Early Warning. Bollettino VA-IT A

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Early Warning. Bollettino VA-IT-130911-01.A"

Transcript

1 Early Warning Bollettino VA-IT A

2 Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT A Pag. 2/6

3 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Non corretta validazione dell input in SharePoint Data Pubblicazione 11/09/2013 Data di pubblicazione della vulnerabilità. PI-CERT ID VA-IT A Identificativo della vulnerabilità del CERT di Poste Italiane. CVE ID CVE Identificativo CVE 1 della vulnerabilità. STANDARD CVSS V2 METRICHE BASE DELLA VULNERABILITA (CVSS V2 BASE 2 ) Base Score 5.5 Indicatore di pericolosità complessiva della vulnerabilità secondo lo standard CVSS v.2 3 (scala da 0 a 10). Access Vector NETWORK La vulnerabilità è sfruttabile da remoto. Access Complexity Authentication Confidentiality Impact Integrity Impact Availability Impact LOW SINGLE PARTIAL PARTIAL NONE Lo sfruttamento di questa vulnerabilità non implica la compromissione di altri sistemi o l utilizzo di specifici schemi d attacco. Per sfruttare questa vulnerabilità è necessario avere un accesso valido al servizio esposto. L impatto sulla riservatezza è parziale, potendo modificare solo i dati offerti da SharePoint. Non è possibile alterare la configurazione del sistema ma solo i dati offerti dal servizio. Questa vulnerabilità non compromette la disponibilità del sistema. METRICHE TEMPORALI DELLA VULNERABILITA (CVSS V2 TEMPORAL 4 ) Temporal Score Exploitability Remediation Level Report Confidence 4.3 Proof Of Concept OFFICIAL FIX CONFIRMED Indicatore di minaccia della vulnerabilità che può mutare nel tempo (scala da 0 a 10). Nella pubblicazione dell'advisory è stato incluso un PoC per la verifica della vulnerabilità. FIX ufficiali sono stati rilasciati per la copertura di questa vulnerabilità. Le informazioni e i dettagli tecnici sulla vulnerabilità, sono stati confermati da più fonti e dal vendor stesso. Per maggiori informazioni sui campi compilati si rimanda alla pagina della Guida alla corretta lettura della scheda riassuntiva. 1 CVE (Common Vulnerabilities and Exposures): Elenco di vulnerabilità fornita dal MITRE Corporation al fine di standardizzare i nomi e le caratteristiche delle vulnerabilità. 2 Il gruppo "Base" dello standard CVSS v2 rappresenta l insieme delle caratteristiche intrinseche della vulnerabilità. 3 CVSS (Common Vulnerabilities Scoring System): Metodologia per il calcolo della severità delle vulnerabilità. 4 Il gruppo "Temporal" dello standard CVSS v2 rappresenta l insieme delle caratteristiche della vulnerabilità che mutano nel tempo. Early Warning - Bollettino VA-IT A Pag. 3/6

4 DESCRIZIONE DEL PRODOTTO Microsoft SharePoint è una piattaforma di applicazioni Web sviluppata da Microsoft. SharePoint può essere utilizzato per implementare portali intranet, gestione di file (documenti), social network, extranet, siti web, motori di ricerca, etc. INFORMAZIONI TECNICHE Il team di ricercatori appartenenti al Vulnerability Laboratory (www.vulnerability-lab.com) ha scoperto la possibilità di inserire del codice arbitrario in un sistema SharePoint (di tipo cloud-based). La tecnica utilizzata, classificata come Cross-site scripting (XSS), è illustrata dettagliatamente e a riguardo è stato rilasciato un proof of concept. Il problema è causato da una gestione inadeguata dell input, che permette di inserire del codice eseguibile in grado di elevare i privilegi dell utente, consentendogli di effettuare diversi tipi di attacco (ad esempio session hijacking, persistent phishing, external redirect) e di caricare malware sul sistema allo scopo di diffonderlo tra gli utilizzatori dello stesso. Microsoft ha descritto questa vulnerabilità nel bollettino MS (pubblicato martedì 10 settembre 2013) che comprende molteplici altre vulnerabilità ed a cui ha assegnato un livello di gravità aggregato CRITICO. MITIGAZIONE Per la correzione del problema, il produttore raccomanda dei workaround e dei fix specifici, disponibili sul sito: SISTEMI VULNERABILI Microsoft SharePoint Server 2007 SP3 Microsoft SharePoint Server 2010 SP1 e SP2 Microsoft SharePoint Server 2013 Early Warning - Bollettino VA-IT A Pag. 4/6

5 BOLLETTINI CORRELATI NON DISPONIBILI RIFERIMENTI Interni: NON DISPONIBILI Esterni: Espliciti del produttore: Early Warning - Bollettino VA-IT A Pag. 5/6

6 Termini e condizioni di utilizzo del bollettino Le informazioni contenute nel presente bollettino sono fornite così come sono, a meri fini informativi. In nessun caso il CERT Poste Italiane può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino. La versione.pdf del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. Per definire al meglio le vulnerabilità, le operazioni svolte dal CERT di Poste Italiane necessitano di scelte ben precise riguardo le minacce da considerare, le fonti di informazione ritenute più autorevoli e competenti in materia, le modalità di filtraggio delle informazioni, la valutazione della severity come metrica di base. Con particolare riferimento a quest ultima - da intendersi quale livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT di Poste Italiane provvede a rivalutare i parametri che concorrono al calcolo della Base Score e Temporal Score secondo lo standard CVSS v.2 (Common Vulnerabilities Scoring System) e conseguentemente ad attribuire il proprio rating, avvalendosi del tool messo a disposizione dal sito del National Institute of Standards and Technology (http://nvd.nist.gov/cvss.cfm). La diffusione, comunicazione, riproduzione, copia con qualsiasi mezzo delle informazioni contenute nel presente bollettino sono rigorosamente vietate. Non è consentito rivelare o comunicare in alcun modo a terzi tali informazioni, se non previa autorizzazione scritta del CERT di Poste Italiane. E obbligatorio adottare ogni precauzione necessaria ad impedire i rischi di accesso non autorizzato, uso non consentito o indebita appropriazione di tali informazioni da parte di soggetti, terzi o meno, non autorizzati. Eventuali delucidazioni sui contenuti del presente bollettino possono essere richiesti via al CERT di Poste Italiane all indirizzo: Early Warning - Bollettino VA-IT A Pag. 6/6

Bollettino VA-IT-150129-01.A

Bollettino VA-IT-150129-01.A Early W a r ning Bollettino VA-IT-150129-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-150129-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

Bollettino VA-IT-140313-01.A

Bollettino VA-IT-140313-01.A Early W a r ning Bollettino VA-IT-140313-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140313-01.A Pag. 2/6 C A N D I D A T E CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

Bollettino VA-IT-131112-01.B

Bollettino VA-IT-131112-01.B Early W a r ning Bollettino VA-IT-131112-01.B Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-131112-01.B Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

Bollettino VA-IT-140703-01.A

Bollettino VA-IT-140703-01.A Early W a r ning Bollettino VA-IT-140703-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140703-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

Early Warning Bollettino VA-IT-131028-01.B

Early Warning Bollettino VA-IT-131028-01.B Early Warning Bollettino VA-IT-131028-01.B Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-131028-01.B Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

Bollettino VA-IT-140901-01.A

Bollettino VA-IT-140901-01.A Early W a r ning Bollettino VA-IT-140901-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140901-01.A Pag. 2/6 C A N D I D A T E CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

Early Warning Bollettino VA-IT-130709-01.A

Early Warning Bollettino VA-IT-130709-01.A Early Warning Bollettino VA-IT-130709-01.A C A N D I D A T E CORR ISPONDE NZE VULNERABILITY ALERT INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Stack Based Buffer Overflow in AutoTrace Data Pubblicazione

Dettagli

Nota Vulnerabilità VN-IT-140113-01.A

Nota Vulnerabilità VN-IT-140113-01.A Early Warning Nota Vulnerabilità VN-IT-140113-01.A Early Warning Pag. 1/5 INFORMAZIONI DEL BOLLETTINO EARLY WARNING DI RIFERIMENTO TITOLO BOLLETTINO VA Denial of Service del demone ntpd Data Pubblicazione

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

Per ulteriori informazioni sul software interessato, vedere la sezione successiva, Software interessato e percorsi per il download.

Per ulteriori informazioni sul software interessato, vedere la sezione successiva, Software interessato e percorsi per il download. Riepilogo dei bollettini sulla sicurezza - Ottobre 2012 1 di 5 PCPS.it - assistenza informatica Security TechCenter Data di pubblicazione: martedì 9 ottobre 2012 Aggiornamento: martedì 23 ottobre 2012

Dettagli

Microsoft Security Intelligence Report (gennaio-giugno 2008)

Microsoft Security Intelligence Report (gennaio-giugno 2008) Microsoft Security Intelligence Report (gennaio-giugno 2008) Riepilogo dei principali risultati Il Microsoft Security Intelligence Report (gennaio-giugno 2008) fornisce un'analisi approfondita su vulnerabilità

Dettagli

IT Risk Assessment. IT Risk Assessment

IT Risk Assessment. IT Risk Assessment IT Risk Assessment Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Microsoft Security Intelligence Report, volume 6 (luglio - dicembre 2008)

Microsoft Security Intelligence Report, volume 6 (luglio - dicembre 2008) Microsoft Security Intelligence Report, volume 6 (luglio - dicembre 2008) Riepilogo dei principali risultati Il volume 6 di Microsoft Security Intelligence Report fornisce un'analisi approfondita su vulnerabilità

Dettagli

RSA Sun Insurance Office Ltd

RSA Sun Insurance Office Ltd RSA Sun Insurance Office Ltd Web Application Security Assessment (http://rsage49:9080/sisweb) Hacking Team S.r.l. Via della Moscova, 13 20121 MILANO (MI) - Italy http://www.hackingteam.it info@hackingteam.it

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Allegato 2. Scheda classificazione delle minacce e vulnerabilità Allegato 2 Scheda classificazione delle minacce e vulnerabilità LEGENDA In questa tabella si classificano le minacce per tipologia e si indica l impatto di esse sulle seguenti tre caratteristiche delle

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

Report sullo stato della protezione Microsoft volume 7 (gennaio-giugno 2009)

Report sullo stato della protezione Microsoft volume 7 (gennaio-giugno 2009) Report sullo stato della protezione Microsoft volume 7 (gennaio-giugno 2009) Riepilogo dei principali risultati Il volume 7 del report sullo stato della protezione Microsoft offre una descrizione dettagliata

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1 NESSUS IL Security Scanner Francesco M. Taurino 1 La vostra RETE Quali servizi sono presenti? Sono configurati in modo sicuro? Su quali macchine girano? Francesco M. Taurino 2 Domanda Quanto e sicura la

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

Per ulteriori informazioni sul software interessato, vedere la sezione successiva, Software interessato e percorsi per il download.

Per ulteriori informazioni sul software interessato, vedere la sezione successiva, Software interessato e percorsi per il download. 1 di 11 17/11/2012 17.26 Security TechCenter Data di pubblicazione: martedì 11 settembre 2012 Aggiornamento: venerdì 21 settembre 2012 Versione: 2.0 Questo riepilogo elenca i bollettini sulla sicurezza

Dettagli

Microsoft Security Intelligence Report

Microsoft Security Intelligence Report Microsoft Security Intelligence Report Volume 12 LUGLIO-DICEMBRE 2011 RISULTATI PRINCIPALI www.microsoft.com/sir Microsoft Security Intelligence Report Il presente documento è stato redatto a scopo puramente

Dettagli

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

Microsoft Security Intelligence Report

Microsoft Security Intelligence Report Microsoft Security Intelligence Report Volume 13 GENNAIO - GIUGNO 2012 RISULTATI www.microsoft.com/sir Microsoft Security Intelligence Report Il presente documento è fornito esclusivamente a scopo informativo.

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting

Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting Relatori: Emanuele Gentili Alessandro Scoscia Emanuele Acri PHISHING: l eterna lotta tra Sviluppatori

Dettagli

Descrizione servizio Websense Hosted Mail Security

Descrizione servizio Websense Hosted Mail Security Descrizione servizio Websense Hosted Mail Security Alla luce della crescente convergenza delle minacce nei confronti del Web e della posta elettronica, oggi è più importante che mai poter contare su una

Dettagli

Debian Security Team

Debian Security Team Debian Security Team 16 dicembre 2005 Dipartimento di Informatica e Scienze dell'informazione Emanuele Rocca - ema@debian.org http://people.debian.org/~ema/talks/ Debian Security Team Introduzione al progetto

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Rosario Valotta Matteo Carli Indice Attacco alle WebMail basate su Memova:... 1 tampering dei parametri di inoltro automatico...

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

Il processo di analisi dei rischi (parte IV)

Il processo di analisi dei rischi (parte IV) Il processo di analisi dei rischi (parte IV) Marco Domenico Aime < m.aime @ polito.it > Politecnico di Torino Dip. di Automatica e Informatica 1.. Stima dei rischi (risk estimation) RISK ANALYSIS modello

Dettagli

MS WORD 2000 ULTIMA VULNERABILITA SCOPERTA

MS WORD 2000 ULTIMA VULNERABILITA SCOPERTA SEGNALAZIONE DEL 05/09/2006 (LIVELLO DI RISCHIO 3 SU 5) MS WORD 2000 ULTIMA VULNERABILITA SCOPERTA INTRODUZIONE : Negli ultimi mesi sono state segnalate, a livello mondiale, numerose attività intese a

Dettagli

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221

Dettagli

Per ulteriori informazioni sul software interessato, vedere la sezione successiva, Software interessato e percorsi per il download.

Per ulteriori informazioni sul software interessato, vedere la sezione successiva, Software interessato e percorsi per il download. Riepilogo dei bollettini sulla sicurezza - Novembre 2012 1 di 5 17/11/2012 17.20 Security TechCenter Data di pubblicazione: martedì 13 novembre 2012 Aggiornamento: martedì 13 novembre 2012 Versione: 1.1

Dettagli

Internet Security Systems Stefano Volpi

Internet Security Systems Stefano Volpi Internet Security Systems Stefano Volpi Chi è Internet Security Systems Leader mondiale tra le aziende indipendenti nel settore della sicurezza IT Fondata nel 1994 con base ad Atlanta (Georgia) Quotata

Dettagli

Sistemi di elaborazione dell informazione(sicurezza su reti) Anno 2003/04 Indice 1-INTRODUZIONE sicurezza delle reti, vulnerabilità, prevenzione 2-SCANNER DI VULNERABILITA A cura di: Paletta R. Schettino

Dettagli

Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità

Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità L Eccellenza nei servizi e nelle soluzioni IT integrate. Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità 2012 MARZO Omnitech s.r.l. Via Fiume Giallo, 3-00144 Roma Via

Dettagli

penetration test (ipotesi di sviluppo)

penetration test (ipotesi di sviluppo) penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

LA TECNOLOGIA CONTRO L HACKING

LA TECNOLOGIA CONTRO L HACKING LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A. I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line.

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

F-Secure Software Updater Uno strumento unico per proteggere la vostra azienda dalla minacce conosciute. Proteggi l'insostituibile f-secure.

F-Secure Software Updater Uno strumento unico per proteggere la vostra azienda dalla minacce conosciute. Proteggi l'insostituibile f-secure. F-Secure Software Updater Uno strumento unico per proteggere la vostra azienda dalla minacce conosciute Proteggi l'insostituibile f-secure.it Panoramica Questo documento illustra le funzionalità di Software

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

LA NUOVA METODOLOGIA DI RATING CERVED GROUP. richiesta di commenti

LA NUOVA METODOLOGIA DI RATING CERVED GROUP. richiesta di commenti LA NUOVA METODOLOGIA DI RATING CERVED GROUP richiesta di commenti Novembre 2013 1 Indice RICHIESTA DI COMMENTI SULLA NUOVA METODOLOGIA DI RATING CERVED GROUP... 3 LE MOTIVAZIONI... 4 I PRINCIPALI ELEMENTI

Dettagli

PIANO DI TUTELA DELLE ACQUE DELLA SICILIA (di cui all'art. 121 del Decreto Legislativo 3 aprile 2006, n 152)

PIANO DI TUTELA DELLE ACQUE DELLA SICILIA (di cui all'art. 121 del Decreto Legislativo 3 aprile 2006, n 152) Commissario Delegato per l Emergenza Bonifiche e la Tutela delle Acque in Sicilia PIANO DI TUTELA DELLE ACQUE DELLA SICILIA (di cui all'art. 121 del Decreto Legislativo 3 aprile 2006, n 152) Sistema WEB-GIS

Dettagli

Internet Security Threat Report Volume X

Internet Security Threat Report Volume X Internet Security Threat Report Volume X Il 28 gennaio 2002 è stato pubblicato il primo volume dell Internet Security Threat Report da Riptech, società di Managed Security Services acquisita da Symantec

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

ICT4EXECUTIVE - WWW.ICT4EXECUTIVE.IT

ICT4EXECUTIVE - WWW.ICT4EXECUTIVE.IT ICT4EXECUTIVE - WWW.ICT4EXECUTIVE.IT FEBBRAIO 2014 Un PC con hardware moderno, sistema operativo e applicazioni di ultima generazione, è la miglior difesa contro l emergere di nuove minacce informatiche.

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Microsoft Security Intelligence Report

Microsoft Security Intelligence Report Microsoft Security Intelligence Report Da gennaio a giugno 2007 Riepilogo dei principali risultati Microsoft Security Intelligence Report (gennaio - giugno 2007) Riepilogo dei principali risultati Il Microsoft

Dettagli

@ll Security. Il Perché dell Offerta. Business Market Marketing

@ll Security. Il Perché dell Offerta. Business Market Marketing Il Perché dell Offerta Cos è la Sicurezza Logica? La Sicurezza logica è costituita dall insieme delle misure di carattere organizzativo e tecnologico tese ad impedire l alterazione diretta o indiretta

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012 Architetture dei WIS Prof.ssa E. Gentile a.a. 2011-2012 Definizione di WIS Un WIS può essere definito come un insieme di applicazioni in grado di reperire, cooperare e fornire informazioni utilizzando

Dettagli

Microsoft Security Intelligence Report

Microsoft Security Intelligence Report Una prospettiva approfondita su vulnerabilità ed exploit del software, malware, software potenzialmente indesiderato e siti Web dannosi Microsoft Security Intelligence Report Volume 15 Da gennaio a giugno

Dettagli

Tecnologie, processi e servizi per la sicurezza del sistema informativo

Tecnologie, processi e servizi per la sicurezza del sistema informativo Tecnologie, processi e servizi per la sicurezza del sistema informativo Carlo Mezzanotte Direttore Servizi Sistemistici Microsoft Italia Forze convergenti Ampio utilizzo Attacchi sofisticati Problemi di

Dettagli

! "! " #$% & "! "&% &&

! !  #$% & ! &% && ! "! " #$% & "! "&% && '( " )* '+,-$..$ / 0 1 2 ' 3 4" 5 5 &4&6& 27 &+ PROFILO PROFESSIONALE ESPERTO DATABASE E APPLICATIVI Categoria D Gestisce ed amministra le basi dati occupandosi anche della manutenzione

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it CMS Hacking Analisi del rischio di utilizzo di applicazioni di terze parti Gabriele Buratti www.isc2chapter-italy.it Agenda Definizione di CMS Rischi e tendenze (e le ragioni di ciò) Attacchi recenti Perchè

Dettagli

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile Francesco Faenzi, Security Practice Manager Agenda Framework & Vision Value Proposition Solution Center Referenze

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Tecnologia avanzata e project engineering al servizio della PA Sicurezza delle reti della PA, dei servizi pubblici e delle attività digitali degli impiegati pubblici FORUM PA Digital Security per la PA

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Brochure Cisco Security

Brochure Cisco Security Brochure Cisco Security La sicurezza oggi è ancora più importante Gli approcci tradizionali alla sicurezza avevano un solo scopo: proteggere le risorse in rete da rischi e malware provenienti dall esterno.

Dettagli

PRIVACY POLICY ED INFORMATIVA COOKIES

PRIVACY POLICY ED INFORMATIVA COOKIES PRIVACY POLICY ED INFORMATIVA COOKIES PREMESSE. Con il presente documento la società Area C Sagl -, titolare del presente sito internet intende dare notizia sulle modalità di gestione del sito medesimo

Dettagli

Internet Explorer 7. Gestione cookie

Internet Explorer 7. Gestione cookie Internet Explorer 7 Internet Explorer 7 è la nuova versione del browser di Microsoft disponibile per i Sistemi Operativi: Windows Vista, Windows XP (SP2), Windows XP Professional x64 Edition e Windows

Dettagli

Managed Security Services Security Operations Center

Managed Security Services Security Operations Center Managed Security Services Security Operations Center L organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Network&Information Security Incidents Management

Network&Information Security Incidents Management Network&Information Security Incidents Management Conferenza nazionale Cyber Security Energia Roma CASD 24 settembre 2015 Il contesto di business di TERNA (TSO italiano) Le origini del cyber-risk ()ulnerabilità

Dettagli

Epic Snake: sveliamo i misteri che si celano dietro la campagna di cyber-spionaggio

Epic Snake: sveliamo i misteri che si celano dietro la campagna di cyber-spionaggio Epic Snake: sveliamo i misteri che si celano dietro la campagna di cyber-spionaggio L operazione di cyber-spionaggio Epic Turla ha colpito 45 paesi in Europa e in Medio Oriente tra cui anche l Italia,

Dettagli

SOC le ragioni che determinano la scelta di una struttura esterna

SOC le ragioni che determinano la scelta di una struttura esterna SOC le ragioni che determinano la scelta di una struttura esterna Indice Scopo Servizi SOC Descrizione Servizi Modello di Erogazione Risorse / Organizzazione Sinergia con altri servizi Conclusioni 2 Scopo

Dettagli

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r.

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r. Network Hardening Università degli Studi di Pisa Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Applicata Stage svolto presso BK s.r.l Tutor Accademico Candidato Tutor

Dettagli

DIVISIONE INFORMATICA FORENSE E SICUREZZA

DIVISIONE INFORMATICA FORENSE E SICUREZZA DIVISIONE INFORMATICA FORENSE E SICUREZZA Divisione Informatica Forense e Sicurezza DIFS La Divisione Informatica Forense e Sicurezza (DIFS) dell'agenzia, avvalendosi di un team di esperti, offre servizi

Dettagli

Fortify. Proteggete il vostro portfolio applicativo

Fortify. Proteggete il vostro portfolio applicativo Fortify 360 Proteggete il vostro portfolio applicativo Fortify L approccio di tipo olistico adottato da Fortify alla sicurezza delle applicazioni protegge concretamente la nostra impresa dalle odierne

Dettagli

Ministero dello Sviluppo Economico

Ministero dello Sviluppo Economico Ministero dello Sviluppo Economico Comunicazioni Istituto Superiore C.T.I. Rapporto di Certificazione Gestione dei dati sanitari, infermerie e CMD Versione 1.1 Ottobre 2008 Questa pagina è lasciata intenzionalmente

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato

Dettagli

IBM i5/os: un sistema progettato per essere sicuro e flessibile

IBM i5/os: un sistema progettato per essere sicuro e flessibile IBM i5/os garantisce la continua operatività della vostra azienda IBM i5/os: un sistema progettato per essere sicuro e flessibile Caratteristiche principali Introduzione del software HASM (High Availability

Dettagli

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

V.I.S.A. VoiP Infrastructure Security Assessment

V.I.S.A. VoiP Infrastructure Security Assessment V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere

Dettagli

Per organizzazioni di medie dimensioni. Oracle Product Brief Real Application Clusters (RAC)

Per organizzazioni di medie dimensioni. Oracle Product Brief Real Application Clusters (RAC) Per organizzazioni di medie dimensioni Oracle Product Brief Real Application Clusters (RAC) PERCHÉ UN ORGANIZZAZIONE NECESSITA DI UNA FUNZIONALITÀ DI CLUSTERING? La continuità operativa è fondamentale

Dettagli

Attivitá e prospettive per la

Attivitá e prospettive per la Attivitá e prospettive per la sicurezza ICT ForumPA 2005 Roma, 9 Maggio Andrea Valboni andreav@microsoft.com Chief Technology Officer Settore Pubblico Microsoft Italia Agenda Programmi per i Governi Security

Dettagli

Vulnerabilità in Apache Tomcat

Vulnerabilità in Apache Tomcat Vulnerabilità in Apache Tomcat L evoluzione della specie il mondo della sicurezza è una giungla! SMAU 2008 Di cosa parliamo oggi... Quali sono le principali vulnerabilità scoperte in Apache Tomcat Come

Dettagli

DIVISIONE DATA & NETWORK SECURITY

DIVISIONE DATA & NETWORK SECURITY DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it

Dettagli

vulnerabilità del software

vulnerabilità del software vulnerabilità del software 1 quando il software non si comporta correttamente. input precondizioni elaborazione postcondizioni output un programma è corretto quando su qualsiasi input che soddisfa le precondizioni

Dettagli

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit. La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner

Dettagli

SICUREZZA INFORMATICA CLOUD COMPUTING

SICUREZZA INFORMATICA CLOUD COMPUTING SICUREZZA INFORMATICA CLOUD COMPUTING Uso consapevole del Cloud Ver.1.0, 10 luglio 2015 2 Pagina lasciata intenzionalmente bianca 1. IL CLOUD COMPUTING Il continuo aumento delle richieste di servizi informatici,

Dettagli

Guida alla migrazione delle politiche di Symantec Client Firewall

Guida alla migrazione delle politiche di Symantec Client Firewall Guida alla migrazione delle politiche di Symantec Client Firewall Guida alla migrazione delle politiche di Symantec Client Firewall Il software descritto nel presente manuale viene fornito in conformità

Dettagli

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it Vulnerabilità dei CMS Joomla, Wordpress, ecc. Articoli tratti dal sito html.it e informaticamente.pointblog.it -------------------------------------------------------------------------------------------------------------

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli