Propositi e previsioni per la sicurezza applicativa nel 2016

Manca poco ormai alla fine del 2015 e, come l’anno scorso, è arrivato il momento di fare qualche bilancio sull’anno passato e qualche previsione su quello che verrà.

Photo by Laura Canovaro

Manca poco ormai alla fine del 2015 e, come l’anno scorso, è arrivato il momento di fare qualche bilancio sull’anno passato e qualche previsione su quello che verrà.

Il 2015 è stato senza ombra di dubbio, l’anno del breach italiano del decennio: l’attacco ad HackingTeam. Da una parte molti hanno scoperto il segreto di pulcinella, ovvero che HackingTeam sviluppasse software di offensive security dedicati ad intercettazioni telematiche1.

Dall’altra parte l’Italia, per ben una settimana, ha scoperto il problema della sicurezza informatica. Salvo poi dimenticarsene, ma questa è un’altra storia.

L’affaire di HackingTeam, ha poi messo in luce l’aspetto pià triste dei social network: l’attitudine a sfogare la propria frustrazione con attacchi e crociate senza capo né coda.

Bettercap è stato, secondo me, il tool opensource più interessante per quest’anno. Il buon @evilsocket ha tirato fuori dal cilindro un framework, scritto in Ruby, per realizzare attacchi di tipo man in the middle

Il 2015 è stato l’anno di Mr. Robot. Dai tempi del primo Matrix, è la prima serie TV che c’entra in pieno il tema cyber thriller senza cadere in tristezze sia italiche…

Che di oltreoceano fattura

Attendo con ansia la seconda stagione (attenzione link con video spoiler sull’ultimo episodio della prima stagione), la prossima estate.

Il mondo del lavoro continua ad essere stranissimo. All’estero sembra esserci una maturità che da noi stenta a prendere piede. Il mondo della sicurezza informatica è ancora ancorato al pezzo di ferro, con un firewall il cliente italico medio si sente al sicuro e poco importa l’awareness agli sviluppatori, i test del codice… tanto c’è il firewall che blocca i locakers.

Un anno fa, dicevo sarebbe stato l’anno dell’Internet delle cose. In effetti, abbiamo iniziato a vedere i primi giocattoli connessi ai socialcosi bucati in malo modo. E’ successo alle Barbie ed è successo, pochi giorni prima, ad un gioco cinese il cui breach ha messo alla berlina identità di milioni di famiglie illuse dal miracolo dell’Internet delle cose.

Finché i product manager non si cacciano in quelle dannate zucche piene di stime e previsioni, che connettere dei device implica averli progettati in maniera tale da salvaguardare la privacy dei propri clienti, tutte le chiacchiere sulla Rete saranno appunto… chiacchiere, fuffa, roba da storyteller.

Ah, non succede solo con i giochi per i bambini.

Il 2015 è stato un anno dove ho fallito in una cosa in cui credevo, le mie idee per dare nuova linfa al capitolo Owasp Italy. Purtroppo… bhé purtroppo le energie sono poche in giro e molte persone amano più fare un bell’aperitivo che anche solo scrivere due righe in un Wiki. Sia chiaro, io credo ancora a quello che ho scritto lo scorso Febbraio. Owasp Italia, ha bisogno di energie fresche.

Nel 2016, cosa succederà?

Truffe, scam, malware, attacchi da Top 10 Owasp… ne vedremo sempre, ed in numero crescente. Il business del cybercrime tira e non vedo ragione alcuna per sperare in una redenzione, o in una inversione di rotta.

Continueremo, purtroppo, a sottovalutare il problema ed esporre noi stessi, ed i nostri dati, ad accessi non autorizzati. La tendenza alla condivisione, alla scelta di password banali perché deve essere di rapida fruizione, al non cambiare mai le proprie credenziali assieme al fatto che tendiamo a credere che la Rete sia un luogo bucolico, pieno di risorse e cose belle, faranno sì che anche nel 2016 chi si occupa come me di sicurezza applicativa, avrà un gran da fare.

Il 2016, sarà l’anno della versione 2.0 di dawnscanner ed è soprattutto per questo motivo per cui ci sono stati pochi post nell’ultimo mese. E’ uscita una versione 1.5.0, alla quale seguirà una 1.5.5 con l’aggiunta di security check e qualche bug fix soprattutto per quanto riguarda l’applicazione dei CVE ad applicazioni scritte in Rails 3.x.

E wordstress? Purtroppo pago un po’ il fatto che in PHP arranco un po’, però è nella mia ToDO list. La nuova versione avrà come maggiore miglioramento il non dover dipendere da un tool esterno per la scansione, o meglio questa sarà una funzionalità opzionale. Di base, la scansione whitebox sarà fruibile nella console di amministrazione del sito. Un po’ come avviene per le altre soluzioni di security per WordPress.

Il 2016 sarà anche l’anno del rilancio del progetto armoredcode. Dati alla mano, il mio Inglese maccheronico aveva un audience decisamente maggiore rispetto a quella dei posti qui su Codice Insicuro.

Sia chiaro, io amo il progetto Codice Insicuro e continuerò a portarlo avanti. Sento però anche l’esigenza di lavorare ad un progetto più grosso. E’ chiaro che mi piacerebbe molto che tutti gli sviluppatori, gli IT Manager o i Security Manager venissero a leggere sia Codice Insicuro che Armored Code.

Il mio capo lo fa già, dì anche al tuo di farlo!

Nel 2016, l’Italia ospiterà l’Owasp APPSEC EU, uno degli eventi più importanti organizzati da Owasp su tutti i temi della sicurezza applicativa. Basterà questo a smuovere un po’ le coscienze sonnacchiose dei nostri #seniormanagers? Faremo meno chiacchiere e più fatti? Staremo dietro ad un tavolo a pontificare di strategia o finalmente andremo sul campo a parlare di tattica e la strategie la applicheremo invece di lasciarla alla macchinetta del caffé?

Bhé, dal canto mio, ci spero proprio.

Buon 2016 ed… enjoy!

  1. perdonatemi ma come per “sicurezza cibernetica”, non riesco a pronunciare correttamente “captatore informatico”. Proprio no. 

comments powered by Disqus