Cybersecurity e Vulnerabilita' dei sistemi SCADAiDIALOGHI
First presented at "IBM Safety & Security Workshop for Energy & Utilities" in Milan Sept. 2011, the presentation describes the growing cybersecurity threats menacing SCADA / DCS systems worldwide.
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
Cybersecurity e Vulnerabilita' dei sistemi SCADAiDIALOGHI
First presented at "IBM Safety & Security Workshop for Energy & Utilities" in Milan Sept. 2011, the presentation describes the growing cybersecurity threats menacing SCADA / DCS systems worldwide.
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
Corso di sicurezza informatica scritto per Vicenza Software. Qua il link per l'iscrizione: http://corsi.vicenzasoftware.com/tutti-i-corsi/corso/sicurezza-informatica/category_pathway-13.html
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
Intervento di Enzo Veiluva, CSI Piemonte, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
CCI 2019 - SQL Injection - Black Hat Vs White Hatwalk2talk srl
Knock Knock?
Who's There?
'OR 1=1; /*
<door opens>
SQL Injection mantiene inalterata la prima posizione nella OWASP Top 10.
Scopriamo cos'è e come mitigarla.
By Mirko Strozzi
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
Corso di sicurezza informatica scritto per Vicenza Software. Qua il link per l'iscrizione: http://corsi.vicenzasoftware.com/tutti-i-corsi/corso/sicurezza-informatica/category_pathway-13.html
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
Intervento di Enzo Veiluva, CSI Piemonte, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
CCI 2019 - SQL Injection - Black Hat Vs White Hatwalk2talk srl
Knock Knock?
Who's There?
'OR 1=1; /*
<door opens>
SQL Injection mantiene inalterata la prima posizione nella OWASP Top 10.
Scopriamo cos'è e come mitigarla.
By Mirko Strozzi
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
Presentazione tenuta all'ICT Security Forum 2013 concernente le minacce ai dati sensibili aziendali e alcune possibili strategie di protezione che cercano di superare i limiti delle soluzioni tecnologiche ormai consolidate.
La sicurezza informatica negli uffici, in particolare negli studi legali, dalla sicurezza fisica alla sicurezza dei sistemi.
Un'introduzione ai concetti della sicurezza informatica nell'utilizzo dei sistemi informativi di tutti i giorni.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
Emerasoft e Sonatype presentano il webinar gratuito che illustra lo stato dell’arte sulla Software Security… e il tuo Software è sicuro? Contattaci per scoprirlo (sales@emerasoft.com)
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
La sicurezza delle informazioni nell’era del Web 2.0hantex
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi
Isab informatica strategie di Cyber SecurityVilma Pozzi
Occorre che ogni azienda studi una propria «Strategia di Cyber-Security» e Isab Informatica dispone delle competenze esperienze e specialisti certificati che possono aiutare il Cliente ad organizzare, integrare e consolidare la difesa dei propri asset aziendali.
Cyber Security Threats for Healthcare
Author: Pierguido Iezzi
Abstract: La digital evolution del mondo sanitario deve affrontare i vecchi e i nuovi rischi del Cybercrime. I nuovi cyberattack sono multidisciplinari e interdisciplinari. Una combinazione di Hardware Hacking associate a metodologie di Mobile & IOT Hack con phishing. Quali sono i rischi per il mondo Sanitario? Scopriamo insieme cosa ci aspetta il futuro prossimo per poter definire le corrette strategie di difesa e di gestione della CyberSecurity in ambito Healthcare.
https://www.swascan.com
Il 2016, in Italia, è partito veramente male per le aziende che vengono continuamente bersagliate dai cosiddetti “Criminali del web”. Solo in provincia di Vicenza le aziende che sono state vittima di ransomware sono circa 250. I danni per molte aziende sono stati ingenti, quelle non organizzate e strutturate con sistemi di protezione, sistemi di backup e/o disaster recovery hanno avuto la peggio perdendo i dati, mentre le organizzazioni che avevano già da tempo dato importanza alla “Sicurezza Informatica” si sono limitate a qualche ora di fermo per poter avviare e portare a termine i vari piani di Disaster Recovery.
Purtroppo questi fenomeni e queste tipologie di attacchi stanno diventando sempre più numerosi e potenti, grazie al fatto che, nel mondo del “Dark Web”, si trovano spesso i cosiddetti “Distributori di ransomware”, che arruolano nelle proprie organizzazioni criminali chiunque sia in cerca di soldi facili: vendono dei kit a pochi soldi, naturalmente si fanno pagare in Bitcoin (moneta virtuale) aumentando così la rete e l'area di distribuzione. Le soluzioni “fai da te” non hanno portato buoni risultati; ho visto negli ultimi mesi aziende che avevano sistemi di backup e soluzioni antivirus che comunque sono state attaccate da queste tipologie di virus perdendo dati e backup. Alcuni, ad esempio, avevano i dispositivi su cui venivano depositati i backup connessi ai computer e/o server e privi di sistemi di protezione adeguati. Voglio ricordare che i ransomware si espandono sul PC infettato e su tutti i dispositivi collegati (Dischi USB, Pen Drive, sistemi di Storage, NAS, e quant’altro), ripeto, privi di sistemi di protezione adeguati.
Intervento a cura di Andrea Ceresoni, Responsabile Cybersecurity, nel corso dell'evento "Completiamo insieme il sistema operativo del Paese", organizzato a Roma il 2 luglio 2019 dal Team per la Trasformazione Digitale per condividere visione, strumenti e obiettivi del processo di digitalizzazione, con i partner tecnologici della Pubblica Amministrazione.
A seguire intervento di Stefano Orciari (Reply).
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazione professionale: gamification e apprendimento continuo
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots: nemici o alleati dei business game? 5 requisiti di un “buon” business game di marketing strategico, potenzialmente integrabile proprio con strumenti di IA, come antidoto alla crescente disabitudine al problem solving e al pensiero critico, al lavoro di gruppo e all'orientamento strategico
2. Ogni organizzazione che utilizzi sistemi ICT è soggetta
ad un grado di rischio, che è valutabile e conoscibile.
Per poter portare alla luce i rischi cyber
dell’organizzazione è importante rilevare e –
successivamente adottare strategie di contenimento – le
vulnerabilità esistenti.
2
3. Lavorare per rafforzare la sicurezza della rete nelle
organizzazioni, richiede di avere una solida conoscenza
dei processi, delle metodologie e degli strumenti
necessari per valutare le vulnerabilità.
Attraverso la scansione delle vulnerabilità,
accenneremo qui agli aspetti essenziali da conoscere per
trovare e affrontare i punti deboli che gli aggressori
potrebbero sfruttare.
3
4. Chi è AIPSI
4
AIPSI, Associazione Italiana
Professionisti Sicurezza
Informatica, capitolo Italiano di
ISSA, Information Systems Security
Association, (www.issa.org) conta
>>10.000 Soci ed è la più grande
associazione non-profit di
professionisti della Sicurezza ICT
nel mondo.
AIPSI è il punto di aggregazione
sul territorio e di trasferimento di
know-how per i professionisti della
sicurezza digitale, sia dipendenti
sia liberi professionisti ed
imprenditori del settore.
5. Obiettivi primari di AIPSI
5
Aiutare i propri Soci nella crescita
professionale e quindi nella
crescita del loro business;
Rapporti con altri soci a livello
nazionale (AIPSI) ed internazionale
(ISSA);
Contribuire alla diffusione della
cultura e alla sensibilizzazione per
la sicurezza digitale;
Collaborazione con numerosi Enti e
Associazioni per eventi ed iniziative
congiunte;
6. Obiettivi primari di AIPSI
6
Offrire ai propri Soci servizi
qualificati per tale crescita, che
includono:
Rapporti annuali e specifici OAD,
Osservatorio Attacchi Digitali in
Italia: https://www.oadweb.it;
Convegni, workshop, webinar
sia a livello nazionale che
internazionale via ISSA;
Supporto, formazione specializzata
alle certificazioni, in particolare
eCF Plus (EN 16234 -1:2016, in
Italia UNI 11506).
Supporto nell’intero ciclo di vita
professionale;
7. 7
Chi sono
Ho iniziato la mia carriera occupandomi di
ICT nel settore editoriale per diversi anni,
per poi gestire per un breve periodo
l’ufficio comunicazione di Gardaland S.p.A.
Nel 1996 ho fondato con un socio Fine
Tuning Consulenza Integrata, web solution
agency di Verona. Seguono altre iniziative
imprenditoriali quali BSZ Communication,
finetuning.it, Xtrategy, nonché l’ambizioso
progetto Talete per la vendita on line di libri
a tiratura limitata.
8. 8
Chi sono
Nel 2000 avviene l’incontro con GEA
Consulenti Associati e la fondazione di Gea
Lab, società di consulenza e-business.
Nello stesso anno ricevo l’incarico di
dirigere come AD Adria Lab, web solution
company partecipata dalla Merloni
Elettrodomestici, Gea Lab e dall’Università
degli Studi di Ancona. Successivamente
dirigo e poi amministro Nesting Srl, società
di innovazione tecnologica con soci il Cefriel
e la Fondazione di Venezia.
9. 9
Chi è Lisa Bock
Dal 2004 Lisa Bock insegna IT,
dall’informatica legale alla sicurezza della
rete.
Lisa è professore associato presso il
dipartimento di informatica presso il
Pennsylvania College of Technology, a
Williamsport, Pennsylvania. I corsi che ha
insegnato negli ultimi 13 anni coprono tutti
gli aspetti della cyber security.
11. 11
Agenda dell’intervento
VULNERABILITÀ Strumenti e pratiche
Vulnerabilità - cause
Vulnerabilità - identificazione
CVSS
Analisi vulnerabilità in outsourcing
Nikto e altri strumenti
Mobile Security
Lan Security
Conclusioni
12. Termini importanti per la materia di cui ci stiamo
occupando:
Le organizzazioni cercano di sviluppare e
utilizzare buone pratiche di sicurezza per
proteggere le risorse, che sono elementi
tangibili e immateriali a cui è possibile
assegnare un valore. Le risorse materiali
includono qualsiasi cosa tu possa toccare,
come stampanti o computer. Le risorse
immateriali includono segreti
commerciali, database e registri
aziendali. Il rischio è una possibilità che
accada qualcosa di inaspettato ed è una
combinazione di minacce e vulnerabilità.
Il rischio equivale a minacce in relazione
alle vulnerabilità.
Rischi di minacce e vulnerabilità
12
• A ttività
• R isch io
• Min a c c ia
• V u ln erab ilità
13. La minaccia rappresentata dal Lupo che
vuole abbattere le case soffiando è al
100%. Ma diamo un'occhiata ai tre
scenari. Paglia. La vulnerabilità è del 90%
la casa ha una classificazione del rischio
del 90%. Il secondo porcellino ha
costruito la sua casa con i bastoncini,
vulnerabilità al 40%. Quindi il suo rischio
complessivo è del 40%. Tuttavia, il terzo
porcellino ha costruito la sua casa di
mattoni. Ciò significa che aveva una
vulnerabilità dello 0% Pertanto la sua
classificazione del rischio è dello 0%.
Rischi di minacce e vulnerabilità
13
14. Esistono vulnerabilità o punti deboli in molti luoghi
diversi. Alcuni esempi:
Una delle cause delle vulnerabilità è la
complessità. Le organizzazioni di oggi
sono grandi, complesse e hanno molti
vettori di attacco.
Un vettore di attacco è un modo per un
hacker di accedere a un sistema e può
includere software, reti e l'utente. La
rete è anche una potenziale fonte di
vulnerabilità in quanto vi sono molti
dispositivi e interfacce, porte su server
rivolti verso l'esterno come i server di
posta e web nella DMZ.
Cause comuni di vulnerabilità
14
• S o ftware
• S istemi o p erativi
• R eti
• P erso n e
15. La valutazione delle vulnerabilità implica vari
strumenti, tecniche e metodi utilizzati per
identificare e dare priorità alle vulnerabilità
all'interno di un'organizzazione.
Come possiamo capire, la valutazione delle
vulnerabilità implica vari strumenti, tecniche e
metodi utilizzati per identificare e dare priorità alle
vulnerabilità all'interno di un'organizzazione.
La scansione della rete analizza target
sulla rete per rilevare porte aperte,
determinare software, sistemi operativi
e vulnerabilità note.
Ci sono molti approcci che puoi adottare,
ma è importante capire che la rete è
complicata e può essere pensata in due
aree separate, sistemi di informazione e
tecnologia dell'informazione. I sistemi di
informazione sono il lato software.
La tecnologia informatica si riferisce
generalmente al lato hardware, compresi
tutti i computer e i dispositivi di rete
all'interno.
Valutare le vulnerabilità
15
16. Sistema comune di valutazione delle vulnerabilità
Le vulnerabilità sono classificate in base al livello di
gravità, critico, alto, medio e basso, il che ci aiuta a
stabilire le priorità e pianificare quando effettuiamo
la mitigazione della sicurezza. A questa pagina web
della Pubblicazione speciale NIST 800-30. (pagina 78)
possiamo vedere una scala di valutazione.
Il sistema comune di valutazione delle
vulnerabilità è uno standard di settore
che valuta la gravità delle vulnerabilità ed
è utilizzato negli elenchi delle
vulnerabilità e delle esposizioni comuni
per aiutare a stabilire le priorità delle
vulnerabilità. Il sistema di punteggio si
basa su una serie di metriche che
determinano il punteggio complessivo. Le
metriche includono valori per definire
categorie come impatto, sfruttabilità e
ambiente.
Valutare le vulnerabilità
16
17. La valutazione delle vulnerabilità è molto importante,
poiché fa parte di un piano di sicurezza globale.
Ed è generalmente il primo passo per ridurre il rischio
organizzativo complessivo. In alcuni casi, ci sono
regolamenti che richiedono valutazioni di
vulnerabilità. Anche se non sono richiesti, ci sono
diversi vantaggi. L'uso di una terza parte può aiutare
a fornire ulteriori giustificazioni per l'approvazione o il
rifiuto di spendere soldi per la sicurezza. Una volta
che tutti accettano di esternalizzare, si può pensare
alla formazione di un comitato interno per la Cyber
Security.
Identifica un fornitore affidabile ed
esperto.
Assicurati di coinvolgere i responsabili
aziendali e delle unità IT.
Spiega esattamente ciò che stai cercando
in settori chiave, come considerazioni
legali, accordi sul livello di servizio e costi.
La discrezione e la riservatezza sono
estremamente importanti.
Outsourcing nell’analisi delle
vulnerabilità
17
18. Quando conduci un hacking etico, avrai
bisogno di alcuni strumenti. Kali Linux ti
fornisce quasi tutti gli strumenti di cui
potresti aver bisogno.
L’altro sistema utile agli scopi è Parrot
Linux.
Esempi di strumenti
18
• K ali L in u x V M
• H ackerT arg et.co m ,
Op en V as
• N ikto
20. Nikto è uno scanner di vulnerabilità da riga di
comando. Software gratuito che esegue la scansione
dei server Web alla ricerca di file / CGI pericolosi,
software server obsoleti e altri problemi. Esegue
controlli generici e specifici del tipo di server. Cattura
e stampa anche tutti i cookie ricevuti. Il codice Nikto
stesso è un software gratuito, ma i file di dati che
utilizza per guidare il programma non lo sono.
Nikto
20
21. OWASP Mobile Security Project è un gruppo di
ricerca con un portale web di riferimento
(https://www.owasp.org) destinato a fornire agli
sviluppatori e ai team di sicurezza le risorse
necessarie per creare e mantenere applicazioni
mobile sicure.
L’obiettivo principale del progetto è
quello di classificare i rischi di sicurezza
mobile e fornire controlli di sviluppo per
ridurre il loro impatto o probabilità di
sfruttamento.
OWASP Mobile
Security
21
22. M1 - Utilizzo improprio della piattaforma
M2 - Insecure Data Storage
M3 - Comunicazione insicura
M4 - Autenticazione non sicura
M5 - Crittografia insufficiente
M6 - Autorizzazione non sicura
M7 - Qualità del codice cliente
M8 - Manomissione del codice
M9 - Reverse Engineering
M10 - Funzionalità estranee
22
Maggiori rischi
23. Android è stato rilasciato per la prima volta da
Google nel 2008. È basato sul kernel Linux e
tipicamente funziona su un processore ARM.
Google fornisce una piattaforma open source,
ma i singoli produttori di telefoni incorporano
codice proprietario all'interno delle loro
implementazioni. Android non introduce un
modello di sicurezza completamente nuovo, ma
si basa sul modello di sicurezza di Linux con
miglioramenti appropriati per l'ambiente mobile.
Un dispositivo mobile Android è
costituito da una piattaforma hardware,
in cima alla quale è l'implementazione
Android del kernel Linux, e soprattutto,
l'ambiente runtime Android e le librerie.
Sistema operativo
Android
23
24. Un sistema Android, è basato sul kernel
di Linux, ma è diverso nella maggior
parte degli altri aspetti, per cui
un'applicazione Linux non può girare su
Android e un'applicazione Android non
funzionerà su Linux. Android utilizza la
Dalvik Virtual Machine per eseguire
applicazioni scritte in Java e compilare in
bytecode, fornendo chiamate di sistema
tramite le interfacce di programmazione
delle applicazioni Android.
24
Applicazioni preinstallate e installate dall'utente in
genere in Java, quindi eseguite nell'ambiente di
runtime. E utilizzare il framework dell'applicazione
per accedere alle risorse di sistema a livello
utente. Il kernel Linux è la parte centrale del
sistema operativo che media l'accesso alle
risorse di sistema. È responsabile di consentire a
più applicazioni di condividere in modo efficace
l'hardware controllando l'accesso a CPU,
memoria, I / O disco e rete.
Sistema operativo
Android
25. 25
Modello di sicurezza Android
Linux
Il modello di sicurezza
Android prende una
prospettiva diversa da
Linux assumendo che il
limite di affidabilità sia
una singola applicazione
piuttosto che un singolo
utente.
Sandbox
Ambiente sandbox per le
applicazioni e mezzi
espliciti per consentire
interazioni tra l'hardware
mobile, l'utente e
l'applicazione.
Keystore
I keystore possono
essere utilizzati per
proteggere i dati
richiedendo una
password utente per
l'accesso.
25
26. Ci sono dozzine di strumenti per test di sicurezza
per Android. A partire da sistemi di livello
aziendale molto costosi, che dispongono di un
set completo di test automatizzati come fortifica,
a semplici strumenti gratuiti, per testare un
aspetto della sicurezza. L'elenco degli strumenti
sta cambiando ogni giorno, con molti che
diventano obsoleti con il passare del tempo e
molti nuovi appaiono.
Drozer è piuttosto utile, in quanto non ha
bisogno di percorso e può essere
eseguito come un'app normale
utilizzando il proprio bridge. Ho scaricato
e installato la versione di Windows.
KitKat
Ci sono versioni per una varietà di
piattaforme Android, tra cui KitKat,
Marshmallow e Nougat.
Drozer per analizzare
le applicazioni
26
27. Un'applicazione iOS interagisce solo con le
directory all'interno della propria sandbox.
Durante l'installazione, iOS genera un UUID e
crea un numero di directory del contenitore per
l'applicazione all'interno della directory sandbox.
Il contenitore del pacchetto contiene ciò
che è noto come il pacchetto di
applicazioni e il contenitore di dati
contiene i dati di runtime sia per
l'applicazione che per l'utente.
Applicazioni e
vulnerabilità iOS
27
28. A partire da iOS 8, Apple ha introdotto una
modifica alla struttura del file dell'applicazione e
suddivide i dati di un'applicazione dal pacchetto
di applicazioni. Di conseguenza, sono necessarie
alcune indagini per comprendere appieno la
gestione di file e applicazioni. E questo sarebbe
sia la versione del sistema operativo che
l'applicazione specifica.
Info.plist
E’ un file XML di testo semplice che
contiene informazioni di configurazione
essenziali per un file eseguibile in
bundle. E così fornisce una prima
visione delle caratteristiche
dell'applicazione.
Applicazioni e
vulnerabilità iOS
28
29. Il sistema operativo iOS è progettato per essere
sicuro. E il modo in cui Apple gestisce le
applicazioni fornisce ulteriore sicurezza sulla loro
fornitura. La sicurezza in iOS inizia quando
l'utente accende il dispositivo. L'hardware Boot
ROM contiene il codice di sola lettura per avviare
il sistema e la chiave pubblica di Apple.
iBoot verifica l'integrità del kernel prima
di caricarlo. Ciò fornisce un avvio
completamente sicuro attraverso il
kernel, e il resto del sistema operativo
può quindi essere caricato. Il sistema
operativo offre una serie di funzionalità
che possono essere utilizzate dagli
sviluppatori di applicazioni per
proteggere il loro codice.
Protezione applicazioni iOS
in base alla progettazione
29
30. Quando eseguiamo un jailbreak per aprire il
nostro dispositivo di test, non è consigliabile che
il cellulare ritorni al normale utilizzo quotidiano
dopo questo. Naturalmente, una volta che un
dispositivo è in grado di eseguire applicazioni non
firmate da Apple, può eseguire non solo software
per scopi speciali, come ad esempio in fase di
test, ma anche software di cracking, copie illegali
che vengono distribuite attraverso il mercato
nero.
Il test delle applicazioni iPhone richiede
l'accesso come root ad un iPhone;
questo significa rompere il blocco della
sicurezza Apple, un processo chiamato
Jailbreaking.
Estrazione di proprietà e intestazioni di
classe
Esistono due forme di applicazioni iOS:
app crittografate e app non crittografate.
Protezione applicazioni iOS
in base alla progettazione
30
31. Gli aggiornamenti Over-the-air, o OTA, possono
essere utilizzati per inviare aggiornamenti e patch
per software, firmware e sistema operativo in
modalità wireless. Questa tecnologia garantirà
che i tuoi dispositivi mobili siano sempre
aggiornati e al sicuro da vulnerabilità note.
Configurando ciascun dispositivo in
specifici gruppi di programmazione via
etere, gli amministratori di sistema
possono utilizzare la loro soluzione di
gestione dei dispositivi mobili per
distribuire tutti gli aggiornamenti e le
modifiche di configurazione a grandi
porzioni dell'inventario dei dispositivi
mobili contemporaneamente.
Aggiornamenti
over-the-air
31
32. Molte soluzioni di gestione dei dispositivi mobili
offrono ai dipendenti del servizio assistenza
metodi per accedere da remoto a uno
smartphone o un tablet. Ad esempio, se un
venditore è nel campo che ha problemi ad
accedere a una particolare applicazione sul
proprio dispositivo, allora un dipendente del
service desk potrebbe essere in grado di
accedere in remoto al dispositivo e controllarlo
dalla workstation del tecnico.
Accesso remoto
Analogamente ai desktop e laptop
tradizionali, i dispositivi mobili devono
fare affidamento su reti private virtuali o
VPN per accedere alle risorse di rete
dell'organizzazione quando non sono
collegate direttamente alla rete
organizzativa.
Assistenza
e accesso remoto
32