Application security: intervista ad Antonio Parata di OWASP
Inserito da Agatino Grillo il Mer, 2006-10-11 07:00
IT Colloquia | Ottobre 2006 | Owasp | Security
061011-antonioparata
IsacaRoma: Ciao Antonio e grazie per la collaborazione. Vuoi
presentarti per i nostri lettori ?
Antonio Parata: Sono sempre stato un appassionato di informatica ed in particolare ho cominciato ad occuparmi di sicurezza informatica nel 2002.
I miei principali interessi vertono sulla software security e sull'application security. Al momento sono un laureando in ingegneria informatica presso il Politecnico di Milano e collaboro con il capitolo italiano di OWASP.
IR: Come ti sei avvicinato alla sicurezza? Credi che l'Università sia il modo migliore per avvicinarsi a tale disciplina?
AP: Mi sono avvicinato alla sicurezza informatica proprio grazie ad un corso universitario. Seguivo una lezione del corso di "Infrastrutture e protocolli per internet" ed il professore ci spiegò in che modo si poteva creare un DoS basato sul syn-flooding. In quel momento mi si è aperto un nuovo mondo ed ho cominciato a leggere tutto ciò che riguardava la sicurezza; poi sfruttando la mia passione per la programmazione ho cominciato a creare i miei primi programmi "security oriented".
L'Università, in tutta sincerità non è sicuramente il modo migliore per avvicinarsi a tale disciplina ma resta comunque un percorso fondamentale. Una laurea, specie se in ingegneria informatica, ti fornisce le basi necessarie per comprendere le basi della sicurezza, nei suoi diversi aspetti, il che è di fondamentale importanza. Purtroppo la sicurezza in Italia, tranne rare eccezioni, non è ancora percepita, in ambito universitario, come materia fondamentale; esistono alcuni corsi di base, ma nulla che al giorno d'oggi ti permetta, dopo la laurea, di intraprendere una carriera in tale ambito.
IR: Cosa consiglieresti a chi si vuole avvicinare a questa disciplina con l'obiettivo di diventare un professionista della sicurezza?
AP: A coloro che vogliono diventare professionisti della sicurezza informatica consiglio di conseguire una laurea (meglio in ingegneria o in informatica) ed in parallelo di leggere dei buoni libri sulla sicurezza ovviamente tenendosi sempre informati tramite conferenze e mailing list. Per quanto riguarda le certificazioni, personalmente non ci credo molto; certo se si ha l'occasione di farsele pagare dalla propria azienda è meglio farle.
IR: Che ruolo svolgi in OWASP?
AP: Ho tenuto alcune conferenze per OWASP-Italy e partecipo al progetto "Testing guide" ideato da Matteo Meucci che recentemente è stato tra i vincitori del "OWASP Autumn of Code 2006" (AoC). Al momento il progetto è in fase di (ri)definizione dell'indice: c’è molto lavoro da fare e probabilmente si dovrà razionalizzare l’intero impianto.
IR: Parliamo di application security; perché bisogna occuparsene? Non basta testare la sicurezza perimetrale?
AP: Assolutamente no! Testare la sola sicurezza perimetrale e più in generale la sicurezza dell'intera rete non basta. Nella mia ultima conferenza, dopo aver spiegato in che modo potevamo sfruttare un attacco di sql injection per ottenere praticamente qualsiasi file presente sul filesystem, mi sono sentito chiedere come si doveva configurare il proprio IDS per prevenire tale attacco. Questo approccio è del tutto sbagliato! Qui il problema risiede nell'applicazione e non nello strato di rete per cui la soluzione deve essere trovata agendo al livello software.
In sintesi il motivo per cui bisogna occuparsi di application security è che bisogna sfuggire alla logica che le soluzioni di sicurezza consistano semplicemente nell'installare un qualche apparato di rete che cerchi di contrastare le vulnerabilità del nostro software.
Per fortuna sembra che pian piano il focus sulla sicurezza si stia spostando dove è giusto che sia ovvero sullo scrivere software più sicuro.
IR: Qual è l'approccio giusto all’application security? Quali le minacce più serie? Quali le contromisure?
AP: Il giusto approccio all’application security consiste nel tentare di scrivere software sicuro. Gli sviluppatori software dovrebbero cominciare a considerare la sicurezza in modo serio prevedendo, all'interno del ciclo di sviluppo, delle attività specificatamente dedicate alla sicurezza. Un buon punto di partenza per gli sviluppatori web potrebbe essere conoscere la prossima versione della testing guide di OWASP.
Le minacce più serie al giorno d'oggi riguardano proprio le applicazioni web. Secondo Securityfocus, nel maggio 2006, ben il 63% delle vulnerabilità note riguardava le applicazioni web; di queste il 23% erano vulnerabilità di tipo sql injection.
Recentemente io e Alberto Revelli abbiamo spiegato a Smau e-academy 2006 alcune tipologie di attacco di sql injection basate su tecniche di inferenza; con tali tecniche si può ottenere il valore di tutte le tabelle del database, il contenuto di un qualsiasi file presente sul filesystem e ottenere addirittura una pseudo shell. Al momento penso che l'attacco di sql injection sia tra i più pericolosi; le novità però potrebbero venire dalla nuova tecnologia Ajax.
La migliore contromisura che mi sento di consigliare è di validare qualsiasi input ricevuto seguendo una metodologia di tipo whitelist.
IR: Che tipo di letture (o altra formazione) consiglieresti a chi volesse avvicinarsi alla problematica dell’application security?
AP: I libri che consiglierei in ordine di lettura a chi si avvicina all’application security sono:
Per quanto riguarda le risorse internet oltre alle varie mailing list come Securityfocus, consiglio di guardare di tanto i tanto siti che pubblicano exploit come packetstorm e di studiarne il codice. Infine consiglio la rivista Security & Privacy di IEEE, visto l'ottimo rapporto qualità/prezzo.
IR: Cos'è www.ictsc.it?
AP: www.ictsc.it è un sito che curo e che nasce con lo scopo di diffondere conoscenza e software che riguardi la software security e l’application security. Vorrei evitare di creare uno dei tanti siti che fornisce informazione ridondante (cercate su Google la stringa "sql injection" ed otterete ben 4.540.000 risultati). Cerco sempre di pubblicare materiale che sia un minimo innovativo.
Inoltre cerco di fornire risorse a siti esterni di interesse.
IR: Come vedi il futuro della sicurezza?
AP: Negli ultimi anni l'interesse verso la sicurezza è decisamente aumentato. A mio avviso nei prossimi anni ci si sposterà sempre più verso problematiche relative alla software security e assisteremo alla nascita di nuovi standard per la creazione di software sicuro.
IR: Ciao e grazie
AP: Grazie a voi!
Altri articoli pubblicati per IsacaRoma Newsletter
Antonio Parata: Sono sempre stato un appassionato di informatica ed in particolare ho cominciato ad occuparmi di sicurezza informatica nel 2002.
I miei principali interessi vertono sulla software security e sull'application security. Al momento sono un laureando in ingegneria informatica presso il Politecnico di Milano e collaboro con il capitolo italiano di OWASP.
IR: Come ti sei avvicinato alla sicurezza? Credi che l'Università sia il modo migliore per avvicinarsi a tale disciplina?
AP: Mi sono avvicinato alla sicurezza informatica proprio grazie ad un corso universitario. Seguivo una lezione del corso di "Infrastrutture e protocolli per internet" ed il professore ci spiegò in che modo si poteva creare un DoS basato sul syn-flooding. In quel momento mi si è aperto un nuovo mondo ed ho cominciato a leggere tutto ciò che riguardava la sicurezza; poi sfruttando la mia passione per la programmazione ho cominciato a creare i miei primi programmi "security oriented".
L'Università, in tutta sincerità non è sicuramente il modo migliore per avvicinarsi a tale disciplina ma resta comunque un percorso fondamentale. Una laurea, specie se in ingegneria informatica, ti fornisce le basi necessarie per comprendere le basi della sicurezza, nei suoi diversi aspetti, il che è di fondamentale importanza. Purtroppo la sicurezza in Italia, tranne rare eccezioni, non è ancora percepita, in ambito universitario, come materia fondamentale; esistono alcuni corsi di base, ma nulla che al giorno d'oggi ti permetta, dopo la laurea, di intraprendere una carriera in tale ambito.
IR: Cosa consiglieresti a chi si vuole avvicinare a questa disciplina con l'obiettivo di diventare un professionista della sicurezza?
AP: A coloro che vogliono diventare professionisti della sicurezza informatica consiglio di conseguire una laurea (meglio in ingegneria o in informatica) ed in parallelo di leggere dei buoni libri sulla sicurezza ovviamente tenendosi sempre informati tramite conferenze e mailing list. Per quanto riguarda le certificazioni, personalmente non ci credo molto; certo se si ha l'occasione di farsele pagare dalla propria azienda è meglio farle.
IR: Che ruolo svolgi in OWASP?
AP: Ho tenuto alcune conferenze per OWASP-Italy e partecipo al progetto "Testing guide" ideato da Matteo Meucci che recentemente è stato tra i vincitori del "OWASP Autumn of Code 2006" (AoC). Al momento il progetto è in fase di (ri)definizione dell'indice: c’è molto lavoro da fare e probabilmente si dovrà razionalizzare l’intero impianto.
IR: Parliamo di application security; perché bisogna occuparsene? Non basta testare la sicurezza perimetrale?
AP: Assolutamente no! Testare la sola sicurezza perimetrale e più in generale la sicurezza dell'intera rete non basta. Nella mia ultima conferenza, dopo aver spiegato in che modo potevamo sfruttare un attacco di sql injection per ottenere praticamente qualsiasi file presente sul filesystem, mi sono sentito chiedere come si doveva configurare il proprio IDS per prevenire tale attacco. Questo approccio è del tutto sbagliato! Qui il problema risiede nell'applicazione e non nello strato di rete per cui la soluzione deve essere trovata agendo al livello software.
In sintesi il motivo per cui bisogna occuparsi di application security è che bisogna sfuggire alla logica che le soluzioni di sicurezza consistano semplicemente nell'installare un qualche apparato di rete che cerchi di contrastare le vulnerabilità del nostro software.
Per fortuna sembra che pian piano il focus sulla sicurezza si stia spostando dove è giusto che sia ovvero sullo scrivere software più sicuro.
IR: Qual è l'approccio giusto all’application security? Quali le minacce più serie? Quali le contromisure?
AP: Il giusto approccio all’application security consiste nel tentare di scrivere software sicuro. Gli sviluppatori software dovrebbero cominciare a considerare la sicurezza in modo serio prevedendo, all'interno del ciclo di sviluppo, delle attività specificatamente dedicate alla sicurezza. Un buon punto di partenza per gli sviluppatori web potrebbe essere conoscere la prossima versione della testing guide di OWASP.
Le minacce più serie al giorno d'oggi riguardano proprio le applicazioni web. Secondo Securityfocus, nel maggio 2006, ben il 63% delle vulnerabilità note riguardava le applicazioni web; di queste il 23% erano vulnerabilità di tipo sql injection.
Recentemente io e Alberto Revelli abbiamo spiegato a Smau e-academy 2006 alcune tipologie di attacco di sql injection basate su tecniche di inferenza; con tali tecniche si può ottenere il valore di tutte le tabelle del database, il contenuto di un qualsiasi file presente sul filesystem e ottenere addirittura una pseudo shell. Al momento penso che l'attacco di sql injection sia tra i più pericolosi; le novità però potrebbero venire dalla nuova tecnologia Ajax.
La migliore contromisura che mi sento di consigliare è di validare qualsiasi input ricevuto seguendo una metodologia di tipo whitelist.
IR: Che tipo di letture (o altra formazione) consiglieresti a chi volesse avvicinarsi alla problematica dell’application security?
AP: I libri che consiglierei in ordine di lettura a chi si avvicina all’application security sono:
- Ross Anderson, Security engineering: A guide to building Dependable Distributed System.
- Gary McGraw, Software Security: Building Security In.
- Andrews and Whittaker, How to break Web Software.
- Howard and LeBlanc, Writing Secure Code, 2nd edition.
- Hoglund and McGraw, Exploiting Software: How to Break Code.
- Koziel at All, The shellcoder's Handobook.
Per quanto riguarda le risorse internet oltre alle varie mailing list come Securityfocus, consiglio di guardare di tanto i tanto siti che pubblicano exploit come packetstorm e di studiarne il codice. Infine consiglio la rivista Security & Privacy di IEEE, visto l'ottimo rapporto qualità/prezzo.
IR: Cos'è www.ictsc.it?
AP: www.ictsc.it è un sito che curo e che nasce con lo scopo di diffondere conoscenza e software che riguardi la software security e l’application security. Vorrei evitare di creare uno dei tanti siti che fornisce informazione ridondante (cercate su Google la stringa "sql injection" ed otterete ben 4.540.000 risultati). Cerco sempre di pubblicare materiale che sia un minimo innovativo.
Inoltre cerco di fornire risorse a siti esterni di interesse.
IR: Come vedi il futuro della sicurezza?
AP: Negli ultimi anni l'interesse verso la sicurezza è decisamente aumentato. A mio avviso nei prossimi anni ci si sposterà sempre più verso problematiche relative alla software security e assisteremo alla nascita di nuovi standard per la creazione di software sicuro.
IR: Ciao e grazie
AP: Grazie a voi!
IsacaRoma Newsletter link
- OWASP: i vincitori dell'Autumn of Code 2006
- Intervista a Matteo Meucci di Owasp Italia
- SMAU: OWASP, applicativi web vulnerabili
- Matteo Meucci: Web Application Security e il progetto OWASP (pdf zip, 2 M)
Chi è Agatino Grillo?
Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.Altri articoli pubblicati per IsacaRoma Newsletter
- Wikipedia: la voce "IS auditing"
- IIA – sesta guida GTAG: "Managing and Auditing IT Vulnerabilities"
- ISACA: Standard, direttive e procedure – l’analisi dei rischi (24-09-2006)
- ISACA: Standard, direttive e procedure – prima parte (23-09-2006)
- Intervista a Ross Anderson (02-11-2005)
- Lezioni di IS Auditing (03-01-2006)
- Conversazione con Simon Singh (28-10-2005)
- COSO Enterprise Risk Management Framework (12-09-2006)
- Bruce Schneier: domande e risposte (01-11-2005)
» email this story | printer friendly version | 2221 reads
