Paolo Perego Follow Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Non abbiate paura

Photo by on Unsplash

680 parole - Lo leggerai in 3 minuti

Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante ti salta alla gola, ignorando appunto, il significato della parola a loro appena rivolta.

Io sono ignorante. In campi come la medicina, la fisica, la filosofia, l’arte, io sono ignorante. Ignoro concetti e sfumature e guardo a chi è più esperto di me con quella fame di sapere che può avere un bambino quando vede una cosa che vede per la prima volta.

Abbandonare la presunzione di sapere tutto, è il primo passo per vivere una vita più serena e, soprattutto, per non apparire al prossimo come perfetti stronzi¹.

Anche nel mio stesso campo, dove posso esibire una laurea, talk internazionali ed esperienza, sono ignorante. Se mi date un codice cobol e mi dite di farne una review, avrei seri problemi. Se mi dite di descrivere nel dettaglio il meccanismo con cui si instaura una connessione TLS, probabilmente farei scena muta².

Per molte persone, soddisfatte e tronfie nel loro posto fisso, questo non sembra valere. Loro sanno. Per intercessione divina loro sanno tutto, ma non solo della loro materia, anche di security.

Dicono che un protocollo è meglio di un altro senza un dato alla mano e anzi chiedono a te di produrne per provare che loro hanno torto.

Lo spasso più grosso è quando ti presenti da loro con vulnerabilità e scenari d’attacco. Si armano di tutta la loro creatività per dirti che stai sbagliando e che sei un inetto. Tu, se sei un professionista con un minimo di coscienza, per un po’ continui ad argomentare, ma poi anche Pirro si sarebbe arreso.

Ma che succede nei nostri team? Perché tanta conflittualità?

Ho provato a pensarci e mi sono dato una risposta che non mi piace neanche un po’. O meglio, penso sia corretta e per questo mi rattrista.

Security rompe la sicurezza di chi si sente onniscente. Questo, capendo di aver detto una castroneria si impunta³.

Vi svelo un segreto. Io non mi sento più colto di uno sviluppatore, di un IT Manager, di un Software Architect. Però per trovare i possibili modi con cui un attaccante può dare fastidio devo, per forza, apprendere cose che esulano dalla security vera e propria. Devo sapere un minimo di sistemi operativi, devo sapere un minimo di stack e protocolli, devo sapere un minimo di framework di sviluppo.

In poche parole, chi fa security ha una conoscienza verticale sui suoi temi ed orizzontale su quello che gli sta attorno.

L’onniscente ha, non sempre in realtà, una conoscienza verticale sulla sua materia e basta. Chiedi ad un responsabile di progetto come ottimizzare le performance del software di cui è responsabile e conta le perle di sudore. Gli parli di caching server o di ottimizzare i server di frontend? Ti risponderà che non è lui ad occuparsene. Probabilmente è vero, anzi sicuramente sarà così, ma il problema di fondo è che lui non sta demandando, lui forse manco sa cos’è un server di frontend o l’idea di andare a cercare su Google come ottimizzarlo lo stomaca.

Fare security, spesso, ti porta all’ingrato compito di dover parlare con questi personaggi che, forse per una senziente insicurezza di fondo, vivono la loro vita professionale sulla difensiva, desiderosi solamente di riversare anni di frustrazione con chi dimostra loro di saperne un pizzico di più.

Non abbiate paura di dire che non sapete una cosa.

Nessuno di noi è onniscente, e chi afferma il contrario è solo un povero pirla.

Enjoy it!

ho cercato un sinonimo, ma qui ci voleva una parola forte. Siamo tutti adulti. ↩
questa domanda mi fu rivolta veramente durante un colloquio telefonico in inglese per un carrier di CDN. ↩
tanto certi culi, con santi in paradiso conquistati in anni di sorrisi falsi e pacche sulle spalle, non li muovi dalla loro scrivania. ↩

12 Jan 2016