Saluti e ringraziamenti Sponsor
Fine prevista per le 10:45
Il talk proposto ha l’obiettivo di presentare il percorso che ha affrontato ENAV S.p.A., infrastruttura critica che si occupa del controllo del traffico aereo in Italia www.enav.it, quando nel 2015 ha deciso di affrontare una trasformazione radicale del proprio modello di Security, passando da un Security Operation Center (SOC) in outsourcing e fondato su tecnologie proprietarie con elevati costi di gestione, ad un SOC gestito totalmente da personale interno, fondato su tecnologie Open Source e con costi di gestione bassi. Il talk illustrerà quali sono stati i driver di questo cambiamento, le scelte tecnologiche a supporto ed i problemi affrontati e risolti durante la creazione del nuovo SOC, dando una vista ai partecipanti del percorso di costruzione dell’attuale i-SOC ENAV (Information Security Operation Center). Sarà evidenziato come tutto ciò sia stato approcciato avendo i mente l’aderenza agli standard internazionali (ISO27001) ed alle politiche di Security e governance esistenti. Durante la presentazione saranno illustrati i dettagli delle tecnologie in uso e come queste concorrono a creare un Security Model alla cui base c’è la conoscenza e la normalizzazione del dato; un modello che è in continua evoluzione e che si adatta in maniera veloce ai nuovi scenari di minaccia. Saranno forniti esempi reali di attività effettuate dall’i-SOC per rendere “viva” la presentazione e far “toccare con mano“ casi reali. Al termine della presentazione tutti gli spettatori avranno una idea più chiara dell’assoluta necessità di avere un presidio di Sicurezza integrato nei processi aziendali. I manager ed i responsabili potranno valutare quali sono state le complessità avute da ENAV nell’approcciare un percorso di evoluzione e costruzione di un nuovo modello di SOC. Per tutti un viaggio interessante ed immersivo all'interno di uno dei settori più importanti di una delle infrastrutture critiche italiane.
Fine prevista per le 11:30
Materiale:1
La ricerca di vulnerabilità all'interno di un programma può essere particolarmente time-consuming, da qui l'interesse crescente degli ultimi anni per tecniche/tool che permettano un'analisi assistita e il più’ semi-automatica possibile. In questo talk verrà' presentato e discusso un approccio di analisi statica del codice attraverso l'uso di code property graph, i quali rappresentano il codice e le sue interazioni per mezzo di grafi. Utilizzando Joern, piattaforma per l’ analisi di codice C/C++ via code property graph, verranno presentate le caratteristiche di questa rappresentazione che agevolano la ricerca di vulnerabilità’. Inoltre verrà' discusso un utilizzo reale avente come target la codebase di Android.
Fine prevista per le 12:15
Materiale:1
Go sta rapidamente prendendo piede sia nella programmazione di semplici applicazioni per hardware a basso consumo sia per la creazione di software di elevata complessità computazionale. Molte tra le più grandi compagnie lo stanno adottando come linguaggio preferenziale per lo sviluppo di nuovi applicativi e si sta diffondendo molto anche tra i programmatori indipendenti. Tra le principali caratteristiche di go vi sono le goroutine, green threads che permettono di sfruttare al meglio l'hardware moderno. Questa feature permette al software scritto in go di scalare perfettamente con un numero indefinito di unità computazionali senza pagare i derivanti costi di task-switch del sistema operativo sottostante. Per permettere di avere questi vantaggi le goroutine sacrificano alcune delle caratteristiche tipiche dei task tradizionali, come i riferimenti ai threads o al controllo su di essi. Questi, ed altri cambiamenti sono stati apportati per garantire un tempo competitivo di task-switching. L'approccio di questo linguaggio lo rende quello con i miglior risultati per applicazioni concorrenti, ma come ogni ottimizzazione, anche quella di go ha un costo. È conoscenza comune che il go sia molto efficiente, ma ci sono poche informazioni sulle implicazioni che del fare affidamento sul suo scheduler interno. Molte guide e documentazioni trattano le goroutines come se fossero thread tradizionali, ma non avvertono i programmatori delle differenze e dei rischi possibili, creando una tendenza pericolosa per la prossima generazione del software. Quali sono le conseguenze di utilizzare goroutines invece di thread? Introducono nuove vulnerabilità? Possono essere utilizzate in modo sicuro?
Fine prevista per le 13:00
Materiale:1
Per chi lo vorrà ci sarà la possibilità di mangiare a prezzo convenzionato (15 euro) presso l'hotel
Fine prevista per le 14:15
Tratto da una storia vera: BYOD, questa buzzword ormai quasi dimenticata è stata la parola chiave di un nostro penetration test. Partendo da una campagna di phishing, dopo aver effettuato spear phishing sulla segretaria e sul suo smartphone, ci siamo intrufolati nella rete aziendale fino a diventare amministratori del dominio e sottrarre file sensibili. In questo talk spiegheremo alcuni passaggi chiave e alcune tecniche stealth utilizzate rigorosamente basate sulla nostra filosofia KISS: Keep It Simple Stupid.
Fine prevista per le 15:15
Materiale:1
L'anno scorso abbiamo dimostrato che l'approccio basato su whitelist della Content Security Policy (CSP) è intrinsecamente fallato e proposto un'alternativa basata su una nuova direttiva - 'strict-dynamic' - in combinazione con nonce crittografici o hash. Il nuovo approccio rende CSP radicalmente più semplice da adottare e, allo stesso tempo, consente di esprimere il potenziale mitigativo contro attacchi di tipo Cross-Site Scripting (XSS). Nel nostro paper accademico (CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy, ACM CCS, 2016), abbiamo mostrato che il 94.72% di tutte le policy del web possono essere facilmente bypassate da un attaccante con un bug XSS. In più, il 75.81% è bypassabile proprio a causa della presenza di una whitelist. Grazie al nuovo approccio basato su 'strict-dynamic', Google ha potuto per la prima volta adottare CSP in prodotti complessi come GMail, Accounts e Google Photos. Nella presentazione mostrerò errori comuni e come evitarli, spiegando infine come stiamo affrontando la recente serie di bypass per policy nonce-based via esfiltrazione del nonce e attacchi dangling markup.
Fine prevista per le 16:00
Materiale:1
Nell'ultimo triennio le campagne di Phishing sono duplicate, raggiungendo 1,4 milioni di attacchi unici all'anno. Una truffa che si sta raffinando costantemente, implementando nuove tecniche in grado di carpire un numero crescente di vittime e superare le tecnologie software e hardware di contrasto. Il talk vuole illustrare le recenti metodologie sfruttate dai Phisher, i vettori di attacco più efficaci, i dati statistici dal 2005 ad oggi e una analisi del dark/clear web alla ricerca dei profili attivi nel mondo del Phishing per documentare i guadagni illeciti che hanno generato negli ultimi anni.
Fine prevista per le 16:45
Materiale:1
Una chiacchierata tra amici per concludere in bellezza questa giornata!
Fine prevista per le 17:30
