Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni fa, preoccupato lo ero veramente.

Pochi giorni prima esprimevo i miei malumori a Matteo, il nostro chapter leader e di come lo stato comatoso della mailing list italiana fosse cartina tornasole di una situazione di stallo preoccupante.

Come nazione siamo da sempre presente in molti progetti importanti. Ad esempio, Matteo guida con successo l’Owasp Testing Guide da anni, partecipiamo all’Owasp Top 10 e alla Owasp Code Review Guide. Di sicuro mi sto dimenticando qualcosa o qualcuno.

A questo attivismo fa da contraltare una scena nostrana che definire in coma è farle un complimento.

Come dicevo, sono preoccupato.

Una volta avevamo WebbIT…

L’Owasp APPSEC Europe manca dal nostro paese ormai dal 2007. Sta girovagando in paesi dove il mercato dell’ICT Security, non solo è più maturo ma semplicemente esiste.

Non so voi ma il 100% delle offerte che ricevo dagli head hunter per posizioni nel campo della sicurezza applicativa è estero. Statisticamente l’assenza anche solo di una richiesta italiana per posizione da stagista o da senior con paga da junior (perché di solito in campo ICT di questo parliamo in Italia) significa solo che il mercato è morto, fermo.

Il Security Summit è forse l’evento più importante, visto che il Clusit presenta il suo rapporto annuale sullo stato degli attacchi informatici. Scorrendo l’agenda però vediamo che gli interventi sono per lo più istituzionali e pochissimi vendor neutral.

Se con Smau il livello si alza veramente di poco, il Festival ICT provaa dare un evento più tecnico con risultati incoraggianti, tuttavia dobbiamo e possiamo dare di più.

Gente che viene ad annunciare un exploit fico, che mostri un attacco nuovo dalla A alla Z, facendo disclosure responsabile. Nessuna.

Startup dedicate allo sviluppo di software di Securiy? Praticamente nessuna.

Arene con CTF? Zero, e forse buona parte delle persone che sono lì a seguire i talk dovrebbe andare a controllare su google per cosa sta l’acronimo CTF.

Una volta sì, avevamo WebbIT, ma mi fermo prima dell’arrivo dell’effetto nostalgia. Il succo è che noi non abbiamo un blackhat, noi non abbiamo un defcon, noi non abbiamo un ruxcon, noi non abbiamo un shmoocon.

Guardate l’elenco degli eventi ICT security nel mondo per il 2015 e cercate Italy. Emblematico vero?

Abbiamo come Owasp Italia l’Owasp Day ma molto è ancora da fare affinché diventi l’evento di application security che tutte le persone in Italia aspettano febbrilmente o al quale non vogliono mancare.

Come dicevo, sono molto preoccupato.

ICT Italiano a due marce ed il gap che resta lì

Lato sviluppatori le comunità PHP, Javascript e Ruby stanno provando ad organizzare eventi di respiro internazionale e, con soddisfazione, noto che ci stanno riuscendo.

Talk di buon livello. Specialisti che dall’estero vengono a portare un modo nuovo di lavorare. Atmosfera densa.

Ma la security? E’ loro il nostro target.

Organizzare eventi di security per sole persone di security quando si parla di codice sicuro è come andare a parlare del vino e del suo profumo inebriante al circolo astemi.

Gli specialisti di sicurezza informatica devono sentire l’esigenza di andare a fare awareness laddove serve, ovvero dove ci sono sviluppatori, dove c’è il codice sorgente da proteggere.

Come dicevo, sono estremamente preoccupato.

Come ti defibrillo il capitolo

Dalla mia email di una decina di giorni fa qualcosa si è smosso. Per prima cosa è stata creata sul wiki di Owasp una pagina che descrive gli obiettivi che vogliamo darci come Owasp Italia nel 2015.

Le novità più succose sono due:

• i meetup
• il progetto “Adotta un progetto opensource”

Owasp Italia fa il federalismo

A mio avviso uno dei motivi per i quali la sicurezza non è rappresentata in eventi, nelle aziende e soprattutto nel codice che va online, è da ricercarsi nel fatto che ci sono pochi eventi delocalizzati sul territorio.

Fare una grande conferenza all’anno, può portare pochi benefici se il gruppo è popolato da persone che trovano difficile muoversi o che pensano, ahimé, di non essere all’altezza dell’evento¹.

Quello che può fare la differenza per noi, sono piccoli meetup, piccoli incontri di una decina di persona delocalizzati lungo tutta la penisola. Obiettivo: portare la sicurezza applicativa alle masse, agli sviluppatori, agli imprenditori, alle startup, ai decision maker che di sicuro non verranno mai al singolo evento a Roma o Milano, ma magari sono incuriositi dall’aperitivo mensile a pochi chilometri da casa.

Adotta un progetto opensource

Heartbleed, GHOST e Shellshock hanno dimostrato che opensource è bello ma non è vero che vuol dire più sicuro. Certo, potenzialmente un sacco di persone può fare review del codice, ma a conti fatti nessuno lo fa.

Guidati da @ikki_ proveremo a definire un processo di adozione di un progetto opensource in modo da fornire una mano alla comunità per quello che riguarda test di security, code review, patching e tutto quello che può venire in mente, purché collegato alla security.

Una nuova conferenza, nuova e lucente nella sua armatura

Accanto a queste iniziative sul territorio, stiamo anche pensando ad un evento che si staccherà di molto dalle conferenze alle quali siamo abituati in Italia. L’ispirazione viene dagli eventi internazionali, Owasp AppSEC in primis.

Il pilota 0, non abbiamo ancora trovato un nome fico, avrà una singola track e talk rivolti a:

• defenders - sviluppatori, imprenditori, decision maker, ovvero tutte le persone che “subiscono” la sicurezza. Dovremo fare awareness, parlando la loro lingua.
• attackers - noi. Vogliamo talk su nuovi tool, nuovi attacchi, nuove vulnerabilità, tutto quello che mi porta dalla form alla shell.

Accanto alla track di conferenza vera e propria, due appuntamenti che di sicuro non si vedono spesso qui da noi:

• un CTF a 360 gradi. Quindi web application da difendere, codici da revisionare alla ricerca di bug e indizi, exploit da scrivere per servizi esposti.
• un hardening fest. Di solito i Linux User Group organizzano gli install fest, dove gli esperti installano e configurano Linux alle nuove leve. Noi organizzeremo l’harderning fest, ovvero i più esperti metteranno in sicurezza laptop dei visitatori/sviluppatori oppure supporteranno i tester alle primer armi nell’installare e configurare Kali Linux per i test di tutti i giorni.

Nuova e fresca energia

Ad un paio di amici avevo confidato che se questo mio progetto non avesse riscosso alcuna reazione, probabilmente avrei smesso del tutto. La risposta invece c’è stata ed è stata grande, quindi mi lascio trascinare dall’energia di questa nuova sfida.

Proviamo a far ripartire Owasp Italia, proviamo a far ripartire tutta la scena, proviamo a smuovere il mercato, proviamo a far capire alle aziende che investire in un proprio team di security non è una spesa inutile ma è il primo passo come il richiedere l’airbag e sistemi di sicurezza quando ordiniamo una nuova macchina.

Proviamoci, male che vada sarà stata l’ennesima avventura. Al 2016 l’ardua sentenza.

Enjoy it.