IsacaRoma: Buongiorno Mr. Shreeraj. Può presentarsi per i nostri lettori e presentare anche "Net Square [2]" la società da lei fondata?
Shreeraj Shah: Sono il fondatore e direttore di Net Square dove mi occupo sia degli aspetti relativi alla consulenza sia della formazione e ricerca e sviluppo.
IR: Lei è un esperto di "application security"; perché è così importante occuparsi anche di questo aspetto? È davvero necessario? Cosa non va nell’approccio basato sulla sicurezza perimetrale?
SS: L’Application security è un tema emergente perché cerca di porre rimedio ad uno dei punti più deboli delle nostre infrastrutture. Infatti le applicazioni che utilizzano le porte 80/443 possono essere sempre attaccate ed è quindi imperativo preoccuparsi della loro difesa dai possibili vettori d’attacco. La difesa perimetrale non tiene conto delle variabili interne delle web application mentre sono proprio queste variabili a permettere l’accesso ai database degli impiegati, dei prodotti, delle carte di credito, eccetera. L’application level filtering è la nuova necessità dei nostri tempi.
IR: Le applicazioni web 2.0 sono la nuova frontiera... Crede che serva un approccio alla sicurezza specifico per il web 2.0 [3]?
SS: Web 2.0 comporta un nuovo modo di pensare ma non ha specifiche debolezze innate. Voglio dire che buoni controlli di sicurezza insieme con l’utilizzo di good practice per il coding rappresentano anche oggi il miglior approccio.
IR: Ha qualche consiglio, anche per le persone non specializzate, per migliorare la consapevolezza sulla sicurezza?
SS: Leggere buoni libri ed effettuare training aziendale con buoni istruttori che abbiano esperienza reale sull’assessment delle web application.
IR: Cosa ci dice della sua vita private? Hobby? Letture? Cinema? Conosce l’Italia? Roma?
SS: Amo leggere, ascoltare musica ed assistere a partite di cricket. La mia passione, nel tempo libero, è la ricerca e sviluppo. Non conosco bene l’Italia; ho visitato l’Europa ma non il vostro paese.
IR: Grazie Mr. Shreeraj.
SS: Grazie a voi.
Who is Shreeraj Shah?
Shreeraj Shah, fondatore e direttore Net Square, ha scritto "Hacking Web Services" (Thomson) e (con altri) "Web Hacking: Attacks and Defense" (Addison-Wesley). Ha pubblicato numerosi advisory, tool, whitepaper ed è stato relatore in varie conferenze specializzate sulla sicurezza quali RSA, AusCERT, InfosecWorld (Misti), HackInTheBox, Blackhat, OSCON, Bellua, Syscan.Bio Details [4]
Contatti: blog [5].
IsacaRoma Newsletter links (English)
- ENISA: Interview with Dr Louis Marinos, Senior Expert on Risk Management [6]
- Interview with Lily Bi on GTAG project [7]
- The future of COBIT [8]
- Interview with Ross Anderson [9]
- Bruce Schneier: Questions & Answers [10]
- A conversation with Simon Singh [11]
IsacaRoma Newsletter link (italiano)
- Shreeraj Shah – Come individuare le vulnerabilità nelle applicazioni web [12]
- OWASP:
la sicurezza di AJAX, a colloquio con Stefano Di Paola e Giorgio Fedon [13]
- AJAX:
hacking con Firefox [14]
- La top 10 dei possibili attacchi al web 2.0 [15]
- Intervista Alberto Revelli Technical Director di OWASP Italy ed autore di sqlninja [16]
- Codice sicuro: intervista a Paolo Perego, thesp0nge, ideatore di OWASP Orizon [17]
- Application security: intervista ad Antonio Parata di OWASP [18]
- OWASP: i vincitori dell'Autumn of Code 2006 [19]
- Intervista a Matteo Meucci di Owasp Italia [20]
- SMAU: OWASP, applicativi web vulnerabili [21]
- Matteo Meucci: Web Application Security e il progetto OWASP (pdf [22] zip, 2 M)