I pirati della sicurezza applicativa

Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di essere al timone dell’Arcadia, la nave di Capitan Harlock.

Photo by Paolo Perego

Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di essere al timone dell’Arcadia, la nave di Capitan Harlock.

Nei media ormai il pirata informatico ha una connotazione assolutamente negativa, come di solito hanno tutte le persone che si occupano di security. Da dove derivi questo stereotipo non lo so, credo come tutti gli stereotipi sia foraggiato dall’ignoranza della gente sul tema.

Tra avere le competenze per bucare un’applicazione per capire cosa va migliorato e distribuire malware per avere bitcoin in cambio ci sono tante sfumature di grigio, sfumature ignorate perché appunto il mainstream conosce un colore solo: quello associato alla criminalità.

La cinematografia, e l’industria del fumetto hanno riabilitato un po’ il termine pirata. Harlock era un ribelle, una persona fuori dagli schemi ma la sua missione era quella di portare ordine e giustizia. Nel film “I pirati della Silicon Valley”, Jobs e Woz sono definiti, appunto nel titolo, pirati, perché hanno rivoluzionato a loro modo l’elaboratore personale, letteralmente rubacchiando qua e là (furbescamente aggiungo io) elementi che sono poi entrati nel Mac e nel suo Sistema Operativo.

Perché altri pirati?

Quando ho dovuto pensare ad un logo per il blog, mi è venuto naturale accostare CodiceInsicuro alla parola pirata.

Innanzitutto, come nella migliore delle tradizioni GNU, anche questo blog ha un giochino all’interno del nome. Triviale ma potete leggere sia codice insicuro, per quell’attidudine malsana che hanno molti sviluppatori di buttare bit alla rinfusa sul web per andare incontro alle richieste del bizniz, e potete leggere anche codice in sicuro, perché si spera che dopo le imbeccate che leggete qui sulla sicurezza applicativa, il livello del vostro codice sia puntato forte verso il miglioramento.

In mente ho una visione dello specialista di sicurezza applicativa che si discosta molto dalle persone che taroccano i report per compiacere al cliente. Si discosta dal furbetto che ti consiglia di spendere laddove non serve o che disegna processi pensando a come piazzare suoi colleghi per aumentare la fatturazione della società di consulenza lidà di mercato, innovativa ed al passo coi tempi1.

In mente ho la visione di uno specialista che sia attivo su github, che segua almeno 3 o 4 blog tematici e vada alle conferenze di sviluppatori, anche solo per ascoltare. In mente ho la visione di uno specialista che si senta fuori dagli schemi, che non sia imbrigliato nella routine 9-17 (o 9-18 qui da noi in Italia, perché si sa… c’è la crisi e quindi quell’ora investita alla macchinetta del caffè è fondamentale).

In mente ho la visione di uno specialista che abbia dei principi solidi, che non usi quello che sa per proprio tornaconto ma che non abbia problemi a rompere il proprio sito web per cercare di indirizzare un problema.

In mente ho un nuovo capitano di un’Arcadia ed è per questo che, quando è stato il momento di pensare ad un logo per il blog, è stato naturale usare la Jolly Roger come base2.

And there is another one…

Con Owasp Italia stiamo lanciando una campagna di adozione di 3-4 progetti opensource ai quali vogliamo dare una mano per quello che riguarda la sicurezza applicativa.

Io ho rivolto il mio tanto ammore verso WordPress che ultimamente ne ha tanto bisogno.

Quello che vogliamo fare è configurare WordPress in 3 modalità standard:

  • blog
  • sito vetrina
  • sito ecommerce

Su queste configurazioni vogliamo fare Threat Model, WAPT e Code Review a ciclo continuo. Vogliamo inoltre rivedere il meccanismo di plugin e di temi visto che più della metà delle vulnerabilità che escono quotidianamanete non affliggono il core.

Ad Agosto uscirà WordPress 4.3, sarebbe bello uscisse con tutto il supporto che possiamo dargli.

Il tutto sarà documentato sul blog del progetto Stand by WordPress.

Off by one

In pratica non cambia nulla qui su CodiceInsicuro. Ho giò spedito al mittente un paio di offerte di banner pubblicitari tematici e sto vagliando bene l’offerta di sponsorship di una società di antivirus per capire quanto questo mini l’essere super partes.

Quello che voglio continuare a fare, è quello di essere un blog di sicurezza informatica non convenzionale, a partire dalla scelta di usare l’Italiano come lingua fino alla scelta dei contenuti.

  1. la stessa che poi vende al cliente sviluppatori junior in batteria un tot al chilo pretendendo che lavorino H24, 7 giorni su 7, giustficandosi dietro ad un triste tanto con la crisi che c’è ho la fila davanti alla porta, se non ti sta bene tanti saluti. 

  2. come base appunto, il logo deve essere ancora definito bene, ma almeno d’ora in avanti quando vedete una nave con una bandiera con un monitor e un’antenna wifi incrociata ad un cavo di rete penserete a questo blog

comments powered by Disqus