Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCP. Amo spaccare e ricostruire il codice in maniera più robusta, cintura nera di taekwon-do, marito e papà. Ranger Caotico buono, scrivo su @codiceinsicuro e @the_armoredcode.

L'estate sta finendo e un anno inizierà

L'estate sta finendo e un anno inizierà
394 parole - Lo leggerai in 2 minuti

Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si torna al lavoro.

Per 3 settimane le uniche attività di codiceinsicuro sono state quelle del bot su twitter. Sono stato volutamente sconnesso quindi so poco di quello che è accaduto nel mondo.

Tra i draft c’è un post su come usare il file robots.txt per recuperare informazioni utili sul nostro target e in cantiere un sacco di modifiche da fare a dawn, il tool di analisi statica per ruby su cui sto lavorando ormai da più di un anno.

Una cosa che dopo tutti questi anni ancora mi sfugge riguarda la percezione della sicurezza. Che un sito possa essere attaccato per interessi o semplicemente per divertimento, di qualche idiota, dovrebbe essere ormai qualcosa di assodato.

Non è una minaccia astratta, come quella dell’uomo nero che usavano i nostri genitori per spaventarci. E’ una cosa reale e se non ci credete guardate più spesso gli access.log delle vostre applicazioni. Prima o poi qualcuno che prova a mettere un apice nella form di login nel campo password lo trovate sicuro.

Perché allora si guarda alla security come qualcosa di non necessario? Perché è considerata, ancora, un costo inutile?

Lanciare nessus, non è fare application security nella propria azienda, neppure se sei un freelance “onemanband”. Se sei una startup non puoi nasconderti sulla mancanza di soldi quando il tuo business è totalmente online, se distruggono quello distruggono tutto.

Eppure sempre più spesso vedo codice buttato per caso online, senza i minimi accorgimenti lato security e in esecuzione su piattaforme vecchie i cui interpreti e framework sono vetusti e pieni di bug.

Questo significa che ci saranno sempre lettori per codiceinsicuro e questo è bene, di sicuro se come community si appsec ci siamo prefissati lo scopo di riempire il gap con gli sviluppatori anche in termini di awareness, lo stiamo facendo veramente male.

A proposito di awareness, come capitolo italiano di Owasp, prossimamente terrò un talk su come affrontare il tema della sicurezza applicativa in un contesto release early, release often. Quest’anno solo talk in Italia. Se il problema è “come incastrare i test di security” o “quali test fare”, vedremo con calma cosa non deve assolutamente mancare nella nostra filiera.

Ben ritrovati.

(Updated: )

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list