SlideShare a Scribd company logo

Alessio Pennasilico, Cybercrime e cybersecurity

Andrea Rossetti
Andrea Rossetti

Primo incontro del ciclo: Cybercrime, Digital Evidence e Digital Forensics - webminario organizzato da Giuseppe Vaciago per la cattedra di Informatica giuridica della Bicocca.

1 of 57
Download to read offline
Cybercrime e Cybersecurity http://www.alba.st/ Alessio L.R. Pennasilico Verona, Milano, Roma Phone/Fax +39 045 8271202 a.pennasilico@alba.st
$whois -=mayhem=- Security Evangelist @ Committed: AIP Associazione Informatici Professionisti, CLUSIT AIPSI Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, AIP/OPSI Hacker’s Profiling Project, CrISTAL ! Alessio L.R. Pennasilico mayhem@alba.st 2
Credits Grazie ai colleghi con i quali lavoro su questi temi: Elisa Bortolani Raoul Chiesa Andrea Zapparoli Manzoni Daniele Martini Enzo Maria Tieghi Alessio L.R. Pennasilico mayhem@alba.st 3
http://www.alba.st/ Lo scenario
Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nel’‘anno precedente cosa ci si aspetta dall’anno in corso Alessio L.R. Pennasilico mayhem@alba.st 5
Cosa emerge? Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci Alessio L.R. Pennasilico mayhem@alba.st 6
Panoramica cybercrime – Fonte: Paolo Passeri – www.hackmageddon.com Alessio L.R. Pennasilico mayhem@alba.st
Perché preoccuparsi? Nel 2012 gli attacchi noti che hanno prodotto un danno ingente a chi li ha subiti in termini economici o di immagine sono aumentati del 252% Campione 1652 attacchi internazionali Alessio L.R. Pennasilico mayhem@alba.st 8
Trend di crescita VITTIME  PER  TIPOLOGIA 2011 2012 Totale Incremento Ins$tu$ons:  Gov  -­‐  Mil  -­‐  LEAs  -­‐  Intelligence 153 374 527 244,44% Others 97 194 291 200,00% Industry:  Entertainment  /  News 76 175 251 230,26% Industry:  Online  Services  /  Cloud   15 136 151 906,67% Ins$tu$ons:  Research  -­‐  Educa$on 26 104 130 400,00% Industry:  Banking  /  Finance   17 59 76 347,06% Industry:  SoQware  /  Hardware  Vendor 27 59 86 218,52% Industry:  Telco 11 19 30 172,73% Gov.  Contractors  /  Consul$ng 18 15 33 -­‐16,67% Industry:  Security  Industry: 17 14 31 -­‐17,65% Religion   0 14 14 1400,00% Industry:  Health 10 11 21 110,00% Industry:  Chemical  /  Medical 2 9 11 450,00% TOTALE 469 1.183 1.652 252,24 Alessio L.R. Pennasilico mayhem@alba.st 9
Chi attacca? Perché? Alessio L.R. Pennasilico mayhem@alba.st
L’Italia #1 I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012). Gli utenti di Social Network sono l’85,6% degli utenti online (23 M) Il 28% della popolazione usa uno smartphone (17 M) In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena consapevolezza dei rischi informatici e di prendere contromisure. Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security efficaci (educazione, prevenzione, gestione degli incidenti) Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi. Alessio L.R. Pennasilico mayhem@alba.st 11
L’Italia #2 Risultato: nel 2012 l’Italia è al nono posto a livello globale per la diffusione di malware e soprattutto al primo posto in Europa per numero di PC infettati e controllati da cyber criminali (le cosiddette botnet). Nel 2012 8,9 milioni di italiani sono stati colpiti da una qualche forma di crimine realizzato via Internet (sono diventati i reati più diffusi) Solo Eurograbber (ZitMo) ha coinvolto in Italia 16 istituti bancari ed 11.893 utenti, causando il furto di oltre 16 milioni di euro in pochi giorni. Alessio L.R. Pennasilico mayhem@alba.st 12
Cosa ci aspettiamo? Cybercrime: in mancanza sia di barriere all’ingresso che di forme efficaci di contrasto e disincentivazione, altri gruppi si uniranno a quelli già oggi in attività. Aumenteranno fortemente sia i crimini informatici, sia quelli tradizionali veicolati e/o commessi con l’ausilio di sistemi ICT. Hacktivism: sempre più distruttivo, aumenteranno attacchi DDoS e data leakage. Cyber Espionage: attacchi sempre più sofisticati sponsorizzati da governi, corporations e gruppi criminali in un contesto di “tutti contro tutti”. Cyber Warfare : non ci sarà cyber war aperta, almeno per 1-2 anni, ma tutti si preparano attivamente a combatterla, investendo ingenti risorse. Schermaglie ed incidenti con frequenza crescente (Cyber Cold War). Crescente rischio di “Black Swans” ed instabilità sistemica diffusa. Alessio L.R. Pennasilico mayhem@alba.st 13
Da chi ci dobbiamo difendere? http://www.alba.st/
Hacker’s Profiling Project Abbiamo allora voluto analizzare il “problema del cybercrime” utilizzando un approccio completamente diverso da quelli individuati sino ad oggi. Il progetto H.P.P. si pone infatti l’obiettivo di analizzare il fenomeno tecnologico, sociale ed economico dell’hacking nelle sue mille sfaccettature, mediante approcci sia di tipo tecnico che criminologico Alessio L.R. Pennasilico mayhem@alba.st 15
Hacker “ I do it for one reason and one reason only. I'm learning about a system. The phone company is a System. A computer is a System, do you understand? If I do what I do, it is only to explore a system. Computers, systems, that's my bag. The phone company is nothing but a computer. ” Captain Crunch Tratto da “Secrets of the Little Blue Box “ Esquire Magazine, Ottobre 1971 Alessio L.R. Pennasilico mayhem@alba.st 16
Kimble come lo ricordiamo... Alessio L.R. Pennasilico mayhem@alba.st 17
... e come lo conosciamo oggi... Alessio L.R. Pennasilico mayhem@alba.st 18
I profili Alessio L.R. Pennasilico mayhem@alba.st 19
L’etica e la percezione Alessio L.R. Pennasilico mayhem@alba.st 20
Deterrenti Alessio L.R. Pennasilico mayhem@alba.st 21
Per approfondire... Contiene tutti i dettagli su HPP Alessio L.R. Pennasilico mayhem@alba.st 22
Cosa si evince? Dal curioso che gioca con gli amici ... ... al criminale al servizio dei criminali ... ... che non conosce deterrente ... Alessio L.R. Pennasilico mayhem@alba.st 23
http://www.alba.st/ Un esempio pratico
Autenticazione select * from users where username=’$_POST[username]’ AND password=’$_POST[password]’ Alessio L.R. Pennasilico mayhem@alba.st
SQL Injection Inserisco al posto della password: ‘ OR ‘1’ = ‘1 Alessio L.R. Pennasilico mayhem@alba.st
SQL Injection select * from users where username=’$_POST[username]’ AND password=’‘ OR ‘1’ = ‘1’ Alessio L.R. Pennasilico mayhem@alba.st
Altri rischi? Posso interrogare il DB e ottenere tutti i dati contenuti: '  UNION  ALL  SELECT  NULL,username,password,NULL  FROM   utenti  WHERE  'x'='x Alessio L.R. Pennasilico mayhem@alba.st 28
Password in cleartext Alessio L.R. Pennasilico mayhem@alba.st 29
Come mi proteggo? Evito di processare i caratteri speciali come ‘ Prevedo il processo che si chiama “normalizzare l’input” Alessio L.R. Pennasilico mayhem@alba.st 30
Esempio $user=mysql_escape_string($_POST['user']); $password=mysql_escape_string($_POST['password']); $query="SELECT  *  FROM  Users  WHERE  username='$user'   AND  password='$password'; Alessio L.R. Pennasilico mayhem@alba.st 31
Conseguenze nel mondo reale http://www.alba.st/
SCADA Alessio L.R. Pennasilico mayhem@alba.st 33
0 Day Critical Zone Window of Exposure Exploit Applied Patch Vulnerability Patch Alessio L.R. Pennasilico mayhem@alba.st 34
Mobile Botnet di Smartphone Alessio L.R. Pennasilico mayhem@alba.st 35
iPhone Worm: Rickrolls Jailbreak di iPhone: qualcuno cambia la password di root? (Novembre 2009) Alessio L.R. Pennasilico mayhem@alba.st 36
PDF Alessio L.R. Pennasilico mayhem@alba.st 37
SecurityFocus 2001 - November So what apparently occured was Fluffi Bunny replaced that banner ad. If you poke around thruport.com, you will see that many images were replaced with the Fluffi banner ad. As a result, various web sites that use the thruport.com service had the alternate banner appear throughout the day. http://www.sikurezza.org/ml/12_01/msg00006.html Alessio L.R. Pennasilico mayhem@alba.st 38
Alessio L.R. Pennasilico mayhem@alba.st 39
Frodi “Edwin Andreas Pena, a 23 year old Miami resident, was arrested by the Federal government: he was involved in a scheme to sell discounted Internet phone service by breaking into other Internet phone providers and routing connections through their networks.” The New York Times, June 7th 2006 Alessio L.R. Pennasilico mayhem@alba.st 40
Robert Moore "It's so easy a caveman can do it!" “I'd say 85% of them were misconfigured routers. They had the default passwords on them: you would not believe the number of routers that had 'admin' or 'Cisco0' as passwords on them”. Alessio L.R. Pennasilico mayhem@alba.st 41
L’automazione Industriale Un tema così attuale e difficile da trattare Clusit ha prodotto una monografia per approfondire il tema Alessio L.R. Pennasilico mayhem@alba.st 42
WiFi in fabbrica Alessio L.R. Pennasilico mayhem@alba.st 43
Un tema sempre più noto Alessio L.R. Pennasilico mayhem@alba.st 44
Worms “In August 2003 Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours.” NIST, Guide to SCADA Alessio L.R. Pennasilico mayhem@alba.st 45
nmap “While a ping sweep was being performed on an active SCADA network that controlled 9-foot robotic arms, it was noticed that one arm became active and swung around 180 degrees. The controller for the arm was in standby mode before the ping sweep was initiated.” NIST, Guide to SCADA Alessio L.R. Pennasilico mayhem@alba.st 46
Disgruntled employee Vitek Boden, in 2000, was arrested, convicted and jailed because he released millions of liters of untreated sewage using his wireless laptop. It happened in Maroochy Shire, Queensland, may be as a revenge against his last former employer. http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/ Alessio L.R. Pennasilico mayhem@alba.st 47
Il costo dell’hardening Cliente con Altoforno gestito da PC PC in LAN Stima dei costi in caso di fermo-forno Stima dei costi per isolare PC ed Altoforno in una VLAN dedicata, il cui traffico sia filtrato a L3 3M € vs 3K €: progetto bocciato Alessio L.R. Pennasilico mayhem@alba.st 48
Bakeca.it DDoS http://www.slideshare.net/mayhemspp/bakeca-ddos-hope Alessio L.R. Pennasilico mayhem@alba.st 49
Hacktivism... Alessio L.R. Pennasilico mayhem@alba.st 50
Uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi Alessio L.R. Pennasilico mayhem@alba.st 51
http://www.alba.st/ Conclusioni
Tecnologia aliena? Alessio L.R. Pennasilico mayhem@alba.st 53
Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sul business Alessio L.R. Pennasilico mayhem@alba.st 54
Cosa fare? Rischi facili da prevenire difficili da mitigare a posteriori Alessio L.R. Pennasilico mayhem@alba.st 55
Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso Alessio L.R. Pennasilico mayhem@alba.st 56
Domande? These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution- ShareAlike 2.5 Grazie! version; you can copy, modify or sell them. “Please” cite your source and use the same licence :) http://www.alba.st/ Alessio L.R. Pennasilico Verona, Milano, Roma Phone/Fax +39 045 8271202 a.pennasilico@alba.st

Recommended

Reati informatici e d.lgs. 231/01
Reati informatici e d.lgs. 231/01Reati informatici e d.lgs. 231/01
Reati informatici e d.lgs. 231/01David D'Agostini
 
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureStefano Dindo
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115Elena Vaciago
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014Massimo Chirivì
 
Training sme
Training smeTraining sme
Training smeLessMore
 
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
 
Where Cyber Security Meets Operational Value
Where Cyber Security Meets Operational ValueWhere Cyber Security Meets Operational Value
Where Cyber Security Meets Operational ValueEnergySec
 
att cybersecurity
att cybersecurityatt cybersecurity
att cybersecurityAndrea Zorloni
 

Recommended

Reati informatici e d.lgs. 231/01
Reati informatici e d.lgs. 231/01Reati informatici e d.lgs. 231/01
Reati informatici e d.lgs. 231/01David D'Agostini
 
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureStefano Dindo
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115Elena Vaciago
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014Massimo Chirivì
 
Training sme
Training smeTraining sme
Training smeLessMore
 
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
 
Where Cyber Security Meets Operational Value
Where Cyber Security Meets Operational ValueWhere Cyber Security Meets Operational Value
Where Cyber Security Meets Operational ValueEnergySec
 
att cybersecurity
att cybersecurityatt cybersecurity
att cybersecurityAndrea Zorloni
 
Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADAiDIALOGHI
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Information security management system
Information security management systemInformation security management system
Information security management systemArani Srinivasan
 
Information Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn HospitalInformation Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn HospitalAtlantic Training, LLC.
 
Information security
Information securityInformation security
Information securityLJ PROJECTS
 
Castelli
CastelliCastelli
Castelligiusnico
 
The house
The houseThe house
The houseenglishp
 
Juliols
JuliolsJuliols
Juliolsmferna48
 
Alessandro Nicotra, Internet Governance
Alessandro Nicotra, Internet GovernanceAlessandro Nicotra, Internet Governance
Alessandro Nicotra, Internet GovernanceAndrea Rossetti
 
Creativity
CreativityCreativity
Creativityaula97
 
Web 2.0: How Emerging Non-Institutions Organize Knowledge
Web 2.0: How Emerging Non-Institutions Organize KnowledgeWeb 2.0: How Emerging Non-Institutions Organize Knowledge
Web 2.0: How Emerging Non-Institutions Organize Knowledgejexxon
 
Normativa Firma Digitale
Normativa Firma DigitaleNormativa Firma Digitale
Normativa Firma DigitaleAndrea Rossetti
 
07 ZamyšLení ŠťAstné DěTství
07 ZamyšLení ŠťAstné DěTství07 ZamyšLení ŠťAstné DěTství
07 ZamyšLení ŠťAstné DěTstvíjedlickak07
 
My Test
My TestMy Test
My Testdzhu2005
 
AWSome Day Glasgow | Technical Track
AWSome Day Glasgow | Technical TrackAWSome Day Glasgow | Technical Track
AWSome Day Glasgow | Technical TrackAmazon Web Services
 
Breidamerkurjokull Maps from Glasgow University
Breidamerkurjokull Maps from Glasgow UniversityBreidamerkurjokull Maps from Glasgow University
Breidamerkurjokull Maps from Glasgow UniversityAlan Doherty
 
CBS Outdoor 5 of 5
CBS Outdoor 5 of 5CBS Outdoor 5 of 5
CBS Outdoor 5 of 5somethingtochewon
 
SocialTV – Now. Status Quo & Outlook
SocialTV – Now. Status Quo & OutlookSocialTV – Now. Status Quo & Outlook
SocialTV – Now. Status Quo & OutlookBertram Gugel
 
No Es Mentira
No Es MentiraNo Es Mentira
No Es MentiraJulio Daniel Arváez Polanco
 
iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDIALOGHI
 
Clusit Edu Social Business Security
Clusit Edu Social Business SecurityClusit Edu Social Business Security
Clusit Edu Social Business SecurityiDIALOGHI
 

More Related Content

Viewers also liked

Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADAiDIALOGHI
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Information security management system
Information security management systemInformation security management system
Information security management systemArani Srinivasan
 
Information Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn HospitalInformation Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn HospitalAtlantic Training, LLC.
 
Information security
Information securityInformation security
Information securityLJ PROJECTS
 
Alessandro Nicotra, Internet Governance
Alessandro Nicotra, Internet GovernanceAlessandro Nicotra, Internet Governance
Alessandro Nicotra, Internet GovernanceAndrea Rossetti
 
Creativity
CreativityCreativity
Creativityaula97
 
Web 2.0: How Emerging Non-Institutions Organize Knowledge
Web 2.0: How Emerging Non-Institutions Organize KnowledgeWeb 2.0: How Emerging Non-Institutions Organize Knowledge
Web 2.0: How Emerging Non-Institutions Organize Knowledgejexxon
 
Normativa Firma Digitale
Normativa Firma DigitaleNormativa Firma Digitale
Normativa Firma DigitaleAndrea Rossetti
 
07 ZamyšLení ŠťAstné DěTství
07 ZamyšLení ŠťAstné DěTství07 ZamyšLení ŠťAstné DěTství
07 ZamyšLení ŠťAstné DěTstvíjedlickak07
 
AWSome Day Glasgow | Technical Track
AWSome Day Glasgow | Technical TrackAWSome Day Glasgow | Technical Track
AWSome Day Glasgow | Technical TrackAmazon Web Services
 
Breidamerkurjokull Maps from Glasgow University
Breidamerkurjokull Maps from Glasgow UniversityBreidamerkurjokull Maps from Glasgow University
Breidamerkurjokull Maps from Glasgow UniversityAlan Doherty
 
SocialTV – Now. Status Quo & Outlook
SocialTV – Now. Status Quo & OutlookSocialTV – Now. Status Quo & Outlook
SocialTV – Now. Status Quo & OutlookBertram Gugel
 

Viewers also liked (20)

Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADA
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
Information security management system
Information security management systemInformation security management system
Information security management system
 
Information Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn HospitalInformation Security Awareness Training by Mount Auburn Hospital
Information Security Awareness Training by Mount Auburn Hospital
 
Information security
Information securityInformation security
Information security
 
Castelli
CastelliCastelli
Castelli
 
The house
The houseThe house
The house
 
Juliols
JuliolsJuliols
Juliols
 
Alessandro Nicotra, Internet Governance
Alessandro Nicotra, Internet GovernanceAlessandro Nicotra, Internet Governance
Alessandro Nicotra, Internet Governance
 
Creativity
CreativityCreativity
Creativity
 
Web 2.0: How Emerging Non-Institutions Organize Knowledge
Web 2.0: How Emerging Non-Institutions Organize KnowledgeWeb 2.0: How Emerging Non-Institutions Organize Knowledge
Web 2.0: How Emerging Non-Institutions Organize Knowledge
 
Normativa Firma Digitale
Normativa Firma DigitaleNormativa Firma Digitale
Normativa Firma Digitale
 
07 ZamyšLení ŠťAstné DěTství
07 ZamyšLení ŠťAstné DěTství07 ZamyšLení ŠťAstné DěTství
07 ZamyšLení ŠťAstné DěTství
 
My Test
My TestMy Test
My Test
 
AWSome Day Glasgow | Technical Track
AWSome Day Glasgow | Technical TrackAWSome Day Glasgow | Technical Track
AWSome Day Glasgow | Technical Track
 
Breidamerkurjokull Maps from Glasgow University
Breidamerkurjokull Maps from Glasgow UniversityBreidamerkurjokull Maps from Glasgow University
Breidamerkurjokull Maps from Glasgow University
 
CBS Outdoor 5 of 5
CBS Outdoor 5 of 5CBS Outdoor 5 of 5
CBS Outdoor 5 of 5
 
SocialTV – Now. Status Quo & Outlook
SocialTV – Now. Status Quo & OutlookSocialTV – Now. Status Quo & Outlook
SocialTV – Now. Status Quo & Outlook
 
No Es Mentira
No Es MentiraNo Es Mentira
No Es Mentira
 

Similar to Alessio Pennasilico, Cybercrime e cybersecurity

iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDIALOGHI
 
Clusit Edu Social Business Security
Clusit Edu Social Business SecurityClusit Edu Social Business Security
Clusit Edu Social Business SecurityiDIALOGHI
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)Mauro Alovisio
 
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeFulvio Solinas ✔
 
La presentazione di Raoul Chiesa
La presentazione di Raoul ChiesaLa presentazione di Raoul Chiesa
La presentazione di Raoul ChiesaVittorio Canavese
 
Social Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniSocial Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniiDIALOGHI
 
L’immortalità digitale
L’immortalità digitaleL’immortalità digitale
L’immortalità digitaleMassimo Penco
 
Rapporti sulla sicurezza ICT in Italia - Dati e considerazioni
Rapporti sulla sicurezza ICT in Italia - Dati e considerazioniRapporti sulla sicurezza ICT in Italia - Dati e considerazioni
Rapporti sulla sicurezza ICT in Italia - Dati e considerazioniVilma Pozzi
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 
Sicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaSicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaMauro Gallo
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Fabio Meloni
 
Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoCristiano Cafferata
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Codemotion
 
Generazione Z - Ettore Guarnaccia - DSF2019 IT Club FVG - Confindustria Udine
Generazione Z - Ettore Guarnaccia - DSF2019 IT Club FVG - Confindustria UdineGenerazione Z - Ettore Guarnaccia - DSF2019 IT Club FVG - Confindustria Udine
Generazione Z - Ettore Guarnaccia - DSF2019 IT Club FVG - Confindustria UdineSectorNoLimits
 
Nella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground EconomyNella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground Economymadero
 

Similar to Alessio Pennasilico, Cybercrime e cybersecurity (20)

iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011iDialoghi - Social Business Security - Social Media Week 2011
iDialoghi - Social Business Security - Social Media Week 2011
 
Clusit Edu Social Business Security
Clusit Edu Social Business SecurityClusit Edu Social Business Security
Clusit Edu Social Business Security
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
 
16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)16 02 2016 mauro alovisio privacy e cybercrime(1)
16 02 2016 mauro alovisio privacy e cybercrime(1)
 
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e CybercrimeTorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
TorinoIn 16 feb 2016 Avv. Mauro Alovisio Privacy e Cybercrime
 
La presentazione di Raoul Chiesa
La presentazione di Raoul ChiesaLa presentazione di Raoul Chiesa
La presentazione di Raoul Chiesa
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezza
 
Social Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniSocial Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli Manzoni
 
L’immortalità digitale
L’immortalità digitaleL’immortalità digitale
L’immortalità digitale
 
Rapporti sulla sicurezza ICT in Italia - Dati e considerazioni
Rapporti sulla sicurezza ICT in Italia - Dati e considerazioniRapporti sulla sicurezza ICT in Italia - Dati e considerazioni
Rapporti sulla sicurezza ICT in Italia - Dati e considerazioni
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1
 
Sicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaSicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa Sconosciuta
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15
 
Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologico
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
 
Generazione Z - Ettore Guarnaccia - DSF2019 IT Club FVG - Confindustria Udine
Generazione Z - Ettore Guarnaccia - DSF2019 IT Club FVG - Confindustria UdineGenerazione Z - Ettore Guarnaccia - DSF2019 IT Club FVG - Confindustria Udine
Generazione Z - Ettore Guarnaccia - DSF2019 IT Club FVG - Confindustria Udine
 
Nella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground EconomyNella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground Economy
 

More from Andrea Rossetti

2015-06 Monica Palmirani, L'informazione giuridica nella società della conos...
2015-06 Monica Palmirani, L'informazione giuridica nella società della conos...2015-06 Monica Palmirani, L'informazione giuridica nella società della conos...
2015-06 Monica Palmirani, L'informazione giuridica nella società della conos...Andrea Rossetti
 
2015 06 Stefano Ricci, Trattamento dati personali per finalità di informazio...
2015 06 Stefano Ricci, Trattamento dati personali per finalità di informazio...2015 06 Stefano Ricci, Trattamento dati personali per finalità di informazio...
2015 06 Stefano Ricci, Trattamento dati personali per finalità di informazio...Andrea Rossetti
 
2015-06 Roberto Boselli, Dal dato non strutturato alle ontologie
2015-06 Roberto Boselli, Dal dato non strutturato alle ontologie2015-06 Roberto Boselli, Dal dato non strutturato alle ontologie
2015-06 Roberto Boselli, Dal dato non strutturato alle ontologieAndrea Rossetti
 
Marco Vergani, E-commerce
Marco Vergani, E-commerceMarco Vergani, E-commerce
Marco Vergani, E-commerceAndrea Rossetti
 
Rossetti-Silvi, Ontologia sociale del documento giuridico
Rossetti-Silvi, Ontologia sociale del documento giuridicoRossetti-Silvi, Ontologia sociale del documento giuridico
Rossetti-Silvi, Ontologia sociale del documento giuridicoAndrea Rossetti
 
Marco Mancarella, eVoting. Dalle esperienze sud-americane a quella salentina
Marco Mancarella, eVoting. Dalle esperienze sud-americane a quella salentinaMarco Mancarella, eVoting. Dalle esperienze sud-americane a quella salentina
Marco Mancarella, eVoting. Dalle esperienze sud-americane a quella salentinaAndrea Rossetti
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsAndrea Rossetti
 
Marco Vergani, E-commerce: shopping online e tutela del consumatore
Marco Vergani, E-commerce: shopping online e tutela del consumatore Marco Vergani, E-commerce: shopping online e tutela del consumatore
Marco Vergani, E-commerce: shopping online e tutela del consumatore Andrea Rossetti
 
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud ComputingStefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud ComputingAndrea Rossetti
 
Giuseppe Vaciago, Privacy e cloud computing nelle investigazioni digitali
Giuseppe Vaciago, Privacy e cloud computing nelle investigazioni digitaliGiuseppe Vaciago, Privacy e cloud computing nelle investigazioni digitali
Giuseppe Vaciago, Privacy e cloud computing nelle investigazioni digitaliAndrea Rossetti
 
Simone Aliprandi, Open source, open content, open data nell'ordinamento itali...
Simone Aliprandi, Open source, open content, open data nell'ordinamento itali...Simone Aliprandi, Open source, open content, open data nell'ordinamento itali...
Simone Aliprandi, Open source, open content, open data nell'ordinamento itali...Andrea Rossetti
 
Dal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital ForensicsDal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital ForensicsAndrea Rossetti
 
Davide Gabrini, Cloud computing e cloud investigation
Davide Gabrini, Cloud computing e cloud investigationDavide Gabrini, Cloud computing e cloud investigation
Davide Gabrini, Cloud computing e cloud investigationAndrea Rossetti
 
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionali
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionaliFrancesca Bosco, Cybercrime e cybersecurity. Profili internazionali
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionaliAndrea Rossetti
 
Sveva Avveduto, Gli italiani nella rete. Un popolo di "naviganti" nella soci...
Sveva Avveduto, Gli italiani nella rete. Un popolo di "naviganti" nella soci...Sveva Avveduto, Gli italiani nella rete. Un popolo di "naviganti" nella soci...
Sveva Avveduto, Gli italiani nella rete. Un popolo di "naviganti" nella soci...Andrea Rossetti
 
Gianluigi Viscusi, Libertà e pluralismo dei valori II
Gianluigi Viscusi, Libertà e pluralismo dei valori IIGianluigi Viscusi, Libertà e pluralismo dei valori II
Gianluigi Viscusi, Libertà e pluralismo dei valori IIAndrea Rossetti
 
Gianluigi Viscusi, Libertà e pluralismo dei valori I
Gianluigi Viscusi, Libertà e pluralismo dei valori IGianluigi Viscusi, Libertà e pluralismo dei valori I
Gianluigi Viscusi, Libertà e pluralismo dei valori IAndrea Rossetti
 
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processualiGiuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processualiAndrea Rossetti
 
Carlo Prisco, Profili giuridici della corrispondenza elettronica
Carlo Prisco, Profili giuridici della corrispondenza elettronicaCarlo Prisco, Profili giuridici della corrispondenza elettronica
Carlo Prisco, Profili giuridici della corrispondenza elettronicaAndrea Rossetti
 
Giuseppe Dezzani, Intercettazioni e VoIP
Giuseppe Dezzani, Intercettazioni e VoIPGiuseppe Dezzani, Intercettazioni e VoIP
Giuseppe Dezzani, Intercettazioni e VoIPAndrea Rossetti
 

More from Andrea Rossetti (20)

2015-06 Monica Palmirani, L'informazione giuridica nella società della conos...
2015-06 Monica Palmirani, L'informazione giuridica nella società della conos...2015-06 Monica Palmirani, L'informazione giuridica nella società della conos...
2015-06 Monica Palmirani, L'informazione giuridica nella società della conos...
 
2015 06 Stefano Ricci, Trattamento dati personali per finalità di informazio...
2015 06 Stefano Ricci, Trattamento dati personali per finalità di informazio...2015 06 Stefano Ricci, Trattamento dati personali per finalità di informazio...
2015 06 Stefano Ricci, Trattamento dati personali per finalità di informazio...
 
2015-06 Roberto Boselli, Dal dato non strutturato alle ontologie
2015-06 Roberto Boselli, Dal dato non strutturato alle ontologie2015-06 Roberto Boselli, Dal dato non strutturato alle ontologie
2015-06 Roberto Boselli, Dal dato non strutturato alle ontologie
 
Marco Vergani, E-commerce
Marco Vergani, E-commerceMarco Vergani, E-commerce
Marco Vergani, E-commerce
 
Rossetti-Silvi, Ontologia sociale del documento giuridico
Rossetti-Silvi, Ontologia sociale del documento giuridicoRossetti-Silvi, Ontologia sociale del documento giuridico
Rossetti-Silvi, Ontologia sociale del documento giuridico
 
Marco Mancarella, eVoting. Dalle esperienze sud-americane a quella salentina
Marco Mancarella, eVoting. Dalle esperienze sud-americane a quella salentinaMarco Mancarella, eVoting. Dalle esperienze sud-americane a quella salentina
Marco Mancarella, eVoting. Dalle esperienze sud-americane a quella salentina
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
 
Marco Vergani, E-commerce: shopping online e tutela del consumatore
Marco Vergani, E-commerce: shopping online e tutela del consumatore Marco Vergani, E-commerce: shopping online e tutela del consumatore
Marco Vergani, E-commerce: shopping online e tutela del consumatore
 
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud ComputingStefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
 
Giuseppe Vaciago, Privacy e cloud computing nelle investigazioni digitali
Giuseppe Vaciago, Privacy e cloud computing nelle investigazioni digitaliGiuseppe Vaciago, Privacy e cloud computing nelle investigazioni digitali
Giuseppe Vaciago, Privacy e cloud computing nelle investigazioni digitali
 
Simone Aliprandi, Open source, open content, open data nell'ordinamento itali...
Simone Aliprandi, Open source, open content, open data nell'ordinamento itali...Simone Aliprandi, Open source, open content, open data nell'ordinamento itali...
Simone Aliprandi, Open source, open content, open data nell'ordinamento itali...
 
Dal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital ForensicsDal checco Dezzani, Digital Evidence Digital Forensics
Dal checco Dezzani, Digital Evidence Digital Forensics
 
Davide Gabrini, Cloud computing e cloud investigation
Davide Gabrini, Cloud computing e cloud investigationDavide Gabrini, Cloud computing e cloud investigation
Davide Gabrini, Cloud computing e cloud investigation
 
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionali
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionaliFrancesca Bosco, Cybercrime e cybersecurity. Profili internazionali
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionali
 
Sveva Avveduto, Gli italiani nella rete. Un popolo di "naviganti" nella soci...
Sveva Avveduto, Gli italiani nella rete. Un popolo di "naviganti" nella soci...Sveva Avveduto, Gli italiani nella rete. Un popolo di "naviganti" nella soci...
Sveva Avveduto, Gli italiani nella rete. Un popolo di "naviganti" nella soci...
 
Gianluigi Viscusi, Libertà e pluralismo dei valori II
Gianluigi Viscusi, Libertà e pluralismo dei valori IIGianluigi Viscusi, Libertà e pluralismo dei valori II
Gianluigi Viscusi, Libertà e pluralismo dei valori II
 
Gianluigi Viscusi, Libertà e pluralismo dei valori I
Gianluigi Viscusi, Libertà e pluralismo dei valori IGianluigi Viscusi, Libertà e pluralismo dei valori I
Gianluigi Viscusi, Libertà e pluralismo dei valori I
 
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processualiGiuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
 
Carlo Prisco, Profili giuridici della corrispondenza elettronica
Carlo Prisco, Profili giuridici della corrispondenza elettronicaCarlo Prisco, Profili giuridici della corrispondenza elettronica
Carlo Prisco, Profili giuridici della corrispondenza elettronica
 
Giuseppe Dezzani, Intercettazioni e VoIP
Giuseppe Dezzani, Intercettazioni e VoIPGiuseppe Dezzani, Intercettazioni e VoIP
Giuseppe Dezzani, Intercettazioni e VoIP
 

Alessio Pennasilico, Cybercrime e cybersecurity

  • 1. Cybercrime e Cybersecurity http://www.alba.st/ Alessio L.R. Pennasilico Verona, Milano, Roma Phone/Fax +39 045 8271202 a.pennasilico@alba.st
  • 2. $whois -=mayhem=- Security Evangelist @ Committed: AIP Associazione Informatici Professionisti, CLUSIT AIPSI Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, AIP/OPSI Hacker’s Profiling Project, CrISTAL ! Alessio L.R. Pennasilico mayhem@alba.st 2
  • 3. Credits Grazie ai colleghi con i quali lavoro su questi temi: Elisa Bortolani Raoul Chiesa Andrea Zapparoli Manzoni Daniele Martini Enzo Maria Tieghi Alessio L.R. Pennasilico mayhem@alba.st 3
  • 4. http://www.alba.st/ Lo scenario
  • 5. Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nel’‘anno precedente cosa ci si aspetta dall’anno in corso Alessio L.R. Pennasilico mayhem@alba.st 5
  • 6. Cosa emerge? Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci Alessio L.R. Pennasilico mayhem@alba.st 6
  • 7. Panoramica cybercrime – Fonte: Paolo Passeri – www.hackmageddon.com Alessio L.R. Pennasilico mayhem@alba.st
  • 8. Perché preoccuparsi? Nel 2012 gli attacchi noti che hanno prodotto un danno ingente a chi li ha subiti in termini economici o di immagine sono aumentati del 252% Campione 1652 attacchi internazionali Alessio L.R. Pennasilico mayhem@alba.st 8
  • 9. Trend di crescita VITTIME  PER  TIPOLOGIA 2011 2012 Totale Incremento Ins$tu$ons:  Gov  -­‐  Mil  -­‐  LEAs  -­‐  Intelligence 153 374 527 244,44% Others 97 194 291 200,00% Industry:  Entertainment  /  News 76 175 251 230,26% Industry:  Online  Services  /  Cloud   15 136 151 906,67% Ins$tu$ons:  Research  -­‐  Educa$on 26 104 130 400,00% Industry:  Banking  /  Finance   17 59 76 347,06% Industry:  SoQware  /  Hardware  Vendor 27 59 86 218,52% Industry:  Telco 11 19 30 172,73% Gov.  Contractors  /  Consul$ng 18 15 33 -­‐16,67% Industry:  Security  Industry: 17 14 31 -­‐17,65% Religion   0 14 14 1400,00% Industry:  Health 10 11 21 110,00% Industry:  Chemical  /  Medical 2 9 11 450,00% TOTALE 469 1.183 1.652 252,24 Alessio L.R. Pennasilico mayhem@alba.st 9
  • 10. Chi attacca? Perché? Alessio L.R. Pennasilico mayhem@alba.st
  • 11. L’Italia #1 I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012). Gli utenti di Social Network sono l’85,6% degli utenti online (23 M) Il 28% della popolazione usa uno smartphone (17 M) In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena consapevolezza dei rischi informatici e di prendere contromisure. Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security efficaci (educazione, prevenzione, gestione degli incidenti) Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi. Alessio L.R. Pennasilico mayhem@alba.st 11
  • 12. L’Italia #2 Risultato: nel 2012 l’Italia è al nono posto a livello globale per la diffusione di malware e soprattutto al primo posto in Europa per numero di PC infettati e controllati da cyber criminali (le cosiddette botnet). Nel 2012 8,9 milioni di italiani sono stati colpiti da una qualche forma di crimine realizzato via Internet (sono diventati i reati più diffusi) Solo Eurograbber (ZitMo) ha coinvolto in Italia 16 istituti bancari ed 11.893 utenti, causando il furto di oltre 16 milioni di euro in pochi giorni. Alessio L.R. Pennasilico mayhem@alba.st 12
  • 13. Cosa ci aspettiamo? Cybercrime: in mancanza sia di barriere all’ingresso che di forme efficaci di contrasto e disincentivazione, altri gruppi si uniranno a quelli già oggi in attività. Aumenteranno fortemente sia i crimini informatici, sia quelli tradizionali veicolati e/o commessi con l’ausilio di sistemi ICT. Hacktivism: sempre più distruttivo, aumenteranno attacchi DDoS e data leakage. Cyber Espionage: attacchi sempre più sofisticati sponsorizzati da governi, corporations e gruppi criminali in un contesto di “tutti contro tutti”. Cyber Warfare : non ci sarà cyber war aperta, almeno per 1-2 anni, ma tutti si preparano attivamente a combatterla, investendo ingenti risorse. Schermaglie ed incidenti con frequenza crescente (Cyber Cold War). Crescente rischio di “Black Swans” ed instabilità sistemica diffusa. Alessio L.R. Pennasilico mayhem@alba.st 13
  • 14. Da chi ci dobbiamo difendere? http://www.alba.st/
  • 15. Hacker’s Profiling Project Abbiamo allora voluto analizzare il “problema del cybercrime” utilizzando un approccio completamente diverso da quelli individuati sino ad oggi. Il progetto H.P.P. si pone infatti l’obiettivo di analizzare il fenomeno tecnologico, sociale ed economico dell’hacking nelle sue mille sfaccettature, mediante approcci sia di tipo tecnico che criminologico Alessio L.R. Pennasilico mayhem@alba.st 15
  • 16. Hacker “ I do it for one reason and one reason only. I'm learning about a system. The phone company is a System. A computer is a System, do you understand? If I do what I do, it is only to explore a system. Computers, systems, that's my bag. The phone company is nothing but a computer. ” Captain Crunch Tratto da “Secrets of the Little Blue Box “ Esquire Magazine, Ottobre 1971 Alessio L.R. Pennasilico mayhem@alba.st 16
  • 17. Kimble come lo ricordiamo... Alessio L.R. Pennasilico mayhem@alba.st 17
  • 18. ... e come lo conosciamo oggi... Alessio L.R. Pennasilico mayhem@alba.st 18
  • 19. I profili Alessio L.R. Pennasilico mayhem@alba.st 19
  • 20. L’etica e la percezione Alessio L.R. Pennasilico mayhem@alba.st 20
  • 22. Per approfondire... Contiene tutti i dettagli su HPP Alessio L.R. Pennasilico mayhem@alba.st 22
  • 23. Cosa si evince? Dal curioso che gioca con gli amici ... ... al criminale al servizio dei criminali ... ... che non conosce deterrente ... Alessio L.R. Pennasilico mayhem@alba.st 23
  • 24. http://www.alba.st/ Un esempio pratico
  • 25. Autenticazione select * from users where username=’$_POST[username]’ AND password=’$_POST[password]’ Alessio L.R. Pennasilico mayhem@alba.st
  • 26. SQL Injection Inserisco al posto della password: ‘ OR ‘1’ = ‘1 Alessio L.R. Pennasilico mayhem@alba.st
  • 27. SQL Injection select * from users where username=’$_POST[username]’ AND password=’‘ OR ‘1’ = ‘1’ Alessio L.R. Pennasilico mayhem@alba.st
  • 28. Altri rischi? Posso interrogare il DB e ottenere tutti i dati contenuti: '  UNION  ALL  SELECT  NULL,username,password,NULL  FROM   utenti  WHERE  'x'='x Alessio L.R. Pennasilico mayhem@alba.st 28
  • 29. Password in cleartext Alessio L.R. Pennasilico mayhem@alba.st 29
  • 30. Come mi proteggo? Evito di processare i caratteri speciali come ‘ Prevedo il processo che si chiama “normalizzare l’input” Alessio L.R. Pennasilico mayhem@alba.st 30
  • 31. Esempio $user=mysql_escape_string($_POST['user']); $password=mysql_escape_string($_POST['password']); $query="SELECT  *  FROM  Users  WHERE  username='$user'   AND  password='$password'; Alessio L.R. Pennasilico mayhem@alba.st 31
  • 32. Conseguenze nel mondo reale http://www.alba.st/
  • 33. SCADA Alessio L.R. Pennasilico mayhem@alba.st 33
  • 34. 0 Day Critical Zone Window of Exposure Exploit Applied Patch Vulnerability Patch Alessio L.R. Pennasilico mayhem@alba.st 34
  • 35. Mobile Botnet di Smartphone Alessio L.R. Pennasilico mayhem@alba.st 35
  • 36. iPhone Worm: Rickrolls Jailbreak di iPhone: qualcuno cambia la password di root? (Novembre 2009) Alessio L.R. Pennasilico mayhem@alba.st 36
  • 37. PDF Alessio L.R. Pennasilico mayhem@alba.st 37
  • 38. SecurityFocus 2001 - November So what apparently occured was Fluffi Bunny replaced that banner ad. If you poke around thruport.com, you will see that many images were replaced with the Fluffi banner ad. As a result, various web sites that use the thruport.com service had the alternate banner appear throughout the day. http://www.sikurezza.org/ml/12_01/msg00006.html Alessio L.R. Pennasilico mayhem@alba.st 38
  • 39. Alessio L.R. Pennasilico mayhem@alba.st 39
  • 40. Frodi “Edwin Andreas Pena, a 23 year old Miami resident, was arrested by the Federal government: he was involved in a scheme to sell discounted Internet phone service by breaking into other Internet phone providers and routing connections through their networks.” The New York Times, June 7th 2006 Alessio L.R. Pennasilico mayhem@alba.st 40
  • 41. Robert Moore "It's so easy a caveman can do it!" “I'd say 85% of them were misconfigured routers. They had the default passwords on them: you would not believe the number of routers that had 'admin' or 'Cisco0' as passwords on them”. Alessio L.R. Pennasilico mayhem@alba.st 41
  • 42. L’automazione Industriale Un tema così attuale e difficile da trattare Clusit ha prodotto una monografia per approfondire il tema Alessio L.R. Pennasilico mayhem@alba.st 42
  • 43. WiFi in fabbrica Alessio L.R. Pennasilico mayhem@alba.st 43
  • 44. Un tema sempre più noto Alessio L.R. Pennasilico mayhem@alba.st 44
  • 45. Worms “In August 2003 Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours.” NIST, Guide to SCADA Alessio L.R. Pennasilico mayhem@alba.st 45
  • 46. nmap “While a ping sweep was being performed on an active SCADA network that controlled 9-foot robotic arms, it was noticed that one arm became active and swung around 180 degrees. The controller for the arm was in standby mode before the ping sweep was initiated.” NIST, Guide to SCADA Alessio L.R. Pennasilico mayhem@alba.st 46
  • 47. Disgruntled employee Vitek Boden, in 2000, was arrested, convicted and jailed because he released millions of liters of untreated sewage using his wireless laptop. It happened in Maroochy Shire, Queensland, may be as a revenge against his last former employer. http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/ Alessio L.R. Pennasilico mayhem@alba.st 47
  • 48. Il costo dell’hardening Cliente con Altoforno gestito da PC PC in LAN Stima dei costi in caso di fermo-forno Stima dei costi per isolare PC ed Altoforno in una VLAN dedicata, il cui traffico sia filtrato a L3 3M € vs 3K €: progetto bocciato Alessio L.R. Pennasilico mayhem@alba.st 48
  • 49. Bakeca.it DDoS http://www.slideshare.net/mayhemspp/bakeca-ddos-hope Alessio L.R. Pennasilico mayhem@alba.st 49
  • 51. Uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi Alessio L.R. Pennasilico mayhem@alba.st 51
  • 52. http://www.alba.st/ Conclusioni
  • 53. Tecnologia aliena? Alessio L.R. Pennasilico mayhem@alba.st 53
  • 54. Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sul business Alessio L.R. Pennasilico mayhem@alba.st 54
  • 55. Cosa fare? Rischi facili da prevenire difficili da mitigare a posteriori Alessio L.R. Pennasilico mayhem@alba.st 55
  • 56. Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso Alessio L.R. Pennasilico mayhem@alba.st 56
  • 57. Domande? These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution- ShareAlike 2.5 Grazie! version; you can copy, modify or sell them. “Please” cite your source and use the same licence :) http://www.alba.st/ Alessio L.R. Pennasilico Verona, Milano, Roma Phone/Fax +39 045 8271202 a.pennasilico@alba.st