Intervista a Matteo Meucci di Owasp Italia

IT Colloquia | Maggio 2005 | Owasp | Security
0505-owasp Ciao Matteo e grazie per l’intervista. Ti vuoi presentare?
Buongiorno e grazie a voi. Mi sono laureato in Ingegneria a Bologna con una tesi sulla progettazione di sistemi di autorizzazione utilizzando gli Attribute Certificate proposti dall’IETF, un’estensione dei certificati digitali. Ho mosso i primi passi professionali a  Milano presso CryptoNet, una società di consulenza per la sicurezza informatica. Oltre ad occuparmi di progetti di PKI e Identity Management, mi sono occupato di Web Application Security. . In questa occasione mi sono avvicinato alla comunità OWASP da poco formata ed ho cominciato a seguirne i diversi progetti, soprattutto la guida per lo sviluppo “sicuro” del software. Attualmente lavoro a Roma per Business-e all’interno della divisione di Consulenza Tecnica per l’ICT Security.

Cos’è OWASP?
Il progetto Open Web Application Security Project (OWASP) http://www.owasp.org , è dedicato alla creazione e alla diffusione di una cultura per quanto riguarda la sicurezza delle applicazioni web. Il progetto è animato da un gruppo di professionisti del settore ed è attualmente impegnato su diverse linee, dalla definizione dei criteri di progettazione ed analisi del software, alla creazione di tool per il vulnerability assessment e l’analisi del codice.

Cos’è OWASP-Italy?
OWASP-Italy, http://www.owasp.org/local/italy.html, nata nel gennaio 2005 sotto la mia guida ha lo scopo di promuovere in Italia la filosofia OWASP per lo sviluppo di applicativi web "sicuri" e di contribuire alla sensibilizzazione sia dei professionisti che delle aziende verso le problematiche di Web Security attraverso la circolazione di idee, articoli, best-practice e tool free.
Attualmente le attività di OWASP-Italy sono:
  • traduzione della documentazione OWASP in italiano;
  • costituzione di un gruppo per portare avanti anche in Italia i progetti OWASP ISO17799 e OWASP Checklist;
  • scrittura di articoli relativi alla Web Application Security;
  • presentazione di OWASP-Italy in seminari relativi alla Information Security.


Cos’è esattamente OWASP ISO17799?
ISO 17799, lo standard internazionale per la definizione di un Information Security Management System, è raramente applicato per la gestione di un sito web sicuro. L’obiettivo di questo progetto è quello di creare tool necessari per il design, lo sviluppo ed il deploy di una web application “sicura” secondo lo standard ISO 17799. Il progetto è ancora allo stato iniziale e i tool saranno forniti sotto forma di documentazione: policy di alto livello e “procedure pronte per l’uso” che consentano di sviluppare l’applicazione tenendo presente le esigenze di sicurezza delle informazioni e dei contenuti nei diversi stadi del progetto.

C’è un coordinamento fra i vari capitoli europei ed internazionali di OWASP?
Si, ciascun capitolo OWASP è condotto da un responsabile che partecipa al network dei chapter-lead. In questo ambito si discute su come portare avanti i diversi progetti, vengono proposte nuove iniziative e si discutono le “strategie” per lo sviluppo di OWASP.

Come ci si associa, quanti associati ci sono?
OWASP non è un’associazione ma una organizzazione no-profit. La partecipazione in OWASP è gratuita ed aperta a tutti gli interessati della Web Application Security (http://www.owasp.org/about/foundation.html). Attualmente l’organizzazione conta migliaia di membri sparsi in tutto il mondo, di cui 500 nei 38 capitoli locali e altri partecipanti ai progetti. La mailing list OWASP-Italy conta attualmente 61 membri (per iscriversi: http://lists.sourceforge.net/lists/listinfo/owasp-italy).

Perché la scelta Open Source?
La partecipazione al progetto, i documenti e il software prodotti sono “open”. Ogni membro può essere a completa conoscenza dei progetti e contribuire attivamente per quanto concerne le proprie competenze. Siamo convinti che solo condividendo le informazioni con un numero di partecipanti sempre maggiore sia possibile aumentare il livello qualitativo dei risultati.
 
L’Open Source è sempre più sicuro delle soluzioni proprietarie?
I concetti assoluti non mi hanno mai convinto. Penso solo che in alcuni ambiti, quali ad esempio l’implementazione di un algoritmo di crittografia  (in cui la sicurezza del sistema crittografico risiede nella protezione delle chiavi) sia fondamentale il fatto che il codice sorgente sia pubblico e quindi condivisibile nella comunità per eliminare eventuali problemi di sicurezza. Nella comunità scientifica la norma richiede ormai l’uso di librerie pubbliche per l’implementazione di funzioni crittografiche (sebbene ancora oggi alcune Company si “dilettino” nell’inventare il proprio algoritmo pensando che sia più “sicuro”). Sicuramente tale modello è vincente per il progetto OWASP: non mi azzarderei però ad affermare che il modello Open Source sia la scelta più “sicura” in tutti i contesti.

OWASP sposta il focus delle sicurezza informatica dalla difesa perimetrale (reti, firewall, ids) alla sicurezza applicativa in particolare per le applicazioni web. Da dove nasce questo cambio di rotta?
L’Application Security non costituisce un cambio di rotta, ma è semplicemente un nuovo aspetto della sicurezza informatica che si completa con la Network Security e la Risk Analysis o sicurezza procedurale. Nasce in virtù della rapida diffusione di Internet, dei servizi on-line e del conseguente sviluppo di applicativi web. L’interazione degli utenti con gli applicativi web è sempre più invasiva nella vita di tutti i giorni: da qui la nascita di una nuova coscienza sia da parte degli utenti che da parte di chi realizza l’applicativo dell’esigenza di creare delle linee guida per la Web Application Security.

Uno dei documenti più noti di OWASP è sicuramente la top ten delle vulnerabilità critiche delle applicazioni web, http://www.owasp.org/docroot/owasp/projects/topten/OWASPTopTen2004-ITA.pdf, che sembra in un certo senso contrapporsi all’analogo documento di SANS Institute, http://www.sans.org/top20/, sulle vulnerabilità di Internet che in Italia è stato diffuso grazie a Clusit, l’Associazione Italiana per la Sicurezza Informatica, http://www.clusit.it. C’è contrapposizione tra le due liste?
Le due liste solo a prima vista trattano argomenti similari: in realtà la SANS Top 20 individua le vulnerabilità più critiche per piattaforme Windows e UNIX concentrandosi esclusivamente sui sistemi operativi.
La OWASP Top 10 è focalizzata invece sugli applicativi web: le vulnerabilità in essa descritte sono di fatto indipendenti dalle tecnologie o dalle piattaforme utilizzate per la realizzazione dei servizi Internet, trattandosi di vulnerabilità dovute a pratiche di progettazione e sviluppo del software poco “sicure”.

Che rapporti ci sono tra Owasp-Italy e Clusit?
Non c’è finora nessuna relazione diretta tra il CLUSIT e OWASP-Italy. Tuttavia il CLUSIT ha recentemente riconosciuto la validità del progetto OWASP-Italy pubblicando la Top10 nella sezione Whitepapers (http://www.clusit.it/whitepapers.htm).

C’era bisogno di un’altra associazione di esperti di sicurezza?
Si, visto che la Web Application Security è ancora, soprattutto in Italia, un argomento poco approfondito, pensiamo che un’altra organizzazione che si occupi di questo aspetto possa aiutare a diffondere una nuova cultura e a completare il quadro della sicurezza logica.

Sei certificato CISSP (http://www.isc2.org). Cosa ne pensi in generale delle certificazioni professionali di sicurezza?
Penso che alcune certificazioni siano molto utili nel campo dell’ICT Security sia per coprire il “gap” universitario su queste tematiche, che per rimanere sempre aggiornati su nuove tecnologie e standard di sicurezza.

Come hai cominciato ad occuparti di sicurezza ICT? Hai qualche consiglio per chi volesse intraprendere questa carriera?
Si, il mio consiglio è quello di cercare di usufruire di tutti i canali possibili per informarsi sulle tematiche di sicurezza: uno di questi è senz’altro l’undergroud e il mondo dell’hacking, l’altro può essere l’ambiente accademico da cui si possono apprendere importanti nozioni di sicurezza. Penso che le ottime basi teoriche fornite dagli studi universitari, unite alla pratica e allo stimolo della curiosità (che solo il mondo dell’underground può dare) contribuiscono a formare un ottimo e completo specialista nel mondo dell’ICTSecurity.

Qualche lettura consigliata?
Oltre a consigliare di leggere la documentazione OWASP, sono interessanti:
“Hacking Exposed Web Application”, http://www.webhackingexposed.com/, di Joel Scambray e Mike Shema,  la cui introduzione è curata da Mark Curphey (OWASP Chair fino al 2004)
“Building secure software” (una sintesi n: http://www-106.ibm.com/developerworks/security/library/s-build.html)  di John Viega e Gary McGraw: un approccio completo alla sicurezza applicativa. Senz’altro un “must” per i professionisti del settore.
“Hack proofing your web Application” di Jeff Forristal e Julie Traxler

Quali sono le prossime iniziative di OWASP e OWASP-Italy?
Dopo l’AppSec 2005 Conference, la comunità OWASP è in fermento e si sta discutendo su come lanciare nuove idee, tra cui come far conoscere meglio tale iniziativa al mondo della Security, creare collaborazioni con le Università per la ricerca, introdurre nuove figure (mentor),  e soprattutto come dare priorità ai progetti.
Al momento le prossime iniziative di OWASP-Italy sono:

Grazie Matteo e a presto
Grazie a voi e buon lavoro.

Principali progetti OWASP

L’attività più interessante che la comunità OWASP sta portando avanti da diversi anni è la “OWASP Guide to Building Secure Web Applications”,  http://www.owasp.org/documentation/guide.html Attualmente la versione 1.1.1 è la più stabile, la versione 2 è completamente rinnovata ma è allo stato di Working Draft.
http://prdownloads.sourceforge.net/owasp/OWASPGuideV1.1.1.pdf
http://prdownloads.sourceforge.net/owasp/guide_v2a1.pdf.
La guida è diretta ad architetti, sviluppatori, consulenti, auditor ed è un esaustivo manuale per il design, lo sviluppo e il deploy di applicazioni web sicure. Sono trattati temi quali: il disegno architetturale, il tipo di autenticazione, la gestione delle sessioni, il controllo di accesso alle risorse, la validazione dei dati, la privacy e l’utilizzo ottimale della crittografia.
WebScarab, http://www.owasp.org/software/webscarab.html, è un HTTP proxy locale utilizzato per testare un applicativo web in grado di intercettare tutte le richieste HTTP/HTTPS in ingresso ed uscita dal browser. Il software consente al web application tester di capire come è stata implementata la comunicazione tra l’applicativo ed il browser, di manipolare le richieste del client e di verificare le risposte del server stesso. Questo approccio (definito in letteratura di tipo black box) permette di scoprire le vulnerabiltà su di un applicativo già progettato e sviluppato.
Proseguendo con l’approccio di tipo black box, la guida OWASP PenTest Checklist si propone come metodologia standard per condurre un assessment di una applicazione web. Descrive un criterio per la realizzazione di un penetration test e l’insieme dei controlli di sicurezza da verificare (la lista contiene attualmente una checklist di 47 elementi).
http://www.owasp.org/documentation/testing.html
WebGoat, http://www.owasp.org/software/webgoat.html, nasce in virtù del fatto che la Web Application Security è di difficile apprendimento nella pratica e che i professionisti della sicurezza necessitano di verificare strumenti e tecniche di attacco contro piattaforme vulnerabili rimanendo comunque in un contesto di legalità. WebGoat crea un ambiente di insegnamento interattivo per la sicurezza web mediante una applicazione progettata su architettura J2EE contenente volutamente un insieme significativo di vulnerabilità. Un tipico esempio di lezione riguarda l’SQL Injection (particolare attacco che si ottiene manipolando le informazioni che la componente Data Base riceve dall’applicativo) con la quale un attaccante può rubare numeri di carta di credito (ovviamente fittizi!).
Sempre pensando alla diffusione di una cultura della sicurezza, OWASP ha redatto e tiene aggiornata la Top Ten, http://www.owasp.org/docroot/owasp/projects/topten/OWASPTopTen2004-ITA.pdf, http://www.clusit.it/whitepapers.htm, delle vulnerabilità più critiche delle applicazioni web. L’iniziativa è portata avanti da un gruppo di esperti di sicurezza di tutto il mondo che hanno condiviso la propria esperienza per produrre tale lista; pensiamo sia importante per le aziende adottare uno standard qualitativo all’interno della propria organizzazione e assicurarsi che le proprie web application non contengano questi difetti nel codice. La lista individua gli errori di progettazione più comuni che generano vulnerabilità sfruttabili da remoto.

Conferenze di OWASP-Italy:

31 Marzo 2005 - ISACA Rome meeting, slide disponibili in http://www.isacaroma.it/html/newsletter/?q=node/74
21 Marzo 2005 - Relatore al seminario presso il “Master in Management e Tecnologie dell'Informazione dell'Università di Bologna” relativo ad un corso sulla Web  Application Security e OWASP. http://www.almaweb.unibo.it/840.dyn
Articoli di OWASP-Italy:
Maggio 2005    Intervista di Raoul Chiesa su Hackers&C
Aprile 2005    “Nascita del progetto OWASP-Italy”  - ICTSecurity magazine n° 33 (http://www.nstecna.com/pubblicazioni/ictsecurity/ictsecurity.html)
Aprile 2005    Pubblicazione dell’articolo: “A case-study of Web Application Vulnerability: MMS Spoofing and Billing” - http://www.owasp.org/papers.html
Aprile 2005        OWASP Top Ten disponibile sul sito del CLUSIT , http://www.clusit.it/whitepapers.htm