Application security: intervista ad Antonio Parata di OWASP

IT Colloquia | Ottobre 2006 | Owasp | Security
061011-antonioparata IsacaRoma: Ciao Antonio e grazie per la collaborazione. Vuoi presentarti per i nostri lettori ?

Antonio Parata: Sono sempre stato un appassionato di informatica ed in particolare ho cominciato ad occuparmi di sicurezza informatica nel 2002.
I miei principali interessi vertono sulla software security e sull'application security. Al momento sono un laureando in ingegneria informatica presso il Politecnico di Milano e collaboro con il capitolo italiano di OWASP.

IR: Come ti sei avvicinato alla sicurezza? Credi che l'Università sia il modo migliore per avvicinarsi a tale disciplina?

AP: Mi sono avvicinato alla sicurezza informatica proprio grazie ad un corso universitario. Seguivo una lezione del corso di "Infrastrutture e protocolli per internet" ed il professore ci spiegò in che modo si poteva creare un DoS basato sul syn-flooding. In quel momento mi si è aperto un nuovo mondo ed ho cominciato a leggere tutto ciò che riguardava la sicurezza; poi sfruttando la mia passione per la programmazione ho cominciato a creare i miei primi programmi "security oriented".
L'Università, in tutta sincerità non è sicuramente il modo migliore per avvicinarsi a tale disciplina ma resta comunque un percorso fondamentale. Una laurea, specie se in ingegneria informatica, ti fornisce le basi necessarie per comprendere le basi della sicurezza, nei suoi diversi aspetti, il che è di fondamentale importanza. Purtroppo la sicurezza in Italia, tranne rare eccezioni, non è ancora percepita, in ambito universitario, come materia fondamentale; esistono alcuni corsi di base, ma nulla che al giorno d'oggi ti permetta, dopo la laurea, di intraprendere una carriera in tale ambito.

IR: Cosa consiglieresti a chi si vuole avvicinare a questa disciplina con l'obiettivo di diventare un professionista della sicurezza?

AP: A coloro che vogliono diventare professionisti della sicurezza informatica consiglio di conseguire una laurea (meglio in ingegneria o in informatica) ed in parallelo di leggere dei buoni libri sulla sicurezza ovviamente tenendosi sempre informati tramite conferenze e mailing list. Per quanto riguarda le certificazioni, personalmente non ci credo molto; certo se si ha l'occasione di farsele pagare dalla propria azienda è meglio farle.

IR: Che ruolo svolgi in OWASP?

AP: Ho tenuto alcune conferenze per OWASP-Italy e partecipo al progetto "Testing guide" ideato da Matteo Meucci che recentemente è stato tra i vincitori del "OWASP Autumn of Code 2006" (AoC). Al momento il progetto è in fase di (ri)definizione dell'indice: c’è molto lavoro da fare e probabilmente si dovrà razionalizzare l’intero impianto.

IR: Parliamo di application security; perché bisogna occuparsene? Non basta testare la sicurezza perimetrale?

AP: Assolutamente no! Testare la sola sicurezza perimetrale e più in generale la sicurezza dell'intera rete non basta. Nella mia ultima conferenza, dopo aver spiegato in che modo potevamo sfruttare un attacco di sql injection per ottenere praticamente qualsiasi file presente sul filesystem, mi sono sentito chiedere come si doveva configurare il proprio IDS per prevenire tale attacco. Questo approccio è del tutto sbagliato! Qui il problema risiede nell'applicazione e non nello strato di rete per cui la soluzione deve essere trovata agendo al livello software.
In sintesi il motivo per cui bisogna occuparsi di application security è che bisogna sfuggire alla logica che le soluzioni di sicurezza consistano semplicemente nell'installare un qualche apparato di rete che cerchi di contrastare le vulnerabilità del nostro software.
Per fortuna sembra che pian piano il focus sulla sicurezza si stia spostando dove è giusto che sia ovvero sullo scrivere software più sicuro.

IR: Qual è l'approccio giusto all’application security? Quali le minacce più serie? Quali le contromisure?

AP: Il giusto approccio all’application security consiste nel tentare di scrivere software sicuro. Gli sviluppatori software dovrebbero cominciare a considerare la sicurezza in modo serio prevedendo, all'interno del ciclo di sviluppo, delle attività specificatamente dedicate alla sicurezza. Un buon punto di partenza per gli sviluppatori web potrebbe essere conoscere la prossima versione della testing guide di OWASP.
Le minacce più serie al giorno d'oggi riguardano proprio le applicazioni web. Secondo Securityfocus, nel maggio 2006, ben il 63% delle vulnerabilità note riguardava le applicazioni web; di queste il 23% erano vulnerabilità di tipo sql injection.
Recentemente io e Alberto Revelli abbiamo spiegato a Smau e-academy 2006 alcune tipologie di attacco di sql injection basate su tecniche di inferenza; con tali tecniche si può ottenere il valore di tutte le tabelle del database, il contenuto di un qualsiasi file presente sul filesystem e ottenere addirittura una pseudo shell. Al momento penso che l'attacco di sql injection sia tra i più pericolosi; le novità però potrebbero venire dalla nuova tecnologia Ajax.
La migliore contromisura che mi sento di consigliare è di validare qualsiasi input ricevuto seguendo una metodologia di tipo whitelist.

IR: Che tipo di letture (o altra formazione) consiglieresti a chi volesse avvicinarsi alla problematica dell’application security?

AP: I libri che consiglierei in ordine di lettura a chi si avvicina all’application security sono:
Inoltre consiglierei anche un buon libro di ingegneria del codice come: Code Complete di Steve McConnell.
Per quanto riguarda le risorse internet oltre alle varie mailing list come Securityfocus, consiglio di guardare di tanto i tanto siti che pubblicano exploit come packetstorm e di studiarne il codice. Infine consiglio la rivista Security & Privacy di  IEEE, visto l'ottimo rapporto qualità/prezzo.

IR: Cos'è www.ictsc.it?

AP: www.ictsc.it è un sito che curo e che nasce con lo scopo di diffondere conoscenza e software che riguardi la software security e l’application security. Vorrei evitare di creare uno dei tanti siti che fornisce informazione ridondante (cercate su Google la stringa "sql injection" ed otterete ben 4.540.000 risultati). Cerco sempre di pubblicare materiale che sia un minimo innovativo.
Inoltre cerco di fornire risorse a siti esterni di interesse.

IR: Come vedi il futuro della sicurezza?

AP: Negli ultimi anni l'interesse verso la sicurezza è decisamente aumentato. A mio avviso nei prossimi anni ci si sposterà sempre più verso problematiche relative alla software security e assisteremo alla nascita di nuovi standard per la creazione di software sicuro.

IR: Ciao e grazie

AP: Grazie a voi!

IsacaRoma Newsletter link

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.
Altri articoli pubblicati per IsacaRoma Newsletter