Page 1
Alessio L.R. [email protected]
http://www.alba.st/ Verona, Milano, RomaPhone/Fax +39 045 8271202
Basta Hacker in TV!Come la percezione distorta della realtà influenza
negativamente la nostra capacità di giudizio
Page 2
Alessio L.R. Pennasilico [email protected]
$whois -=mayhem=-
Committed: AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza InformaticaItalian Linux Society, Sikurezza.org, Spippolatori, AIP/OPSI, IISFA
Hacker’s Profiling Project, CrISTAL
2
!
Security Evangelist @
Page 3
Alessio L.R. Pennasilico [email protected]
Non credere a tutto quel che vedi in televisione...
Mia nonna diceva...
3
Page 4
Alessio L.R. Pennasilico [email protected]
La tecnologia dei desideri...
4
Page 5
Alessio L.R. Pennasilico [email protected]
Manca il realismo
5
Page 6
Alessio L.R. Pennasilico [email protected]
Linguaggio ed immagini
6
Page 7
Alessio L.R. Pennasilico [email protected]
Brute Forcing?
7
Page 8
Alessio L.R. Pennasilico [email protected]
Anonimizzare le informazioni
8
Page 9
Alessio L.R. Pennasilico [email protected]
Prassi...
9
Page 10
Alessio L.R. Pennasilico [email protected]
Prassi...
10
Page 11
Alessio L.R. Pennasilico [email protected]
Visualroute?
Chi di voi lo usa per determinare la sorgente di un attacco?
11
Page 12
Alessio L.R. Pennasilico [email protected]
Forenser?
12
Page 13
Alessio L.R. Pennasilico [email protected]
Reagire “velocemente”
13
Page 14
Alessio L.R. Pennasilico [email protected]
Le origini
14
Page 15
Alessio L.R. Pennasilico [email protected]
Matrix Reloaded
15
Page 16
Alessio L.R. Pennasilico [email protected]
Phisical Security
16
Page 17
Alessio L.R. Pennasilico [email protected]
nmap
17
Page 18
Alessio L.R. Pennasilico [email protected]
SSHv1 CRC32
18
Page 19
Alessio L.R. Pennasilico [email protected]
Zoom?
19
Page 20
Alessio L.R. Pennasilico [email protected]
Zoomare con iPhone...
20
Page 21
Alessio L.R. Pennasilico [email protected]
Le origini
21
Page 22
Alessio L.R. Pennasilico [email protected]
Rubare con NFC
22
Page 23
Alessio L.R. Pennasilico [email protected]
Frodi
23
Page 24
Alessio L.R. Pennasilico [email protected]
Person of Interest
24
Page 25
Alessio L.R. Pennasilico [email protected]
I social network
25
Page 26
Alessio L.R. Pennasilico [email protected]
Il più realistico?
26
Page 27
Alessio L.R. Pennasilico [email protected]
Wardialing
27
Page 28
Alessio L.R. Pennasilico [email protected]
Gli hacker sono sexy?
28
Page 29
Alessio L.R. Pennasilico [email protected]
Wardialing
29
Page 30
Alessio L.R. Pennasilico [email protected]
Mai parlare della backdoor!
30
Page 31
Alessio L.R. Pennasilico [email protected]
Economia “digitale”
31
Page 32
http
://w
ww
.alb
a.st
/
La realtà?
Page 33
Alessio L.R. Pennasilico [email protected]
Economia “reale”
33
Page 34
Alessio L.R. Pennasilico [email protected]
SQL Injection
Video su SQL Injection
34
Video su SQL Injection
Page 35
Alessio L.R. Pennasilico [email protected]
Altri rischi?
Posso interrogare il DB e ottenere tutti i dati contenuti:
' UNION ALL SELECT NULL,username,password,NULL FROM utenti WHERE 'x'='x
35
Page 36
Alessio L.R. Pennasilico [email protected] 36
Password in cleartext
Page 37
Alessio L.R. Pennasilico [email protected]
Come mi proteggo?
Evito di processare i caratteri speciali come ‘
Prevedo il processo che si chiama “normalizzare l’input”
37
Page 38
Alessio L.R. Pennasilico [email protected] 38
Video su XSS
Cross site scripting
Page 39
Alessio L.R. Pennasilico [email protected]
Le informazioni
39
Page 40
Alessio L.R. Pennasilico [email protected]
Lieto fine?
40
Page 41
Alessio L.R. Pennasilico [email protected]
Awarness
41
Page 42
http
://w
ww
.alb
a.st
/
Conclusioni
Page 43
Alessio L.R. Pennasilico [email protected]
Tecnologia aliena?
43
Page 44
Alessio L.R. Pennasilico [email protected]
Cosa dobbiamo affrontare?
Rischi
reali, concreti
semplici da trasformare in incidenti
alta probabilità di conversione in incident
grande impatto sul business
44
Page 45
Alessio L.R. Pennasilico [email protected]
Cosa fare?
Rischi
facili da prevenire
difficili da mitigare a posteriori
45
Page 46
Alessio L.R. Pennasilico [email protected]
Security by Design
Se costruisco una casa
senza progettare
uscite di sicurezza
costruirle a lavori finiti
sarà disastroso
46
Page 47
Alessio L.R. [email protected]
http://www.alba.st/ Verona, Milano, RomaPhone/Fax +39 045 8271202
Domande?
These slides are written b y A l e s s i o L . R . P e n n a s i l i c o a k a mayhem. They are subjected to Creative Commons Attribution-ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)
Grazie dell’attenzione!