2 anni son passati
2 anni fa nasceva il progetto Codice Insicuro. Partivamo sull’onda della vulnerabilità heartbleed e da lì abbiamo collezionato 97 post, poco meno di un post a settimana.
1 anno fa, festeggiavamo il primo compleanno del blog con un post su come costruire un framework di autenticazione con Sinatra e Warden.
Quest’anno abbiamo introdotto due nuovi contenitori di post:
- i Rimedi del bucaniere dove andremo a collezionare tutte quelle piccole cose che facciamo o che usiamo ogni tanto e vogliamo avere sempre sottomano durante un penetration test applicativo o una code review;
- i Chicchi di sviluppo sicuro dove andremo a dare piccole ricette per risolvere problemi comuni di sviluppo. Problemi che spesso portano a vulnerabilità noiose da sanare.
Nel prossimo futuro, penseremo ad un logo e ad un template più carino per il sito, che nel frattempo si è spostato di casa: siamo migrati su Digital Ocean ma non abbiamo abbandonato Jekyll come traduttore da Markdown a HTML.
Ah, se volete usare questo link per aprire una vostra VPS su Digital Ocean, mi date un bonus referral. Non vi confesso che, non avendo pubblicità per scelta mia, farebbe comodo per aiutarmi a sostenere questo progetto.
Dove siamo
Quest’anno è l’anno della conferenza Owasp APPSEC Europe 2016 qui in Italia. Il team di Owasp Italy ha fatto un buon lavoro organizzativo e a fine Giugno sviluppatori e persone del mondo ICT security potranno godere delle ultime novità nel campo della sicurezza applicativa.
Purtroppo noto che, mentre all’estero nessuno batte ciglio se deve sborsare dei soldi per la propria formazione, l’italiano vuole l’evento gratis. Vedetela così, è un po’ come quando il vostro committente vi vuole pagare noccioline, perché tanto che ci vuole a fare un sito o un pentest, basta il cugino o il tool. Se vuoi pagare 0 per la tua formazione, 0 è quello che devi aspettarti in cambio. Forse una mentalità differente farebbe fare davvero il salto di qualità a molti.
Fermandomi un attimo sembra, e dico sembra, che la sicurezza applicativa inizi ad essere un argomento mainstream anche qui, nel bel Paese con un tasso elevato di analfabetismo funzionale.
I recenti casi di Panama Papers, il presunto legame tra Hacking Team ed il caso Regeni, una falla grave in un’applicazione mobile destinata a bambini, sono indicatori che le problematiche di protezione del dato stanno abbandonando il settore degli addetti ai lavori.
Forte è ancora il dibattito se Carrai sia l’uomo giusto a capo di un’intelligenza di cybersecurity nazionale. Sta di fatto che un decennio fa, il nostro Governo era a livello di ECDL. Ora almeno inizia a porsi il problema della cybersecurity o della sicurezza cibernetica, come preferite voi.
Su LinkedIN ormai se cerchi posizioni per cyber security trovi qualcosa anche qui da noi e, notiziona, gli headhunter italiani, iniziano a chiamarti per posizioni in questa nazione.
Dove andremo
Io credo che ormai le aziende stiaano metabolizzando l’idea che debbano investire in sicurezza. Le compromissioni, arrivano ormai in settori dove non te lo saresti aspettato, basti pensare ai filoni importanti legati ad automotive e Internet delle cose.
Esistono poi un sacco di temi legati alla protezione di contenuti digitali, con un mercato dei media che sta cambiando alcuni paradigmi della propria offerta. Sia la TV che la musica ora è costantemente in streaming, proteggere i contenuti da accessi e redistribuzioni non autorizzate, diventa un argomento topico per qualsiasi manager dotato di buon senso.
Saremo attaccati come cittadini. Oddio, questo accade già. Chi di noi non ha ricevuto un qualche malware? Un cryptolocker? Un teslacrypt? Come specialisti, dovremmo necessariamente affrontare anche il tema del reversing e analisi di codice per individuare potenziali malware.
Alcuni di noi dicono che è in corso una cyberguerra. In realtà sarebbe stupido affermare il contrario. La criminalità si è spostata, dal mondo reale al mondo dell’etere. Semplicemente perché rende un sacco ed il mercato della protezione è ancora un po’ immaturo.
Quindi il futuro è pieno zeppo di lavoro per chi si occupa in maniera seria di application security. Spero, ce ne sia sempre meno per i cioccolattai dell’ultim’ora. Ricordatevi che se paghi noccioline, attirerai solo scimmie.
Enjoy it.
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progetto