1. Premio primo contest
Marketing Di.Tech
1

2. PREMIO
 Il vincitore del contest potrà scegliere uno dei 3
servizi riportati di seguito;
 Penetration Test in modalità Black Box, dall’esterno sul
portale del Cliente (simulazione di un hacker)
 Penetration Test in modalità Grey Box, dall’interno sulla
rete del vincitore (simulazione di un dipendente)
 Quick Security Assessment su un Ipermercato o
Supermercato del vincitore (simulazione di un soggetto
che frequenta il pdv)
 Il servizio durerà circa 1 giorno di attività + 1
giorno di redazione della documentazione
2

3. PENETRATION TEST IN MODALITÀ BLACK BOX
 Il Servizio prevede una verifica dello stato di sicurezza di uno dei servizi esposti su rete
pubblica. I test saranno svolti dagli specialisti Eris Consulting utilizzando la metodologia di
Ethical Hacking, simulando la condizione di un hacker o un utente malevolo esterno, non
autorizzato ad accedere al portale ed alla rete; saranno simulati attacchi informatici non
distruttivi portati avanti utilizzando strumenti e conoscenze tipici dei criminali informatici, con
la finalità di evidenziare eventuali problematiche di sicurezza.
 Lo scopo dell’attività è l’identificazione di vulnerabilità nei sistemi e nelle applicazioni
sottoposti a verifica, per aggirare i meccanismi di protezione, ottenere accessi non autorizzati
a risorse protette, ecc.; le applicazioni non sono oggetto specifico di VA/PT applicativi ma
potranno essere sfruttate come elemento vulnerabile durante l’esecuzione dei test.
 Il test sarà effettuato senza che vi sia alcuna conoscenza pregressa dell’architettura del
Cliente, (simulando di fatto il comportamento di un qualunque utente malevolo proveniente
dalla rete internet).
 Le attività di verifica saranno eseguite in modalità “light”, per non rischiare la
compromissione dei servizi e in fasce orarie concordate, per non rischiare di bloccare
l’operatività aziendale nelle fasce orarie più critiche.
 La finestra temporale durante la quale potrà avvenire l’attacco sarà di una settimana.
 Per svolgere queste attività, sarà necessario che vengano siglati dei documenti che
autorizzino Eris Consulting ad effettuare le attività di cui sopra che, se non autorizzate
preventivamente, sarebbero illegali.
3

4. PENETRATION TEST IN MODALITÀ GREY BOX
 Il servizio ha l’obiettivo di verificare la sicurezza della rete interna, simulando il
comportamento di un utente che utilizza una postazione di lavoro standard (es.
un qualsiasi dipendente o un consulente al quale è stato dato un accesso, anche
minimale) dalla quale verrà verificata la possibilità di accedere a dati e/o a servizi
informativi aziendali ai quali non è autorizzato (es. i dati dell’ufficio del Personale,
della Direzione Generale, ecc..), anche attraverso una escalation di privilegi.
 Per effettuare questo test il Cliente dovrà rendere disponibile una postazione di
lavoro configurata secondo i propri standard aziendali.
 Le attività di verifica saranno eseguite in modalità “light”, per non rischiare la
compromissione dei servizi e in fasce orarie concordate, per non rischiare di
bloccare l’operatività aziendale nelle fasce orarie più critiche.
 Le attività di cui sopra saranno erogate utilizzando la metodologia di etichal
hacking, ovvero la simulazione di attacchi informatici non distruttivi portati avanti
utilizzando strumenti e conoscenze tipici dei criminali informatici, con la finalità di
evidenziare eventuali problematiche di sicurezza.
 Per svolgere queste attività, sarà necessario che vengano siglati dei documenti
che autorizzino Eris Consulting ad effettuare le attività di cui sopra che, se non
autorizzate preventivamente, sarebbero illegali.
4

5. QUICK SECURITY ASSESSMENT
 Il servizio prevede un tentativo di attacco, di tipo non distruttivo alle
tecnologie ed all’organizzazione di uno store; potranno essere
utilizzati strumenti per tentare di accedere alla rete (anche wireless),
alle architetture ad alle applicazioni (es: barriere casse, sistemi di
pagamento,.. ecc.); l’obiettivo è verificare se esista la possibilità di
portare un attacco, dandone l’evidenza, senza di fatto porlo in essere,
per non compromettere o ridurre l’operatività del sito sotto attacco.
 Il servizio potrà comprendere anche tecniche di social engineering,
finalizzati a verificare come reagisce l’organizzazione (l’uomo è l’unico
tipo di vulnerabilità non “patchabile”) in merito alla sicurezza; queste
tecniche si rivolgeranno al personale, utilizzando ascendente,
capacità di persuasione, inganno, millantato credito, convincendoli
che si è qualcuno che non si è, oppure manovrandoli.
 Per svolgere queste attività, sarà necessario che vengano siglati dei
documenti che autorizzino Eris Consulting ad effettuare le attività di
cui sopra che, se non autorizzate preventivamente, sarebbero illegali.
.
5

6. AUTORIZZAZIONI
 Il vincitore dovrà rilasciare una liberatoria firmata;
6

7. FINE
Buon divertimento!
7