LA TECNOLOGIA CONTRO L HACKING

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "LA TECNOLOGIA CONTRO L HACKING"

Transcript

1

2 LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A.

3 I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line. Il ruolo, le tecniche e i vantaggi del vulnerability assessment. Defacement Scanner ed iplegion: due strumenti innovativi per proteggersi dall hacking.

4 E*MAZE in breve E*MAZE nasce nel Novembre 2000 da precedenti esperienze nel mondo IT / Security Tra i soci è presente MB Venture Capital Fund di Alice Ventures Organico di 22 persone con alta specializzazione di security E la prima azienda in Italia a sviluppare soluzioni di security scanning Associazioni con enti di rilevanza mondiale (CERT)

5 Finanziatori Alice Ventures fa parte del Venture Capital Project di Mediobanca,, SDA Bocconi e del Politecnico di Milano. Il fondo è sponsorizzato dalle principali aziende italiane

6 Lo scenario della Security Scarsa capacità di rilevare le intrusioni informatiche 38% delle grandi aziende sono a rischio (fonte:: Men&Mice, 2001) Forte crescita (57%) degli attacchi da Internet (fonte:: CSI, 1999) Un qualsiasi computer riceve 10 attacchi/probes al giorno (fonte: Schneier,, 2000)

7 GLI ATTACCANTI: Corrono pochi rischi Difficilmente rintracciabili Di origine internazionale GLI STRUMENTI D ATTACCO: Sofisticati ma semplici da usare Automatizzati Progettati per attacchi su larga scala CONTROMISURE: Difficili da implementare a posteriori Mancano standard legislativi uniformi

8 Distribuzione geografica delle attack sources Top Attacker: Most Attacked Port: 80

9 Evoluzione delle tecniche d attacco Elevata complessità Self Replicating Code Password Cracking Back Doors Exploiting Known Vulnerabilities Stealth Diagnostics Sweepers Hijacking Sessions Disabling Audits Packet Forging/ Spoofing Sniffers Complessità delle tecniche d attacco Skill necessari Bassa complessità Password Guessing

10 Vulnerabilità delle piattaforme di commercio elettronico e sistemi di pagamento on-line Input validation Access control error Configuration error (default) Resource error

11 I TARGET WebDiscount.net eshop Commerce DCShop Shopping Cart (beta version) CardService International LinkPoint Gateway PDG Shopping Cart Akopia Interchange e-commerce system IBM WebSphere Commerce Suite Siti individuabili con semplici search engines o specifici hacker tools (no security through obscurity)

12 ESEMPIO DI HACKER TOOL PER LA RICERCA DI SITI CON PIATTAFORME E-COMMERCE VULNERABILI $search_engine_url = "http://www.altavista.com"; $link = "status='([^']*)"; $next = "a href=\"([^\"]+).*\\[next"; search_engine_scan("$search_engine_url/sites/search /web?q=dcshop&pg=q&kl=xx"); if ($google) { print STDERR "\nscanning using google"; $search_engine_url = "http://www.google.com"; $link = "<p><a HREF=([^>]*)"; $next = "A HREF=([^>]+).*<b>Next<\\/b>"; search_engine_scan("$search_engine_url/search?q=d CShop"); A volte basta una semplice modifica dell URL

13 RISULTATO: Esecuzione di comandi da remoto sul web server Nomi e indirizzi dei clienti e numeri delle carte di credito in plaintext per gli ordini più recenti Dati di autenticazione (ID e password) del cliente e del merchant Accesso alla back-end administration area (gestione ordini e prodotti) Denial of Service Attacks Esecuzione di arbitrary code sul sistema locale

14 I MOTIVI DI TANTA VULNERABILITA Sviluppo di soluzioni commerciali centrate sulla massimizzazione del numero di optional e funzioni Crescente complessità Integrazione di applicativi a volte solo parzialmente compativi Insufficiente beta-testing Scarsa attenzione al problema della sicurezza in fase di progettazione

15 E queste sono soltanto le vulnerabilità strettamente legate alle piattaforme di commercio elettronico e pagamento on-line Aggiungete quelle di: Router, switch, firewall, web server, mail server, Data Base, sistemi operativi, software, applicativi proprietari e di tutte le altre apparecchiature comunque connesse alla rete

16 Attacchi ai web server. Preludio a NIMDA Fonte: Security Focus, 2001

17 I rischi di un errata configurazione Il caso Microsoft Corp. DNS Single Point of Failure

18 PROBLEMI DI CONFIGURAZIONE DEI WEB SERVER PATCHING Il mancato o inadeguato patching delle macchine è stato responsabile del 99% dei web site defacements del 2000 (+56% rispetto ai del 1999) in base ai dati di Attrition.org

19 Perche web server? Stats traffico in % porta 80 : il male necessario Unita di successo : imprese Problema : defacement Attrition : 3*( )= 1 gennaio 01 Script Kiddies : unita di successo = defacement

20 Come trovare debolezze Operazioni legittime mirror sito trovare directory, file e valori nascosti analisi CGI CGI abuse Non esitono tools per fare auditing automatico di CGI proprietari

21 Nuove vulnerabilità vengono scoperte ogni settimana Fonte: BUGTRAQ

22 LA DIFESA È possibile prevenire questi attacchi Tramite appositi software di VULNERABILITY ASSESSMENT

23 FUNZIONE Individuare vulnerabilità, errori di configurazione e backdoors Simulare una sequenza di attacchi Prevenire danni economici Prevenire danni d immagine IN MODO SISTEMATICO E CONTINUATIVO BUSINESS ENABLER

24 UPDATE IL CICLO DELLA SICUREZZA DI E*MAZE Continuo aggiornamento del database delle vulnerabilità PROBE Analisi approfondita del sistema REPORT/FIX Report dettagliato e suggerimento delle soluzioni adottabili SCHEDULE Monitoraggio costante attraverso una programmazion e degli interventi

25 La tecnologia: iplegion Controllo: continuo monitoring della sicurezza Test: esamina la rete dall esterno e/o interno simulando degli attacchi informatici Analisi: trova vulnerabilità, misconfigurazioni e backdoors Risultato: Produce reports dei risultati trovati e fornisce indicazioni su fix

26 Architettura iplegion Scan su reti Client s Public Internet KBS DB interf. Scout Scout Public Internet singolo IP www Ogni modulo e ridondato Possibilita di distribuire il sistema su Scout remoti Scout Scan remoti

27 Caratteristiche Indipendente dalla piattaforma HW/SW del cliente Interfaccia web Gli aggiornamenti del sistema sono immediatamente fruibili Scalabile in funzione delle esigenze del cliente

28 Report Istogrammi sull incidenza per tipologia di rischio rilevato Tabelle sul numero delle vulnerabilita trovate, classificate per entita di rischio

29 Descrizione dettagliata del servizio Porte trovate aperte Link alla descrizione del servizio

30 L offerta E*MAZE iplegion (scansione perimetrale) intralegion (scansione Intranet) Penetration Testing (Ethical Hacking)

31 SICUREZZA A 360 Anche il massimo livello di sicurezza di un sito non è sufficiente se i propri partner non adottano delle soluzioni di sicurezza adeguate. Il livello di sicurezza effettivo è quello dell anello più debole della catena. Spesso le aziende sono vittima di attacchi proprio quando si illudono di avere un sistema di sicurezza perfettamente efficiente.

32 VANTAGGI Consentono di: individuare le vulnerabilità PRIMA che vengano utilizzate da terzi per fini illeciti; mantenere un aggiornamento della sicurezza allo stato dell arte; quantificare le aree a maggior rischio di impatto finanziario o d immagine disporre di misure correttive da implementare secondo una lista di priorità, allineate agli obiettivi di business

33 Contatti LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks s SpA

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza.

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza. HP Consulting Claudio De Paoli Security Solution Lead filename\location Page 1 AGENDA Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza filename\location Page

Dettagli

Le mutazioni genetiche della sicurezza informatica nel tempo

Le mutazioni genetiche della sicurezza informatica nel tempo 1 Le mutazioni genetiche della sicurezza informatica nel tempo Angelo Consoli Docente e ricercatore in Sicurezza e Data Communication Responsabile Laboratorio Sicurezza della SUPSI 2 La SICUREZZA é Y2K

Dettagli

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit. La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo Ethical Hacking retegesi (Gruppo Ras) 20041108.03GP Milano, 08 novembre 2004 Spett.le Gesi S.p.A. Via Oglio, 12 20100 Milano (MI) n. 20041108.03GP Alla cortese attenzione: Dott. Sergio Insalaco Oggetto:

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability

Dettagli

Quantum Leap L AZIEND

Quantum Leap L AZIEND L AZIENDA Quantum Leap, Salto di Qualità, è una società nata nel 2004 dallo spirito imprenditoriale di alcuni professionisti operanti da diversi anni nell ambito IT e nell information security. Il taglio

Dettagli

Spett.le Clever Consulting Via Broletto, 39 20121 Milano

Spett.le Clever Consulting Via Broletto, 39 20121 Milano Spett.le Clever Consulting Via Broletto, 39 20121 Milano Milano, 23 Luglio 2007 n. 20070723.mb29 Alla cortese attenzione: Dr. Antonio Tonani Oggetto: per Attività di Security Assessment per Carige Assicurazioni

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1 NESSUS IL Security Scanner Francesco M. Taurino 1 La vostra RETE Quali servizi sono presenti? Sono configurati in modo sicuro? Su quali macchine girano? Francesco M. Taurino 2 Domanda Quanto e sicura la

Dettagli

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Ministero dell Ambiente e della Tutela del Territorio e del Mare Ministero dell Ambiente e della Tutela del Territorio e del Mare DIREZIONE GENERALE PER GLI AFFARI GENERALI E DEL PERSONALE Divisione III Sistemi Informativi RDO PER LA FORNITURA DEL SERVIZIO PER LA GESTIONE

Dettagli

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Ministero dell Ambiente e della Tutela del Territorio e del Mare Ministero dell Ambiente e della Tutela del Territorio e del Mare DIREZIONE GENERALE PER GLI AFFARI GENERALI E DEL PERSONALE Divisione III Sistemi Informativi RDO PER LA FORNITURA DEL SERVIZIO PER LA CONDUZIONE

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

DigitPA - P@norama sulle tecnologie innovative

DigitPA - P@norama sulle tecnologie innovative DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La

Dettagli

Servizi centralizzati v1.2 (20/12/05)

Servizi centralizzati v1.2 (20/12/05) Servizi centralizzati v1.2 (20/12/05) 1. Premessa Anche se il documento è strutturato come un ricettario, va tenuto presente che l argomento trattato, vista la sua variabilità, non è facilmente organizzabile

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Making the Internet Secure TM

Making the Internet Secure TM Making the Internet Secure TM e-security DAY 3 luglio 2003, Milano Kenneth Udd Senior Sales Manager SSH Communications Security Corp. SSH Communications Security Corp Storia Fondata nel 1995 Ideatrice

Dettagli

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221

Dettagli

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012 Architetture dei WIS Prof.ssa E. Gentile a.a. 2011-2012 Definizione di WIS Un WIS può essere definito come un insieme di applicazioni in grado di reperire, cooperare e fornire informazioni utilizzando

Dettagli

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Problematiche correlate alla sicurezza informatica nel commercio elettronico Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Sistemi di elaborazione dell informazione(sicurezza su reti) Anno 2003/04 Indice 1-INTRODUZIONE sicurezza delle reti, vulnerabilità, prevenzione 2-SCANNER DI VULNERABILITA A cura di: Paletta R. Schettino

Dettagli

Offerta per attivita di Vulnerability Assessment per il portale www.poste.it

Offerta per attivita di Vulnerability Assessment per il portale www.poste.it Milano, 5 Novembre 2004 Spett.le Postecom S.p.A. Ufficio Acquisti Via Cordusio, 4 20123 Milano n. 20041105.m02 Alla c. att.ne : Dr. Alessandro Verdiani Oggetto: per attivita di Vulnerability Assessment

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Dott. Alessandro Rodolfi. Università degli Studi di Milano

Dott. Alessandro Rodolfi. Università degli Studi di Milano Dott. Alessandro Rodolfi Università degli Studi di Milano 1 Le politiche di sicurezza sono disposizioni adottate al fine di garantire la sicurezza del proprio sistema informativo e definire l utilizzo

Dettagli

penetration test (ipotesi di sviluppo)

penetration test (ipotesi di sviluppo) penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

SARA. Software per scansioni

SARA. Software per scansioni SARA Software per scansioni Introduzione: perché le scansioni I sistemi operativi installano servizi che non si usano Non tutti sanno cosa sta girando sul proprio calcolatore Non tutti sanno su quali porte

Dettagli

IBM i5/os: un sistema progettato per essere sicuro e flessibile

IBM i5/os: un sistema progettato per essere sicuro e flessibile IBM i5/os garantisce la continua operatività della vostra azienda IBM i5/os: un sistema progettato per essere sicuro e flessibile Caratteristiche principali Introduzione del software HASM (High Availability

Dettagli

Riccardo Paterna

Riccardo Paterna <paterna@ntop.org> Monitoring high-speed networks using ntop Riccardo Paterna Project History Iniziato nel 1997 come monitoring application per l'università di Pisa 1998: Prima release pubblica v 0.4 (GPL2)

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

Descrizione servizio Websense Hosted Mail Security

Descrizione servizio Websense Hosted Mail Security Descrizione servizio Websense Hosted Mail Security Alla luce della crescente convergenza delle minacce nei confronti del Web e della posta elettronica, oggi è più importante che mai poter contare su una

Dettagli

@ll Security. Il Perché dell Offerta. Business Market Marketing

@ll Security. Il Perché dell Offerta. Business Market Marketing Il Perché dell Offerta Cos è la Sicurezza Logica? La Sicurezza logica è costituita dall insieme delle misure di carattere organizzativo e tecnologico tese ad impedire l alterazione diretta o indiretta

Dettagli

Project Automation S.p.a.

Project Automation S.p.a. PROJECT AUTOMATION S.P.A. 1. PROFILO DELLA SOCIETÀ è la denominazione assunta nel 1999 da Philips Automation S.p.a., a sua volta costituita nel 1987 rilevando dalla Divisione Industrial & ElectroAcustic

Dettagli

ANALISI DELL INFRASTRUTTURA IT

ANALISI DELL INFRASTRUTTURA IT ITAS ANALISI DELL INFRASTRUTTURA IT Criticità di sicurezza Trento Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r.

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r. Network Hardening Università degli Studi di Pisa Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Applicata Stage svolto presso BK s.r.l Tutor Accademico Candidato Tutor

Dettagli

Cos è Retina. Cosa fa? Cosa fa? Cosa fornisce? Scanning delle vulnerabilità

Cos è Retina. Cosa fa? Cosa fa? Cosa fornisce? Scanning delle vulnerabilità Cos è Retina Retina è uno scanner per la sicurezza della rete, realizzato nel 1998 dalla Eeye Digital Security. Vincenzo De Cesare matr.56/100463 Luana Garofalo matr.56/00434 Antonia Motta matr.53/10752

Dettagli

Facoltà di Scienze Matematica Fisica e Naturali NETWORK SCANNER

Facoltà di Scienze Matematica Fisica e Naturali NETWORK SCANNER Facoltà di Scienze Matematica Fisica e Naturali NETWORK SCANNER I NETWORK SCANNER A cura di: Acunzo Gaetano Mariano Andrea Punzo Ivano Vitale Valentino Introduzione Cos è un network scanner L evoluzione

Dettagli

Information & Communication Technology. www.applicom.it - info@applicom.it

Information & Communication Technology. www.applicom.it - info@applicom.it Information & Communication Technology L'azienda Applicom opera nel settore dell'information & Communication Technology (ICT). E' specializzata nella consulenza e nello sviluppo di applicazioni software

Dettagli

Chi siamo? Fiorenzo Ottorini CEO Attua s.r.l. Paolo Marani CTO Attua s.r.l. Alessio Pennasilico CSO Alba s.a.s. Pag. /50

Chi siamo? Fiorenzo Ottorini CEO Attua s.r.l. Paolo Marani CTO Attua s.r.l. Alessio Pennasilico CSO Alba s.a.s. Pag. /50 Chi siamo? Fiorenzo Ottorini CEO Attua s.r.l. Paolo Marani CTO Attua s.r.l. Alessio Pennasilico CSO Alba s.a.s. Tecres Tecres utilizza AIM fin dalla prima versione per tenere sotto controllo ogni aspetto

Dettagli

Allegato Tecnico. Progetto di Analisi della Sicurezza

Allegato Tecnico. Progetto di Analisi della Sicurezza Allegato Tecnico Progetto di Analisi della Sicurezza Obiettivo E richiesta dal cliente un analisi della sicurezza reti/sistemi del perimetro internet ed un analisi della sicurezza interna relativa al sistema

Dettagli

PHOENIX S.P.A. ANALISI DI SICUREZZA. Milano, 31 Ottobre 2008. Nome e Cognome Società Ruolo Riferimenti

PHOENIX S.P.A. ANALISI DI SICUREZZA. Milano, 31 Ottobre 2008. Nome e Cognome Società Ruolo Riferimenti PHOENIX S.P.A. ANALISI DI SICUREZZA Milano, 31 Ottobre 2008 PARTECIPANTI Nome e Cognome Società Ruolo Riferimenti Gianluca Vadruccio Ivan Roattino Silvano Viviani Hacking Team Hacking Team Direzione Tecnica

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

Kali Linux OpenSourceDay 2013 Università degli studi di Udine -Fabio Carletti aka Ryuw- the quieter you became, the more you are able to hear

Kali Linux OpenSourceDay 2013 Università degli studi di Udine -Fabio Carletti aka Ryuw- the quieter you became, the more you are able to hear Kali Linux OpenSourceDay 2013 Università degli studi di Udine -Fabio Carletti aka Ryuw- the quieter you became, the more you are able to hear Whoami?...FabioCarletti Member:Clusit,DebianItalia,Sikurezza.org,MetroOlo

Dettagli

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti Domande frequenti 1. Che cos'è? fa parte della famiglia Enterprise delle Symantec Protection Suite. Protection Suite per Gateway salvaguarda i dati riservati e la produttività dei dipendenti creando un

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

RISCOM. Track Your Company,.. Check by isecurity

RISCOM. Track Your Company,.. Check by isecurity RISCOM (Regia & isecurity Open Monitor) Soluzione software per la Registrazione degli accessi e la Sicurezza dei dati sulla piattaforma IBM AS400 e Sistemi Open Track Your Company,.. Check by isecurity

Dettagli

SIMULAZIONE DI UN PENETRATION TEST (PENETRATION TESTING SIMULATION)

SIMULAZIONE DI UN PENETRATION TEST (PENETRATION TESTING SIMULATION) Over Security SIMULAZIONE DI UN PENETRATION TEST (PENETRATION TESTING SIMULATION) Sommario Viene presentata la simulazione di un attacco informatico, Penetration Testing, un metodo per valutare la sicurezza

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

3 Automazione Web-based con Saia S-Web

3 Automazione Web-based con Saia S-Web 8 0 based con Saia S-Web Capitolo Pagina. based. Esempi tipici 8 CE MB MB exp Web server integrato PC con Micro- PDA con Micro- . web-based con Saia S-Web La tecnologia.web, direttamente integrata ed applicata,

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Monitoring high-speed networks using ntop Riccardo Paterna

Monitoring high-speed networks using ntop Riccardo Paterna Monitoring high-speed networks using ntop Riccardo Paterna Project History Iniziato nel 1997 come monitoring application per l'università di Pisa 1998: Prima release

Dettagli

Kaspersky. OpenSpace Security. Kaspersky Open Space Security. La SOLUZIONE più COMPLETA per la SICUREZZA. della vostra AZIENDA

Kaspersky. OpenSpace Security. Kaspersky Open Space Security. La SOLUZIONE più COMPLETA per la SICUREZZA. della vostra AZIENDA Kaspersky Kaspersky Open Space Security OpenSpace Security KOSS è una suite di prodotti per la sicurezza di tutti i componenti di rete, dagli smartphone fino agli Internet Gateway. I dati elaborati dai

Dettagli

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007 Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle

Dettagli

Sicurezze e False Sicurezze

Sicurezze e False Sicurezze Sicurezze e False Sicurezze Un confronto aperto tra modelli free e proprietari Stefano Zanero Dipartimento di Elettronica e Informazione Politecnico di Milano zanero@elet.polimi.it LinuxDay 04, 27/11/2004

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

La soluzione Cisco Network Admission Control (NAC)

La soluzione Cisco Network Admission Control (NAC) La soluzione Cisco Network Admission Control (NAC) Oggi non è più sufficiente affrontare le problematiche relative alla sicurezza con i tradizionali prodotti per la sola difesa perimetrale. È necessario

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

PROGRAMMA CORSO SISTEMISTA INFORMATICO

PROGRAMMA CORSO SISTEMISTA INFORMATICO PROGRAMMA CORSO SISTEMISTA INFORMATICO Corso Sistemista Junior OBIETTIVI L obiettivo dei corsi sistemistici è quello di fornire le conoscenze tecniche di base per potersi avviare alla professione di sistemista

Dettagli

LA FORZA DELLA SEMPLICITÀ. Business Suite

LA FORZA DELLA SEMPLICITÀ. Business Suite LA FORZA DELLA SEMPLICITÀ Business Suite LA MINACCIA È REALE Le minacce online alla tua azienda sono reali, qualunque cosa tu faccia. Chiunque abbia dati o denaro è un bersaglio. Gli incidenti relativi

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10 Soluzioni software di EDM "Electronic Document Management" Gestione dell archiviazione, indicizzazione, consultazione e modifica dei documenti elettronici. Un approccio innovativo basato su tecnologie

Dettagli

Reti informatiche 08/03/2005

Reti informatiche 08/03/2005 Reti informatiche LAN, WAN Le reti per la trasmissione dei dati RETI LOCALI LAN - LOCAL AREA NETWORK RETI GEOGRAFICHE WAN - WIDE AREA NETWORK MAN (Metropolitan Area Network) Le reti per la trasmissione

Dettagli

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Soluzioni per la gestione di risorse e servizi A supporto dei vostri obiettivi di business Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Utilizzate

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

OnGuard. Gestione Integrata t della Sicurezza Aziendale

OnGuard. Gestione Integrata t della Sicurezza Aziendale OnGuard Gestione Integrata t della Sicurezza Aziendale LA PROPOSTA DI SICUREZZA 3S Team Access Control System Intrusion System Tecnologie Biometriche e Tradizionali Gestione Beni Aziendali Sensoristica

Dettagli

Petra Firewall 2.8. Guida Utente

Petra Firewall 2.8. Guida Utente Petra Firewall 2.8 Guida Utente Petra Firewall 2.8: Guida Utente Copyright 1996, 2002 Link SRL (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright.

Dettagli

Esempi di intrusioni reali.. Esempi di intrusioni

Esempi di intrusioni reali.. Esempi di intrusioni Esempi di intrusioni reali.. relatore: Igor Falcomatà Client side attacks, covert channels, social networks,.. - come cambiano gli attacchi e quanto sono efficiaci le misure di sicurezza tradizionali (firewall,

Dettagli

SISTEMA DI LOG MANAGEMENT

SISTEMA DI LOG MANAGEMENT SIA SISTEMA DI LOG MANAGEMENT Controllo degli accessi, monitoring delle situazioni anomale, alerting e reporting Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it

Dettagli

Ricca - Divisione I.T.

Ricca - Divisione I.T. Ricca - Divisione I.T. Information Technology & Security Partner Profilo B.U. e Offerta Servizi Ricca Divisione I.T. Information Technology & Security Partner La Mission La nostra missione è divenire il

Dettagli

Flessibilità e Sicurezza Tecnologica per il Lavoro e la Sperimentazione delle Imprese

Flessibilità e Sicurezza Tecnologica per il Lavoro e la Sperimentazione delle Imprese INCUBATORI OMC E LIB Flessibilità e Sicurezza Tecnologica per il Lavoro e la Sperimentazione delle Imprese ASNM e i servizi di incubazione Agenzia Sviluppo Nord Milano (ASNM) è una società mista, a prevalente

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Descrizione della piattaforma software MPS Monitor

Descrizione della piattaforma software MPS Monitor Descrizione della piattaforma software MPS Monitor MPS Monitor è il più completo sistema di monitoraggio remoto e di gestione integrata ed automatizzata dei dati e degli allarmi relativi ai dispositivi

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Il tuo business si evolve. Fai evolvere il tuo gestionale. Costruiamo i motori di un pianeta più intelligente.

Il tuo business si evolve. Fai evolvere il tuo gestionale. Costruiamo i motori di un pianeta più intelligente. Il tuo business si evolve. Fai evolvere il tuo gestionale. Costruiamo i motori di un pianeta più intelligente. esperienza + innovazione affidabilità Da IBM, una soluzione completamente nuova: ACG Vision4,

Dettagli

Cosa è e Perché Serve. Copyright 2001 Maurizio Sartori HdPnet. Sala Convegni SANPAOLO IMI Viale dell Art e 25 In data: Venerdì 28 settembre 2001

Cosa è e Perché Serve. Copyright 2001 Maurizio Sartori HdPnet. Sala Convegni SANPAOLO IMI Viale dell Art e 25 In data: Venerdì 28 settembre 2001 Ethical Hacking Cosa è e Perché Serve Maurizio Sartori Responsabile Internet Security HdPnet Copyright 2001 Maurizio Sartori HdPnet 28 Settembre 2001 Presentazione fatta per il convegno Auditing e Qualità

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

Esempi pratici di in-sicurezza dei sistemi e delle informazioni

Esempi pratici di in-sicurezza dei sistemi e delle informazioni Esempi pratici di in-sicurezza dei sistemi e delle informazioni Relatore: Cyber Security e sicurezza delle informazioni Bolzano, 11 dicembre 2015 TIS innovation park Igor Falcomatà Chief Technical Officer

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Presentazione Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione dei servizi non web Kleis A.I. SecureMail, Kleis A.I. SecureEmulation, Kleis A.I. SecureXEmulation, Kleis A.I. SecureTransfer, Kleis A.I. SecureShare www.kwaf.it Protezione

Dettagli

PROGRAMMA DI INFORMATICA

PROGRAMMA DI INFORMATICA PROGRAMMA DI INFORMATICA CLASSE 5 B Sistemi Informativi Aziendali A.S. 2014/2015 DOCENTE CORREDDU GIOVANNA ITP PANZERA GRAZIA Materiale didattico Libro di testo: Iacobelli, Ajme, Marrone, Brunetti, Eprogram-Informatica

Dettagli

Kaspersky. OpenSpaceSecurity. Kaspersky Open Space Security. La SOLUZIONE più COMPLETA per la SICUREZZA. della vostra AZIENDA

Kaspersky. OpenSpaceSecurity. Kaspersky Open Space Security. La SOLUZIONE più COMPLETA per la SICUREZZA. della vostra AZIENDA Kaspersky Open Space Security Kaspersky OpenSpaceSecurity KOSS è una suite di prodotti per la sicurezza di tutti i componenti di rete, dagli smartphone fino agli Internet Gateway. I dati elaborati dai

Dettagli

Security by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

Security by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi. Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment

Dettagli