Cappello nero C'è un marciume nel cuore dello sviluppo software moderno che sta distruggendo l'innovazione, e la leggenda della sicurezza informatica Moxy Marlinspike pensa di sapere esattamente cosa ne è responsabile: lo sviluppo agile.

Marlinspike ha aperto il secondo giorno della conferenza Black Hat con quella che doveva essere una conversazione amichevole con il fondatore di Black Hat Jeff Moss, ma il fondatore di Signal ha rubato la scena con un discorso di apertura in cui ha sostenuto la necessità di ripristinare la “magia” di sviluppo del software che era andato perduto dopo 20 anni. Ha affermato che questa perdita era dovuta al fatto che gli sviluppatori erano inscatolati in “strati di astrazione a scatola nera” che li privavano della libertà necessaria per creare.

“Chiunque gestisca un’organizzazione ingegneristica avrà una sorta di filosofia di gestione che è in qualche modo a valle, derivata da, nell’ambito o in qualche modo correlata all’agile”, ha affermato Marlinspike.

Invece di consentire agli sviluppatori di lavorare dal basso verso l’alto in modo da consentire loro di combinare competenze ingegneristiche con la visione di vedere nuove funzionalità nella tecnologia esistente, i team agili finiscono per lavorare in silos, lavorando separatamente gli uni dagli altri e senza molta visibilità cosa stanno facendo le altre squadre, ha affermato.

Il fondatore e CEO di Thesetle Technologies, Window Snyder, ha successivamente aggiunto, durante una sessione di riepilogo di Black Hat Locknote, che questi team di scatola nera non hanno nemmeno una visione approfondita di alcuni dei fondamenti che fanno funzionare i loro prodotti.

Gli studenti di programmazione non imparano linguaggi di basso livello o come interagire con il codice macchina, ma solo linguaggi di alto livello che rendono lo sviluppo di applicazioni più fluido, ma lasciano gli ingegneri senza il contesto necessario per capire come i pezzi del puzzle si inseriscono in un sistema. un insieme più grande, in gran parte interconnesso, ha detto Snyder.

Ciò, come ha sottolineato Marlinspike in mattinata, ha lasciato gli ingegneri del software incapaci di fare molto di più che essere derivati.

“L'immagine che sto cercando di dipingere qui è che abbiamo trascorso gli ultimi 20 anni a integrare le persone nel software inserendole in livelli di astrazione a scatola nera e poi inserendoli in organizzazioni composte da livelli di astrazione a scatola nera,” disse Marlinspike.

Marlinspike ha sottolineato che questa comprensione “costituisce la base per la maggior parte degli importanti progressi e della storia delle scoperte nel software”.

Dove possiamo trovare tale comprensione, se non tra le fila delle principali organizzazioni ingegneristiche? Ricercatori di sicurezza – ovviamente.

Gli esperti di sicurezza informatica vengono in tuo soccorso

Mentre l’ingegneria del software ha trascorso gli ultimi decenni lottando per diventare più veloce, più flessibile e quindi più astratta, i ricercatori di sicurezza hanno fatto il contrario, ha affermato Marlinspike.

“La sicurezza è il processo di guardare attraverso le astrazioni per capire come funzionano le cose, cosa c'è sotto e, talvolta, capirle meglio delle persone che inizialmente le hanno costruite”, ha affermato.

“Quello che sto cercando di dire è che senza che tu lo sappia, penso che voi, le persone in questa stanza, avete già ereditato la vostra terra”, ha aggiunto.

Marlinspike ha sottolineato che esiste la magia nello sviluppo del software e che capire come funziona è come padroneggiare la magia nel mondo di Harry Potter, dove le persone di talento possono cambiare il mondo solo attraverso la conoscenza e una bacchetta magica.

Ha aggiunto che gli addetti alla sicurezza informatica sono come gli studenti di Hogwarts che in realtà non odiano i loro compiti, a differenza di alcuni dei personaggi principali che potremmo nominare.

“[Security people] “Sono quelli che si sono seduti in biblioteca, hanno imparato gli incantesimi e hanno capito davvero come funzionava il tutto… Come nel mondo di Harry Potter, l'unica cosa di cui hai bisogno per attingere a quella conoscenza è un computer”, ha aggiunto Marlinspike. . “E non deve essere un buon dispositivo.”