Codice sicuro: intervista a Paolo Perego, thesp0nge, ideatore di OWASP Orizon

IT Colloquia | Ottobre 2006 | Owasp | Security
061012-owasp-paoloperego OWASP Orizon è una nuova iniziativa di OWASP Italy volta a fornire una metodologia per il coding ed il review in sicurezza del software.
Ne parliamo Paolo Perego ideatore di OWASP Orizon.

IsacaRoma: ciao Paolo e grazie per essere con noi. Vuoi brevemente presentarti per i nostri lettori?

Paolo Perego: Ciao a tutti, mi chiamo Paolo anche se in giro per la rete mi potete trovare come thesp0nge. Mi sono laureato all' Università Statale di Milano nell'ahimé lontano 2001 con una tesi focalizzata sulla sicurezza informatica, passione che nasce negli ultimi anni del percorso accademico spinta dall'amore per il kernel hacking. Attualmente quando non codo, non suono e non sto bevendo birra sono un security consultant e tra le attività che svolgo quotidianamente ci sono, tra gli altri, vulnerability assessment, attività di safe coding e code review.

IR: Come ti sei avvicinato alla sicurezza? Credi che l'Università sia il modo migliore per avvicinarsi a tale disciplina?

PP: Mi sono avvicinato alla sicurezza proprio grazie all'Università: all’inizio grazie ai corsi di Sistemi Operativi e poi per merito del prof.Bruschi. Nell'ateneo di Milano viene dato spazio alla sicurezza all'interno di un corso di laurea specifico, o almeno era così fino a 5 anni fa. Fondamentale è anche stata l’esperienza del laboratorio didattico SiLAB oltre allo svolgimento della tesi di laurea.

IR: Che ruolo svolgi in OWASP?

PP: In OWASP sono una new entry. Collaboro con Owasp-Italia per quanto riguarda la parte di safecoding e code review, su questa parte l'intervento è collegato al progetto Code Review coordinato da Eoin Keary. Recentemente ho anche tenuto uno speech (pdf, 406 K) per Owasp-Italia a SMAU 2006 di Milano; il tema dell'intervento era un'introduzione alle problematiche di code review e safe coding. Il mio scopo era quello di sensibilizzare il mondo IT presente sull'importanza della code review e del safe coding, tematiche ancora di poco interesse ahimé qui in Italia. Spesso i manager dell'IT investono molto nella difesa perimetrale della propria struttura (e questo è bene), dimenticandosi quasi completamente della sicurezza applicativa, tematica questa che va affrontata fin dalle prime fasi del ciclo di vita dell'applicazione al fine di ottenere buoni risultati con un effort sostenibile.

IR: Da dove nasce l'iniziativa OWASP Orizon?

PP: Orizon nasce dalla raccolta di materiale per lo speech di cui sopra. In giro per la rete ci sono molti tool per la code review ed ognuno di essi ha il proprio set di test che vengono applicati ai codici sorgenti da revisionare. La mia idea è quella di costruire un engine comune per il test che possa essere usato come base per la costruzione di security tool. Voglio realizzare del codice che metta a disposizione API e security check basati su guideline per lo sviluppo sicuro. Rendendo inoltre questo engine estendibile facilmente ad altri linguaggi ed ampliabile attraverso la scrittura dei test in linguaggio XML, il mio obiettivo è anche quello di fornire uno scheletro robusto per chi vuole scrivere security tool ma in grado anche di essere esteso e migliorato. E' un obiettivo ambizioso ma credo rispecchi un'ottica costruttiva tipica dell'opensource, quella di condividere il knowhow.

IR: Che tempi e deliverable sono previsti?

PP: Nella pagina del progetto sul sito di Owasp c'è una prima roadmap. Per ora sono tornato in fase di disegno e ne uscirò il mese prossimo con della documentazione architetturale di progetto. Da quel momento inizierà l'attività di coding vera e propria che culminerà in una prima milestone importante a fine anno con la versione 0.30 e l'applicazione dei primi test in XML a semplici classi java. Successivamente nel 2007 avremo una marcia progressiva che ci porterà al rilascio di ottobre alla versione 1.00, ad un anno esatto dalla creazione del progetto.

IR: Che rapporti ci sono con altri progetti quali LAPSE, RATS e Flawfinder?

PP: Questi ottimi progetti sono per me fonte di ispirazione ed illuminazione in questo momento. Quando il codice di Orizon sarà maturo proporrò ai rispettivi mantainer di considerare l'idea di appoggiarsi ad esso, sperando la colgano :)

IR: Cos'è AngeL?

PP: AngeL è un modulo per il kernel di linux per impedire che l'host sulla quale il modulo è caricato possa iniziare un attacco informatico via rete verso altri peer della rete. Impedisce inoltre ad un utente locale di operare una privilege excalation e DoS locali. Al momento il progetto è ahimé morto, un po' per la mancanza di tempo che l'adeguamento ai nuovi kernel richiederebbe, un po' perché sono cambiati gli interessi applicativi.
Non è detto che un giorno anche AngeL non venga rimesso a nuovo.

IR: Grazie Paolo e buon lavoro.

PP: Grazie a voi

IsacaRoma Newsletter link

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.
Altri articoli pubblicati per IsacaRoma Newsletter