Ieri sono stato all’OWASP Day a Roma, parte di una giornata mondiale dedicata al tema: “Privacy in the 21th century”. Devo dire che è stata una giornata spesa bene, e complimenti agli organizzatori. Ho trovato particolarmente interessante l’ultimo intervento, quello di Danny Allan, di Watchfire. Naturalmente la parte più “impressionante” è stata l’utilizzo di un tool che permette di banalizzare lo sfruttamento di un sistema compromesso in un’ottica di Web 2.0: mi ha fatto un po’ l’effetto di quando ho visto per la prima volta Back Orifice 😉 Tuttavia, il pregio dell’intervento non sono stati gli effetti speciali (non sono Telefunken), ma l’inquadramento generale dato al problema. In effetti, gli attacchi mostrati hanno poco di “nuovo”: la classe di attacchi più critica fra quelle presentate, il Cross Site Scripting, è nota in generale da anni, anche se ne sono nate nel frattempo molte varianti. Quello che è veramente cambiato con il Web 2.0 è che, data la centralità del browser come strumento, riuscire a compromettere quello, in un client, può rendere trascurabile compromettere il resto del sistema: più sono le operazioni e i dati che l’utente gestisce remotamente tramite il browser, meno è interessante il suo PC e più diventa interessante il browser, con tutti i suoi componenti e plug-in.
Posso fare solo due critiche alla giornata. La prima è che è stata una giornata di sensibilizzazione ai problemi, ma si è detto poco delle soluzioni, nonostante OWASP sia “dedicated to finding and fighting the causes of insecure software”. Ad esempio mi sarebbe piaciuto sentire qualcosa su come scrivere applicazioni sicure, cosa di cui OWASP comunque si occupa. Capisco che sia un tema meno coreografico… Il secondo problema è che guardando la sala, mi è sembrato che come sempre fossimo quasi solo “operatori e appassionati del settore”. Ora, se un operatore del settore non è già sensibile ai problemi del Web 2.0, farebbe meglio ad operare nell’ippica. Il problema quindi è riuscire a sensibilizzare almeno i responsabili IT delle aziende, o meglio amcora chi proprio non si occupa di IT. Comunque sia, mi ha fatto venire voglia di riprovare un po’ delle tecniche descritte 😉
