato, decidendo alla fine che la caffetteria erano i distributori
automatici nel seminterrato del building Alfa. Se qualcuno di Ca’ Foscari sta
leggendo e può svelare l’arcano, lasci un commento per favore. La prossima
volta che passo di lì sarà sicuramente un’informazione utile.

Come ogni talk che si rispetti, è stato anticipato da una fantastica cena a
base di pesce goduta in compagnia di Lorenzo, professore alla Royal
Holloway University di Londra. Tra vecchi ricordi ed episodi di 10 anni di vita
vissuta, il messaggio che è passato a fine serata è che né a livello tecnico,
né a livello di qualità della vita, sappiamo forse apprezzare e valutare al
meglio il potenziale italiano. Là fuori non è l’eldorado
. Molto benissimo.

Torniamo al talk. Ospitato da Mauro Bregolin, professionista e membro di Owasp
Italia, ho parlato dell’application security pipeline. La platea davanti a me
era composta da:

  • una minuscola percentuale (2 persone su un centinaio a colpo d’occhio) di
    persone che fanno security test nella propria azienda. Male. Con tutto il
    parlare, anche alla Camera di Cyber Security, siamo ancora indietro con
    l’adozione di un team interno nelle realtà sia grandi che medie.
  • molti studenti di un ITIS della zona. Questo è bellissimo, forse per loro il
    perché serve automatizzare la filiera di test non è del tutto chiaro, ma almeno
    hanno sentito temi reali che risolvono problemi di ogni giorno.

La maggior parte dell’audience ha preferito non partecipare al sondaggio
iniziale. Forse non sono riuscito a far cogliere loro, quale il problema
iniziale ho cercato di risolvere.

In aziende grandi, gestiamo un numero di asset sproporzionato alle dimensioni
del team interno (quando presente). A questa sproporzione siamo comunque
chiamati a dare una risposta sui rischi aziendali legati al parco server, alle
applicazioni web e alle eventuali applicazioni mobile.

In questo scenario, e soprattutto in un contesto dove nuove iniziative vengono
lanciate di continuo, automatizzare il grosso dei test permette agli
specialisti di focalizzarsi:

  • sull’esecuzione di test boutique su particolari applicazioni o su server
    particolarmente delicati;
  • sull’analisi dei risultati delle varie attività.

Di questo ho parlato. Di come ho cercato di dare una risposta ad un mio
problema quotidiano e di come mi sono poi accorto che non ero l’unico ad avere
lo stesso problema, tanto da essere descritto nell’Owasp Appsec
Pipeline
.

Buone le sensazioni e veramente interessanti le domande al termine del talk.

Degli altri interventi, doverosa menzione del lavoro di Lorenzo e di
CopperDroid, strumento per l’analisi e la categorizzazione di malware in
ambiente Android. Sicuramente avrebbe meritato almeno mezza giornata di
approfondimento e l’occasione di mostrare qualcosa live. Speriamo in futuro di
poter vedere CopperDroid all’opera.

Seconda menzione per l’ultimo talk della giornata, prima della plenaria. _Come
sopravvivere ad un CTF dove Marco
Squarcina
, ha raccontato il recente CTF
in Russia e l’esperienza del team veneziano.

Ottimi intereventi, ottima organizzazione, grande prosecco. Che dire, all’anno prossimo!

Enjoy it!

Tag:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.