Presentazione tenuta presso il Forum ICT Security 2015 (16/10/2015) relativo alla tematica sicurezza, penetration testing e violazioni della privacy attraverso l'utilizzo di droni.
abstract:
Panoramica del mondo dei router SoHo dei principali provider Italiani alla scoperta delle loro vulnerabilità,dagli attacchi per ottenere l'accesso alla rete wireless a quelli per reindirizzare il traffico internet e/o modificare la configurazione del router. Analizzeremo poi l'alternativa opensource OpenWrt e le sue potenzialità.
bio:
Raffaele Sommese appassionato di reti e sicurezza informatica,partecipa negli anni ad alcune analisi di sicurezza su router SoHo.Nella vita studia Ingegneria Informatica alla Federico II, ama viaggiare (in treno),è membro del NaLug dal 2009 e si diletta come Sistemista a "tempo perso".
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
•Introduzione Black Hat vs White Hat (CEH)
Gli hacker, i cracker, e gli etici, le differenze tra gli esperti di sicurezza reti
•Il problema “umano”
anche un sistema più protetto avrà sempre un limite dato da chi lo utilizza
•Le vulnerabilità odierne, i sistemi e cosa usare per craccare le reti
i maggiori problemi di sicurezza attuali, quali sistemi sono vulnerabili e che sistemi usare per gli attacchi e le difese
•Fingerprinting e Footprinting (google hack e tools online)
i primi step di un attacco sono acquisire informazioni sul target, come farlo in maniera passiva senza essere scoperti
•Social Engineering e Guerrilla Gifting
la più potente di tutte le tecniche: il Social Engineering, cosa è come si usa, esempi pratici e tecniche per farsi "amare" dai bersagli
•Shoulder surfing, Impersonation, Piggybacking
Tecniche di social engineering semplici ma potenti per accedere ad una struttura
•Bucare una rete wifi e contromisure
cosa usare e come fare per bucare una rete wireless
•Wireshark ed altri tool per i penetration test
il tool primario per l'analisi del traffico ed altri tools importanti per capire dove ci troviamo
•Nessus e l’Active Directory Priviledge Escalation
tool di analisi della struttura Microsoft e come fare AD escalation
•Il security patching VS l’unpatched
le patch di sicurezza, i problemi legati al patching e quelli legati all'unpatching
•Il livello della security oggi
il livello della security oggi in Italia a distanzia di 1 anno dalla CCI 2017
•Come diventare Expert di Security oggi
breve vedemecum su come indirizzare la propria carriera lavorativa sulla security
By Alessandro Vannini
This document is a resume for Ashly Bolton. It summarizes her professional experience including 10 years of military leadership experience leading over 500 personnel. She has extensive training and qualifications in leadership development, training, organizational development, and customer service management. Her objective is seeking a leadership position where she can utilize her skills in training, teaching, mentoring and coaching. She has held various roles in the military such as an artillery field manager, maintenance control manager, and senior army instructor. She also has private sector experience as a bank teller and director of a multi-level marketing company.
The Purdue CCOCenter for Career Opportunities provides various career development services and resources to Purdue students and alumni. These include career counseling, resume and cover letter reviews, mock interviews, job search assistance, and networking opportunities. Students are encouraged to create an account on the myCCO website to access internship and job postings, apply for opportunities, and sign up for events. The document outlines recommended activities and services for students each year, such as exploring majors and careers as a freshman, gaining experience through internships as a junior, and networking as a senior. Graduate students are also offered tailored resources for their job searches.
This summarizes a document describing the use of the Torch deep learning framework and convolutional neural networks to solve the Domineering game. It involves:
1) Generating training data for the neural network using Monte Carlo simulations of random Domineering games.
2) Loading the training data into Torch tensors.
3) Defining and implementing a convolutional neural network in Torch to take board configurations as input and output the best next move.
4) Training the neural network on the data for 1000 iterations using criteria and stochastic gradient descent optimization to minimize error between predictions and targets.
abstract:
Panoramica del mondo dei router SoHo dei principali provider Italiani alla scoperta delle loro vulnerabilità,dagli attacchi per ottenere l'accesso alla rete wireless a quelli per reindirizzare il traffico internet e/o modificare la configurazione del router. Analizzeremo poi l'alternativa opensource OpenWrt e le sue potenzialità.
bio:
Raffaele Sommese appassionato di reti e sicurezza informatica,partecipa negli anni ad alcune analisi di sicurezza su router SoHo.Nella vita studia Ingegneria Informatica alla Federico II, ama viaggiare (in treno),è membro del NaLug dal 2009 e si diletta come Sistemista a "tempo perso".
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
•Introduzione Black Hat vs White Hat (CEH)
Gli hacker, i cracker, e gli etici, le differenze tra gli esperti di sicurezza reti
•Il problema “umano”
anche un sistema più protetto avrà sempre un limite dato da chi lo utilizza
•Le vulnerabilità odierne, i sistemi e cosa usare per craccare le reti
i maggiori problemi di sicurezza attuali, quali sistemi sono vulnerabili e che sistemi usare per gli attacchi e le difese
•Fingerprinting e Footprinting (google hack e tools online)
i primi step di un attacco sono acquisire informazioni sul target, come farlo in maniera passiva senza essere scoperti
•Social Engineering e Guerrilla Gifting
la più potente di tutte le tecniche: il Social Engineering, cosa è come si usa, esempi pratici e tecniche per farsi "amare" dai bersagli
•Shoulder surfing, Impersonation, Piggybacking
Tecniche di social engineering semplici ma potenti per accedere ad una struttura
•Bucare una rete wifi e contromisure
cosa usare e come fare per bucare una rete wireless
•Wireshark ed altri tool per i penetration test
il tool primario per l'analisi del traffico ed altri tools importanti per capire dove ci troviamo
•Nessus e l’Active Directory Priviledge Escalation
tool di analisi della struttura Microsoft e come fare AD escalation
•Il security patching VS l’unpatched
le patch di sicurezza, i problemi legati al patching e quelli legati all'unpatching
•Il livello della security oggi
il livello della security oggi in Italia a distanzia di 1 anno dalla CCI 2017
•Come diventare Expert di Security oggi
breve vedemecum su come indirizzare la propria carriera lavorativa sulla security
By Alessandro Vannini
This document is a resume for Ashly Bolton. It summarizes her professional experience including 10 years of military leadership experience leading over 500 personnel. She has extensive training and qualifications in leadership development, training, organizational development, and customer service management. Her objective is seeking a leadership position where she can utilize her skills in training, teaching, mentoring and coaching. She has held various roles in the military such as an artillery field manager, maintenance control manager, and senior army instructor. She also has private sector experience as a bank teller and director of a multi-level marketing company.
The Purdue CCOCenter for Career Opportunities provides various career development services and resources to Purdue students and alumni. These include career counseling, resume and cover letter reviews, mock interviews, job search assistance, and networking opportunities. Students are encouraged to create an account on the myCCO website to access internship and job postings, apply for opportunities, and sign up for events. The document outlines recommended activities and services for students each year, such as exploring majors and careers as a freshman, gaining experience through internships as a junior, and networking as a senior. Graduate students are also offered tailored resources for their job searches.
This summarizes a document describing the use of the Torch deep learning framework and convolutional neural networks to solve the Domineering game. It involves:
1) Generating training data for the neural network using Monte Carlo simulations of random Domineering games.
2) Loading the training data into Torch tensors.
3) Defining and implementing a convolutional neural network in Torch to take board configurations as input and output the best next move.
4) Training the neural network on the data for 1000 iterations using criteria and stochastic gradient descent optimization to minimize error between predictions and targets.
L’utilizzo crescente dei droni, che implicazioni sulla privacyAndrea Praitano
Presentazione tenuta al TECHNOLOGY for ALL 2015 nell'ambito della sessione La sicurezza delle informazioni nell’era dello “Urban Cyber Space” per conto della Commissione Sicurezza Informatica dell'Ordine degli Ingegneri di Roma
Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...HTLaw
Slides dell'intervento su droni, diritto penale e tutela della privacy, tenuto dall'Avv. Marco Tullio Giordano al Convegno Annuale di Informatica Giuridica organizzato dal Dipartimento di Giurisprudenza dell'Università degli Studi di Pavia, in collaborazione con il Collegio Ghislieri ed il Tech&Law Center di Milano, dal titolo “Vostro onore, io sono il frigo!” – L’IoT alla sbarra… (Problemi tecnico-giuridici con gli oggetti intelligenti)
Oggetti connessi alla rete che hanno raggiunto cifre davvero ragguardevoli e come tali da tenere in seria considerazione per quanto riguarda aspetti di privacy e sicurezza.
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...Andrea Praitano
Seminario introduttivo tenuto presso l'Ordine degli ingegneri di Macerata relativo alle Misure Minime AgID per la Pubblica Amministrazione, come queste sono state redatte e come si possono andare ad applicare. Inoltre è stata presentata una possibile correlazione con il nuovo framework sulla protezione dei dati (GDPR) e con la Direttiva NIS
More Related Content
Similar to Impatto dell’utilizzo dei droni sulla sicurezza e sulla privacy
L’utilizzo crescente dei droni, che implicazioni sulla privacyAndrea Praitano
Presentazione tenuta al TECHNOLOGY for ALL 2015 nell'ambito della sessione La sicurezza delle informazioni nell’era dello “Urban Cyber Space” per conto della Commissione Sicurezza Informatica dell'Ordine degli Ingegneri di Roma
Avv. Marco Tullio Giordano - Dal Selfie al Dronie. Gli Unmanned Aerial Vehicl...HTLaw
Slides dell'intervento su droni, diritto penale e tutela della privacy, tenuto dall'Avv. Marco Tullio Giordano al Convegno Annuale di Informatica Giuridica organizzato dal Dipartimento di Giurisprudenza dell'Università degli Studi di Pavia, in collaborazione con il Collegio Ghislieri ed il Tech&Law Center di Milano, dal titolo “Vostro onore, io sono il frigo!” – L’IoT alla sbarra… (Problemi tecnico-giuridici con gli oggetti intelligenti)
Oggetti connessi alla rete che hanno raggiunto cifre davvero ragguardevoli e come tali da tenere in seria considerazione per quanto riguarda aspetti di privacy e sicurezza.
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...Andrea Praitano
Seminario introduttivo tenuto presso l'Ordine degli ingegneri di Macerata relativo alle Misure Minime AgID per la Pubblica Amministrazione, come queste sono state redatte e come si possono andare ad applicare. Inoltre è stata presentata una possibile correlazione con il nuovo framework sulla protezione dei dati (GDPR) e con la Direttiva NIS
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...Andrea Praitano
Seminario tenuto presso l'Ordine degli Ingegneri di Macerata finalizzato a presentare un'introduzione al nuovo framework europeo sulla protezione dei dati e privacy.
How to protect the common heritage sites with limited impact in the surveillance? A dynamic and not invasive surveillance system through the use of drones and other tools from military knowledge.
2017 07-10 - proposta di regolamento e privacy v2Andrea Praitano
Presentazione tenuta presso il seminario di ISAC Roma relativa alla proposta di Regolamento ePrivacy che andrà a sostituire la Direttiva 2002/58/EC e relativa ai servizi over the top.
Intervento tenuto insieme a Luigi Buglione e Maxime Sottini alla conferenza annuale di itSMF Italia del 2011 relativo alle novità della revisione di ITIL.
Intervento relativo alla fase di Continual Service Improvement tenuto all'interno del tutorial organizzato da itSMF Italia relativo alla nuova versione di ITIL (26/11/2011)
Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical H...Andrea Praitano
Presentazione tenuta presso il Security Summit del 2011 e relativa all'inquadramento delle attività di Etical Hacking come problem management proattivo.
Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical H...
Impatto dell’utilizzo dei droni sulla sicurezza e sulla privacy
1. Impatto dell’utilizzo dei Droni sulla sicurezza e
sulla privacy
Ing. Andrea Praitano
eMBA, CISA, CRISC, LA ISO 27001, ITIL, PRINCE2, Green IT
2. Information security e privacy consultant e trainer
freelance
Andrea Praitano, chi sono?
pag. 2
TRAINER
ACCREDITATION:
MA ANCHE …..
3. ■ Il punto di vista della sicurezza;
■ I droni, che cosa sono e che usi se ne può fare;
■ Quali Droni consideriamo;
■ Come funzionano i Droni;
■ Esempi:
■ Hacking by a Drone
■ Haking a Drone;
■ Conclusioni.
pag. 3
5. Il punto di vista della sicurezza (1/2)
5
O più correttamente vedere le cose
attraverso un background di sicurezza o come
attaccante
6. Il punto di vista della sicurezza (2/2)
pag. 6
”La sicurezza richiede una particolare mentalità. I professionisti della
sicurezza - almeno quelli buoni - vedono il mondo in modo diverso. Non
possono entrare in un negozio senza accorgersi di come si potrebbe
rubare. Non possono utilizzare un computer senza chiedersi le
vulnerabilità di sicurezza. Non possono farne a meno!„
The Security Mindset
Posted on March 25, 2008 at 5:27 AM
www.schneier.com
Citazione da Bruce Schneier (security guru)
8. Cosa sono i Droni?
pag. 8
Articolo 743 del Codice della Navigazione “Nozione di aeromobile”
“Per aeromobile si intende ogni macchina destinata al trasporto per aria di persone o
cose. Sono altresì considerati aeromobili i mezzi aerei a pilotaggio remoto, definiti
come tali dalle leggi speciali, dai regolamenti dell’ENAC e, per quelli militari, dai
decreti del Ministero della Difesa. Le distinzioni degli aeromobili, secondo le loro
caratteristiche tecniche e secondo il loro impiego, sono stabilite dall'ENAC con propri
regolamenti e, comunque, dalla normativa speciale in materia”.
9. Mezzi aerei a pilotaggio remoto che non siano giocattoli per
«bambini» e quelli che sono ad uso militare o ad uso delle forze di
polizia.
Quindi, che Droni prendiamo in considerazione?
pag. 9
I primi li escludiamo perché sono dei
dispositivi che hanno una portata
limitata sia in termini di distanza che
possono raggiungere sia in termini di
peso che possono portare.
I secondi li escludiamo perché seguono regole
particolari. Si rammenta, ad es., il fatto che telecamere
di sorveglianza ad uso privato devono essere segnalate
mentre telecamere utilizzate dalla polizia per controllo
di manifestazione, eventi o altro non devono essere
segnalate secondo le stesse modalità.
10. Cosa notate nei Droni?
10
?
Giroscopio
GPS
Wi Fi
Return to Home
2,4 – 5,8 GHz
11. Considerazioni sui Droni
11
Il problema non è sulla finalità per cui nascono i droni ma l’uso,
non standard, per cui essi possono essere utilizzati.
Aereo senza pilota ad uso civile. Raggio d’azione 400 km, tempo di volo 8h. Prezzo 60.000 €
12. Perché possono violare la sicurezza?
Minacce:
■ Possono volare in First Person View (FPV)
■ Possono volare secondo un tragitto di
volo predefinito
■ Possono volare seguendo un oggetto
■ Possono portare fotocamere o
videocamere
■ I dispositivi possono essere anche HD
■ Possono registrare foto, video, suoni e/o
dati su schede locali
■ Possono trasmettere in streaming a terra
■ Hanno una portata che può anche essere
di oltre 1Km
■ Possono superare le normali «barriere»
poste in luoghi privati o aziendali
■ Possono portare altri dispositivi quali
microfoni, telecamere termiche,
telecamere a visione notturna, antenne
WiFi, armi, ecc.
Limiti:
■ Hanno una capacità di volo limitata (5 ÷
25’)
■ Sono rumorosi
■ Trasmettono su frequenze standard per il
comando
■ Trasmettono su frequenze standard per la
trasmissione dati
■ Sono «informaticamente» poco evoluti
■ Dipendono da sensori per il volo (GPS,
giroscopi, ecc.)
■ Possono necessitare di più persone per
volare e fare altre cose (ad es. riprese
video)
pag. 12
19. Attack – macro processo
Information
Gathering
Planning
attack
Attack Post attack
Si effettua una raccolta
di informazioni
relativamente al sistema,
organizzazione o altro da
“attaccare”
Si pianifica l’attacco
che verrà svolto Si esegue l’attacco in
modalità singolo
attaccante o pluri-
attaccante
Attività post attacco
21. Attack
21
Beh, qui la cosa si
può fare
interessante
?
Nessuna novità ma
nuove modalità di
eseguire tipologie di
attacco già esistenti e
rendere fattibili alcuni
22. Esempio 1: Car hacking (1/2)
22
In-vehicle network
Wireless network
23. Esempio 1: Car hacking (2/2)
23
10 ÷ 100 m
(x 2)
A 10 km/h di media per fare
200 m ci si impiega poco
più di 1’
E’ fattibile un attacco reale in meno di 2’ complessivi?
Range connessioni wireless
Seguendo l’auto con un Drone che fa
da ponte posso avere il tempo
effettivo per rendere l‘attacco
fattibile
24. Esempio 2: attacchi ai WiFi
24
L’hacker deve trovarsi in determinati posti da cui
accedere al WiFi o impersonare l’AP
Utilizzando un drone
come ponte tutto
cambia
26. Come ci difendiamo dai Droni?
26
Meno «violenti»
Dotando il
personale di
sicurezza fisica
di appositi
strumenti di
difesa?
Più «violenti» Oppure?
27. Caratteristiche di un Drone (alcune)
Parrot P7 dual-core CPU; Quad-core GPU
8GB of flash memory
Top horizontal speed: ̴45mph
OS: Run on Linux with SDK
2 dual-band WiFi antennas
Integrated GNSS type GPS chip/Glonass
Operates on both 2.4 GHz and 5 GHz MIMO
frequencies
Generates its own WiFi 802.11 network
Optional skycontroller (2km range)
Lost connectivity: If the connection between
the smartphone/controller and the drone is
lost, the drone will return to its starting point
automatically after 30’’ of disconnection
27Tratto da: Knocking my neighborr’s kid’s cruddy drone offline (DefCon-23 Michael Robinson)
v
28. Facendo un NMAP?
28
Flying Wireless Access Point
Default name: BebopDrone-######
IP Address: 192.168.42.1
Subnet Mask: 255.255.255.0
DHCP Enabled
Security: Open
MAC addrss: a0:14:3d:##:##:##
WiFi channel: 9
Port State Service
21/tcp open ftp
23/tcp open telnet
51/tcp open la-maint
44444/tcp open unknown
Tratto da: Knocking my neighborr’s kid’s cruddy drone offline (DefCon-23 Michael Robinson)
29. Con l’FTP?
29Tratto da: Knocking my neighborr’s kid’s cruddy drone offline (DefCon-23 Michael Robinson)
30. Con il telnet?
30Tratto da: Knocking my neighborr’s kid’s cruddy drone offline (DefCon-23 Michael Robinson)
31. Utilizzo delle onde per confondere i giroscopi
31
A livello teorico è un
metodo fattibile. In
pratica oggi non ci sono
«cannoni» a onde civili
adeguati ad abbattere un
Drone.
Nota: ci sono state sperimentazioni di abbattimenti di Droni con
onde, però l’emettitore era localizzato sul Drone stesso.
33. Che conclusioni possiamo trarre?
■ Relativamente ai Droni:
■ sono degli oggetti oggi molto accessibili
■ la regolamentazione oggi sul tema è bassa
■ sono «informaticamente» immaturi come tecnologia
■ hanno sistemi e connessioni multo vulnerabili
■ sono degli oggetti che di per se non creano nuovi attacchi ma cambiano
«le carte in tavola» per delle tipologie di attacco già esistenti
■ Relativamente alle organizzazioni:
■ le protezioni di difesa fisica perimetrale possono non essere sufficienti
■ non possono trascurare scenari di attacco che utilizzano i Droni
■ è necessario conoscere le nuove tecnologie e sperimentarle in prima
persona per poterle valutare in modo efficace
■ devono difendersi dai Droni ma in modo intelligente e senza creare
situazioni di pericolo
33
34. Ing. Andrea Praitano, eMBA, CISA, CRISC, LA ISO
27001, ITIL, PRINCE2, Green ICT
andrea.praitano@business-e.it
@apraitano
+39 348 4054673
it.linkedin.com/in/andreapraitano/
34