OWASP Day II italiano: luci e ombre

-
Dopo aver letto molti post di illustri colleghi che magnificavano l'OWASP Day II, mi sono deciso a scriverne uno anche io. Ho partecipato a tutta la giornata del convegno e ho avuto modo di vagliare uno per uno gli interventi.

Il convegno, con luci ed ombre, ha avuto interventi di sicuro rilievo ma purtroppo alcuni (non molti) sono stati assolutamente insufficienti. Il chairman, Matteo Meucci, da lodare per l'impegno che mette nell'organizzazione di questi eventi, è però da redarguire amichevolmente per due aspetti:

  • più carattere nel dirigere questi convegni, cercando di acquisire più carisma anche nella moderazione degli interventi (ci sono stati interventi che sono continuati per un'ora...)
  • una selezione più rigida degli interventi, magari con l'apporto di revisori esterni (qualche intervento era insufficiente anche per una tesina all'Università...)

Per quello che riguarda gli interventi, ecco le mie opinioni confortate spesso dai commenti della platea (anche autorevole):


  • "L'approccio di Telecom Italia allo sviluppo sicuro delle applicazioni" di Marco Bavazzano (CISO TELECOM Italia): polpettone terribile sul ciclo di vita sicuro del software e di come Telecom sia leader in questo settore. Nulla di nuovo, argomentazioni trite e ritrite, slide orribili, molto marketing. Anche Telecom si è buttata in questo affare della Sicurezza Applicativa. Intervento assolutamente inutile.

  • "SQL Injection tricks: building the bridge between the Web App and the Operating System" di Alberto Revelli (Portcullis Computer Security): bravo non c'è che dire; ha saputo gestire il suo intervento creando anche suspense e aspettative verso la tecnica di hacking (anche abbastanza innovativa) proposta. MetaSploit lo conoscono in molti, ma con mia grande sorpresa, qualche "esperto" della platea ancora lo ignorava...forse tanto esperto non è ;-) Comunque Alberto è stato molto bravo. Sicuramente un bell'intervento.

  • "Le problematiche di Web Application Security: la visione di ABI Lab" di Matteo Lucchetti (ABI Lab): un disastro. Slide incomprensibili. Esposizione terribile. Spero per lui che fosse l'emozione. ABI dovrebbe presentarsi con persone in grado di reggere una conferenza anche sotto l'aspetto espositivo e di comunicazione. I contenuti erano assolutamente non fruibili, vista l'impossibilità di comprendere lo speaker. Si è dilungato 30 minuti oltre il tempo...Pessimo.

  • "OWASP Backend Security Project" di Carlo Pelliccioni (Spike Reply): esposizione non male, forse un po' scolastica, ma contenuti insufficienti. Tecniche di SQL Injection veramente banali con esempi a dir poco sconcertanti. Secondo voi una SQL Injection in una banca riesce a cambiare la disponibilità di soldi nel vostro conto corrente? E' abbastanza ingenuo pensare che non vi siano meccanismi di controllo e quadrature che rilevino le anomalie. E' anche abbastanza ingenuo che in una banca vi sia una Web Application direttamente connessa allo strato dati. Molte persone della platea si sono spazientite nel vedere un intervento così banale. Intervento pessimo, ma incoraggiamo il giovane.

  • "Web Services and SOA Security " di Laurent Petroque (F5): niente di particolarmente innovativo ma capacità espositive notevoli. Un bell'intervento, gradevole e con uno speaker preparato a gestire platee così ampie. Buon livello.

  • "How to start a software security initiative within your organization: a maturity based and metrics driven approach." di Marco Morana (OWASP USA Chapter Lead, TISO Citigroup): Morana è un esperto e si vede. Ineccepibile sotto ogni punto di vista. Esperienza e capacità di esporre impeccabile. Intervento eccezionale senza alcun dubbio. Dimostra il suo valore anche nella tavola rotonda che praticamente gli ruota attorno.

  • "Secure Programming with Static Analysis" di Jacob West (Head of Fortify Software's Security Research Group): un intervento tecnico assolutamente di alto livello. Jacob è preparatissimo e non poteva essere altrimenti. E' infatti l'autore insieme a Gary McGraw di "Secure Programming with Static Analysis" e anche di SCA di Fortify. Esposizione impeccabile da una persona abituata a fare interventi in conferenze. Intervento di altissimo livello.

  • "The Owasp Orizon project: internals and hands on" di Paolo Perego (Spike Reply): bravo Paolo. Risolleva le sorti del capitolo italiano di OWASP. Intervento interessante centrato tutto sul progetto di cui è leader e ideatore. Progetto sicuramente interessante che vi consiglio di seguire. Ottime capacità espositive. Ottimo intervento.

  • "Internet Banking and Web Security" di Giorgio Fedon (Minded Security): purtroppo non ho avuto modo di seguire il suo intervento, ma dalla tavola rotonda si vede che è persona acuta e abituata a gestire il contraddittorio.

Tavola rotonda:

Oltre a Raul Chiesa che ha dispensato i suoi soliti consigli da Hacker attempato, Matteo Flora ha fatto il suo show. Giorgio Fedon ha polemizzato con lui in modo costruttivo sulla Full Disclosure e, sebbene Matteo F. sia "animale" da "palcoscenico", il buon Giorgio ha vinto ai punti. Marco Morana poi dominava come figura GURU straripante di esperienza.

Matteo F. sei giovane per fare l'evangelist-showman all'americana ;-)

In conclusione un bell'evento ma con luci ed ombre. La sede e l'organizzazione logistica, gentilmente offerte dall'Università e dal gruppo di sicurezza del Dipartimento di Informatica, sono state comunque all'altezza. Forse è mancata solo un pò di maturità da parte del capitolo italiano di OWASP. Maturità che invece si è manifestata prepotentemente da parte di OWASP USA.

Continuate però a seguirli perché sicuramente faranno grandi cose. Sono giovani ma con un enorme potenziale.

Commenti

  1. Carlo Pelliccioni12 maggio 2008 alle ore 14:00

    Per prima cosa sono molto felice che ci sia una voce fuori dal coro.Non possono mai essere tutte rose e fiori.Sono d'accordo sugli alti e bassi diuna manifestazione che troppo spesso viene confusa come un momento di condivisione altamento tecnico.Collaboro con OWASP-Italy da diversi anni e mi piacerebbe che si capisse il vero senso di OWASP in queste giornate.Come lei avrà sentito bene (ho appositamente fatto una premessa iniziale durante il talk) il mio voleva essere un talk "divulgativo" di promozione per il progetto OWASP Backend Security Project che sto inoltre portando avanti con grande sforzo e ottimi risultati (fa anche parte del SoC 08 OWASP).Mi dispiace per coloro che si sono spazientiti ma evidentemente quelle persone non hanno ascoltato la premessa e non hanno colto il senso di quell'intervento.Queste manifestazioni sono fatte per arrivare agli alti livelli, fare sensibilizzazione e quindi è necessario usare esempi semplici e chiari.E' comunque da apprezzare il bellissimo lavoro tecnico fatto ad esempio da Alberto Revelli in merito alle SQL Injection su SQL Server 2005 ma è un più e non la regola di questa tipologia di eventi.L'OWASP Day non è Black Hat, vorrei che finalmente si capisse questo.Ma come le ho detto all'inizio condivido e apprezzo il suo spirito critico.

    Carlo Pelliccioni

    RispondiElimina

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere