Saluti ai Partecipanti e agli Sponsor
Fine prevista per le 10:45
IIS Tilde Enumeration is a security misconfiguration that allows enumeration of filenames and directories on IIS web servers, through which an attacker can access files that a sysadmin would consider "well-hidden". It is a vulnerability covered with mystery: despite more than 10 years having passed since its public disclosure it is still a common and widespread issue, and yet very unfamiliar to most people. In this talk we're going to delve deeper into this evergreen vulnerability by exploring its history to uncover the reasons behind the issue, examining the logic behind it to understand how it works, and by showing its full exploitation process through the study of a real-case scenario found in December 2021 on "portswigger.net" as an example.
Fine prevista per le 11:30
Prima edizione del nostro nuovo "gioco"
Fine prevista per le 17:30
L’acquisizione di prove digitali da fonti presenti in Internet (pagine web, social o e-mail) è diventata una sfida sempre più aperta per gli informatici forensi. Le soluzioni open source attualmente disponibili non producono un pacchetto probatorio completo, mentre quelle commerciali non sempre coprono tutti i possibili casi. L'idea di FIT, nata come tesi di un master, si è poi evoluta in un progetto OPEN al quale collaborano diversi soci ONIF (Osservatorio Nazionale Informatica Forense) con l’obiettivo di offrire un’alternativa FLOSS in grado di effettuare acquisizioni di pagine web, profili social e caselle di posta elettronica. Grazie alla sua architettura modulare, è facilmente espandibile e, inoltre, ogni acquisizione è accompagnata da una serie di artefatti che la rende conforme alle best practices della Digital Forensics. Vi mostreremo quanto fatto e quanto vorremmo fare, magari proprio grazie al vostro aiuto.
Fine prevista per le 12:15
Ogni giorno ci sono crawler che scansionano la rete per trovare i modi per usare le risorse che stanno dietro ai siti web, oppure semplicemente per oscurare un determinato sito web. Come possiamo difenderci da queste scansioni o attacchi ? Quali sono le soluzioni che possono migliorare la difesa e quali il monitoraggio? Dopo una breve introduzione delle soluzioni principali che possono migliorare la difesa di un sito web, ci concentreremo sul monitoraggio di traffico anomalo: a partire dai log del nostro sito web, vedremo come può aiutarci un sistema di machine learning per rilevare il traffico insolito. Tutti i cloud provider oramai forniscono soluzioni di machine learning per questo tipo di utilizzo, ma per cominciare a muoversi in autonomia, è necessario conoscere quali dati sia meglio raccogliere e come sono da fornire agli algoritmi di machine learning.
Fine prevista per le 13:00
Ci rivediamo tra pochissimo...
Fine prevista per le 14:15
Intel Owl is an Open Source Intelligence solution to get threat intelligence data about specific digital artifacts like files, IP addresses and domains, from a single API at scale. It integrates a number of analyzers available online and a lot of cutting-edge malware analysis tools. It is for everyone who needs a single point to query for info about a specific file or observable. This Talk will guide the audience through how this open source software works and how it can be leveraged by security analysts to save time and optimize their work during their day-to-day activities.
Fine prevista per le 15:15
La tua VM è veramente sicura? Nonostante l’avvento dei container sono ancora molte le realtà che utilizzano le Virtual Machine (VM). Molti distribuiscono delle immagini preconfigurate contenenti le loro applicazioni web proteggendo i sorgenti da occhi indiscreti. Alcuni si affidano a delle credenziali forti nel login, altri permettono l’accesso solo tramite SSH con gli opportuni certificati, altri disabilitano le shortcut del GRUB per ottenere shell con privilegi di root, altri nascondono il GRUB e il login avviando solamente i servizi web, altri ancora cifrano il disco per non essere montato come esterno. Quando tutte queste misure di protezione vengono messe in campo allo stesso momento l’unica superficie di attacco che rimane esposta è l’applicazione web stessa; e se viene tolta anche quella la VM si può considerare inviolabile… oppure no?
Fine prevista per le 16:00
L'attribuzione del malware è sempre stato uno dei compiti più complessi e sfidanti della Cyber Threat Intelligence, perché consente di identificare la natura stessa del malware e scegliere le migliori strategie per prevenire e rilevare queste minacce. Ma data l'enorme quantità di nuovi sample, il reverse engineering manuale di questi artefatti non è un'opzione percorribile. Malstream rappresenta un framework che consente l'automatizzazione dell'attribuzione di grandi quantità di malware attraverso le regole di rilevamento più diffuse: YARA, Sigma e Suricata. Il sistema esegue analisi statiche e dinamiche, e sfrutta servizi terzi per verificare se il sample è già noto. I malware sono ed i relativi log sono inoltri memorizzati in maniera efficiente da consentire una successiva analisi di nuove regole sull'intera collection raccolta.
Fine prevista per le 16:45
Cryptography nowadays makes an integral part of our lives, protecting communications, sensitive data, personal information as well as many other aspects of our digital life. Even very simple devices come equipped with hardware engines for accelerating cryptographic operations. In many cases, encryption keys are protected in hardware, securing them from vulnerable software implementation and exploits. On the other hand, side channel analysis (SCA) attacks remain perfectly applicable even against keys protected in hardware. In fact, they only relies on observable physical quantities to infer the value of the key being used. Critical components (e.g. smart card ICs, secure elements, secure SoCs) are often validated to be resistant to SCA attacks, with the time required for a successful attack being a critical variable for determining such resistance. In this talk, after a brief introduction to SCA and the fundamentals of an attack, we discuss how, under certain conditions, it may be possible to greatly increase the acquisition speed and acquire billions of traces per day. This may allow retrieving cryptographic keys from vulnerable hardware at a much faster rate. We will give a live demonstration, on stage, showing high speed acquisition techniques in practice. We will then discuss the applicability of fast SCA attacks, analyzing possible attack scenarios. Finally, we will touch upon the implications for the security of devices in general, where, we believe, such high acquisition rate should be accounted for when assessing resistance to SCA attacks.
Fine prevista per le 17:30
Saluti ai Partecipanti e agli Sponsor
Fine prevista per le 18:00