13/05/2021

OWASP Italy Day 2021

Il 28 aprile scorso si è svolto in modalità virtuale l’evento “OWASP Italy Day 2021” al quale abbiamo partecipato come auditori.

OWASP (Open Web Application Security Project) è un progetto open-source che ha l'obiettivo di realizzare le linee guida, gli strumenti e le metodologie per migliorare la sicurezza delle applicazioni.

Lo scopo principale dell’evento è stato quello di stimolare l’interesse nella sicurezza delle applicazioni web e nello sviluppo di software sicuri.

Dopo un’iniziale presentazione di OWASP condotta dai due chair Matteo Meucci (IMQ Minded Security) e Stefano Calzavara (Università Ca’ Foscari di Venezia) e dei maggior progetti posti in essere tra i quali OWASP Top10 e OWASP SAMM (Software Assurance Maturity Model – Modello di Maturità della Garanzia del Software).

Di seguito i relatori e i rispettivi interventi:

• Simone Curzi (Microsoft) - “Threat Modeling with Threats Manager Studio Step by Step” (Modellazione delle minacce con Threat Modeling tool).
  Come illustrato dal relatore “la piattaforma Threats Manager è una soluzione di modellazione delle minacce progettata per essere ripetibile, estendibile e flessibile. È stato progettato e implementato da un gruppo di esperti [...], per soddisfare le esigenze del loro lavoro quotidiano, ed è stato evoluto nel tempo per coprire scenari aggiuntivi.”
• Andrea Valenza (IMQ Minded Security) - “Never Trust Your Victim: Weaponizing Vulnerabilities in Security Scanners” (Non fidarti delle tue vittime: vulnerabilità usate come armi nelle scansioni di sicurezza).
  Il suo intervento è stato incentrato su una voce in particolare della Top10 di Owasp: l'XSS applicato però negli strumenti di scansione di sicurezza. L'XSS - Cross Site Scripting - è una vulnerabilità che permette ad un tracciatore malevolo di compiere, lato client, un insieme di attacchi che possono anche andare a colpire direttamente i dati presenti su un server.
  Un esempio del problema è il seguente: viene scoperta una vulnerabilità nello scanner che effettua le verifiche di sicurezza. Quando viene attuata una scansione ad un host remoto, è possibile che quest’ultimo contrattacchi con un attacco XSS andando a colpire la volubilità dello scanner. In questo modo, sfruttando eventuali ulteriori vulnerabilità, chi attacca potrebbe arrivare ad eseguire comandi direttamente dalla macchina come super utente.
• Seyed Ali Mirheidari (Università di Trento) - “Cached and Confused: Web Cache Deception in the Wild” (Confusi e nella cache: gli inganni della Cache Web).
  Il relatore ha illustrato il lavoro svolto dal suo gruppo di ricerca sul WCD (Web Cache Deception). Si tratta di un progetto iniziato nel 2017 il cui scenario prevede che l’utente malintenzionato introduca nella cache delle informazioni private trasmesse su Internet per ottenere un accesso non autorizzato ai dati memorizzati nella cache stessa.
• Andrea Bisegna (FBK - Fondazione Bruno Kessler e Università di Genova) - “Integrating a Pentesting Tool for IdM Protocols in a Continuous Delivery Pipeline”. (Integrare uno strumento di Pentesting per i protocolli IdM - Identity Management - in una Pipeline di consegna continua).
  L’intervento ha avuto come focus principale un altro tema fondamentale per la sicurezza delle web app: il pentesting con riferimento ai protocolli di gestione degli accessi.
  Pentesting deriva dall’unione di due parole inglesi: Penetration e Testing. Si tratta, infatti, di una delle tecniche da adottare per testare la sicurezza delle applicazioni web.
  Lo strumento presentato è Micro-Id-Gym. Si tratta di un ambiente di sviluppo dove gli utenti possono vedere come effettivamente potrebbero funzionare le soluzioni IdM e individuare le possibili falle di sicurezza nei sistemi implementati.
• Marco Squarcina (TU Wien – Università di Vienna) - “Breaking the (Web Security) Boundaries: Related-Domain Attackers in the Modern Web” (Rompere i confini della sicurezza web: gli aggressori dei domini del Web moderno).
  Il relatore ha illustrato uno dei progetti svolti con un gruppo di ricerca di docenti e ricercatori universitari dell’Università di Vienna e dell’Università Ca’ Foscari di Venezia.
  Il focus principale del lavoro svolto è stato posto nel controllo della sicurezza dei sottodomini vulnerabili.
  Nelle conclusioni ha poi rilasciato alcuni tips:
  • procedere alla rimozione dei record DNS associati a sottodomini vulnerabili;
  • procedere con una verifica attenta di tutti  i record DNS per assicurarsi che i sottodomini: non abbiano record DNS CNAME che puntano a domini scaduti; non puntino a servizi di terze parti non utilizzati; che i record wildcard DNS (sono record che rispondono alle richieste di qualsiasi sottodominio non ancora definito) non puntino a servizi di terze parti.
    

La sicurezza informatica è un tema molto importante che, a causa della crescente diffusione degli attacchi esterni, sta diventando cruciale per le aziende di qualsiasi settore e dimensione.

Oggi nessuna azienda e nessun individuo è completamente al sicuro.

Salvaguardare la riservatezza, l'integrità e la disponibilità di dati e informazioni è però possibile:

• adottando le linee guida fornite dalla OWASP Foundation;
• utilizzando tool di penetration testing, come ZAP di OWASP, sia in fase di sviluppo che al termine del progetto e durante tutto il ciclo di vita del software;
• conoscendo le potenziali minacce e rimanendo costantemente aggiornati sull'andamento degli attacchi informatici.

È facile intuire quindi che la sicurezza non è garantita solo da uno o pochi elementi. I fattori che entrano in gioco per garantire i più elevati standard di sicurezza sono molti e l'esperienza pregressa ricopre un ruolo fondamentale.

La sicurezza dei nostri software è sempre al primo posto, per questo siamo in costante aggiornamento!

Condivideremo con voi tutte le slide dell'evento appena saranno disponibili.

Pensi che i tuoi software aziendali, gli applicativi o il tuo sito web siano sicuri?