Non ce la faccio più! Questo è stato l'ennesimo convegno di sicurezza "fuffologico". Ma possibile che ultimamente tutti i convegni siano così scadenti? Almeno una volta ti volevano vendere il solito scatolotto, adesso nemmeno più quello! Qualità degli oratori scadente, qualità del contenuto degli interventi scadente, organizzazione scadente, etc.
L'ultima che ho sentito è la "Teoria del Cigno Nero". Metafora dell'evento raro impredicibile e catastrofico. Che per sua natura non è prevedibile. Roba da Wikipedia, copia-incolla e lavoro per i Debunker (vero Paolo?). Capisco che abbia il suo fascino e colpisca la platea (ma solo un certo tipo eh...), ma suvvia questi colpi da teatro dell'orrore lasciamoli ad altri contesti no?
E che dire della solita statistica con il numero di malware per paese? A che serve? A spaventare e quindi a vendere servizi? Alla fine anche quelli digiuni di sicurezza, dopo 5 anni, le hanno capite queste cose o no? Ah giusto, se parlassero con i loro tecnici invece che pascolare in giro per rinfreschi (ed essere stipendiati per farlo) forse saprebbero qualche cosa di più.
Poi cominci a guardare la platea di uditori e chi ti trovi? Generali, AD, "capoccioni" vari che manco sanno accendere un PC, figuriamoci capire cosa sia un DDoS, o chi siano gli "Anonymous", o peggio capire che c'è una differenza tra hacker e cracker. Forse lo capirebbero con un esempio banale?
- "se il tuo bambino comincia a smontare e rimontare le cose, è un hacker!"
- "se il tuo bambino comincia a smontare le mattonelle del bagno per nascondere la cocaina, allora è un cracker".
Ci vuole molto?
Insomma non se ne può più. La scelta è quindi oramai tra convegni organizzati dalle Università e in generale da enti di ricerca (ma spesso le conferenze sono a pagamento) e convegni nell'ambito dell'hacking (e qui già va meglio, ma gli hacker si sa per loro natura sono schivi). I primi godono certamente di alcuni approfondimenti derivati dalla ricerca. Dateci una rete Bayesiana ogni tanto, un grafo, una sommatoria vi prego!!! Ovviamente alcune parti potranno essere un po' troppo accademiche per alcuni, ma almeno saranno interessanti!
I secondi invece sono da sempre interventi molto "smanettosi" in cui si fanno vedere "cose" (oddio mi viene in mente però l'ennesimo speech sulla SQL injection), ma poi saranno compresi da un uditorio di burocrati interessati solo al break mangereccio?
Per concludere: per cortesia, tutti gli pseudo-esperti di sicurezza (e se hai una responsabilità in tal senso sei pregato di studiare prima) se ne restino a casa o almeno non tengano speech pretendendo di vendere al mondo la solita aria-fritta!
Alla fin fine "security means hacking"!
words of wisdom. se ne hanno le pa..delle piene.
RispondiEliminaad ogni modo, le compromissioni piu' "vip" degli ultimi tempi sono state portate sfruttando vettori decisamente vecchi. evidentemente i talk su xss servono ancora, cosi' come quelli su sqli :(
RispondiEliminasì certo però nemmeno fare talk su cose banali.
RispondiEliminaDi attacchi di tipo SQL Injection ce ne sono diversi. Che ne so, far vedere qualche tecnica di SQL Inj su Oracle con esecuzione di exploit e server VNC inoculato; sarebbe già più utile.
Oppure illustrare le diverse tipologie di XSS e far vedere come e quanto possa essere pericoloso, e le contromisure da applicare.
E invece no, solita introduzione fuffologica e solito esempio scemo di come fare a rubare le password tramite una SQL, oppure il message box JS per il XSS.
Parlarne serve sempre, ma dopo un po' se non fai vedere cose interessanti, si potrebbe anche pensare che l'attacco sia solo quello (banale).