Intervista Alberto Revelli Technical Director di OWASP Italy ed autore di sqlninja

IT Colloquia | Ottobre 2006 | Owasp | Security
061012-owasp-albertorevelli Continuamo la serie di interviste ad esponenti di OWASP sul tema della security application. Dopo gli incontri con Paolo Perego (thesp0nge) e Antonio Parata e adesso la volta di Alberto Revelli.

IsacaRoma: Ciao Alberto e grazie per la collaborazione. Vuoi presentarti rapidamente ai nostri lettori? Che tipi di studi ed esperienze professionali hai fatto?

Alberto Revelli: Ciao a tutti. Ho studiato Ingegneria Informatica al Politecnico di Milano. Una volta laureato, ho lavorato per Intesis (divisione Security Lab) e McKinsey, per poi passare in Spike, una delle aziende del gruppo Reply, dove ora mi occupo principalmente di Ethical Hacking. Dal 2005 collaboro con il chapter italiano di OWASP.

IR: Ti sei laureato in Ingegneria informatica con una tesi sperimentale sulla sicurezza; hai poi lavorato in alcune grosse aziende. Come è stato il passaggio dall'ambiente accademico a quello aziendale? Secondo te in Italia c'è  spazio per la ricerca in ambito security anche nelle aziende? E nelle strutture accademiche?

AR: Il passaggio è stato brusco ma divertente: all'Università mi ero occupato di sicurezza in via piuttosto teorica, senza confrontarmi con realtà complesse al di fuori del laboratorio del Dipartimento. Approdare in una società di consulenza e trovarmi a dover risolvere da subito problemi di grosse società (soprattutto in campo finanziario e di telecomunicazioni) è stata una sfida molto appagante.
Per quanto riguarda la ricerca, gli spazi secondo me ci sono, sia in ambito accademico che privato. In ambito privato dipende però dalla società in cui uno si trova a lavorare e spesso anche dalla capacità del singolo di riuscire ad unire il proprio campo di ricerca con quelli che sono gli obiettivi e gli interessi aziendali.
Non bisogna comunque dimenticare la community, in cui c'è sempre molta attività, pur al di fuori degli spazi più "convenzionali".

IR: Parliamo di penetration test e vulnerability assessment. Spesso si  ha l'impressione che tali attività si traducano nel semplice utilizzo di strumenti automatizzati. Che problemi vedi a riguardo? Qual è la tua visione? Pensi che standard quali Open Source Security Testing Metology siano utili?

AR: Il mercato italiano è ancora agli inizi, se lo confrontiamo con realtà quali gli Stati Uniti o la Gran Bretagna. Un effetto è una certa confusione, da parte dei clienti, sull'esatto significato di termini quali Vulnerability Assessment, Penetration Test ed Ethical Hacking, sulle differenze che li contraddistinguono, e soprattutto sul valore di avere persone con elevati skill che sappiano andare oltre il lanciare un paio di scan automatici.
Standard come l'OSSTMM sono in questo senso molto utili per definire una metodologia comune e condivisa, con una terminologia chiara, e per far sì che chi richiede questo tipo di attività possa verificare che dall'altra parte ci sia qualcuno che sappia fornire un elevato livello qualitativo. Anche OWASP, pur con il suo focus sulla sicurezza web, ha tra i suoi obiettivi il creare uno standard che faccia chiarezza su questi temi.

IR: Passiamo ad OWASP. In che consiste il tuo ruolo di Technical Director?

AR: Diciamo che il mio ruolo è di seguire un po' tutte le attività di OWASP Italy più squisitamente tecniche, cercando ove possibile di dare il mio contributo. Tieni conto comunque che OWASP è una struttura molto piatta e per nulla gerarchizzata, per cui il termine "Director" non va preso proprio alla lettera :)

IR: Parlaci di sqlninja. Come nasce il progetto? Perché la scelta di sourceforge? Che risultati stai ottenendo? Qual è lo stato di maturità del progetto?

AR: sqlninja (un tool per l'exploiting di SQL Injection su Microsoft SQL Server) è nato abbastanza per caso durante un Ethical Hacking su una applicazione bancaria. Questa applicazione era vulnerabile ma alcuni elementi rendevano complicato l'exploiting. Io scrissi un piccolo script in "perl" che risolveva questi problemi e consentiva un accesso interattivo al Database Server. Con il tempo (e con Ethical Hacking successivi) questo script è cresciuto parecchio: ho pensato che, rilasciato con una licenza open source, sarebbe tornato utile ad altri penetration tester e l'ho quindi pubblicato su sourceforge. Con una mia certa sorpresa, ho avuto buoni feedback, e ora il tool sta incorporando nuove feature. Ho recentemente presentato alcune sue funzionalità a E-Academy e una nuova release è prevista in capo a qualche settimana. Io preferisco considerarlo un "giocattolo" e non un vero e proprio "progetto", ma i risultati finora sono incoraggianti.

IR: in che consiste la tua collaborazione al progetto "Testing Guide" di Matteo Meucci?

AR: Il progetto "Testing Guide" è decisamente ambizioso, visto che punta a diventare lo "standard de facto" per le metodologie di ethical hacking applicativo. È quindi un progetto molto complesso, sia per le competenze richieste sia per lo sforzo di coordinamento di tutte le persone coinvolte. In questo senso, cerco di aiutare Matteo sia con la scrittura di contenuti, sia con un supporto a livello di processo. Come OWASP Italia stiamo cercando di essere tra gli "attori" principali, e il numero di persone che siamo riusciti a tirare a bordo lo dimostra.
Oltre a me e Matteo, stanno collaborando Antonio Parata, Stefano Di Paola, Giorgio Fedon, Carlo Pelliccioni... e sicuramente sto dimenticando qualche nome.

IR: infine uno sguardo al futuro. Come pensi che evolverà la "sicurezza" nel nostro paese ed a livello globale? Che trend immagini? Che sfide ed opportunità?

AR: Difficile sintetizzare una tematica così vasta in una risposta ma di certo quello della sicurezza è un campo che continuerà ad espandersi nel futuro, e probabilmente ad una velocità superiore a quella attuale, sia in Italia che all'estero.
Innanzitutto nel mondo aziendale, che sta investendo pesantemente in nuovi strumenti come RFID, VoIP, Web Services, mobile communications.
Tutte queste tecnologie sono viste sia come strumenti da usare internamente sia come servizi da offrire ai clienti e tutte hanno forti implicazioni da un punto di vista della sicurezza. Le aziende ne sono consapevoli (alcune più di altre) e mi aspetto che investiranno sempre di più sulla loro sicurezza, sia per proteggere le proprie informazioni sia per evitare danni di immagine.
In secondo luogo, continuerà ad essere molto elevato l'investimento dei nostri governi nel campo anti-terrorismo (informatico e non), anche se qui andiamo in un campo molto complesso, in cui la ricerca è relativamente giovane e in cui è complicato andare a misurare la gravità di certe minacce e l'efficacia delle relative soluzioni.
Infine, anche da parte dell'utente comune vedo un crescente interesse per l'argomento, soprattutto per quello che riguarda tematiche controverse come DRM, trusted computing e privacy. E questa sempre maggiore consapevolezza è percepibile anche da parte degli utenti non tecnici. Credo sia un bene, soprattutto in un mondo che diventa, da un punto di vista di protezione dell'informazione, sempre più complesso.

IR: Grazie Alberto e buon lavoro

AR: Grazie a voi di IsacaRoma !

IsacaRoma Newsletter link

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.
Altri articoli pubblicati per IsacaRoma Newsletter