La metodologia Getting Things Done (GTD) è ben nota e usata (intera o a pezzi…) da tanti. Vogliamo parlare di un aspetto specifico, l'uso di to-do list multiple e un'organizzazione che consente di lavorare senza diventare matti con clienti molto diversi con esigenze spesso in contrasto.
IBM Verse è la piattaforma collaborativa cloud che opera come un “assistente intelligente” in grado di capire le tue esigenze ed individuare le priorità, aiutandoti ad ottimizzare il tuo tempo, il tuo lavoro e quello del tuo network.
La metodologia Getting Things Done (GTD) è ben nota e usata (intera o a pezzi…) da tanti. Vogliamo parlare di un aspetto specifico, l'uso di to-do list multiple e un'organizzazione che consente di lavorare senza diventare matti con clienti molto diversi con esigenze spesso in contrasto.
IBM Verse è la piattaforma collaborativa cloud che opera come un “assistente intelligente” in grado di capire le tue esigenze ed individuare le priorità, aiutandoti ad ottimizzare il tuo tempo, il tuo lavoro e quello del tuo network.
Standards WakeUp: XHTML, CSS, Accessibilità e SemanticaSimone Onofri
Il World Wide Web Consortium (W3C), insieme con altri gruppi e organismi di standardizzazione, ha fondato le tecnologie per la creazione e interpretazione di contenuti basati sul Web. Queste tecnologie, che noi chiamiamo “standard del Web”, sono accuratamente progettate per offrire tutti i vantaggi del Web al maggior numero di utenti e, nello stesso tempo, per assicurare lunga vita a qualsiasi documento pubblicato sul Web. L'intervento, proposto al RomeCamp 2007, riassume a grandi linee tali Standard e il loro utilizzo. Da XHTML a CSS, dall'UTF-8 a ECMAscript, dalle etichette ICRA ai metadati.
Talk I gave at Google on 10.07.2007. See http://climbtothestars.org/archives/2007/07/10/talk-languages-on-the-internet-at-google-tomorrow/ -- slightly modified version of the one I gave at reboot.
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difeseSimone Onofri
"For the first time web application vulnerabilities have reached 50 per cent of all code flaws reported" - IBM X-Force Threat Report
L'X-force Threats Report ogni sei mesi riporta i trend dell’IT Security. Nell’edizione di Agosto 2010, oltre al Phishing e all’exploiting dei PDF, conferma che il 50% delle vulnerabilità si trova nelle applicazioni web. Che l’applicazione sia open source o closed source, creata da uno sviluppatore freelance o da una azienda di una qualsiasi dimensione, bisogna considerare tutti i fattori di rischio e impatto in caso di compromissione e conoscere i metodi più pratici ed economici per risolvere o mitigare le vulnerabilità.
Durante il talk, dopo una breve introduzione sulla sicurezza delle applicazioni web, vedremo - con alcuni esempi pratici e in maniera semplice - come attaccare, come difendersi e quali sono i rischi che corriamo con i 10 rischi più frequenti nel 2010 secondo l’OWASP: dalle Injection (di SQL o LDAP...) ai Redirect, passando per le XSS e CSRF e molto altro.
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Simone Onofri
After web 1.0 and web 2.0, web3 has arrived! After a brief introduction, where we will look at the evolution of the web and what has changed as far as security is concerned, we will dive into blockchain to understand how to attack Smart Contracts on Ethereum, how these intersect with more classic vulnerabilities, and what are the main vulnerabilities we can find in contracts written in Solidity.
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deploymentSimone Onofri
This presentation dives deep into the security of Ethereum Smart Contracts written in Solidity, shedding light on common vulnerabilities. Inspired by the newly released OWASP Blockchain Top 10, the presentation will focus on famous vulnerabilities by examples.
After a brief introduction to Ethereum Blockchain and Solidity, the presentation will describe a systematic approach that includes source code analysis, dissecting real-world incidents, reverse-engineer the code of attacked contracts to reveal their inner workings, and use some vulnerable contracts to demonstrate these vulnerabilities interactively and engagingly, providing a practical understanding of issues such as Reentrancy, Arithmetic vulnerabilities, DoS attacks, and insecure randomness.
This talk aims to equip developers, security analysts, and blockchain enthusiasts with the knowledge to build more secure smart contracts. By understanding these security risks, participants will be better prepared to anticipate, identify, and mitigate potential threats, fostering a safer web3 environment.
Standards WakeUp: XHTML, CSS, Accessibilità e SemanticaSimone Onofri
Il World Wide Web Consortium (W3C), insieme con altri gruppi e organismi di standardizzazione, ha fondato le tecnologie per la creazione e interpretazione di contenuti basati sul Web. Queste tecnologie, che noi chiamiamo “standard del Web”, sono accuratamente progettate per offrire tutti i vantaggi del Web al maggior numero di utenti e, nello stesso tempo, per assicurare lunga vita a qualsiasi documento pubblicato sul Web. L'intervento, proposto al RomeCamp 2007, riassume a grandi linee tali Standard e il loro utilizzo. Da XHTML a CSS, dall'UTF-8 a ECMAscript, dalle etichette ICRA ai metadati.
Talk I gave at Google on 10.07.2007. See http://climbtothestars.org/archives/2007/07/10/talk-languages-on-the-internet-at-google-tomorrow/ -- slightly modified version of the one I gave at reboot.
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difeseSimone Onofri
"For the first time web application vulnerabilities have reached 50 per cent of all code flaws reported" - IBM X-Force Threat Report
L'X-force Threats Report ogni sei mesi riporta i trend dell’IT Security. Nell’edizione di Agosto 2010, oltre al Phishing e all’exploiting dei PDF, conferma che il 50% delle vulnerabilità si trova nelle applicazioni web. Che l’applicazione sia open source o closed source, creata da uno sviluppatore freelance o da una azienda di una qualsiasi dimensione, bisogna considerare tutti i fattori di rischio e impatto in caso di compromissione e conoscere i metodi più pratici ed economici per risolvere o mitigare le vulnerabilità.
Durante il talk, dopo una breve introduzione sulla sicurezza delle applicazioni web, vedremo - con alcuni esempi pratici e in maniera semplice - come attaccare, come difendersi e quali sono i rischi che corriamo con i 10 rischi più frequenti nel 2010 secondo l’OWASP: dalle Injection (di SQL o LDAP...) ai Redirect, passando per le XSS e CSRF e molto altro.
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Simone Onofri
After web 1.0 and web 2.0, web3 has arrived! After a brief introduction, where we will look at the evolution of the web and what has changed as far as security is concerned, we will dive into blockchain to understand how to attack Smart Contracts on Ethereum, how these intersect with more classic vulnerabilities, and what are the main vulnerabilities we can find in contracts written in Solidity.
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deploymentSimone Onofri
This presentation dives deep into the security of Ethereum Smart Contracts written in Solidity, shedding light on common vulnerabilities. Inspired by the newly released OWASP Blockchain Top 10, the presentation will focus on famous vulnerabilities by examples.
After a brief introduction to Ethereum Blockchain and Solidity, the presentation will describe a systematic approach that includes source code analysis, dissecting real-world incidents, reverse-engineer the code of attacked contracts to reveal their inner workings, and use some vulnerable contracts to demonstrate these vulnerabilities interactively and engagingly, providing a practical understanding of issues such as Reentrancy, Arithmetic vulnerabilities, DoS attacks, and insecure randomness.
This talk aims to equip developers, security analysts, and blockchain enthusiasts with the knowledge to build more secure smart contracts. By understanding these security risks, participants will be better prepared to anticipate, identify, and mitigate potential threats, fostering a safer web3 environment.
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...Simone Onofri
Agile è una filosofia e un modo di lavorare particolarmente adatto al mondo attuale dove i cambiamenti sono all'ordine del giorno. E' possibile capire a fondo i principi di Agile Project Management giocando, attraverso LEGO SERIOUS PLAY.
Workshop su Agile Project Framework e Agile PM per il PMI®-NIC Branch Lombardia. Cosa è Agile, l'Agile Project Framework e Agile Project Management e le tecniche MoScoW e il Timeboxing. Come si struttura un Team Agile.
Agile nei servizi di cyber security (Security Summit Edition)Simone Onofri
Nello scenario attuale Agile è una delle carte vincenti per offrire ai propri Clienti servizi di Cyber Security che generano il loro valore in poco tempo. Durante lo speech, dopo una breve introduzione, sarà descritta - tramite esempi e casi reali - la metodologia utilizzata in un contesto internazionale per i progetti di Security Testing ed Ethical Hacking.
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
L'interesse per la Sicurezza delle Informazioni e della Sicurezza IT è in continua crescita. In un mondo dove l'informazione è una risorsa chiave della nostra vita lavorativa e non, la protezione delle informazioni e delle varie tecnologie che la gestiscono sono aspetti fondamentali. Dai tempi di "How to became a Hacker" e dell"Hacker's Manifesto", molti hacker diventano un consulenti che aiutano le organizzazione private e/o pubbliche Un mondo con diverse sfumature di grigio, questioni etiche e morali. Grazie anche all'influeza di film come Wargames o Matrix e telefilm come Mr. Robot, in molti sono interessati ad essere Security Consultant, Penetration Tester, Security Researcher (che non sono esattamente la stessa cosa). Il talk è una riflessione per destreggiarsi e ragionare su domande tipiche come: quali certificazioni? Quali corsi? Quali sono le competenze? L'approccio da usare? La strada da percorrere?
Penetration Testing con Python - Network SnifferSimone Onofri
Una nota massima dice che "se ascolto dimentico, se vedo ricordo, se faccio capisco", il "fare", come lo scrivere codice e non usare strumenti già pronti è la chiave per essere un buon Penetration Tester. Non è un caso che Chris Miller dice che "la differenza stra uno script kiddies e i professionisti è la mera differenza tra chi usa strumenti di altri o i propri" Ovviamente questo presuppone una profonda conoscenza di quello che si sta facendo - una tecnica di attacco particolare, i protocolli utilizzati, dei sistemi, delle aplicazioni e così via. Quindi scrivere i propri strumenti è un modo di imparare realmente quello che accade sotto al "motore" di altri strumenti e come funzionano gli attacchi. Durante il talk vedremo in particolare i raw socket su linux e come scrivere uno sniffer.
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
La Cyber Security è una problematica sempre più attuale. Il problema non è tanto capire SE ci sarà un attacco ma COME sarà eseguito e quindi COSA fare per difenderci. Che siamo singole persone, piccoli imprenditori, grandi aziende o Pubbliche Amministrazioni siamo sempre dei bersagli. Anche un attacco da un costo esiguo può portare ingenti perdite e impatti disastrosi. Come prevenire questi attacchi e, se accadono, come possiamo reagire per limitare il danno?
Dopo una breve descrizione delle ultime tendenze in fatto di Cyber Crime saranno analizzati diversi casi reali come quello di Sony - dove sono stati rubati 100 Terabyte di dati tra cui 5 film inediti e i dati dei dipendenti che hanno dovuto loro stessi reagire a questo attacco - e di Carbanak - dove è stato stimato un furto dai 500 milioni di euro a circa 1 miliardo - per comprendere come sarebbe stato possibile prevenire o limitare i danni. Una sezione sarà dedicata alla problematica del Phishing che diventa sempre più difficile da identificare e che spesso è il primo passo verso una compromissione persistente (Advanced Persistent Threat - APT).
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaSimone Onofri
E’ da poco stata pubblicata la nuova versione della OWASP Testing Guide che – nella versione 4 – aggiorna, amplia e completa la versione precedente. Comprende inoltre tre paragrafi specifici per i test dei Cross Site Scripting e altri che comprendono impatti simili. Non è un caso che nella TOP 10 2013 troviamo il Cross Site Scripting al terzo posto. Durante il talk ci focalizzeremo sul Cross Site Scripting e quali sono i vari metodi di attacco e difesa di questa vulneraiblità che – spesso sottovalutata – può portare anche al defacement di un sito web.