Post on 17-Jun-2015
description
Alessio L.R. Pennasilicoa.pennasilico@alba.st
http://www.alba.st/ Verona, Milano, RomaPhone/Fax +39 045 8271202
Basta Hacker in TV!Come la percezione distorta della realtà influenza
negativamente la nostra capacità di giudizio
Alessio L.R. Pennasilico mayhem@alba.st
$whois -=mayhem=-
Committed: AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza InformaticaItalian Linux Society, Sikurezza.org, Spippolatori, AIP/OPSI, IISFA
Hacker’s Profiling Project, CrISTAL
2
!
Security Evangelist @
Alessio L.R. Pennasilico mayhem@alba.st
Non credere a tutto quel che vedi in televisione...
Mia nonna diceva...
3
Alessio L.R. Pennasilico mayhem@alba.st
La tecnologia dei desideri...
4
Alessio L.R. Pennasilico mayhem@alba.st
Manca il realismo
5
Alessio L.R. Pennasilico mayhem@alba.st
Linguaggio ed immagini
6
Alessio L.R. Pennasilico mayhem@alba.st
Brute Forcing?
7
Alessio L.R. Pennasilico mayhem@alba.st
Anonimizzare le informazioni
8
Alessio L.R. Pennasilico mayhem@alba.st
Visualroute?
Chi di voi lo usa per determinare la sorgente di un attacco?
11
Alessio L.R. Pennasilico mayhem@alba.st
Reagire “velocemente”
13
Alessio L.R. Pennasilico mayhem@alba.st
Matrix Reloaded
15
Alessio L.R. Pennasilico mayhem@alba.st
Phisical Security
16
Alessio L.R. Pennasilico mayhem@alba.st
Zoomare con iPhone...
20
Alessio L.R. Pennasilico mayhem@alba.st
Rubare con NFC
22
Alessio L.R. Pennasilico mayhem@alba.st
Person of Interest
24
Alessio L.R. Pennasilico mayhem@alba.st
I social network
25
Alessio L.R. Pennasilico mayhem@alba.st
Il più realistico?
26
Alessio L.R. Pennasilico mayhem@alba.st
Gli hacker sono sexy?
28
Alessio L.R. Pennasilico mayhem@alba.st
Mai parlare della backdoor!
30
Alessio L.R. Pennasilico mayhem@alba.st
Economia “digitale”
31
Alessio L.R. Pennasilico mayhem@alba.st
Economia “reale”
33
Alessio L.R. Pennasilico mayhem@alba.st
SQL Injection
Video su SQL Injection
34
Video su SQL Injection
Alessio L.R. Pennasilico mayhem@alba.st
Altri rischi?
Posso interrogare il DB e ottenere tutti i dati contenuti:
' UNION ALL SELECT NULL,username,password,NULL FROM utenti WHERE 'x'='x
35
Alessio L.R. Pennasilico mayhem@alba.st 36
Password in cleartext
Alessio L.R. Pennasilico mayhem@alba.st
Come mi proteggo?
Evito di processare i caratteri speciali come ‘
Prevedo il processo che si chiama “normalizzare l’input”
37
Alessio L.R. Pennasilico mayhem@alba.st 38
Video su XSS
Cross site scripting
Alessio L.R. Pennasilico mayhem@alba.st
Le informazioni
39
Alessio L.R. Pennasilico mayhem@alba.st
Tecnologia aliena?
43
Alessio L.R. Pennasilico mayhem@alba.st
Cosa dobbiamo affrontare?
Rischi
reali, concreti
semplici da trasformare in incidenti
alta probabilità di conversione in incident
grande impatto sul business
44
Alessio L.R. Pennasilico mayhem@alba.st
Cosa fare?
Rischi
facili da prevenire
difficili da mitigare a posteriori
45
Alessio L.R. Pennasilico mayhem@alba.st
Security by Design
Se costruisco una casa
senza progettare
uscite di sicurezza
costruirle a lavori finiti
sarà disastroso
46
Alessio L.R. Pennasilicoa.pennasilico@alba.st
http://www.alba.st/ Verona, Milano, RomaPhone/Fax +39 045 8271202
Domande?
These slides are written b y A l e s s i o L . R . P e n n a s i l i c o a k a mayhem. They are subjected to Creative Commons Attribution-ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)
Grazie dell’attenzione!