Nell'articolo dedicato al test di applicazioni Web pubblicato alcuni giorni fa nella sezione Sicurezza di HTML.it, oltre che in diversi post di questo blog, abbiamo accennato all'Owasp ed in particolare al progetto Testing Guide. Luca Carettoni, l'autore dell'articolo e nostro collaboratore, ha avuto modo di fare quattro chiacchiere con Matteo Meucci, responsabile della sezione italiana dell'Owasp. Le parole che seguono e l'intervista sono di Luca.
OWASP (Open Web Application Security Project) è un progetto OpenSource con lo scopo di promuovere la coscienza e la cultura della sicurezza informatica negli applicativi web. In questi obiettivi si colloca perfettamente la definizione di linee guida per lo sviluppo, l'analisi ed il testing di applicazioni online "sicure".
Dal 18 settembre l'organizzazione ha lanciato il nuovo progetto denominato Testing Guide v2 con lo scopo di creare delle "best practices" da usare durante lo svolgimento di test di sicurezza; una sorta di guida di riferimento per chi intende effettuare analisi di sicurezza a livello applicativo (Web Application Penetration Testing).
Dopo una prima fase di selezione, a capo del progetto c'è Matteo Meucci, OWASP-Italy Chair. Approfittando della sua disponibilità , cerchiamo di capire meglio gli obiettivi della Testing Guide ed i vantaggi che possono derivare dalla metodologia realizzata. L'intervista nel resto del post.
HTML.it: Ciao Matteo e complimenti per il tuo ruolo in OWASP. Ci puoi spiegare perché c'è bisogno di una metodologia standard durante il testing?
Matteo Meucci: Grazie per avermi dato l'opportunità di parlare del nostro progetto. In generale, una metodologia di test si distingue dalle altre per il modo in cui vengono eseguiti i test e per l'insieme dei test eseguiti. Utilizzare una metodologia riconosciuta a livello internazionale è fondamentale per la buona riuscita del test per due motivi principali: da un lato vi è la necessità di chi esegue il test applicativo di seguire una metodologia riconosciuta dalla comunità e che garantisca che si "testi tutto" con un certo rigore e dall'altra l'esigenza da parte di chi commissiona la verifica di essere certo che il test andrà a verificare l'insieme delle possibili vulnerabilità a cui potrebbe essere soggetto il servizio. Vorrei porre l'attenzione sul concetto di "testare tutto": la web application security può essere vista come un campo di ricerca a tutti gli effetti in quanto assistiamo di continuo a nuove tecniche di attacco e di difesa. Questo significa che il lavoro che realizzeremo è un documento "vivo" che ha bisogno di un continuo aggiornamento, così come un'applicazione necessita di una verifica temporale ciclica. La nostra idea è quella di realizzare una guida di riferimento per il Web Application Penetration Testing continuamente aggiornata: il nostro obiettivo è che questa metodologia di testing diventi lo standard de facto.
HTML.it: ... i vantaggi quindi sono per tutti: sviluppatori, tester ma anche utenti che utilizzeranno applicazioni più sicure. Considerando l'importanza di Owasp è probabile che questa guida diventi uno standard de facto nel campo della sicurezza. Anche in questo caso quindi una metodologia open sembra la soluzione, che ne pensi?
Matteo Meucci: Si, i vantaggi saranno anche per gli utenti finali: attualmente la percezione che un utente può avere relativamente alla sicurezza del proprio servizio di home-banking è nulla. Un utente al giorno d'oggi non può discriminare tra un applicativo realizzato in sicurezza ed uno sviluppato senza. Il fattore discriminante è il fatto che il sito possegga o meno un certificato digitale e che la connessione instaurata sia via SSL, ma chiaramente questo è ottimo solo per garantire l'autenticazione del server e per rendere riservate le comunicazioni, ma non significa che l'applicativo sia sicuro! Se confrontiamo questi concetti con la percezione di sicurezza fisica che un utente ha di un automobile (nessuno oggi comprerebbe un'auto senza Airbag, cinture di protezione, ESP...), ci rendiamo conto quanto il mercato del software sia indietro rispetto a quelle delle auto per quanto riguarda la sicurezza.
Sono assolutamente d'accordo con il tuo pensiero per quanto riguarda il fatto di rilasciare una metodologia open. L'approccio OWASP è open e collaborativo: questo significa che qualunque professionista in possesso di esperienze significative può collaborare ed esprimere il proprio pensiero. OWASP è riconosciuto come standard sulla Web Application Security nel mondo proprio perché raccoglie migliaia di professionisti e le nostre soluzioni sono il frutto di un'idea condivisa tra tutti. Inoltre il fatto che gli strumenti e la documentazione sia free permette una ampia fruizione dei nostri contenuti.
HTML.it: A corredo della metodologia, OWASP è molto attenta nel fornire strumenti software per aiutare le persone durante la fase di testing. Quali sono i tool che ti senti di consigliare?
Matteo Meucci: Beh... consiglierei WebScarab, Pantera e CAL9000 ottimi strumenti per svolgere attività di analisi, sia passiva che attiva di un applicativo web. Il primo è un web application proxy e permette di analizzare e manipolare tutte le informazioni in transito tra il browser ed il server HTTP. Pantera è un'evoluzione del progetto SpikeProxy e combina capacità automatizzate con quelle completamente manuali per arrivare ad un miglior risultato del test applicativo. CAL9000 è stato pensato come un'estensione di Firefox e raccoglie un insieme di possibili test da effettuare in maniera automatica come ad esempio l'elenco completo di attacchi di Cross-site-Scripting mantenuto aggiornato da RSnake. Anche questi progetti sono stati sponsorizzati da OWASP in modo da avere un prodotto finito e professionale entro fine anno.
/https://www.html.it/app/uploads/2023/12/Android.jpg)
/https://www.html.it/app/uploads/2024/01/e-mail.png)
/https://www.html.it/app/uploads/2024/01/Microsoft-4.jpg)
/https://www.html.it/app/uploads/2024/01/PC.jpg)