Saluti ai Partecipanti e agli Sponsor
Fine prevista per le 10:45
Sometimes there is a lack of visibility on new services exposed on the internet on which a company must be aware of. At the same time, these exposed services (on purpose or accidentally) may be affected by some vulnerabilities or misconfigurations that represent a risk for the company and a possible exploitation for an attacker. This talk will walk through a practical approach to the discovery, the mapping and the monitoring of the external attack surface of a company.
Fine prevista per le 11:30
Farsi rubare dei dati è sempre poco piacevole. Farsi rubare tanti dati lo è ancora di più. Farsi sottrarre un intero sistema informativo aziendale, beh, è proprio brutto. Bisogna iniziare a farsi tante domande. Inoltre se la virtualizzazione ci ha portato grandi benefici, in realtà ha anche complicato un lavoro che già semplice non era. Ma non ci sono modi per difendersi? E già che ci siamo, cosa ci permette di fare Hyper-V (in questo caso) o altri hypervisor? Una disamina da una parte all'altra della barricata, con diversi punti di vista.
Fine prevista per le 12:15
A brief introduction to an unconventional use for checkm8, a SecureROM exploit that allows untrusted code execution on many Apple mobile devices. This talk with cover the general iOS Security model, a small overview on the exploit itself and a practical use of it that resulted helpful from an hardware repair perspective.
Fine prevista per le 13:00
Ci rivediamo presto!
Fine prevista per le 13:45
Un breve momento divertente prima di ricominciare con i talk del pomeriggio!
Fine prevista per le 14:15
Can a system be considered truly reliable if it isn't fundamentally secure? Or can it be considered secure if it's unreliable? Security is crucial to the design and operation of scalable systems in production, as it plays an important part in product quality, performance, and availability. In this talk we'll share best practices to help your organization design scalable and reliable systems that are fundamentally secure, inspired by best-practices described in the "Building Secure and Reliable Systems" book.
Fine prevista per le 15:00
Vogliamo parlarvi di robot industriali. Proprio di quelli usati per assemblare aerei, automobili, produrre o confezionare cibo e medicinali, o maneggiare materiale sanitario. Grandi player di settore, tra cui ABB e Kuka, hanno costruito negli anni molteplici piattaforme proprietarie, molto diverse tra loro, che formano la spina dorsale dell'automazione industriale: una tecnologia di fatto legacy divenuta critica per il mondo moderno. Nel corso di questa ricerca abbiamo notato che, anche quando perfettamente aggiornato, il software a bordo di questi macchinari può comunque "nascondere" vulnerabilità. Infatti, i linguaggi usati per programmare questi robot permettono di accedere, a bassissimo livello, alle risorse di sistema: file, rete e addirittura invocare funzioni dinamicamente o modificare codice a runtime. Chiunque abbia mai programmato in qualsiasi linguaggio sa bene che queste funzionalità sono pericolose senza una corretta separazione dei permessi, perché creano i presupposti per vulnerabilità sfruttabili da un aggressore per alterare il funzionamento originale del programma a vari livelli, fino all'accesso completo al sistema in questione. Senz'altro utili, queste funzionalità così come implementate negli 8 linguaggi per automazione industriale che abbiamo analizzato, possono indurre i programmatori a commettere gli errori più comuni. Errori che effettivamente abbiamo trovato in una cinquantina di repository GitHub pubblici, scambiati nei forum e in alcune estensioni di ROS (Robot Operating System), il più popolare sistema operativo "open" per robotica industriale. La mancanza di un meccanismo di separazione di privilegi permette ad un programmatore malevolo di sfruttare le funzionalità di basso livello per creare programmi malevoli che ad oggi nessuna tecnologia di rilevazione automatica è in grado di riconoscere. La collaborazione fra Trend Micro Research e il Politecnico di Milano ha dato vita ad un prototipo in grado di individuare automaticamente la presenza di vulnerabilità o funzionalità malevole analizzando il codice sorgente di un programma di automazione industriale. Oltre ad una demo del prototipo, vi mostreremo gli effetti di un malware che si propaga in un impianto industriale simulato, e concluderemo con delle linee guida di programmazione sicura, pensate specificatamente per chi si occupa di automazione industriale. A questa ricerca hanno contribuito anche: Davide Quarta e Stefano Zanero (Politecnico di Milano), Marco Balduzzi, Rainer Vosseler e Martin Rösler (Trend Micro Research)
Fine prevista per le 15:45
Avete presente la scena dell'aereo più pazzo del mondo "NO PANIC... OK, PANIC!" ecco, oggi parliamo di cosa avviene in azienda quando si è subito un attacco sofisticato di social engineering. Siamo dediti alla sicurezza ma cosa succede quando una organizzazione criminale internazionale riesce a finalizzare il proprio piano di attacco? Quali sono gli anelli deboli? E cosa non funziona nella cooperazione con chi viene incaricato per indagare e capire cosa sia successo? Cercheremo oggi di vedere tutto questo e anche di più analizzando un caso (come ce ne sono stati tanti) di CEO FRAUD (truffa al CEO) per capire quanto sia difficile prevenire (l'imprevedibile), analizzare la situazione (quando ci sono tanti attori in campo), reagire all'incident e organizzare la contromosse per prevenire un nuovo attacco. Dura la vita dell'investigatore (legale e tecnico) di fronte alle resistenze di chi ha subito un attacco e si è trovato impreparato (e ha perso un sacco di soldi).
Fine prevista per le 16:15
Saluti & Ringraziamenti
Fine prevista per le 16:30
