LA TECHNOLOGY TRANSFER PRESENTA ROMA 4-6 NOVEMBRE 2013 ROMA 7-8 NOVEMBRE 2013 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37
Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "LA TECHNOLOGY TRANSFER PRESENTA ROMA 4-6 NOVEMBRE 2013 ROMA 7-8 NOVEMBRE 2013 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37"

Transcript

1 LA TECHNOLOGY TRANSFER PRESENTA KENNETH VAN WYK BYOD Security Come prevenire un disastro nella Vostra azienda L arte di costruire applicazioni sicure per ios e Android ROMA 4-6 NOVEMBRE 2013 ROMA 7-8 NOVEMBRE 2013 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 info@technologytransfer.it

2 BYOD Security - Come prevenire un disastro nella Vostra azienda DESCRIZIONE Le apparecchiature mobile hanno invaso l azienda come mai prima e molti chiedono al dipartimento di IT il supporto del BYOD (Bring Your Own Device). Supportare le necessità del personale con le sue apparecchiature BYOD e mantenere la sicurezza dell azienda sono diventate due delle più importanti sfide alla sicurezza che l IT si trova ad affrontare. Questa classe comincia ad analizzare i problemi che circondano i BYOD, sia apparecchiature Google Android, sia apparecchiature ios (iphone e ipad). I partecipanti impareranno come fare un analisi statica delle mobile apps per vedere i più comuni punti deboli riguardo alla sicurezza come: una protezione debole dei dati sensibili dell utente memorizzati nel mobile device, trovare segreti embedded nella mobile app, esplorare le perdite di informazione dal lato canale. Quindi i partecipanti impareranno come fare un analisi dinamica delle mobile apps per vedere i più comuni punti deboli riguardo alla sicurezza come: perdita di informazioni attraverso key logs, screen shots e altro, uso non adeguato di SSL/TLS per criptare dati sensibili che transitano sul network. Partendo da qui, la classe prosegue spiegando come configurare le apparecchiature Android e ios per massimizzare la loro sicurezza. I partecipanti useranno tools per bloccare la configurazione di sicurezza sui devices Android e ios. Infine verranno esaminati dei prodotti disponibili che possono rappresentare una soluzione per gestire consistenti flotte di mobile devices. I partecipanti impareranno quali prodotti sono disponibili per fare un management centralizzato dei deployments di BYOD in azienda. Le caratteristiche e le capabilities dei prodotti saranno comparate in modo tale che i partecipanti saranno in condizione di decidere efficacemente quali prodotti si adattano meglio alla propria organizzazione e come selezionarli. Verranno anche discusse le implicazioni sulla policy in modo che i partecipanti avranno una visione realistica di quello che li aspetta quando implementeranno prodotti di Mobile Management. Il seminario sarà ricco di esercitazioni, i partecipanti dovranno portare il proprio mobile device e il proprio laptop con sistema operativo Windows o OS X. PARTECIPANTI Questo workshop si rivolge a Management e Staff di IT Security responsabili di gestire sistemi BYOD nei propri ambienti di lavoro. Si ricorda ai partecipanti di portare il laptop. Configurazioni raccomandate: Apple OS X Mountain Lion (o Mavericks) OPPURE Microsoft Windows ( preferibilmente 7) Privilegi di amministratore per potere installare del software Ambiente Virtual Machine - Virtual Box (fornito) o VMware (non fornito) Porta USB disponibile per installare dei tools per le esercitazioni Approssimativamente 20 Gigabytes di spazio su disco 4-8 Gigabytes di RAM Inoltre il partecipante dovrebbe portare con sé una apparecchiatura mobile, preferibilmente un iphone o ipod Touch o ipad. L apparecchiatura mobile sarà configurata nei laboratori di esercitazione, di conseguenza nessun profilo di configurazione (amovibile) esistente dovrebbe essere presente.

3 PROGRAMMA PRIMA GIORNATA SECONDA GIORNATA 1. Fase di preparazione: comprensione del problema Quali sono gli aspetti critici del software nel mobile che è suscettibile a un attacco? Quali tipi di dati sono tipicamente disponibili da un punto di vista di indagine legale su una apparecchiatura rubata o smarrita? Perché gli sviluppatori software su smart phone continuano a sviluppare software debole? 2. Principi e trabocchetti di sicurezza per apparecchiature mobili Principi di sicurezza che si possono applicare alle applicazioni mobile I principali 10 problemi di sicurezza dell OWASP che sono pertinenti con smart phones e tablets I principali 10 rischi OWASP per il mobile Comuni trabocchetti che si trovano nelle applicazioni mobile - Analisi statica delle mobile apps e dei loro dati - Analisi dinamica delle connessioni network della mobile app Esercizi pratici per illustrare i problemi - Cercare i punti di debolezza nelle apps ipad off the shelf 3. Policy concerns Una discussione sulle politiche che i dipartimenti di IT Security devono utilizzare quando permettono BYOD nei propri networks 5. Condurre operazioni di incident response su apparecchiature mobili Come usare l informazione disponibile su una apparecchiatura mobile durante gli incidenti di sicurezza Tipici scenari di incidente e come gestirli - Un executive smarrisce durante una trasferta la propria apparecchiatura mobile - L informazione dell impiegato compromessa su un network WiFi insicuro - Un attacco malware attraverso il sistema BYOD 6. Configurare apparecchiature mobili per l uso aziendale Quali controlli sono possibili da parte dell IT Security per forzare politiche di sicurezza Esercitazioni su iphone Configuration Utility per costruire profili personalizzati di configurazione 7. Deploying dei profili di configurazione Dopo aver costruito un profilo personalizzato di configurazione per la Vostra azienda fare il deployment e la gestione attraverso tutti i Vostri sistemi - Soluzioni con MDM - Aspetti di scalabilità 8. Domande e risposte 4. Domande e risposte

4 TERZA GIORNATA 9. Anticipare i problemi Quali sono i problemi che molto probabilmente incontrerete? - Jailbreaking/rooting - Malware - Partenza del dipendente - Aggiornamento dell apparecchiatura 7. Cosa su Android? Siccome molte delle esercitazioni pratiche durante questo workshop sono focalizzate su ios, allora cosa dire su Android? - Quali sono i tools disponibili? - Quali particolari difficoltà si porta con sé la piattaforma? 8. Prepararsi per i casi speciali Analizzare situazioni particolari - Trasferte in località pericolose - Accesso del contractor a progetti sensibili 9. Getting Started Come partire con un programma aziendale BYOD nella maniera migliore - Bilanciamento fra sicurezza e funzionalità - Considerazioni pratiche Costruire una check list su come partire 10. Domande e risposte

5 L arte di costruire applicazioni sicure per ios e Android DESCRIZIONE Questo workshop esamina i problemi di sicurezza che si trovano ad affrontare gli sviluppatori di applicazioni che scrivono codice per piattaforme mobili. In particolare questo seminario si soffermerà sulla piattaforma ios di Apple usata da iphone, ipad e ipod Touch e sulla piattaforma Android di Google. Entrambi ios e Android sono i leaders di mercato nel mondo delle applicazioni mobile. Questo seminario spiega in maniera chiara i problemi, come possono essere affrontati e i modi di reagire ai vari attacchi. Il seminario è fortemente hands-on per fare in modo che i partecipanti abbiano la dimostrazione pratica dei problemi e delle soluzioni. Il seminario comincia con una descrizione dei problemi di sicurezza che si trova ad affrontare lo sviluppatore software e con una descrizione dettagliata dei Top 10 difetti di sicurezza dell OWASP (Open Web Application Security Project). Questi difetti sono spiegati dal docente e poi, attraverso delle esercitazioni pratiche, ciascun partecipante imparerà come oggi vengono sfruttati questi difetti per fare irruzione in una reale applicazione Web e simulatori dei device mobile. Successivamente il seminario spiega le attività pratiche che devono essere fatte attraverso il design, l implementazione e il testing di una applicazione mobile su entrambe le piattaforme. Quindi si andrà in dettaglio all interno di ciascuna piattaforma attraverso Case Studies ed esercitazioni pratiche. Verranno descritte l architettura della piattaforma e l architettura dell applicazione con la descrizione dei servizi di sicurezza sia a livello network/piattaforma che a livello delle applicazioni stesse. Infine il seminario esamina i comuni meccanismi di sicurezza trovati all interno delle applicazioni e spiega come implementarli in maniera sicura nelle applicazioni. PARTECIPANTI Questo seminario si rivolge a Sviluppatori con esperienza di applicazioni ios e Android. È indicato anche per Architetti di applicazioni mobile che hanno un background di sviluppo software, specialmente in linguaggi di programmazione Object Oriented. Si ricorda ai partecipanti di portare il laptop per le esercitazioni. Configurazioni minime raccomandate: Per ios: - Apple OS X Snow Leopard con gli ultimi aggiornamenti - Kit di sviluppo software Xcode di Apple per ios - La registrazione al programma di sviluppo per iphone di Apple è fortemente raccomandata Per Android - OS X o Windows - Eclipse Classic - Android Eclipse Development Tools Plug-in Approssimativamente 10Gigabytes di disco disponibile 4 Gigabytes di RAM

6 PROGRAMMA PRIMA GIORNATA: ios SECONDA GIORNATA: Android 1. Principi di sicurezza per Smart Phone Principi di sicurezza che si applicano direttamente alle applicazioni per smart phone Punti dei Top 10 di OSWAP pertinenti con gli smart phones Esercizi hands-on per illustrare i problemi 2. Architettura della piattaforma Discussione dettagliata delle caratteristiche di sicurezza della piattaforma ios - Application sandboxing - Hardware encryption - Application signing - Il processo Application Store Testing delle applicazioni usando il device emulator 3. Architettura dell applicazione Design e architettura delle applicazioni sicure - Applicazioni stand-alone - Applicazioni client-server - Applicazioni di rete 4. Meccanismi comuni di sicurezza Una dettagliata presentazione dei meccanismi vitali di sicurezza e di come implementarli con sicurezza - Networks communications - Autenticazione - Controllo dell accesso - Protezione dei dati sensibili - Uso del database 6. Architettura della piattaforma Discussione dettagliata delle caratteristiche di sicurezza della piattaforma Android Testing delle applicazioni usando il device emulator 7. Architettura dell applicazione Design e architettura delle applicazioni sicure - Applicazioni stand-alone - Applicazioni client-server - Applicazioni di rete 8. Meccanismi comuni di sicurezza Una dettagliata presentazione dei meccanismi vitali di sicurezza e di come implementarli con sicurezza - Networks communications - Autenticazione - Controllo dell accesso - Protezione dei dati sensibili - Uso del database 9. Coding Lab 10. Getting Started Come mettere tutto questo in pratica 5. Coding Lab

7 INFORMAZIONI QUOTA DI PARTECIPAZIONE BYOD Security Come prevenire un disastro nella Vostra azienda 1600 (+iva) L arte di costruire applicazioni sicure per ios e Android 1200 (+iva) La partecipazione ad entrambi i seminari viene offerta ad una speciale quota 2600 (+iva) La quota di partecipazione comprende documentazione, colazioni di lavoro e coffee breaks. LUOGO Roma, Visconti Palace Hotel Via Federico Cesi, 37 DURATA ED ORARIO 3 giorni/ 2 giorni: È previsto il servizio di traduzione simultanea MODALITÀ D ISCRIZIONE Il pagamento della quota, IVA inclusa, dovrà essere effettuato tramite bonifico, codice IBAN: IT 03 W Banca: Cariparma Agenzia 1 di Roma intestato alla Technology Transfer S.r.l. e la ricevuta di versamento inviata insieme alla scheda di iscrizione a: TECHNOLOGY TRANSFER S.r.l. Piazza Cavour, ROMA (Tel Fax ) entro il 21 Ottobre 2013 Vi consigliamo di far precedere la scheda d iscrizione da una prenotazione telefonica. CONDIZIONI GENERALI In caso di rinuncia con preavviso inferiore a 15 giorni verrà addebitato il 50% della quota di partecipazione, in caso di rinuncia con preavviso inferiore ad una settimana verrà addebitata l intera quota. In caso di cancellazione del seminario, per qualsiasi causa, la responsabilità della Technology Transfer si intende limitata al rimborso delle quote di iscrizione già pervenute. SCONTI DI GRUPPO Se un azienda iscrive allo stesso evento 5 partecipanti, pagherà solo 4 partecipazioni. Chi usufruisce di questa agevolazione non ha diritto ad altri sconti per lo stesso evento. ISCRIZIONI IN ANTICIPO I partecipanti che si iscriveranno al seminario 30 giorni prima avranno uno sconto del 5%. TUTELA DATI PERSONALI Ai sensi dell art. 13 della legge n. 196/2003, il partecipante è informato che i suoi dati personali acquisiti tramite la scheda di partecipazione al seminario saranno trattati da Technology Transfer anche con l ausilio di mezzi elettronici, con finalità riguardanti l esecuzione degli obblighi derivati dalla Sua partecipazione al seminario, per finalità statistiche e per l invio di materiale promozionale dell attività di Technology Transfer. Il conferimento dei dati è facoltativo ma necessario per la partecipazione al seminario. Il titolare del trattamento dei dati è Technology Transfer, Piazza Cavour, Roma, nei cui confronti il partecipante può esercitare i diritti di cui all art. 13 della legge n. 196/2003. KENNETH VAN WYK BYOD SECURITY COME PREVENIRE UN DISASTRO NELLA VOSTRA AZIENDA Roma 4-6 Novembre 2013 Visconti Palace Hotel - Via Federico Cesi, 37 Quota di iscrizione: 1600 (+iva) nome... cognome... funzione aziendale... azienda... Timbro e firma L ARTE DI COSTRUIRE APPLICAZIONI SICURE PER IOS E ANDROID partita iva... codice fiscale... Roma 7-8 Novembre 2013 Visconti Palace Hotel - Via Federico Cesi, 37 Quota di iscrizione: 1200 (+iva) indirizzo... città... ENTRAMBI I SEMINARI cap... Quota di iscrizione per entrambi i seminari: 2600 (+iva) provincia... In caso di rinuncia o di cancellazione dei seminari valgono le condizioni generali riportate all interno. È previsto il servizio di traduzione simultanea telefono... fax Da restituire compilato a: Technology Transfer S.r.l. Piazza Cavour, Roma Tel Fax info@technologytransfer.it

8 DOCENTE Kenneth van Wyk è un riconosciuto esperto di Information Security di fama internazionale, autore del libro Incident Response and Secure Coding. È columnist di esecurityplanet e Visiting Scientist al Software Engineering Institute della Canergie Mellon University. Ha più di 20 anni di esperienza nel settore dell IT Security, ha operato a livello accademico, militare e nei settori commerciali. Ha occupato posizioni tecniche prestigiose alla Tekmark, Para-Protect, SAIC oltre che al Dipartimento della Difesa e alle Università di Canergie Mellon e Lehigh. È stato membro e chairman del comitato esecutivo di FIRST (Forum of Incident Response and Security Teams) ed è stato uno dei fondatori di CERT (Computer Emergency Response Team).

Documenti analoghi
2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back