Alfonso Maruccia

Google insegna: exploit e sicurezza

Mountain View mette online un sito pieno di bug. Con l'obiettivo di formare gli sviluppatori. E porre il problema del buon codice sicuro come una prioritÓ, senza che nessuno si faccia male

Roma - L'ultima iniziativa di Google si chiama Jarlsberg ed è un laboratorio remoto in cui gli sviluppatori possono imparare come "battere gli hacker al loro stesso gioco". Dietro un brand impronunciabile si nasconde un'applicazione remota ospitata sui server di Mountain View, riempita di bug e possibili exploit che gli aspiranti anti-hacker avranno il compito di riconoscere e sfruttare per superare le maglie del sistema e, di conseguenza, acquisire le competenze necessarie a sviluppare appliance sicure.

Jarlsberg è un tutorial gratuito formalmente noto come Web Application Exploits and Defenses, scritto in Python e disponibile sia in forma di black-box (codice chiuso da analizzare e abusare dall'esterno) che white-box (codice sorgente a disposizione del potenziale attaccante).

Le varie classi di vulnerabilità da scovare comprendono bug di tipo cross-site scripting (XSS), cross-site request forgery (CSRF) e path traversal. Il tutorial di (in)sicurezza approntato da Google è pensato per insegnare non solo a identificare particolari vulnerabilità, ma anche a sfruttarle per condurre attacchi specifici.
Jarlsberg è pensato in funzione di un approccio eminentemente white-hat, e il disclaimer del servizio dice chiaramente che è vietato qualsiasi tentativo di attaccare direttamente l'infrastruttura di App Engine o qualsiasi altro servizio di Google. Garantendo un'autorizzazione specifica ad attaccare Jarlsberg, Mountain View ribadisce che gli sviluppatori dovranno usare quello che avranno imparato dal codelab per rendere la propria applicazione web più sicura, non per attaccare altre applicazioni senza autorizzazione.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGmail a rischio hijackingUn noto bug hunter diffonde alcune anticipazioni su un metodo per rubare la posta agli account della webmail di Google. Per mettersi nei guai basta un clic sul sito sbagliato
  • SicurezzaGoogle Chrome e IE, attenti a quei dueGoogle ha rilasciato una nuova versione del proprio browser: sistema una grave vulnerabilitÓ sfruttabile via Internet Explorer
  • AttualitàBigG prova a salvare BuzzTutti parlano del nuovo servizio di social networking di Mountain View, anche se quasi sempre in negativo. Le associazioni pro-privacy promuovono inchieste, gli esperti di sicurezza scovano bug. Google? Chiede scusa e va avanti
8 Commenti alla Notizia Google insegna: exploit e sicurezza
Ordina
  • Il sito è molto interessante anche se alcune cose sono un po banaliA bocca aperta.
    Comunque vi garantisco che basta andare su molti siti istituzionali di aziende italiane e li si che ti diverti.

    La cosa ancora più bella e che quando li avvisi neanche vanno a verificare il problema ......
    non+autenticato
  • - Scritto da: ErPablito

    > Comunque vi garantisco che basta andare su molti
    > siti istituzionali di aziende italiane e li si
    > che ti
    > diverti.
    >
    > La cosa ancora più bella e che quando li avvisi
    > neanche vanno a verificare il problema
    > ...
    Perché stupirsi? Nelle aziende italiane spesso il sito è un "di più" che i manager sanno di dover avere ma che non considerano critico.
    La gestione è spesso affidata all'esterno, oppure a qualche dipendente che sa come aggiornare i contenuti, ma non ha alcuna preparazione sistemistica.
    Se la segnalazione raggiunge qualcuno che ne capisce il senso (e non è detto) può finire alla società esterna che non di rado se ne guarderà bene dal dare visibilità alla violazione (potrebbe dover pagare penali) e a volte non vorrà nemmeno spendere giorni di lavoro a correggere a proprie spese un difetto nel sw di cui il cliente non saprà mai nulla.

    Questo è l'effetto collaterale di aver considerato l'Information Technology una infrastruttura qualsiasi, di cui abbattere soprattutto i costi. Contenti loro...
    non+autenticato
  • - Scritto da: OldDog

    > Se la segnalazione raggiunge qualcuno che ne
    > capisce il senso (e non è detto) può finire alla
    > società esterna che non di rado se ne guarderà
    > bene dal dare visibilità alla violazione
    > (potrebbe dover pagare penali) e a volte non
    > vorrà nemmeno spendere giorni di lavoro a
    > correggere a proprie spese un difetto nel sw di
    > cui il cliente non saprà mai
    > nulla.
    >

    Questa e' la conseguenza di avere voluto esternalizzare l'IT.
    L'errore, il malfunzionamento, la problematica, non sono piu' qualcosa da correggere, o da prevenire, ma semplicemente giustificativi per delle penali.

    Chi ha in gestione l'IT dira' sempre che funziona tutto, che quello che si e' verificato non e' un errore ma e' una feature.
    Il cliente invece, non avendo alcuna competenza, non sara' in grado di giudicare l'operato e dovra' subire tutto, legandosi mani e piedi al proprio fornitore di consulenza IT.

    Chi ne fa le spese, sono gli utenti del servizio, generalmente gli interni dell'azienda, talvolta i clienti esterni (e in tal caso a volte un occhio di riguardo c'e' perche' un malfunzionamento evidente all'esterno equivale a cattiva pubblicita').

    Inoltre non dimentichiamoci che vale sempre il sacrosanto principio che "se ti chideono, non e' compito tuo; se fai qualcosa di tua iniziativa, sara' solo colpa tua!"
  • Ormai lo bucano ogni 10 minuti... più tutorial di quello.
    non+autenticato
  • Ormai lo bucano ogni 10 minuti... più tutorial di quello.
    non+autenticato
  • ╚ come vedere Portal... ti istruiscono su come scappare per poi effettivamente scappare... e alla fine *the cake is a lie* (per non rovinare il finale a chi non ci ha giocato).
    Wolf01
    3342
  • - Scritto da: Wolf01
    > *the cake is a lie*

    Rotola dal ridere
    non+autenticato
  • Ormai lo bucano ogni 10 minuti... più tutorial di quello.
    non+autenticato