Giulia Q Relatore
Giulia Q, dopo una formazione autodidatta come reverse engineer, lavora da vent'anni come software engineer nei campi più disparati: dalle web application di posta sicura agli EDR. Ha una lunga esperienza con sicurezza applicativa, coding sicuro, protocolli di cifratura, e i modelli di sicurezza dei principali OS. Se la cava con il fuzzing e ha praticato saltuariamente la malware analysis. Ha programmato su una mezza dozzina di sistemi operativi in altrettanti linguaggi, e li ha amati tutti.
Lista Talk
- Dobbiamo parlare di ETW Windows è certamente la prima piattaforma che venga in mente quando si parla di prodotti di sicurezza host-based, come antivirus ed EDR: questo genere di prodotti ha accompagnato l'intera esistenza di Windows, il loro più grande mercato è Windows. Nonostante ciò, il loro sviluppo è paradossalmente molto più difficoltoso su Windows che su piattaforme dove la necessità di questi prodotti è meno sentita (come macOS, che ha probabilmente il miglior supporto in tal senso. Ma questa è un'altra storia). L'argomento è vasto e il tempo è poco, perciò mi concentrerò su un singolo aspetto problematico: il framework di diagnostica Event Tracing for Windows (ETW) e i risultati dell'ambizione da parte di Microsoft di trasformarlo in una fonte di threat intelligence per prodotti di sicurezza. L'uso di ETW per uno scopo molto diverso da quello per cui era stato creato presenta forti criticità, a cui si sono aggiunte scelte rivelatesi infelici in fatto di schema dei dati, policy di configurazione e policy di accesso delle fonti dati più importanti. In particolare, esaminerò i provider ETW Microsoft-Windows-Threat-Intelligence e Microsoft-Windows-Security-Auditing: i più "amati" dai prodotti di sicurezza e, non a caso, quelli che maggiormente dimostrano i limiti di ETW. - 11:30/12:15, 08 Jun 2024