CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it"

Transcript

1 CMS Hacking Analisi del rischio di utilizzo di applicazioni di terze parti Gabriele Buratti

2 Agenda Definizione di CMS Rischi e tendenze (e le ragioni di ciò) Attacchi recenti Perchè è così pericoloso? I dettagli Una campagna di attacco Attacco industrializzato Pretendere la sicurezza Demo 2

3 Today s Speaker: Gabriele Buratti Principal Security Fotografo Utilizzatore di WordPress e Mambo/Joomla Programmatore PHP copia&incolla 3

4 Definizione di CMS Content Management System 4

5 Cos è un CMS? Un Content Management System, in acronimo CMS, (in italiano sistema di gestione dei contenuti), è uno strumento software, installato su un server web, il cui compito è facilitare la gestione dei contenuti di siti web, svincolando il webmaster da conoscenze tecniche specifiche di programmazione Web. Source: 5

6 Distribuzione dell installato Source: 6

7 Ma anche Il sito CMS Matrix elenca 1276 prodotti definiti come CMS, incluso Zu Pippino. The CMS which deserves respect. Source: 7

8 Utilizzo nella grande impresa 8

9 Rischi e tendenze (e le ragioni di ciò) 9

10 OWASP Top Update Nuovo, A9 Utilizzo di componenti con vulnerabilità note 10

11 Terze parti Secondo Veracode: Il 70% del codice sviluppato internamente ha origine al di fuori del team di sviluppo Il 28% delle applicazioni censite sono identificate come create da una terza parte 11

12 Quando una terza parte invita i suoi amici Più del 20% dei 50 plugin di WordPress più popolari è affetto da vulnerabilità 7 dei 10 e-commerce plugin più popolari sono vulnerabili a comuni attacchi web -- Checkmarx Ltd. research lab The Security State of WordPress Top 50 Plugins white paper, June 18, 2013 Non puoi sistemare il codice che non possiedi, anche se è suoi tuoi server. 12

13 Superficie d attacco In una ricerca condotta da BSI in Germania, ~20% delle vulnerabiltà rilevate risiede nel core del CMS, ~80% in plugin ed estensioni. Source: https://www.bsi.bund.de/de/publikationen/studien/cms/studie_cms.html BSI is Germany's federal office for information security 13

14 Anatomia di un sito WordPress linee di codice WordPress core plugins (10) 2089 theme 23 codice custom 9 core developers (+ contributors) * 1 sviluppatore per plugin 1 sviluppatore Io! Manca un 2 paio di occhi Binari morti Lento processo di patching * Source: 14

15 Come prevengo ciò?* [the OWASP way] Un opzione è quella di non utilizzare componenti che non avete scritto voi. Ma non è molto realistica. Molti sviluppatori di componenti non creano patch per le vecchie versioni. Invece, la maggior parte risolve i problemi nelle nuove versioni. Aggiornare a queste versioni diventa critico. I progetti software dovrebbero avere un processo in grado di: 1) Identificare tutte le componenti e le versioni in uso. 2) Monitorare la sicurezza di questi componenti nei database pubblici, mailing list di progetto, e tenerli aggiornati. 3) Stabilire policy di sicurezza che governino l utilizzo di componenti. 4) Aggiungere security wrappers ove appropriato. Punti 1,2,3 in una parola: Patching! * Source: OWASP Top

16 Patching WordPress WordPress è molto semplice da aggiornare. Ciononostante, molti siti girano ancora su vecchie versioni Source: 16

17 Virtual Patching 193 Giorni: Tempo medio di fix delle vulnerabilità * Vulnerability found Code fix developed and tested System protected Il Virtual Patching ci consente di ridurre la finestra di esposizione da 193 giorni a 0-5 giorni. Vulnerability found Virtual Patch System protected * WhiteHat Website Security Statistics Report, May 2013

18 18 Perchè è così pericoloso?

19 Hacking classico Attacco a sito singolo Hacking Information Gathering Trial and error Gaining Access «Do things» Clearing Tracks 19

20 Hacking classico Attacco a molti siti 20

21 CMS Hacking Attacco rivolto a CMS Hacking Identify vulnerability Gain access «Do things» Confidential 21

22 22 Attacchi recenti

23 Attacchi attraverso codice di terze parti Intrusione via componente di terze parti nei server di Drupal.org. 23

24 Attacchi attraverso codice di terze parti Dati dei clienti compromessi a causa di un servizio di terze parti. 24

25 Attacchi attraverso codice di terze parti L attacco a Yahoo dettagliato nel January HII report di Imperva. HII Report: 25

26 Attacchi relativi a CMS 26

27 Attacchi relativi a CMS 27

28 Attacchi relativi a CMS Source: 28

29 Bersagli speciali Source: 29

30 I dettagli Aspetti di una campagna d attacco a CMS 30

31 Nel mirino dell attaccante Controllo del server Per le risorse Per la visibilità Furto di dati 31

32 Hacking massivo di CMS Step 1: Trovare una vulnerabilità nel CMS Source: I database pubblici che raccolgono le vulnerabilità contengono migliaia di record relativi ai CMS. 32

33 CMS Gone Wild(card) Step 2: Identificare una fingerprint in un sito basato su CMS La fingerprint può essere Immagine URL Tag Object Reference Risposta a una query etc.. 33

34 Fingerprinted Tag based Il codice generalmente contiene fingerprint del CMS in uso (a meno che non siano offuscate). 34

35 Fingerprinted Basate su URL L interfaccia di amministrazione esposta facilita il rilevamento del CMS e consente i tentativi di login 35

36 Google Dork per le masse Query: inurl:(wp-config.conf wp-config.txt wp-config.php.bak) ext:(conf txt config bak) Risutati:

37 Google Dork per le masse In questo caso: Database Host, User e Password esposti 37

38 Botnet a caccia del vostro CMS Osservazioni recenti: Le Botnet scansionano i siti web alla ricerca di vulnerabilità Iniettano codice nei siti vulnerabili I sistemi infettati diventano parte della Botnet (Zombie) 38

39 Comunicazioni di una Botnet Google Dork L operatore della Botnet utilizza gli zombie per scansionare altri siti * As observed by Imperva s ADC Research Team 39

40 Comunicazioni di una Botnet La Botnet utilizza le vulnerabilità e assorbe i server attaccati * As observed by Imperva s ADC Research Team 40

41 Pretendere la sicurezza Mettere in sicurezza le applicazioni di terze parti 41

42 Analisi della superficie d attacco Alcune vulnerabilità possono essere bloccate solo dai Web Application Firewall. Graphics Source: https://www.bsi.bund.de/de/publikationen/studien/cms/studie_cms.html BSI is Germany's federal office for information security 42

43 Raccomandazioni Di solito quando un azienda costruisce la propria policy di sicurezza non tiene in conto gli elementi che non sono in controllo diretto, che sono quelli che alla fine creano i problemi. Le aziende dovrebbero: Implementare policy che tengano in considerazione sia gli aspetti legali che quelli tecnici di controllo degli accessi e dell utilizzo dei dati. Richiedere che le componenti di terze parti aderiscano alla propria policy. Implementare i controlli. Pensare «dati di business» al posto di «quel server» Considerare l introduzione di un Database Activity Monitor Considerare l introduzione di un File Activity Monitor Monitorare

44 Raccomandazioni tecniche Presupporre che il codice di terze parti che arrivi da partner, vendor, fusioni, acquisizioni- contenga serie vulnerabilità Pentest prima della messa in produzione per identificare le vulnerabilità Anteporre un WAF alle applicazioni in modo da: Fare Virtual Patching integrandosi con gli strumenti di pentesting Mitigare i nuovi rischi (sconosciuti al momento del pentest) Mitigare i problemi non evidenziati dal pentest Utilizzare il cloud WAF per le applicazioni in hosting/housing remoto Fare Virtual Patching dei nuovi CVE Richiede un robusto servizio di aggiornamento 44 44

45 Demo Hackers vs WordPress 45

46 Demo di attacco (e di difesa) Hacker WordPress powered website Brute force + XSS injection Malware download Victim 46

47 The attack The atta ck Confidential 47

48 Considerazioni Questo NON è un attacco automatizzato E un attacco misto, in parte logico (il brute force usando il dizionario), in parte tecnico (cross-site scripting) Entrambe le parti possono essere automatizzate 3 secondi per 500 password = 5 minuti per password Ricerca del plugin e seguente iniezione di codice possono essere automatizzate Ottenere l accesso come amministratore non è l unico modo per piantare un XSS. WordPress non aveva vulnerabilità conosciute al momento della registrazione. 48

49 The defense The defense Confidential 49

50 Firewall e Intrusion Prevention System non forniscono sufficiente protezione alla maggior parte dei siti web e delle applicazioni web business critical. [In questo documento] spieghiamo come i Web Application Firewall (WAF) aiutino i responsabili della sicurezza a proteggere le applicazioni web della loro organizzazione. Web Application Firewalls Are Worth the Investment for Enterprises, Gartner, Feb

51 Grazie 51

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Hype Cycle for Application Security. Gartner Inc., luglio 2012

Hype Cycle for Application Security. Gartner Inc., luglio 2012 Oggi giorno, dati e applicazioni rappresentano l'obiettivo preferito per gli attacchi informatici. Per questo motivo, l'adozione di applicazioni dedicate e di concetti, tecnologie e metodi efficaci mirati

Dettagli

Direttamente dalla sorgente Network IDS Oggi & nel Futuro

Direttamente dalla sorgente Network IDS Oggi & nel Futuro Direttamente dalla sorgente Network IDS Oggi & nel Futuro Graham Welch Director EMEA, Sourcefire Inc. Agenda Background sull Intrusion Detection Un giorno nella vita di Intrusion Prevention vs. Intrusion

Dettagli

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS SECURITY FOR BUSINESS Le nostre tecnologie perfettamente interoperabili Core Select Advanced Total Gestita tramite Security Center Disponibile in una soluzione mirata Firewall Controllo Controllo Dispositivi

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

Tutti i CMS sono vulnerabili

Tutti i CMS sono vulnerabili Ogni sito realizzato con i CMS open-source più diffusi (WordPress, Joomla!, Drupal, etc.) se non correttamente gestito, può presentare innumerevoli problemi di sicurezza. 23/01/13-1/45 I progetti open

Dettagli

Il Sito Web - Parte 1. Paolo Roganti

Il Sito Web - Parte 1. Paolo Roganti Il Sito Web - Parte 1 Paolo Roganti Agenda Gli obiettivi del nostro sito Le fasi per costruire un sito Come scegliere la piattaforma (di proprietà o di terze parti) Caratteristiche necessarie per un sito

Dettagli

TREND MICRO DEEP SECURITY

TREND MICRO DEEP SECURITY TREND MICRO DEEP SECURITY Protezione Server Integrata Semplice Agentless Compatibilità Totale Retroattiva Scopri tutti i nostri servizi su www.clouditalia.com Il nostro obiettivo è la vostra competitività.

Dettagli

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com $whois Paolo Stagno Luca Poletti http://voidsec.com voidsec@voidsec.com Nell anno 2013: Aumento del 30% degli attacchi a siti e web application 14 zero-day 5,291 nuove vulnerabilità scoperte, 415 di queste

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it Vulnerabilità dei CMS Joomla, Wordpress, ecc. Articoli tratti dal sito html.it e informaticamente.pointblog.it -------------------------------------------------------------------------------------------------------------

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Potete gestire centralmente tutti i dispositivi mobili aziendali?

Potete gestire centralmente tutti i dispositivi mobili aziendali? Potete gestire centralmente tutti i dispositivi mobili aziendali? Gestite tutti i vostri smartphone, tablet e computer portatili da una singola console con Panda Cloud Systems Management La sfida: l odierna

Dettagli

@ll Security. Il Perché dell Offerta. Business Market Marketing

@ll Security. Il Perché dell Offerta. Business Market Marketing Il Perché dell Offerta Cos è la Sicurezza Logica? La Sicurezza logica è costituita dall insieme delle misure di carattere organizzativo e tecnologico tese ad impedire l alterazione diretta o indiretta

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Internet Security Systems Stefano Volpi

Internet Security Systems Stefano Volpi Internet Security Systems Stefano Volpi Chi è Internet Security Systems Leader mondiale tra le aziende indipendenti nel settore della sicurezza IT Fondata nel 1994 con base ad Atlanta (Georgia) Quotata

Dettagli

Le strategie e le architetture

Le strategie e le architetture MCAFEE Le strategie e le architetture McAfee è da sempre completamente dedicata alle tecnologie per la sicurezza e fornisce soluzioni e servizi proattivi che aiutano a proteggere sistemi e reti di utenti

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Alcune semplici definizioni

Alcune semplici definizioni Alcune semplici definizioni Un CMS (Content management system), in italiano Sistema di gestione dei contenuti è uno strumento software che si installa generalmente su un server web, il cui compito è facilitare

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere

Dettagli

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo Ethical Hacking retegesi (Gruppo Ras) 20041108.03GP Milano, 08 novembre 2004 Spett.le Gesi S.p.A. Via Oglio, 12 20100 Milano (MI) n. 20041108.03GP Alla cortese attenzione: Dott. Sergio Insalaco Oggetto:

Dettagli

VULNERABILITÀ IN GRADO DI COMPROMETTERE UN SITO WEB

VULNERABILITÀ IN GRADO DI COMPROMETTERE UN SITO WEB VULNERABILITÀ IN GRADO DI COMPROMETTERE UN SITO WEB SAPERE È POTERE - GUIDA SYMANTEC ALLA PROTEZIONE DEL SITO WEB SOMMARIO 3 Un falso senso di sicurezza può costare caro 4 Cosa si può fare? 5 Come una

Dettagli

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza Massimo Caprinali Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza 2009 IBM CIO Survey: Risk Management e Compliance sono considerati fra gli elementi piu importanti del

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

Sophos Security made simple.

Sophos Security made simple. Sophos Security made simple. Roma, 20 maggio 2014 Giovanni Giovannelli Sales Engineer giovanni.giovannelli@sophos.com 1 Simple S.P.A. La struttura Produzione di abbigliamento 500 utenti in viarie sedi:

Dettagli

Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO

Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO Le Aree in cui Operiamo Progettiamo, realizziamo e supportiamo infrastruttura di Network di classe enterprise, basate su principi di availability,

Dettagli

Bollettino VA-IT-140901-01.A

Bollettino VA-IT-140901-01.A Early W a r ning Bollettino VA-IT-140901-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140901-01.A Pag. 2/6 C A N D I D A T E CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

Roma 26 Maggio 2015, Security Infoblox

Roma 26 Maggio 2015, Security Infoblox Roma 26 Maggio 2015, Security Infoblox Aditinet Enterprise Security La strategia Paolo Marsella - CEO Le Aree in cui Operiamo Progettiamo, realizziamo e supportiamo infrastruttura di Network di classe

Dettagli

PORTFOLIO CMS Realizza il tuo sito web dinamico

PORTFOLIO CMS Realizza il tuo sito web dinamico Una soluzione di GeDInfo Società Cooperativa Sviluppo software Internet service provider Assistenza sistemistica Servizi internet Via Colombo, 13 29122 Piacenza Tel. 0523 570221 Fax 0523 578696 www.gedinfo.com

Dettagli

Introduzione a Wordpress. Corso completo alla conoscenza e all uso del CMS Open Source WP (incontro 1/6)

Introduzione a Wordpress. Corso completo alla conoscenza e all uso del CMS Open Source WP (incontro 1/6) Introduzione a Wordpress Corso completo alla conoscenza e all uso del CMS Open Source WP (incontro 1/6) Indice Rilevazione aspettative e competenze in ingresso Patto formativo Presentazione di WP Premesse

Dettagli

DigitPA - P@norama sulle tecnologie innovative

DigitPA - P@norama sulle tecnologie innovative DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La

Dettagli

Come rimuovere un Malware dal vostro sito web o blog Che cos è un Malware

Come rimuovere un Malware dal vostro sito web o blog Che cos è un Malware Come rimuovere un Malware dal vostro sito web o blog Siete in panico perché avete appena scoperto di essere state attaccate da un Malware? Niente panico, questo post vi spiega come rimuovere un Malware

Dettagli

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Domenico Ercolani Come gestire la sicurezza delle applicazioni web Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow

Dettagli

Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti?

Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Giovanni Giovannelli Sales Engineer giovanni.giovannelli@sophos.it mob: +39 334.8879770 Chi è Sophos! Azienda

Dettagli

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti Domande frequenti 1. Che cos'è? fa parte della famiglia Enterprise delle Symantec Protection Suite. Protection Suite per Gateway salvaguarda i dati riservati e la produttività dei dipendenti creando un

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

Operation Bloodninja. Phishing Campaign Analysis Report

Operation Bloodninja. Phishing Campaign Analysis Report Operation Bloodninja Phishing Campaign Analysis Report Sommario Executive Summary... 1 Technical Analysis... 2 Attack Flow... 2 Components Analysis... 4 login_a.php... 4 css.php... 5 wp- config.php...

Dettagli

Hitachi Systems CBT S.p.A.

Hitachi Systems CBT S.p.A. Hitachi Systems CBT S.p.A. EasyCloud : Cloud Business Transformation LA TECNOLOGIA AL SERVIZIO DEL RINNOVAMENTO AZIENDALE Accompagniamo aziende di ogni dimensione e settore nella trasformazione strategica

Dettagli

Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig

Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig Chiara Braghin chiara.braghin@unimi.it! Fingerprinting (1) Definizione generica: A fingerprint is defined as: 1. The impression

Dettagli

Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig. Chiara Braghin. chiara.braghin@unimi.it! Fingerprinting (1)

Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig. Chiara Braghin. chiara.braghin@unimi.it! Fingerprinting (1) Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig Chiara Braghin chiara.braghin@unimi.it! Fingerprinting (1) Definizione generica: A fingerprint is defined as: 1. The impression

Dettagli

Riduzione del costo e complessità della gestione delle vulnerabilità Web

Riduzione del costo e complessità della gestione delle vulnerabilità Web WHITE PAPER: Riduzione del costo e complessità della gestione delle vulnerabilità Web White paper Riduzione del costo e complessità della gestione delle vulnerabilità Web Riduzione del costo e complessità

Dettagli

LA FORZA DELLA SEMPLICITÀ. Business Suite

LA FORZA DELLA SEMPLICITÀ. Business Suite LA FORZA DELLA SEMPLICITÀ Business Suite LA MINACCIA È REALE Le minacce online alla tua azienda sono reali, qualunque cosa tu faccia. Chiunque abbia dati o denaro è un bersaglio. Gli incidenti relativi

Dettagli

Fonte: http://news.drweb.com/?i=3432&c=5&lng=ru&p=1

Fonte: http://news.drweb.com/?i=3432&c=5&lng=ru&p=1 Fonte: http://news.drweb.com/?i=3432&c=5&lng=ru&p=1 Resoconto di marzo: trojan Hosts e ArchiveLock 2 aprile 2013 Analizzando la situazione a marzo, il team di Doctor Web rileva una chiara tendenza: la

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

OpenVAS - Open Source Vulnerability Scanner

OpenVAS - Open Source Vulnerability Scanner OpenVAS - Open Source Vulnerability Scanner di Maurizio Pagani Introduzione OpenVAS è un framework che include servizi e tool per la scansione e la gestione completa delle vulnerabilità. Un vulnerability

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

PROGRAMMA DI INFORMATICA

PROGRAMMA DI INFORMATICA PROGRAMMA DI INFORMATICA CLASSE 5 B Sistemi Informativi Aziendali A.S. 2014/2015 DOCENTE CORREDDU GIOVANNA ITP PANZERA GRAZIA Materiale didattico Libro di testo: Iacobelli, Ajme, Marrone, Brunetti, Eprogram-Informatica

Dettagli

avast! Prodotti per aziende 2013

avast! Prodotti per aziende 2013 avast! Prodotti per aziende 2013 Introduzione alle nuove funzioni e tecnologie presenti nelle più recenti soluzioni di sicurezza avast! per le imprese. Contenuto 1. 2. 3. 4. 5. 6. 7. 8. 11. 14. 15. 16.

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

Brochure Cisco Security

Brochure Cisco Security Brochure Cisco Security La sicurezza oggi è ancora più importante Gli approcci tradizionali alla sicurezza avevano un solo scopo: proteggere le risorse in rete da rischi e malware provenienti dall esterno.

Dettagli

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1 NESSUS IL Security Scanner Francesco M. Taurino 1 La vostra RETE Quali servizi sono presenti? Sono configurati in modo sicuro? Su quali macchine girano? Francesco M. Taurino 2 Domanda Quanto e sicura la

Dettagli

Le volte successive: LOGIN

Le volte successive: LOGIN Le volte successive: LOGIN Wordpress WordPress è una pia/aforma so2ware di content management system (CMS) Le volte successive: LOGIN Wordpress Le volte successive: LOGIN In informa6ca, un Content Management

Dettagli

La sicurezza in banca: un assicurazione sul business aziendale

La sicurezza in banca: un assicurazione sul business aziendale Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates

Dettagli

IDENTITY AS A SERVICE

IDENTITY AS A SERVICE IDENTITY AS A SERVICE Identità digitale e sicurezza nell impresa Riccardo Paterna SUPSI, 18 SETTEMBRE 2013 LA MIA IDENTITA DIGITALE La mia identità: Riccardo Paterna Riccardo Paterna Solution Architect

Dettagli

Modello di sicurezza Datocentrico

Modello di sicurezza Datocentrico Modello di sicurezza Datocentrico I dati sono ovunque Chi accede ai dati, a dove accede ai dati e a quali dati accede? Public Cloud Desktop Virtualization Private Cloud Server Virtualization Proteggere

Dettagli

Tecnologia avanzata e project engineering al servizio della PA Sicurezza delle reti della PA, dei servizi pubblici e delle attività digitali degli impiegati pubblici FORUM PA Digital Security per la PA

Dettagli

RSA Sun Insurance Office Ltd

RSA Sun Insurance Office Ltd RSA Sun Insurance Office Ltd Web Application Security Assessment (http://rsage49:9080/sisweb) Hacking Team S.r.l. Via della Moscova, 13 20121 MILANO (MI) - Italy http://www.hackingteam.it info@hackingteam.it

Dettagli

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI 1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI Per implementare una piattaforma di e-learning occorre considerare diversi aspetti organizzativi, gestionali e tecnici legati essenzialmente

Dettagli

Vulnerabilità in Apache Tomcat

Vulnerabilità in Apache Tomcat Vulnerabilità in Apache Tomcat L evoluzione della specie il mondo della sicurezza è una giungla! SMAU 2008 Di cosa parliamo oggi... Quali sono le principali vulnerabilità scoperte in Apache Tomcat Come

Dettagli

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit. La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner

Dettagli

Content Management Systems e

Content Management Systems e AA 2010/2011 Content Management Systems e Corso di Progetto di Sistemi Web Based Università degli Studi di Roma Tor Vergata Argomenti della lezione 1. Breve evoluzione storica dei siti internet cos è un

Dettagli

Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS

Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS La sicurezza IT è un dovere! La sicurezza IT è fondamentale per qualsiasi azienda. Le conseguenze di un attacco malware o di una

Dettagli

Quantum Leap L AZIEND

Quantum Leap L AZIEND L AZIENDA Quantum Leap, Salto di Qualità, è una società nata nel 2004 dallo spirito imprenditoriale di alcuni professionisti operanti da diversi anni nell ambito IT e nell information security. Il taglio

Dettagli

Fortify. Proteggete il vostro portfolio applicativo

Fortify. Proteggete il vostro portfolio applicativo Fortify 360 Proteggete il vostro portfolio applicativo Fortify L approccio di tipo olistico adottato da Fortify alla sicurezza delle applicazioni protegge concretamente la nostra impresa dalle odierne

Dettagli

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy. NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical

Dettagli

DEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici

DEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici DEFENCE in DEPTH Strategie di riduzione della superficie d attacco e dei rischi informatici Luca Bechelli Clusit luca@bechelli.net Ugo Di Nola Sinergy u.dinola@sinergy.it Roberto Banfi Sinergy r.banfi@sinergy.it

Dettagli

I Servizi IBM : Servizi professionali per garantire sicurezza e disponibilità dei sistemi IT

I Servizi IBM : Servizi professionali per garantire sicurezza e disponibilità dei sistemi IT I Servizi IBM : Servizi professionali per garantire sicurezza e disponibilità dei sistemi IT L' IBM X - Force è un team di ricerca e sviluppo che ha l incarico di studiare e monitorare le ultime tendenze

Dettagli

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology Sistemi firewall sicurezza reti Firewall sicurezza In informatica, nell ambito delle reti di computer, un firewall è un componente passivo di difesa perimetrale di una rete informatica, che può anche svolgere

Dettagli

Cinque consigli pratici per limitare il rischio delle minacce Web in circolazione

Cinque consigli pratici per limitare il rischio delle minacce Web in circolazione Cinque consigli pratici per limitare il rischio delle minacce Web in circolazione Di Chris McCormack, Senior Product Marketing Manager e Chester Wisniewski, Senior Security Advisor Le minacce Web in circolazione

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

Il consulente per l accesso al web e ai social network A cura di Claudia Zarabara scrivi@claudiazarabara.it www.facebook.com/zarabaraclaudia Giugno

Il consulente per l accesso al web e ai social network A cura di Claudia Zarabara scrivi@claudiazarabara.it www.facebook.com/zarabaraclaudia Giugno Il consulente per l accesso al web e ai social network A cura di Claudia Zarabara scrivi@claudiazarabara.it www.facebook.com/zarabaraclaudia Giugno 2014 Connessione Internet in Italia I dati (Censis) gli

Dettagli

SQL Injection: i 5 migliori tool per individuarle

SQL Injection: i 5 migliori tool per individuarle SQL Injection: i 5 migliori tool per individuarle SQL Injection è la principale tecnica sfruttata per colpire una applicazione web basata su un database di tipo SQL, potrebbe consentire ad un malintenzionato

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

A proposito di Cyber Security

A proposito di Cyber Security Cyber Security Fingerprint Advertorial A proposito di Cyber Security La sicurezza dei sistemi di controllo e automazione industriale diventa sempre più critica in quanto reti diverse sono spesso collegate

Dettagli

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability

Dettagli

Symantec Insight e SONAR

Symantec Insight e SONAR Teniamo traccia di oltre 3, miliardi di file eseguibili Raccogliamo intelligence da oltre 20 milioni di computer Garantiamo scansioni del 70% più veloci Cosa sono Symantec Insight e SONAR Symantec Insight

Dettagli

Sicurezza in Drupal La Sicurezza è un processo non un prodotto

Sicurezza in Drupal La Sicurezza è un processo non un prodotto Sicurezza in Drupal Sicurezza in Drupal La Sicurezza è un processo non un prodotto La Sicurezza è un processo non un prodotto I prodotti garantiscono un certo livello di protezione ma il solo modo di essere

Dettagli

Web. Hosting. Application

Web. Hosting. Application amministrazione siti CMS e CRM CONSULENZA WEB APPLICATION WEB DESIGN WEB MARKETING HOSTING GRAFICA Web. Hosting. Application EXPLICO Explico è la Web Agency, costituita nel 99 da professionisti specializzati

Dettagli

Cyber Security Architecture in Sogei

Cyber Security Architecture in Sogei Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n. 2015 99-00143 Roma 1 SOGEI, infrastruttura IT critica

Dettagli

Come affrontare le nuove sfide del business

Come affrontare le nuove sfide del business Come affrontare le nuove sfide del business Nel panorama delle minacce globali Demetrio Milea Advanced Cyber Defense - EMEA 1 Tecnologie emergenti Cloud Computing Monete Elettroniche Big Data Mobile and

Dettagli

ANALISI DELL INFRASTRUTTURA IT

ANALISI DELL INFRASTRUTTURA IT ITAS ANALISI DELL INFRASTRUTTURA IT Criticità di sicurezza Trento Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

MANUALE www.logisticity.it. Copryright 2015 - All rights reserved Email: info@logisticity.it - P.IVA 04183950403

MANUALE www.logisticity.it. Copryright 2015 - All rights reserved Email: info@logisticity.it - P.IVA 04183950403 MANUALE www.logisticity.it Copryright 2015 - All rights reserved Email: info@logisticity.it - P.IVA 04183950403 INDICE Presentazione... pag. 02 Applicativo... pag. 03 Amministrazione...pag. 06 Licenza...pag.

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit Modellazione e automazione per una sicurezza attiva e preventiva Appunti metodologici Mauro Cicognini Clusit Agenda Appunti metodologici Mauro Cicognini L'esperienza ICBPI Mario Monitillo La tecnologia

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT Area Servizi ICT Servizi hosting di Ateneo Contestualizzazione tecnologica Versione 1.1 http://hosting.polimi.it Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica Politecnico

Dettagli

Internet Banking e Web Security

Internet Banking e Web Security Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -

Dettagli

LA TUA SOFTWARE HOUSE IN CANTON TICINO

LA TUA SOFTWARE HOUSE IN CANTON TICINO LA TUA SOFTWARE HOUSE IN CANTON TICINO CHI SIAMO Workablecom è una Software House nata a Lugano con sede in Chiasso ed operante in tutto il Canton Ticino. E un System Integrator che crea e gestisce soluzioni

Dettagli

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Contestualizzazione tecnologica. hosting.polimi.it

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Contestualizzazione tecnologica. hosting.polimi.it AREA SERVIZI ICT Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica hosting.polimi.it Indice 1. Contestualizzazione... 4 1.1. Content Management System... 4 1.1.1. Componente

Dettagli

Wordpress LABORATORIO - Made in Italy: Eccellenze in Digitale. 18/2/16 - Andrea Tombesi Paolo Roganti

Wordpress LABORATORIO - Made in Italy: Eccellenze in Digitale. 18/2/16 - Andrea Tombesi Paolo Roganti Wordpress LABORATORIO - Made in Italy: Eccellenze in Digitale 18/2/16 - Andrea Tombesi Paolo Roganti Cos è un CMS? Un CMS (Content Management System), è un software che ti permette di gestire un blog (o

Dettagli