Un'analisi tecnica dello strumento che avrà un grande impatto culturale sul futuro del nostro Paese: Programma Il Futuro. Nato da un'idea che ha visto coinvolti Il MIUR, il CINI – Consorzio Interuniversitario Nazionale per l’Informatica - e aziende IT intervenute come sponsor, l'iniziativa ha l’obiettivo di fornire alle scuole una serie di strumenti semplici, divertenti e facilmente accessibili per formare gli studenti ai concetti di base dell'informatica. Il fine ultimo è dunque la formazione sin dalla tenera età del pensiero computazionale. Scopriremo insieme al collega Mario Rossano (responsabile della progettazione software) il perchè di un approccio opensource ad un progetto ad elevata criticità per il sistema Paese.
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
Indipendentemente dalla tipologia di dispositivo utilizzato (mobile/desktop/server), uno dei pre-requisiti fondamentali per una sana gestione dei propri dati è la mitigazione del rischio e la riduzione delle superfici esposte a potenziali attacchi. Il nostro approccio quindi non si limiterà ad una serie di suggerimenti e tecniche da applicare - sia in ambito domestico che enterprise - ma ad un'analisi approfondita di diverse tipologie di attacco ed eventuali contromisure.
abstract:
Panoramica del mondo dei router SoHo dei principali provider Italiani alla scoperta delle loro vulnerabilità,dagli attacchi per ottenere l'accesso alla rete wireless a quelli per reindirizzare il traffico internet e/o modificare la configurazione del router. Analizzeremo poi l'alternativa opensource OpenWrt e le sue potenzialità.
bio:
Raffaele Sommese appassionato di reti e sicurezza informatica,partecipa negli anni ad alcune analisi di sicurezza su router SoHo.Nella vita studia Ingegneria Informatica alla Federico II, ama viaggiare (in treno),è membro del NaLug dal 2009 e si diletta come Sistemista a "tempo perso".
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
Indipendentemente dalla tipologia di dispositivo utilizzato (mobile/desktop/server), uno dei pre-requisiti fondamentali per una sana gestione dei propri dati è la mitigazione del rischio e la riduzione delle superfici esposte a potenziali attacchi. Il nostro approccio quindi non si limiterà ad una serie di suggerimenti e tecniche da applicare - sia in ambito domestico che enterprise - ma ad un'analisi approfondita di diverse tipologie di attacco ed eventuali contromisure.
abstract:
Panoramica del mondo dei router SoHo dei principali provider Italiani alla scoperta delle loro vulnerabilità,dagli attacchi per ottenere l'accesso alla rete wireless a quelli per reindirizzare il traffico internet e/o modificare la configurazione del router. Analizzeremo poi l'alternativa opensource OpenWrt e le sue potenzialità.
bio:
Raffaele Sommese appassionato di reti e sicurezza informatica,partecipa negli anni ad alcune analisi di sicurezza su router SoHo.Nella vita studia Ingegneria Informatica alla Federico II, ama viaggiare (in treno),è membro del NaLug dal 2009 e si diletta come Sistemista a "tempo perso".
Sicurezza e protezione dati su raspberryOrazio Sarno
Questa è una presentazione fatta il 26 Ottobre 2019 in occasione del Linux Day tenuto ad Avellino. Ho cercato di dare le nozioni base di come proteggere i dati e ho mostrato una soluzione semplice basata su Raspberry Pi.
La conferenza ha come obiettivo quello di presentare al pubblico lo stato dell’arte dei Crypto-Malware che crittografano i file di dati di PC e SERVER e ne richiedono un riscatto.
Verrà effettuata una panoramica sulla principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffusi maggiormente in Italia andando ad analizzare le modalità di diffusione e i danni che hanno provocato.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o a contrastarla efficacemente.
Si procederà poi a simulare un attacco reale da Crypto-Malware e su cosa accade se il PC non ha un sistema di protezione in grado di segnalare l’attacco e, di seguito a fronte dello stesso attacco cosa sarebbe accaduto se sul PC / SERVER fosse presente un sistema di protezione euristico-comportamentale in grado, quindi, di segnalare e mitigare gli effetti dell’attacco anche da varianti di nuova generazione quindi non ancora identificabili con il metodo delle firme.
Una presentazione sulle (in)sicurezze delle rete wireless 802.11b, parlando di Wi-Fi, il wardriving e warchalking, cracking della crittografia WEP e WPA e delle tecniche di protezione della proprio rete
Ogni volta che con il nostro computer ci colleghiamo alla Rete, che sia per svolgere attività personali o di lavoro, ci esponiamo al rischio di essere infettati da virus e altri software malevoli oppure che ci vengano carpiti dati per noi molto importanti.
Ma tranquilli, riuscire a proteggersi è possibile e con le soluzioni che trovate qui sarà facile oltre che economico!
Ecco 12 soluzioni free ed Open Source da usare subito!
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
In questo seminario ho simulato un Penetration Test completo partendo dalla fase di raccolta delle informazioni fino ad arrivare alla fase in cui l'attaccante penetra nel sistema e installa una backdoor per rafforzare la propria presenza nel sistema violato.
Durante ogni singola fase mi sono fermato a parlare di essa portando esempi sia teorici che demo pratiche.
Questo seminario nasce con lo scopo di appassionare i ragazzi e soprattutto far conoscere ad essi il mondo della sicurezza informatica rivolta ai test di penetrazione. Questo seminario nasce dall'invito che ho ricevuto da parte dell'istituto G.B. Vaccarini, essendo io stesso, un loro ex studente.
Nata nel 2003, Nethesis si è affermata come uno dei principali attori della scena Open Source italiana, producendo numerose soluzioni ICT particolarmente apprezzate per completezza, flessibilità e prestazioni: Firewall UTM, HotSpot, UC&C, groupware, sistemi VoIP per aziende e callcenter, virtualizzazione, Business continuity, CRM, ECM, IT Monitoring e videosorveglianza.
Nethesis è oggi una struttura solida che ha instaurato relazioni durature con clienti e partner grazie a prodotti ricchi di funzionalità e facili da gestire e all’alta qualità dei servizi erogati quali assistenza, formazione, blog tecnico, FAQ e tutorial online costantemente aggiornati.
Un crescita costante negli anni ha portato Nethesis, in poco tempo, a raggiungere numeri importanti: una rete di oltre 200 rivenditori capillarmente distribuiti sul territorio nazionale e un parco installato, in costante aumento, che ha superato i 10.000 clienti.
Il percorso di sviluppo volto a progettare servizi e prodotti sempre innovativi e l'attento lavoro di ricerca, hanno portato oggi alla nascita del nuovo progetto Open Source NethServer (http://www.nethserver.it), utilizzato come base di tutte le soluzioni Nethesis
Un CMS vulnerabile può permettere a un attaccante di prendere il pieno controllo del sito (Blog, Forum, e-commerce, etc.), fornendo la possibilità di modificare i contenuti, creare e rimuovere utenti e nel caso peggiore ottenere persino il controllo del server su cui è installato. Sempre più aziende ed enti istituzionali adottano questi strumenti, ma quali sono i vantaggi e che livello di sicurezza garantiscono gli attuali CMS? Affronteremo queste tematiche servendoci di metodologie e strumenti automatici di verifica delle vulnerabilità.
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
In questo talk viene analizzata una semplice backdoor realizzata in Python. Il talk procede con l'explotation di una macchina Windows 7 tramite un attacco di Pishing e subito dopo con l'installazione di una backdoor persistence facendo vedere alcune delle funzionalità offerte. Il talk si conclude invitando l'utente a nascondere la propria webcam sensibilizzandolo sull'argomento. Il motivo per cui ho scelto di parlare di questo argomento, ha a che fare con le differenze che sorgono tra software open e software close, dato che nel primo è possibile tramite la lettura e comprensione del codice capire se il sistema ha routine di codice che si comportano come backdoor mentre nel secondo non sappiamo se ne esistono (data l'impossibilità di leggere il codice sorgente) e quindi dal momento che la sicurezza non si è mai basata sulla fiducia del produttore, è importante prevenire (mettendo delle etichette di plastica sulle nostre webcam).
Sicurezza e protezione dati su raspberryOrazio Sarno
Questa è una presentazione fatta il 26 Ottobre 2019 in occasione del Linux Day tenuto ad Avellino. Ho cercato di dare le nozioni base di come proteggere i dati e ho mostrato una soluzione semplice basata su Raspberry Pi.
La conferenza ha come obiettivo quello di presentare al pubblico lo stato dell’arte dei Crypto-Malware che crittografano i file di dati di PC e SERVER e ne richiedono un riscatto.
Verrà effettuata una panoramica sulla principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffusi maggiormente in Italia andando ad analizzare le modalità di diffusione e i danni che hanno provocato.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o a contrastarla efficacemente.
Si procederà poi a simulare un attacco reale da Crypto-Malware e su cosa accade se il PC non ha un sistema di protezione in grado di segnalare l’attacco e, di seguito a fronte dello stesso attacco cosa sarebbe accaduto se sul PC / SERVER fosse presente un sistema di protezione euristico-comportamentale in grado, quindi, di segnalare e mitigare gli effetti dell’attacco anche da varianti di nuova generazione quindi non ancora identificabili con il metodo delle firme.
Una presentazione sulle (in)sicurezze delle rete wireless 802.11b, parlando di Wi-Fi, il wardriving e warchalking, cracking della crittografia WEP e WPA e delle tecniche di protezione della proprio rete
Ogni volta che con il nostro computer ci colleghiamo alla Rete, che sia per svolgere attività personali o di lavoro, ci esponiamo al rischio di essere infettati da virus e altri software malevoli oppure che ci vengano carpiti dati per noi molto importanti.
Ma tranquilli, riuscire a proteggersi è possibile e con le soluzioni che trovate qui sarà facile oltre che economico!
Ecco 12 soluzioni free ed Open Source da usare subito!
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
In questo seminario ho simulato un Penetration Test completo partendo dalla fase di raccolta delle informazioni fino ad arrivare alla fase in cui l'attaccante penetra nel sistema e installa una backdoor per rafforzare la propria presenza nel sistema violato.
Durante ogni singola fase mi sono fermato a parlare di essa portando esempi sia teorici che demo pratiche.
Questo seminario nasce con lo scopo di appassionare i ragazzi e soprattutto far conoscere ad essi il mondo della sicurezza informatica rivolta ai test di penetrazione. Questo seminario nasce dall'invito che ho ricevuto da parte dell'istituto G.B. Vaccarini, essendo io stesso, un loro ex studente.
Nata nel 2003, Nethesis si è affermata come uno dei principali attori della scena Open Source italiana, producendo numerose soluzioni ICT particolarmente apprezzate per completezza, flessibilità e prestazioni: Firewall UTM, HotSpot, UC&C, groupware, sistemi VoIP per aziende e callcenter, virtualizzazione, Business continuity, CRM, ECM, IT Monitoring e videosorveglianza.
Nethesis è oggi una struttura solida che ha instaurato relazioni durature con clienti e partner grazie a prodotti ricchi di funzionalità e facili da gestire e all’alta qualità dei servizi erogati quali assistenza, formazione, blog tecnico, FAQ e tutorial online costantemente aggiornati.
Un crescita costante negli anni ha portato Nethesis, in poco tempo, a raggiungere numeri importanti: una rete di oltre 200 rivenditori capillarmente distribuiti sul territorio nazionale e un parco installato, in costante aumento, che ha superato i 10.000 clienti.
Il percorso di sviluppo volto a progettare servizi e prodotti sempre innovativi e l'attento lavoro di ricerca, hanno portato oggi alla nascita del nuovo progetto Open Source NethServer (http://www.nethserver.it), utilizzato come base di tutte le soluzioni Nethesis
Un CMS vulnerabile può permettere a un attaccante di prendere il pieno controllo del sito (Blog, Forum, e-commerce, etc.), fornendo la possibilità di modificare i contenuti, creare e rimuovere utenti e nel caso peggiore ottenere persino il controllo del server su cui è installato. Sempre più aziende ed enti istituzionali adottano questi strumenti, ma quali sono i vantaggi e che livello di sicurezza garantiscono gli attuali CMS? Affronteremo queste tematiche servendoci di metodologie e strumenti automatici di verifica delle vulnerabilità.
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
In questo talk viene analizzata una semplice backdoor realizzata in Python. Il talk procede con l'explotation di una macchina Windows 7 tramite un attacco di Pishing e subito dopo con l'installazione di una backdoor persistence facendo vedere alcune delle funzionalità offerte. Il talk si conclude invitando l'utente a nascondere la propria webcam sensibilizzandolo sull'argomento. Il motivo per cui ho scelto di parlare di questo argomento, ha a che fare con le differenze che sorgono tra software open e software close, dato che nel primo è possibile tramite la lettura e comprensione del codice capire se il sistema ha routine di codice che si comportano come backdoor mentre nel secondo non sappiamo se ne esistono (data l'impossibilità di leggere il codice sorgente) e quindi dal momento che la sicurezza non si è mai basata sulla fiducia del produttore, è importante prevenire (mettendo delle etichette di plastica sulle nostre webcam).
In Aziende medio grandi, con centinaia di postazioni di lavoro, dispositivi mobile e server in cloud e on premises, la Digital Forensics e soprattutto l’approccio DFIR sono strumenti fondamentali per gestire in efficienza ed efficacia situazioni di incident handling come data breach o violazione dei sistemi, ma anche per la gestione di indagini e investigazioni informatiche aziendali per la tutela del patrimonio aziendale: proprietà intellettuale, protezione dati, dipendenti infedeli, furti di informazioni riservate; inoltre processi e strumenti della DF e della DFIR possono essere usati proficuamente per Audit di sicurezza in ambito ISO, Dlgs 231/01, GDPR, COBIT, etc.. garantendo una raccolta delle prove di tipo "forense".
Velociraptor e AWX Ansible due strumenti open molto diversi che si usano in ambito corporate per eseguire indagini informatiche e raccogliere prove su larga scala con modalità forensi.
Set up and management of an integrated information system on Linux.Andrea Marchetti
ITA: Configurazione e gestione, su piattaforma Linux, di un sistema informativo integrato.
The goal is to configure a Linux Server to host a Web Server capable to run Java based applications in a Windows 2000 domain (using Samba protocols).
The main purpose of this server in the company is to offer an environment to a multi platform test of Java Web Based applications developed by Gruppo Servizi and for file sharing.
Set up and management of an integrated information system on Linux.Andrea Marchetti
ITA: Configurazione e gestione, su piattaforma Linux, di un sistema informativo integrato.
The goal is to configure a Linux Server to host a Web Server capable to run Java based applications in a Windows 2000 domain (using Samba protocols).
The main purpose of this server in the company is to offer an environment to a multi platform test of Java Web Based applications developed by Gruppo Servizi and for file sharing.
1. Programma Il Futuro: una scelta open source
di
Marco Ferrigno Mario Rossano
SysAdmin & IT Security Manager Web and Software Engineering
Declaimer: attualmente lo stato del progetto è da definirsi in beta pubblica, pertanto gli autori si riservano dal rivelare attuali
dettagli critici e future implementazioni
2. il pensiero computazionale
Il pensiero computazionale è un processo mentale per cui tramite
competenze logiche si acquisisce la capacità di risolvere
problemi in modo creativo ed efficiente.
Programma Il Futuro: una scelta open source
3. uno strumento per domarli tutti:
programmailfuturo.it
Nasce come piattaforma di supporto alla versione italiana del portale code.org, progetto –
quest'ultimo – made in USA che ha visto nel 2013 la partecipazione di circa 40 milioni di studenti e
insegnanti di tutto il mondo.
Dal portale sono fruibili i seguenti servizi:
Indicazioni sulla finalità del progetto
Iscrizione come insegnante di scuola statale
Iscrizione come insegnante di scuola paritaria
Iscrizione per studenti
Iscrizione per altre tipologie di utenti
Lezioni interattive
Lezioni “senza rete”
Forum di supporto
Programma Il Futuro: una scelta open source
4. programmailfuturo.it
- ipotesi di carico -
Al di là del fine e prima ancora della tecnica, giusto qualche specifica dimensionale:
~7.000.000 di studenti
~650.000 insegnanti
~400.000 accessi distribuiti (ipotesi di picco nella settimana Hour of Code, 8-14 dicembre 2014)
…
~60.000.000 di abitanti
Programma Il Futuro: una scelta open source
5. programmailfuturo.it in cloud server
L'infrastruttura cloud server è realizzata su macchine
multiprocessore multicore ridondate N+1, con SAN ad
alta disponibilità . L'elevato tasso di scalabilità
permette di aggiungere server di varia potenza e
natura ed assemblare delle infrastrutture complesse e
dinamiche, anche stand-alone: web server, db server,
load balancer, firewall etc ...
Programma Il Futuro: una scelta open source
6. il cloud server su carta
users users users
application
operating system
virtual Infrastructure
server farm
app
os
vm
app
os
vm
virtual machine
n+1
7. cloud server: i dettagli sono
importanti
Server farm e virtual infrastructure – punti di forza:
KVM (Kernel-based Virtual Machine)
SAN in multipath
Firewall ridondante
Switch in fault-tolerance e load-balancing
Programma Il Futuro: una scelta open source
8. cloud server: i dettagli sono
importanti
users
app
os
vm
Programma Il Futuro: una scelta open source
guest os
quemu
host os kvm
user space
kernel space
MVC
object user
9. Debian GNU/Linux | basic services
(L)AMP2
#Linux
Apache
MySQL
PHP
Perl
CMS
Joomla
Object user
controller
Crypt::FNA
Kunena
Security
layer
Monitoring
services
layer
Intrusion detection system
Monitor and
backup
configuration
layer
Smtp server
Bug tracking
system
Backup system
10. operating system layers
Debian GNU/Linux | basic services
Strumenti di compilazione e sviluppo: gcc, make, libc6 ...
ntp, ntpdate
ssh
ftp / sftp
Programma Il Futuro: una scelta open source
I am root
11. (l)amp layer
Programma Il Futuro: una scelta open source
2
(L)AMP2
#Linux
Apache
MySQL
PHP
Perl
libapache2-mod-php5
...
phpmyadmin (via https con .htaccess)
Data::Dumper
Try::Tiny
FastCGI
Net::SMTP
Net::SMTP:SSL
WWW::Mechanize
LWP::UserAgent
Crypt::FNA
12. security layer
Security
layer
IDS
Backup
Programma Il Futuro: una scelta open source
Monitor and
backup
configuration
layer
Lynis: scanner di vulnerabilità
Rkhunter: anti rootkit
ClamAV
cosa c'è di più comodo di un antivirus
opensource messo in cron ed eseguibile,
magari per una diversa esigenza, stand-alone
da riga di comando?
Una serie di layers a correlazione stretta!
13. intrusion detection system layer
- un po' di letteratura informatica: ids~=ips (intrusion prevention system) -
Fail2ban: è un software per la prevenzione delle intrusioni scritto in Python.
E’ in grado di girare su sistemi POSIX che hanno un interfaccia ed un sistema di controllo
dei pacchetti o firewall installato localmente (per esempio, iptables o TCP Wrapper).
La funzione principale di Fail2ban è quella di bloccare gli indirizzi IP selezionati che potrebbero
appartenere a dei computers che stanno tentando di violare la sicurezza del sistema.
Determina i server che devono essere bloccati da un controllo dei file di log
(per esempio /var/log/pwdfail, /var/log/auth.log, etc) e proibisce l’accesso dagli IP
degli host che hanno troppi tentativi di accesso indesiderato o esegue altre azioni in un arco di tempo
definito dall’amministratore.
Portsentry: è un attack detection tool il cui compito consiste nella rilevazione di scansioni
e nella risposta a tali scansioni.
ATTENZIONE: effettua un bind verso ogni porta che monitorizza e di conseguenza offre la visione
ad un attaccante che vi sia una moltitudine di open ports disponibili ad un exploit sulla macchina vittima.
Snort: è un software opensource con funzione di ids.
Si pone come efficiente contromisura ad attività di footprinting e scansione da parte di un attacker,
identificando quindi accessi non autorizzati.
Programma Il Futuro: una scelta open source
14. monitoring & co
Programma Il Futuro: una scelta open source
Security
layer
IDS
Backup
Monitor and
backup
configuration
layer
Backup configuration layer
etckeeper
Questo software e’ una collezione di
script bash che consentono di tenere
sotto controllo tramite un sistema di
revisione distribuito la nostra
directory /etc, dove sono appunto
presenti i file di configurazione della
maggior parte dei nostri servizi in
Linux.
bzr
un software di controllo versione a cui
etckeeper si appoggia
15. monitoring & co
Programma Il Futuro: una scelta open source
Monitoring services layer
munin
erogatore di grafici e statistiche tramite
interfaccia web
monit
è un programma gratuito e open source per
la gestione e il monitoraggio di processi,
file, directory e file system su un sistema
UNIX. Monit effettua la manutenzione e la
riparazione automatica e può eseguire
azioni significative in situazioni di errore.
logcheck
è una semplice utility che è progettata per
consentire ad un amministratore di sistema
di visualizzare i file di log che si realizzano
su macchine sotto il proprio controllo.
Lo fa, attraverso una sintesi dei log
mandati tramite email, filtrando prima le
voci “normali” presenti nei log.
Monitoring
services
layer
….
….
16. sistema di registrazione utenti
Preventiva importazione dati MIUR nel database MySQL
Step 1
Form di registrazione con struttura a nodi - logica condizionale
Popolamento select scuole statali tramite AJAX
Controllo inserimento dati con jQuery
Invio dati all'object user del CMS
Hook nel controller dell'object user
Salvataggio password utente tramite Crypt::FNA su MySQL
Invio mail all'utente con token di autenticazione
Programma Il Futuro: una scelta open source
17. sistema di registrazione utenti
Preventiva importazione dati MIUR nel database MySQL
Step 2
Utente riceve mail con url (token di autenticazione)
Passaggio token all'object user del CMS
Hook nel controller dell'object user
Verifica token
Recupero password utente tramite Crypt::FNA su MySQL
Invocazione bridge in Perl verso Code.org ed HourOfCode.com
Programma Il Futuro: una scelta open source
18. il bridge verso code.org ed
hourofcode.com
CMS
Joomla
Object user
controller
Crypt::FNA
Programma Il Futuro: una scelta open source
19. Ed ora un po' di code...
Perl Import XLSX data into MySQL→ http://pastebin.com/6RxQHeMu
PHP - Javascript AJAX System - part ONE → http://pastebin.com/KLG2CNkH
PHP - Javascript AJAX System - part TWO → http://pastebin.com/rNgCg8Sz
PHP - Javascript AJAX System - part THREE → http://pastebin.com/y4uDc1EY
PHP hack Controller Object User → http://pastebin.com/j47eP3CM
Perl signUp bridge to Code.org → http://pastebin.com/2yke0TE2
Perl Crypt::FNA service → http://pastebin.com/qygfZzRf
Programma Il Futuro: una scelta open source
20. programmailfuturo.it: security alert
… che forse ci avrebbero creato qualche problema ...
shellshock (23 settembre 2014)
un bug di sicurezza trovato in bash, un programma di shell di comando comunemente utilizzato
su sistemi UNIX-like.
Il bug in questione è una vulnerabilità legata all’esecuzione di codice in modalità remota, o
RCE.
L’attaccante è in grado di ingannare bash e “forzarlo” ad eseguire codice arbitrario sulla macchina
target. Ufficialmente, il bug è documentato come CVE20146271
e CVE20147169.
poodle (13 ottobre 2014)
(Padding Oracle On Downgraded Legacy Encryption) è un tipo di attacco alle connessioni https
in grado di rubare informazioni sensibili, incluse, teoricamente, le password degli account.
L’attacco si basa su una vulnerabilità di SSLv3, RFC6101, un protocollo del novembre 1996
poco sicuro che fa parte del gruppo di protocolli di scambio dati previsti da https e da tutti i
protocolli che usano TLS, come IMAPS, POP3S, SMTP con STARTTLS, etc ...
Programma Il Futuro: una scelta open source
21. un passo indietro ...
siege -b -c 300 -r 3 <<url>>
Transactions: 4300 hits
Availability: 99.08 %
Elapsed time: 57.81 secs
Data transferred: 1.42 MB
Response time: 2.75 secs
Transaction rate: 74.38 trans/sec
Throughput: 0.02 MB/sec
Concurrency: 204.26
Successful transactions: 4354
Failed transactions: 40
Longest transaction: 31.46
Shortest transaction: 0.08
siege -b -c 1023 -r 3 <<url>>
siege aborted due to excessive socket failure; you
can change the failure threshold in $HOME/.siegerc
Transactions: 1500 hits
Availability: 45.29 %
Elapsed time: 94.60 secs
Data transferred: 0.86 MB
Response time: 11.47 secs
Transaction rate: 15.86 trans/sec
Throughput: 0.01 MB/sec
Concurrency: 181.90
Successful transactions: 2629
Failed transactions: 1812
Longest transaction: 40.05
Shortest transaction: 0.00
Programma Il Futuro: una scelta open source
22. ringraziamenti
programmailfuturo.it
direzione didattica:
- Prof. Giorgio Ventre | CINI - Università degli Studi di Napoli Federico II
direzione dei lavori:
- Prof. Enrico Nardelli | CINI - Università degli Studi di Roma Tor Vergata
Comitato tecnico-scientifico MIUR
Linux Day Napoli 2014
- INAF OACN
- NaLUG team
Programma Il Futuro: una scelta open source
23. contatti
Marco Ferrigno @marco_ferrigno
- Researcher and consultant in
computer security and systems
engineering
- ICTFF (International Cyber Threat
Task Force) Member
- NaLUG (Napoli Linux Users Group)
Member
- Developer of the Italian Debian
GNU/Linux HowTos
- http://marcoferrigno.wordpress.com/
- marcoferrigno@cryptolab.net
Programma Il Futuro: una scelta open source
Mario Rossano @anakthewolf
- Cryptographic research
- CPAN (Comprehensive Perl
Archive Network) Author
- Perl.it Member
- NaLUG (Napoli Linux Users
Group) Member
- Application dev/Analyst
- CEO Netlogica
- software@netlogica.it
- anak@cpan-org