Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Molto benissimo: il racconto del talk a ISACA Venice

Molto benissimo: il racconto del talk a ISACA Venice Photo by on Unsplash
637 parole - Lo leggerai in 3 minuti

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device connessi abbiano lanciato il più grande DDoS fin qui registrato contro il popolare blog Krebs on Security.

Sapete come sono fatto. Io faccio la punta agli eventi italiani, perché spesso dimentichiamo la cura dei dettagli. In questo caso, e sinceramente già in alcune cose degli eventi di Ottobre e Novembre, mi devo ricredere fortemente.

Ottima organizzazione e location… wow. Era la prima volta che vedevo il polo tecnologico dell’Università Ca’ Foscari e devo dire che hanno creato una bellissima struttura, anche grazie ai fondi ricevuti dall’unione europea come si legge in un cartello nel parco del campus.

Nota di colore. Molti cartelli indicavano una caffetteria che né io, né Lorenzo abbiamo trovato, decidendo alla fine che la caffetteria erano i distributori automatici nel seminterrato del building Alfa. Se qualcuno di Ca’ Foscari sta leggendo e può svelare l’arcano, lasci un commento per favore. La prossima volta che passo di lì sarà sicuramente un’informazione utile.

Come ogni talk che si rispetti, è stato anticipato da una fantastica cena a base di pesce goduta in compagnia di Lorenzo, professore alla Royal Holloway University di Londra. Tra vecchi ricordi ed episodi di 10 anni di vita vissuta, il messaggio che è passato a fine serata è che né a livello tecnico, né a livello di qualità della vita, sappiamo forse apprezzare e valutare al meglio il potenziale italiano. Là fuori non è l’eldorado. Molto benissimo.

Torniamo al talk. Ospitato da Mauro Bregolin, professionista e membro di Owasp Italia, ho parlato dell’application security pipeline. La platea davanti a me era composta da:

  • una minuscola percentuale (2 persone su un centinaio a colpo d’occhio) di persone che fanno security test nella propria azienda. Male. Con tutto il parlare, anche alla Camera di Cyber Security, siamo ancora indietro con l’adozione di un team interno nelle realtà sia grandi che medie.
  • molti studenti di un ITIS della zona. Questo è bellissimo, forse per loro il perché serve automatizzare la filiera di test non è del tutto chiaro, ma almeno hanno sentito temi reali che risolvono problemi di ogni giorno.

La maggior parte dell’audience ha preferito non partecipare al sondaggio iniziale. Forse non sono riuscito a far cogliere loro, quale il problema iniziale ho cercato di risolvere.

In aziende grandi, gestiamo un numero di asset sproporzionato alle dimensioni del team interno (quando presente). A questa sproporzione siamo comunque chiamati a dare una risposta sui rischi aziendali legati al parco server, alle applicazioni web e alle eventuali applicazioni mobile.

In questo scenario, e soprattutto in un contesto dove nuove iniziative vengono lanciate di continuo, automatizzare il grosso dei test permette agli specialisti di focalizzarsi:

  • sull’esecuzione di test boutique su particolari applicazioni o su server particolarmente delicati;
  • sull’analisi dei risultati delle varie attività.

Di questo ho parlato. Di come ho cercato di dare una risposta ad un mio problema quotidiano e di come mi sono poi accorto che non ero l’unico ad avere lo stesso problema, tanto da essere descritto nell’Owasp Appsec Pipeline.

Buone le sensazioni e veramente interessanti le domande al termine del talk.

Degli altri interventi, doverosa menzione del lavoro di Lorenzo e di CopperDroid, strumento per l’analisi e la categorizzazione di malware in ambiente Android. Sicuramente avrebbe meritato almeno mezza giornata di approfondimento e l’occasione di mostrare qualcosa live. Speriamo in futuro di poter vedere CopperDroid all’opera.

Seconda menzione per l’ultimo talk della giornata, prima della plenaria. _Come sopravvivere ad un CTF dove Marco Squarcina, ha raccontato il recente CTF in Russia e l’esperienza del team veneziano.

Ottimi intereventi, ottima organizzazione, grande prosecco. Che dire, all’anno prossimo!

Enjoy it!

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list