(in)Sicurezza nella PA: la storia di uno dei tanti problemi di sicurezza che abbiamo scoperto e segnalato, esempi pratici di vulnerabilità in applicativi web e cosa ci riserva il futuro. Lo sviluppo sicuro delle applicazioni web spiegato ai fornitori di tecnologia della Pubblica Amministrazione.
Un altro building block del Framework 3.0 si chiama CardSpace ed ha l'ambizione di risolvere uno dei problemi più ricorrenti della quasi totalità delle applicazioni sia internet sia intranet: l'autenticazione utente.
I problemi correlati all'autenticazione sono di diversa natura: da una parte la difficoltà dell'utente nel gestire elenchi di username e password, dall'altra la sempre crescente necessità di evitare l'hacking delle password, o ancora la tipologia di informazioni che un utente vuole rivelare di sé a seconda del contesto, fino ad essere anche un semplice utente anonimo; ed infine la necessità di contemplare autorità di autenticazioni differenti a seconda del contesto.
Se nel passato Passport ha fallito la sua missione, CardSpace affronta in modo totalmente differente il problema rendendosi fruibile cross-browser e cross-platform per costruire un sistema universale di identificazione nel pieno rispetto della privacy.
(in)Sicurezza nella PA: la storia di uno dei tanti problemi di sicurezza che abbiamo scoperto e segnalato, esempi pratici di vulnerabilità in applicativi web e cosa ci riserva il futuro. Lo sviluppo sicuro delle applicazioni web spiegato ai fornitori di tecnologia della Pubblica Amministrazione.
Un altro building block del Framework 3.0 si chiama CardSpace ed ha l'ambizione di risolvere uno dei problemi più ricorrenti della quasi totalità delle applicazioni sia internet sia intranet: l'autenticazione utente.
I problemi correlati all'autenticazione sono di diversa natura: da una parte la difficoltà dell'utente nel gestire elenchi di username e password, dall'altra la sempre crescente necessità di evitare l'hacking delle password, o ancora la tipologia di informazioni che un utente vuole rivelare di sé a seconda del contesto, fino ad essere anche un semplice utente anonimo; ed infine la necessità di contemplare autorità di autenticazioni differenti a seconda del contesto.
Se nel passato Passport ha fallito la sua missione, CardSpace affronta in modo totalmente differente il problema rendendosi fruibile cross-browser e cross-platform per costruire un sistema universale di identificazione nel pieno rispetto della privacy.
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...walk2talk srl
Negli ultimi anni la sicurezza informatica è diventata una delle principali componenti delle moderne infrastrutture informatiche.
Per rendere sicura un'infrastruttura informatica occorre un'attenta analisi dell'attuali minacce informatiche e della loro possibile evoluzione e l'applicazione delle best practices per la protezione e il monitoraggio.
Nella sessione verrà anche analizzato come Windows Server 2016 e Microsoft Advanced Threat Analytics può aiutarci nell'hardening dell'infrastruttura.
Per richiedere accesso al canale contenente le registrazioni audio/video delle sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
La posta elettronica è di fatto lo strumento con il quale le organizzazioni comunicano al di fuori dei loro firewall e se non adeguatamente protette, l’e-mail possono rendere vulnerabile tutta l'infrastruttura aziendale. Per molte aziende la sfida e’ implementare un sistema di posta elettronica protetta che rispetti tutte le normative ed è di facile integrazione con tutti i sistemi aziendali gia’ esistenti.
La presentazione di Antonio Ronca, tecnologo Indire, alla seconda giornata nazionale per i referenti della formazione Neoassunti 2015/2016 organizzata a Napoli il 10 marzo 2016.
Molte aziende hanno costruito negli anni sistemi informatici complessi che gestiscono i processi interni e i processi di gestione i clienti/fornitori. Con il cambiamento delle abitudini dei consumatori quello che una volta si faceva intermediato da un agente, commesso o addetto che usava il sistema gestionale per rispondere alla richiesta del cliente ora si fa in modalità self service semplicemente con uno smartphone, il cliente si aspetta di essere autonomo nel rapporto con l’azienda. L’esperienza che ci si aspetta come consumatore è quella che si vive usando piattaforma native digitali come ad esempio Netflix e Spotify. Il problema è che la maggior parte delle aziende non è partita nativamente digitale e non è possibile azzerare tutto e ripartire da capo senza correre rischi di business continuity importanti che vedono milioni di clienti coinvolti e impatti significativi a livello economico in caso di down. Se non è possibile ripartire da zero, quindi come fare? Una risposta è un approccio graduale di evoluzione architetturale e tecnologica dove Kubernetes, e il suo ecosistema, giocano un ruolo chiave. In questa presentazione vedremo i tre principi cardine sulla quale si basa questa strategia: API as a Product; architetture evolutive; fast data con pattern CQRS; che si uniscono per creare una strategia di Modernizzazione delle Applicazioni utilizzando i componenti dell’ecosistema del landscape CNCF (https://landscape.cncf.io). Da qui capiremo quali siano i benefici nel breve, medio e lungo termine e quali passi iniziare a fare per avviare questa strategia.
HTML5 è lo standard futuro per lo sviluppo di applicazioni web e mobile che aggiunge molte funzionalità e potenzialità rispetto l'(X)HTML tradizionale. Se per gli sviluppatori sono aumentate le possibilità, In ambito Security aumenta la superficie attaccabile in particolare per gli attacchi lato client. Il talk si pone l'obiettivo di descrivere i nuovi vettori di attacco che insistono sulle API e funzionalità di HTML5.
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
Realizzare un’unica piattaforma che garantisce Omni-channel, Zero-downtime, Functional-decomposition e Auto-scaling è possibile? Vi raccontiamo un caso reale di come, utilizzando Zuul, Eureka, SpringBoot, Docker abbiamo realizzato i desideri del cliente e attuato questa trasformazione.
Hackers vs. Developers: HTML5 Security by Simone OnofriCodemotion
HTML5 è lo standard futuro per lo sviluppo di applicazioni web e mobile che aggiunge molte funzionalità e potenzialità rispetto l’(X)HTML tradizionale.
Se per gli sviluppatori sono aumentate le possibilità, In ambito Security aumenta la superficie attaccabile in particolare per gli attacchi lato client.
Il talk si pone l’obiettivo di descrivere i nuovi vettori di attacco che insistono sulle API e funzionalità di HTML5.
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPAPar-Tec S.p.A.
In occasione del webinar organizzato con ImpresaCity e One Identity, il TechAdvisor Michelangelo Uberti ha spiegato come proteggere i digital worker e assicurare la conformità normativa nei progetti di Robotic Process Automation.
I punti trattati in questa presentazione sono:
- Identity Governance & Administration (IGA) in a nutshell
- Uomini vs. Digital worker: scova le differenze
- La compliance... a cosa?
- La gestione delle credenziali (per umani)
- La gestione delle credenziali (per digital worker)
- La gestione degli accessi privilegiati
- Gli user behavior analytics
Per saperne di più guardate la registrazione del webinar su https://www.par-tec.it/sicurezza-e-compliance-a-misura-di-rpa
C’è sempre più la necessità di implementare una condizione di sicurezza all’interno di realtà in cui non c’è l’effettiva conoscenza dell’importanza di mantenere sicuri i propri dati, questo spesso avviene mettendo in secondo piano la rilevanza di una metodologia di sicurezza efficiente. Infatti, questa breve guida, serve a poter mettere in atto tutte quelle strategie in grado di limitare il possibile attacco. Mario Mancini.
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...walk2talk srl
Negli ultimi anni la sicurezza informatica è diventata una delle principali componenti delle moderne infrastrutture informatiche.
Per rendere sicura un'infrastruttura informatica occorre un'attenta analisi dell'attuali minacce informatiche e della loro possibile evoluzione e l'applicazione delle best practices per la protezione e il monitoraggio.
Nella sessione verrà anche analizzato come Windows Server 2016 e Microsoft Advanced Threat Analytics può aiutarci nell'hardening dell'infrastruttura.
Per richiedere accesso al canale contenente le registrazioni audio/video delle sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
La posta elettronica è di fatto lo strumento con il quale le organizzazioni comunicano al di fuori dei loro firewall e se non adeguatamente protette, l’e-mail possono rendere vulnerabile tutta l'infrastruttura aziendale. Per molte aziende la sfida e’ implementare un sistema di posta elettronica protetta che rispetti tutte le normative ed è di facile integrazione con tutti i sistemi aziendali gia’ esistenti.
La presentazione di Antonio Ronca, tecnologo Indire, alla seconda giornata nazionale per i referenti della formazione Neoassunti 2015/2016 organizzata a Napoli il 10 marzo 2016.
Molte aziende hanno costruito negli anni sistemi informatici complessi che gestiscono i processi interni e i processi di gestione i clienti/fornitori. Con il cambiamento delle abitudini dei consumatori quello che una volta si faceva intermediato da un agente, commesso o addetto che usava il sistema gestionale per rispondere alla richiesta del cliente ora si fa in modalità self service semplicemente con uno smartphone, il cliente si aspetta di essere autonomo nel rapporto con l’azienda. L’esperienza che ci si aspetta come consumatore è quella che si vive usando piattaforma native digitali come ad esempio Netflix e Spotify. Il problema è che la maggior parte delle aziende non è partita nativamente digitale e non è possibile azzerare tutto e ripartire da capo senza correre rischi di business continuity importanti che vedono milioni di clienti coinvolti e impatti significativi a livello economico in caso di down. Se non è possibile ripartire da zero, quindi come fare? Una risposta è un approccio graduale di evoluzione architetturale e tecnologica dove Kubernetes, e il suo ecosistema, giocano un ruolo chiave. In questa presentazione vedremo i tre principi cardine sulla quale si basa questa strategia: API as a Product; architetture evolutive; fast data con pattern CQRS; che si uniscono per creare una strategia di Modernizzazione delle Applicazioni utilizzando i componenti dell’ecosistema del landscape CNCF (https://landscape.cncf.io). Da qui capiremo quali siano i benefici nel breve, medio e lungo termine e quali passi iniziare a fare per avviare questa strategia.
HTML5 è lo standard futuro per lo sviluppo di applicazioni web e mobile che aggiunge molte funzionalità e potenzialità rispetto l'(X)HTML tradizionale. Se per gli sviluppatori sono aumentate le possibilità, In ambito Security aumenta la superficie attaccabile in particolare per gli attacchi lato client. Il talk si pone l'obiettivo di descrivere i nuovi vettori di attacco che insistono sulle API e funzionalità di HTML5.
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
Realizzare un’unica piattaforma che garantisce Omni-channel, Zero-downtime, Functional-decomposition e Auto-scaling è possibile? Vi raccontiamo un caso reale di come, utilizzando Zuul, Eureka, SpringBoot, Docker abbiamo realizzato i desideri del cliente e attuato questa trasformazione.
Hackers vs. Developers: HTML5 Security by Simone OnofriCodemotion
HTML5 è lo standard futuro per lo sviluppo di applicazioni web e mobile che aggiunge molte funzionalità e potenzialità rispetto l’(X)HTML tradizionale.
Se per gli sviluppatori sono aumentate le possibilità, In ambito Security aumenta la superficie attaccabile in particolare per gli attacchi lato client.
Il talk si pone l’obiettivo di descrivere i nuovi vettori di attacco che insistono sulle API e funzionalità di HTML5.
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPAPar-Tec S.p.A.
In occasione del webinar organizzato con ImpresaCity e One Identity, il TechAdvisor Michelangelo Uberti ha spiegato come proteggere i digital worker e assicurare la conformità normativa nei progetti di Robotic Process Automation.
I punti trattati in questa presentazione sono:
- Identity Governance & Administration (IGA) in a nutshell
- Uomini vs. Digital worker: scova le differenze
- La compliance... a cosa?
- La gestione delle credenziali (per umani)
- La gestione delle credenziali (per digital worker)
- La gestione degli accessi privilegiati
- Gli user behavior analytics
Per saperne di più guardate la registrazione del webinar su https://www.par-tec.it/sicurezza-e-compliance-a-misura-di-rpa
C’è sempre più la necessità di implementare una condizione di sicurezza all’interno di realtà in cui non c’è l’effettiva conoscenza dell’importanza di mantenere sicuri i propri dati, questo spesso avviene mettendo in secondo piano la rilevanza di una metodologia di sicurezza efficiente. Infatti, questa breve guida, serve a poter mettere in atto tutte quelle strategie in grado di limitare il possibile attacco. Mario Mancini.
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
7. Cosa può compromettere il servizio di SSO?
comportamento
malevolo
errore
umano
indisponibilità
fonte dati
disastro
8. Errore umano
Vanno intraprese tutte le
strategie per minimizzarlo, ma il
rischio non potrà mai essere
azzerato
Occorre dotarsi di strumenti che
consentano di mitigare l'impatto di un
errore umano:
Git come sorgente delle
configurazioni (tracking changes,
version control)
(*) https://www.gocd.org/
Automazione degli update
mediante pipeline (*)
16. Accesso malevolo:
Tentativi ripetuti di login finalizzati a scoprire la password
Attivazione account lockout su ldap (1)
• PRO: controllo centralizzato, non aggirabile
• CONTRO:
• elevato rischio di subire DOS o sabotaggi verso utenti mirati
• non efficace su altre fonti dati (Active Directory, DB)
(1) https://linux.die.net/man/5/slapo-ppolicy
Adottare tecniche di IP ban (2)
• PRO: mette al riparo anche rispetto ad altre tipologiedi attacco
• CONTRO:
• elevato rischio di subire DOS
• configurazione non banale
(2) https://phoenixnap.com/kb/apache-mod-evasive
17. Accesso malevolo:
Tentativi ripetuti di login finalizzati a scoprire la password
Adozione di un captcha nella pagina di login
• PRO: sempliceda implementare
• CONTRO:
• peggioramento dell'esperienza utente
• alcune soluzioni sono a pagamento
18. Accesso malevolo:
Tentativi ripetuti di login finalizzati a scoprire la password
Account lockout Shibboleth (*)
• CARATTERISTICHE:
• Strategia di lockout di default basata sullacoppia username/
indirizzo IP
• Possibilitàdi definire altre politiche custom
• Basato sugli storageServicenativi di Shibboleth IDP (inMemory,
DB, ecc)
(*) https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631611/PasswordAuthnConfiguration#Advanced-Features
19. Accesso malevolo:
Tentativi ripetuti di login finalizzati a scoprire la password
(*) https://shibboleth.net/sites/release/java-identity-provider/4.1.0/idp-authn-impl/apidocs/net/shibboleth/idp/authn/impl/StorageBackedAccountLockoutManager.html
Nome Parametro Significato
counterInterval intervallotemporaledopo il qualeil contatoreviene resettato
maxAttempts numero massimo di tentativifallitinellafinestra temporale
lockoutDuration duratadel lockout per la coppiausername/IP
extendLockoutDuration estensione del lockoutDuration nel caso persistano i tentativi
duranteil periodo di lockout
Account lockout Shibboleth - Parametri di configurazione(*)
20. Accesso malevolo:
Tentativi ripetuti di login finalizzati a scoprire la password
Account lockout Shibboleth - Come si attiva:
Basta aggiungere questo bean al file conf/global.xml
<bean id="shibboleth.authn.Password.AccountLockoutManager"
parent="shibboleth.StorageBackedAccountLockoutManager"
p:maxAttempts="5"
p:counterInterval="PT5M"
p:lockoutDuration="PT5M"
p:extendLockoutDuration="false" />
21. Accesso malevolo:
Tentativi ripetuti di login finalizzati a scoprire la password
Account lockout Shibboleth - Funzionamento:
2023-02-07 16:57:23,591 - INFO
[net.shibboleth.idp.authn.impl.StorageBackedAccountLockoutManager:255] -
[127.0.0.1] - Lockout threshold reached for 'sbadato@cineca.it!127.0.0.1',
invalid count is 5
2023-02-07 16:57:23,591 - INFO
[net.shibboleth.idp.authn.impl.ValidateCredentials:172] - [127.0.0.1] -
Profile Action ValidateCredentials: Account locked out, aborting
authentication
22. Accesso malevolo:
Tentativi ripetuti di login finalizzati a scoprire la password
Account lockout Shibboleth
• PRO:
• Sempliceda attivare
• Efficace su tutte le fonti di autenticazione(LDAP, AD, DataBase)
• CONTRO:
• Complicato definire politiche di lockout alternative
(documentazionecarente)
• Non protegge le applicazioni che fanno bind direttamente su
LDAP
23. Accesso malevolo:
La password è stata scoperta / trafugata
Attivazione 2FA basata su TOTP
• Supportata nativamente su Shibboleth IDP v4 (*)
• Secret (cifrato) su LDAP gestito tramite attribute-resolver
https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/1376878877/TOTP
<AttributeDefinition xsi:type="Decrypted" dataSealerRef="totp.DataSealer" id="ateneoTokenSeed">
<InputDataConnector ref="myLDAP" attributeNames="ateneoTokenSeed" />
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.16983.300.1.10.1" friendlyName="ateneoTokenSeed" />
</AttributeDefinition>
E' necessarioimplementare un sistema
di enrollment degli utenti e di gestione
del seed
24. Cosa può compromettere il servizio di SSO?
comportamento
malevolo
errore
umano
disastro
indisponibilità
fonte dati
27. Indisponibilità fonte dati:
Connection Timeout Query Timeout
• Facilmente calcolabile
• Indipendente dalla tipologiadi fonte dati
• Indipendente dal carico sullafonte dati stessa
• Dipendente dalla tipologiadi fonte dati
• Dipendente dal carico sullafonte dati stessa
TO DO: minimizzare TO DO: fare tuning
28. Esempio: LDAP in cascata
Indisponibilità fonte dati:
ldapURL = ldaps://ldap1:636 ldaps://ldap2:636 ldaps://ldap3:636
I timeout si sommano!!
se ok SOLO ldap3 si DEVE attendere Timeout ldap1 e ldap2
ldapURL = ldaps://ldapproxy123:636
ldap1
ldap3
ldap2
ldapproxy123
29. Esempio2: indisponibilità AD e Timeout
Indisponibilità fonte dati:
autenticazione
e reperimento
attributi
reperimento
UN SOLO
attributo
AD non raggiungibile
connectionTimeout = 3s
MINIMO 3s per
completare un login
IDP lento per l'utente finale
30. Cosa può compromettere il servizio di SSO?
comportamento
malevolo
errore
umano
disastro
indisponibilità
fonte dati
31. Il disastro:
Application Server down ...
… High availability
<Proxy balancer://idp_cluster>
BalancerMember ajp://idpXX route=*** ping=3 retry=15
BalancerMember ajp://idpXX+1 route=*** route=*** ping=3 status=+H
ProxySet stickysession=JSESSIONID|jsessionid
ProxySet lbmethod=byrequests
</Proxy>
WebServer
idpXX IdpXX+1
WebServer
32. Caso2: Data Center down ...
Il disastro:
… il Global Load Balancing
idpXX IdpXX+1
WebServer
WebServer
myidp.mydc1.mydomain.io
idpYY IdpYY+1
WebServer
WebServer
myidp.mydc2.mydomain.io
myidp.mydomain.io
master to replica
33. Il Global Load Balancing … quali criticità?
Il disastro:
probe efficaci
MA
sicure
• /idp/
• /idp/status
• /idp/profile/admin/resolvertest (*)
(*) https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631852/AACLI
certezza che tutti
gli ambienti siano
allineati
strumento di gestione e
versioning delle
configurazioni
34. Cosa può compromettere il servizio di SSO?
comportamento
malevolo
errore
umano
disastro
indisponibilità
fonte dati