Security ed information gathering – intervista a Carlo Pelliccioni di OWASP

Ottobre 2006 | Owasp | Security
061024-owasp-pelliccioni Continuiamo la serie di interviste ad esponenti di OWASP. È la volta di Carlo Pelliccioni.

IsacaRoma (IR): Ciao Carlo e grazie di essere con noi. Ti vuoi presentare rapidamente per i nostri lettori?

Carlo Pelliccioni (CP): Un saluto a tutti. Mi interesso di security da diversi anni, prima come semplice appassionato e attualmente soprattutto per ragioni lavorative. Ho ricoperto per 4 anni il ruolo di Security Engineer presso Business-e (ITWay group) occupandomi principalmente di analisi post-incidente mentre attualmente lavoro per Innovia Security come Security Specialist presso un’importante Telco.

IR: anche tu ti sei spostato dalla sicurezza perimetrale (Firewall etc.) a quella applicativa. Perché? È la nuova frontiera?

CP: Nella mia scelta non ci sono motivazioni legate alla crescita d’interesse da parte del mercato security in ambito applicativo o un’antipatia particolare verso la sicurezza perimetrale: trovo semplicemente che fare security in ambito applicativo sia più...divertente! Naturalmente ci tengo a precisare che la mia è un’osservazione assolutamente soggettiva; ritengo ovviamente che la security in ambito perimetrale e applicativo debbano essere considerate entrambe poiché giocano un ruolo fondamentale nel mantenimento del livello di sicurezza delle infrastrutture tecnologiche.

IR: Sei interessato al progetto WebGoat di OWASP. Di che si tratta?

CP: WebGoat è un applicativo web sviluppato volutamente con errori di sicurezza per essere utilizzato come strumento didattico per chi si avvicina per la prima volta al mondo della web security ma anche per chi ha già delle competenze e vuole approfondire alcune tipologie di errori di programmazione con le relative modalità di exploiting. A partire dal nuovo anno avremo una versione decisamente stabile grazie all’iniziativa AoC (Autumn of Code) finanziata da OWASP stessa che attualmente sta spingendo fortemente anche per lo sviluppo definitivo della nuova versione della OWASP Testing Guide.

IR: Parliamo di information gathering. Cosa si intende con questo termine? Perché è importante affrontare anche questi aspetti della sicurezza?

CP: Quando si parla d’information gathering ci si riferisce alla fase di raccolta di informazioni necessaria per lo svolgimento di un penetration test o di una qualsiasi altra analisi di sicurezza; si tratta di una parte integrante e fondamentale di queste tipologie di attività.
L’information gathering ha sempre suscitato in me un particolare interesse soprattutto per le modalità di reperimento della informazioni stesse e per questo motivo mi sono proposto di trattare questo argomento nella OWASP Testing Guide che sarà completata per la fine di quest’anno.

IR: Qualcuno ha detto che per chi si occupa di Information Security è normale essere "sanamente" paranoici. Che ne pensi? Qual è il livello giusto di paranoia?

CP: Penso che la parola "paranoico" debba essere utilizzata (almeno nell’ambito della IT Security) nella veste più positiva del termine perché in questo ambito è sinonimo di meticolosità nello svolgere il proprio lavoro di conseguenza non è altro che un indice di elevata professionalità ed accuratezza. Se cambiare periodicamente le proprie password e adottare dei criteri di complessità elevati su queste vuol dire essere paranoici allora posso affermare di sentirmi assolutamente “paranoico”. Una corretta dose di "paranoia" è puramente soggettiva anche se personalmente ritengo che il giusto livello si trovi  nel mezzo e cioè deve essere ponderato in base alle circostanze e al proprio modo di operare.

IR: A che lavori in questo periodo? Che stai studiando? Che leggi?

CP: In questo periodo oltre ai miei impegni lavorativi abituali mi sto dedicando insieme ai volontari di OWASP, alla stesura della OWASP Testing Guide e più precisamente alla parte relativa all’error handling finalizzata alla raccolta d’informazioni. Questo tipo di analisi è basata principalmente sulle risposte delle web application e dei web server in seguito a richieste appositamente forgiate al fine di ricavare informazioni relative alle diverse tecnologie target dell’attività di test.

IR: Come pensi che si evolverà il mercato della sicurezza? Dove saranno le opportunità professionali più importanti? Cosa bisogna fare per essere pronti a coglierle?

CP: Ritengo che prossimamente noteremo una maggiore richiesta di professionisti in ambito IT Security non più focalizzati esclusivamente sul lato implementativo bensì con caratteristiche tecniche più vicine a quelle di un security tester. Inutile dire che per cogliere al volo queste opportunità occorre rimboccarsi le maniche e procedere con un continuo aggiornamento professionale che vada di pari passo con l’avvento di nuove tecnologie e di nuove problematiche di sicurezza.

IR: Certificazioni professionali. Sei OSSTMM OPST (OSSTMM Professional Security Tester), REDHAT RHCE (RedHat Certified Engineer), CITRIX CCA (Citrix Certified Administrator). Pensi che siano stati buoni investimenti? Ti stai preparando a nuove certificazioni?

CP: Penso che OSSTMM OPST e RedHat RHCE siano due ottime certificazioni (anche se per tipologie di lavoro diverse l’una dall’altra) che mi sentirei assolutamente di consigliare sia per le opportunità lavorative che esse offrono che per il loro alto livello di contenuti e d’insegnamento. Attualmente vorrei completare la preparazione per conseguire la CISSP perché ritengo sia una certificazione estremamente completa che consente di avere un’ampia visuale sul mondo della security in generale.

IR: Grazie Carlo e buon lavoro

CP: Grazie a voi.

IsacaRoma link

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.
Altri articoli pubblicati per IsacaRoma Newsletter