Saluti & Ringraziamenti sponsor
Fine prevista per le 10:45
Materiale:1
Quello di venerdì 12 Maggio 2017 è stato definito il cyberattacco più esteso, un attacco globale senza precedenti che ha interessato tantissime organizzazioni e aziende sparse in diversi Paesi del mondo. Tra le vittime dei Paesi colpiti figura anche l'Italia.
Nel corso del talk si vuole illustrare come il CERT-PA (Computer Emergency Response Team) della Pubblica Amministrazione italiana ha affrontato il venerdì nero e i giorni a seguire il cyberattacco per gestire e contrastare tempestivamente la minaccia.
Un tuffo dentro WannaCry per comprendere i dettagli tecnici, la genesi, le evoluzioni del malware e l'importanza della cooperazione informatica tra CERT italiani, europei e ricercatori indipendenti.
Fine prevista per le 11:30
Materiale:1
Il penetration testing sulle applicazione mobile spesso presenta delle complessità aggiuntive rispetto alle attività sulle applicazioni web. Nelle applicazioni mobile infatti il client è un'applicazione ad-hoc che deve essere analizzata al fine di identificare eventuali criticità di sicurezza. Questo tipo di analisi spesso richiede notevoli sforzi congiunti di reversing e analisi dinamica. Nella presentazione verrà mostrato Brida, un nuovo strumento sviluppato per permettere la comunicazione tra Burp Suite (de-facto standard nelle analisi delle applicazioni web) e Frida (toolkit di instrumentazione dinamica multipiattaforma) creato per sveltire questo tipo di analisi, e verranno illustrate situazioni reali in cui grazie a Brida è possibile ridurre notevolmente gli sforzi di reversing e di programmazione necessari a portare a compimento attività di peentration testing complesse sulle applicazioni mobile.
Fine prevista per le 12:15
Materiale:1
La Cyber Threat Information Sharing, come in precedenza è avvenuto per gli altri ambiti dell’Intelligence, comincia a rappresentare un aspetto cruciale nella lotta agli incidenti informatici. La condivisione delle informazioni sulle minacce rappresenta, di fatto, l’elemento fondante per rendere realmente più efficace l’abbassamento del Dwell Time nella gestione di un attacco informatico. In tal senso cominciano ad essere promossi sforzi tra organizzazioni pubbliche e private per determinare le migliori soluzioni tecnologiche/procedurali da adottare per la condivisione delle informazioni. Insieme alla scelta per realizzare l’Automated Exchange Protocol da impiegare per la condivisione delle informazioni, occorre stabilire e impiegare un linguaggio comune e strutturato con cui rappresentare e condividere la cyber threat information. Il talk intende introdurre, dopo una breve esposizione delle tecnologie di Information Sharing, il linguaggio STIX (Structured Threat Information Expression) e delle sue principali extension quali il MAEC, il CAPEC e il CyBOX. In particolare saranno mostrati gli elementi caratteristici del linguaggio STIX per poi descrivere, avvalendosi di differenti esempi, la produzione dei suoi oggetti. Sarà mostrato come produrre un insieme di specifiche con cui rappresentare le evidenze ottenute da una malware analysis. La disamina dei benefici derivanti dall’impiego del linguaggio STIX sarà presentata attraverso degli esempi pratici di analisi di codici malevoli e la loro gestione attraverso l’impiego di una Cyber Threat Platform.
Fine prevista per le 13:00
Materiale:1
Per chi lo vorrà ci sarà la possibilità di mangiare a prezzo convenzionato (15 euro) presso l'hotel
Fine prevista per le 14:15
Since the first public appearance of HID Attacks (i.e. PHUKD, Kautilya, Rubberducky), many awesome researches and results have been published [i.e. Iron HID, Mousejack and the coolest USaBUSe].
Due this increased amount of nifty software, as Pentester and Red-Teamer, I wanted a cheap and dedicated hardware that I could remotely control (i.e. over WiFi or BLE). And this is how WHID was born.
Since the inception of my first HID injecting devices (based on Teensy boards), I always faced the need to decide when deliver a certain payload. This was partially achieved by using Irongeek’s photoresistor and dip-switch tricks.
However, I soon realized that would be cool the full remote control over a radio channel. At the beginning, years ago, I was thinking to use some cheap 433 MHz TRX modules connected to the Teensy board… sadly due lack of time and other cool projects… this idea was dropped into my awesome-pentesting-tools to-do-list. ????
At this point you are wondering what is behind WHID Injector and what are its capabilities. ????
WHID stands for WiFi HID injector. It is a cheap but reliable piece of hardware designed to fulfill Red-Teamers & Pentesters needs related to HID Attacks, during their engagements.
The core of WHID is mainly an Atmega 32u4 (commonly used in many Arduino boards) and an ESP-12s (which provides the WiFi capabilities and is commonly used in IoT projects).
During the talk we will see in depth how WHID was designed and its functionalities.
And (Murphy permitting) You will see it in action! ????
Fine prevista per le 15:15
Materiale:1
L'analisi dinamica di malware in modo massivo necessita di strumenti automatici e flessibili.Cuckoo Sandbox è un progetto open source che negli anni è diventato uno dei punti di riferimento tra le sandbox per l'analisi di malware, si distiungue per il suo design modulare e facilità di personalizzazione ed è ampiamente utilizzato in ambito corporate e di ricerca, in ambiti che vanno dall'incident response alla malware analysis.Vedremo i principi dell'analisi automatica del malware, l'architettura e le funzionalità di Cuckoo, la sua personalizzazione e come può essere utilizzato in un laboratorio di analisi malware o come elemento di sicurezza difensiva.
Fine prevista per le 16:00
Materiale:1
La sempre maggiore diffusione di nuovi varianti di malware noti complica notevolmente il processo di detection. Una ulteriore difficoltà deriva dalla frammentazione dei sistemi informatici (IoT, desktop, server e mobile) che impone strumenti e tecniche diverse per l’analisi. I malware possono mutare nella forma, nella struttura, nel modo di eseguire un codice malevolo, nel modo con cui interagiscono con il Sistema Operativo (OS) e come si diffondono. Ciò che non cambia è lo scopo finale del malware e di conseguenza le operazioni specifiche da fare per raggiungere tale scopo. Da questa intuizione è stato deciso di creare un sistema OS agnostic per la detection in grado di fornire un metodo standard per l’analisi di malware che possa anche classificare i malware e che possa identificare componenti condivise e funzioni dormienti tra i vari malware. Questo sistema intercetta i comportamenti malevoli ad un nuovo livello (hypervisor level) generando un linguaggio universale (tramite un parser) per le API calls e le system calls. La detection di comportamenti malevoli avviene tramite un sistema di modellazione dei behavior malevoli. Inizialmente vengono definiti i comportamenti malevoli tramite modelli ad alto livello, poi la combinazione di sistemi di detection basati sull’estrazione di CFG a sistemi di detection basati sulle sequenze di API calls generano in modo automatico dei modelli a basso livello per i comportamenti malevoli. I modelli ad alto livello andranno ad identificare il behavior di un malware, mentre quelli a basso livello andranno ad identificare il codice effettivo che implementa quel behavior.
Fine prevista per le 16:45
Materiale:1
Una chiacchierata finale con il pubblico
Fine prevista per le 17:30
Saluti + Sorpresa finale!
Fine prevista per le 18:00
