%p Ok, ci siamo arrivati anche quest'anno... le agoniate ferie estive. Direi che me le merito. Per %em nmila motivi quest'anno me le merito, lunghe e calde 3 settimane di mare. %p Ricordate l' %a{:href=>'http://thesp0nge.com/2011/07/07/grazie_max_ciociola.html'} %em energy drain di cui vi parlavo? Ecco, non è passato... anzi è aumentato a livelli vertiginosi, direi quasi che ha raggiunto il suo acme... basta... abbiamo completamente toccato il fondo. %p Per la prima volta nella vita sento però che aver toccato il fondo è qualcosa di %em positivo. %br Sto rivedendo gli ultimi 3 anni. Non potevo fare altro che commettere tutti quegli errori. Niente ricriminazioni, è come quando devi sacrificare un pezzo a scacchi ma devi farlo perché è l'unica cosa che puoi fare al momento. %br Ecco... diciamo che io ho sacrificato i cavalli, gli alfieri e una torre. Mi è rimasto ben poco da cui ripartire ma veramente non potevo fare altrimenti. %p E anche per quelle volte che ho fatto lo %em stronzo bhé certo mi dispiace e so che non avrei dovuto, però in quel momento non potevo non commettere quegli errori. Ora lo capisco e lo vedo chiaramente. %p Dicevamo quindi che mi servono queste vacanze. Servono a vedere cosa fare con il disastro che c'è sulla scacchiera in questo momento. %p Il mio progetto estivo di quest'anno si chiama %a{:href=>'https://github.com/thesp0nge/mirage'} mirage che doveva essere fiore all'occhiello di una rinascita professionale di inizio anno che però non è mai partita. %br Da dove riparto quindi? %br Riparto dalla posizione di un progetto fallimentare nell' %em execution e che quindi non ha più nulla da perdere. Riparto abbandonando %a{:href=>'http://www.antlr.org'} antlr.org ed affidandomi a flex e bison, cercando la strada del DIY anche nel parsing del codice sorgente. %p Perché questa scelta che appare sciagurata? Consideriamo un fatto, sicuramente usare %em antlr mi dava il vantaggio di non dovermi preoccupare di scrivere il parser per i vari linguaggi di programmazione, tuttavia mi dava poca libertà sull'output del parser generato in automatico. %br %em antlr non è nato per scrivere security tools ed il rumore delle informazioni recuperate dall'albero sintattico era troppo forte per estrarre in maniera semplice le informazioni che mi servivano. %br Da qui la scelta del DIY, che ha vissuto almeno 3 giorni di %em "meglio se mi scrivo direttamente io il codice che spezza i sorgenti in token" poi abbandonato per usare almeno qualche tool per aiutarmi nel lavoro sporco. %p Flex e Bison quindi e tanta old school in quello che è un progetto che mi piace pensare come laboratorio. Al momento non ho la pretesa e la presunzione di far nascere nulla. Sono stanco, demotivato e sto aspettando di vedere come riscrivere il mio futuro. Non ho la forza (né sono nella posizione di fare proclami) per creare il nuovo tool di analisi ibrida del codice. %p Però ho ancora pezzi sulla mia scacchiera, quindi sono nella posizione di aprire un laboratorio di sviluppo e buttarci idee come faccio col mio moleskine e vedere come va. %br In mente, dovrebbe funzionare così (anche se non è formalizzato in alcuna slide): %ul %li con l'aiuto di flex e bison costruisco dei parser rudimentali da cui accedo agli AST dei miei sorgenti (e fin qui il piano non si discosta molto da mirage e orizon) %li invece di avere la presunzione di creare un modello che abbia senso semanticamente (cosa forse che potrò ambire a fare in là nel tempo), mi dedico a due cose: estrarre le chiamate a librerie esterne (per il crawling) e fare il tracking di variabili. Per ora basta così %li creare un'interfaccia REST, sempre in C, che mi permetta di interfacciarmi col mondo web (eventualmente qui sondo se ci sono librerie che fanno già al caso mio, in alternativa ho già in mente qualcosa) %li creare direttamente in mirage anche il codice di scansione %p L'ultimo punto vuol dire, la progressiva %em dismissione del progetto Orizon, che vuol dire che se questo laboratorio avrà successo magari ci sarà un Owasp Mirage al posto del suo predecessore. %p Ce la farò? Ah, %em non lo so proprio anche se ci spero. Non mi do date. A tal proposito %a{:href=>'https://twitter.com/#!/WisecWisec'} wisec mi ricorda che l'importante è %a{:href=>'https://twitter.com/#!/WisecWisec/status/95488458910470146'} rilasciare qualcosa. %br Cosa dire a riguardo? Ha ragione, release early and release often. Ma questo è stato forse il mio più grande limite in questi anni un po' duri. Concretizzare delle idee che hanno apparentemente delle buone possibilità. %br Come dicevo prima, non ho paura di fallire... difficile fare peggio di così, quindi andrà sicuramente meglio dei progetti precedendi, no?!? %p Dando un'occhiata a quello che accade nel mondo, sembra che anche in Perù, l'uso della cifratura %a{:href=>'http://www.thehackernews.com/2011/07/10-peru-government-sites-database-dump.html'} nei database non sia una priorità, mentre interessante è il confronto tra i vari algoritmi per verificare se un numero è una potenza di %a{:href=>'http://www.exploringbinary.com/ten-ways-to-check-if-an-integer-is-a-power-of-two-in-c/'} due. %p Vi lascio con un'immagine... fatela vostra, a me serve per ispirarmi e prendere slancio. Ci risentiamo ad agosto. %p %a{:href=>"http://www.flickr.com/photos/thesp0nge/5102224634/", :title=>"Blue horizon by thesp0nge, on Flickr"} %img{:src=>"http://farm5.static.flickr.com/4127/5102224634_de9b9ce571.jpg", :width=>"500", :height=>"333", :alt=>"Blue horizon"}