Seminario sulla sicurezza delle applicazioni mobili

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Seminario sulla sicurezza delle applicazioni mobili"

Transcript

1 Sicurezza informatica Corso di Laurea Magistrale in Informatica Seminario sulla sicurezza delle applicazioni mobili Andrea Seminario sulla sicurezza delle applicazioni mobili 1

2 Chi sono Mi interesso di sicurezza informatica dallo scorso millennio Connettere significava intrecciare Hacker non aveva ancora alcun significato Ho fondato Linkspirit, azienda che si occupa di Consulenza nella progettazione di software e sistemi Verifiche di sicurezza su software e sistemi Formazione in materia di sicurezza informatica Seminario sulla sicurezza delle applicazioni mobili 2

3 Cosa faccio Partecipo a diversi progetti liberi legati la divulgazione della cultura sulla sicurezza informatica Progetto scuole Seminario sulla sicurezza delle applicazioni mobili 3

4 Di cosa parliamo oggi OWASP Mobile Security Project: analisi delle 10 vulnerabilità più rischiose in ambito mobile Descrizione tecnica Scenari ed esempi d'attacco Modalità di rilevazione e prevenzione Sguardo ai rischi derivanti da reverse engineering e modifica dinamica del codice applicativo Scorsa dei 10 controlli di sicurezza più importanti in ambito mobile secondo OWASP ed ENISA Seminario sulla sicurezza delle applicazioni mobili 4

5 La sicurezza informatica Insieme di misure di carattere organizzativo, tecnologico e procedurale mirate a garantire CONFIDENZIALITÀ INTEGRITÀ DISPONIBILITÀ dell'informazione. Seminario sulla sicurezza delle applicazioni mobili 5

6 Come funziona Definizione di politiche di accesso a servizi e informazioni autenticazione autorizzazione chi può fare cosa Difesa perimetrale Difesa interna Formazione degli utenti Seminario sulla sicurezza delle applicazioni mobili 6

7 Sicurezza informatica offensiva Utilizzo di strumenti e metodologie usate dagli attaccanti reali Accesso a servizi ed informazioni senza possedere i permessi previsti dalle politiche di sicurezza Lettura Confidenzialità Scrittura Integrità / Disponibilità Evidenzia le vulnerabilità di sicurezza Seminario sulla sicurezza delle applicazioni mobili 7

8 Sicurezza applicativa Modellazione ed analisi dei rischi derivanti dal software Seminario sulla sicurezza delle applicazioni mobili 8

9 Sicurezza applicativa Modellazione ed analisi dei rischi derivanti dal software Consapevolezza di analisti, sviluppatori, beta tester, utenti finali Sviluppo dell'architettura (secure by design) Ciclo di sviluppo del software Scrittura del codice Controlli di sicurezza comuni nelle fasi di test / review Seminario sulla sicurezza delle applicazioni mobili 9

10 Sicurezza applicativa Modellazione ed analisi dei rischi derivanti dal software Consapevolezza di analisti, sviluppatori, beta tester, utenti finali Sviluppo dell'architettura (secure by design) Ciclo di sviluppo del software Scrittura del codice Controlli di sicurezza comuni nelle fasi di test / review Utilizzo consapevole da parte degli utenti finali Seminario sulla sicurezza delle applicazioni mobili 10

11 Sicurezza applicativa Il problema non è tecnologico, ma culturale! Seminario sulla sicurezza delle applicazioni mobili 11

12 Uno sguardo all'architettura mobile Librerie / Servizi Applicazione Sistema operativo Hardware Seminario sulla sicurezza delle applicazioni mobili 12

13 Uno sguardo all'architettura mobile Utente Librerie / Servizi Applicazione Sistema operativo Hardware Seminario sulla sicurezza delle applicazioni mobili 13

14 Uno sguardo all'architettura mobile Lato client Lato server Internet Librerie / Servizi Utente Applicazione UMTS Wi-Fi Applicazione Server Web Librerie / Servizi Sistema operativo Hardware Sistema operativo Hardware Seminario sulla sicurezza delle applicazioni mobili 14

15 Superficie d'attacco nativa (out of the box) Piattaforma Hardware Sistema operativo Librerie e servizi Applicazioni native Contatti Seminario sulla sicurezza delle applicazioni mobili 15

16 Superficie d'attacco, altro Applicazioni di terze parti Backend esposti su Internet Tutto quello che ci sta sotto App Market Seminario sulla sicurezza delle applicazioni mobili 16

17 Superficie d'attacco ereditata Molte applicazioni mobili fanno uso del web Alcune sono a tutti gli effetti applicazioni web Altre fanno uso di API basate sul web (ReST) Il web non è stato progettato per essere sicuro Per progettare applicazioni mobili sicure, bisogna avere ben chiare le problematiche di sicurezza ereditate dal web Seminario sulla sicurezza delle applicazioni mobili 17

18 La metodologia O W A S P Open Web Application Security Project Seminario sulla sicurezza delle applicazioni mobili 18

19 Open Web Application Security Project Associazione senza scopo di lucro Missione: aumentare la visibilità relativa la sicurezza del software al fine di permettere di prendere decisioni informate ad imprese ed individui Seminario sulla sicurezza delle applicazioni mobili 19

20 Di cosa si occupa OWASP Si occupa di ricerca e divulgazione della cultura della sicurezza Mantiene svariati (e rinomati) progetti legati la sicurezza applicativa Includono informazioni circa librerie, API, best practices, auditing, suddivisi nelle tre categorie Protect Detect Life Cycle Seminario sulla sicurezza delle applicazioni mobili 20

21 OWASP Top 10 Mobile Risks Descrive le dieci problematiche di sicurezza in ambiente mobile valutate come più rischiose Indirizzato a sviluppatori, designer, manager ed organizzazioni Indipendente da linguaggio / framework utilizzato Seminario sulla sicurezza delle applicazioni mobili 21

22 Progetti OWASP collegati Mobile Security Project Top Ten Mobile Risks Technical Risks of Reverse Engineering and Unauthorized Code Modification Development Guide Secure Coding Practices Quick Reference Guide Code Review Guide Risk Rating Methodology Threat Risk Modeling Seminario sulla sicurezza delle applicazioni mobili 22

23 Top 10 Mobile Risks - Final List 2014 M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 Weak Server Side Controls Insecure Data Storage Insufficient Transport Layer Protection Unintended Data Leakage Poor Authorization and Authentication Broken Cryptography Client Side Injection Security Decisions Via Untrusted Inputs Improper Session Handling Lack of Binary Protections Seminario sulla sicurezza delle applicazioni mobili 23

24 M1: Weak Server Side Controls Agenti di minaccia: qualunque entità non fidata utilizzata come input al backend Utente Malware Applicazione vulnerabile Il problema è di implementazione del backend E' una problematica di sviluppo web Seminario sulla sicurezza delle applicazioni mobili 24

25 M1: prevenzione Fare uso di tecniche di sviluppo sicuro lato server Top Ten Project A1 Injection A2 Broken Authentication and Session Management A4 Insecure Direct Object References A7 Missing Function Level Access Control A10 Unvalidated Redirects and Forwards Seminario sulla sicurezza delle applicazioni mobili 25

26 SQL Injection on Infostrada backend database Seminario sulla sicurezza delle applicazioni mobili 26

27 A1: Injection Parametrizzazione insicura di una query SQL 1. var_id = _post(id); 2. query = SELECT * FROM tab WHERE id = ' + var_id + ' ; 3. result = invia_query_al_database(query); 4. fai_qualcosa_con(result); Parametri attesi _post(id) = n naturale (o, al più, intero) Esempio di parametro inatteso _post(id) = 23'; DROP TABLE tab; -- Seminario sulla sicurezza delle applicazioni mobili 27

28 A2: Broken Authentication and Session Management Brute force su password o username password deboli Predizione di identificativo di sessione o credenziali di accesso Replay autenticazione al di fuori di un canale crittografato Session spotting assegnazione di sessione al di fuori di un canale crittografato Session fixation assegnazione malevola di sessione precedente-mente avviata Timeout di sessione troppo lunghi o inesistenti Password non crittografate o non salate nella base dati Seminario sulla sicurezza delle applicazioni mobili 28

29 A4: Insecure Direct Object References 1. conto = _post['conto']; 2. query = prepara('select * FROM conti WHERE conto = %', conto); 3. result = invia_al_database(query); 4. fai_qualcosa_con(result); Seminario sulla sicurezza delle applicazioni mobili 29

30 A4: prevenzione E' necessario effettuare una mappatura degli oggetti cui l'utente ha diritto di accesso 1. query = prepara('select prendicontidasessione(%)', session_id); 2. conti[] = invia_al_database(query); 3. metti_conti_in_dropdown(conti[], dropdown); interazione dell'utente Seminario sulla sicurezza delle applicazioni mobili 30

31 A4: prevenzione 1. map_conto = prendi_indice_selezionato(dropdown); 2. query = prepara('select verificapermessi(%,%)', conti[map_conto], session_id); 3. result = invia_al_database(query); 4. if (result) { 5. tutto_ok_procedi(); 6. } else { 7. biasima_utente_e_disconnetti(session_id); 8. } Seminario sulla sicurezza delle applicazioni mobili 31

32 A7: Missing Function Level Access Control Un utente non è in grado di autenticarsi all'applicazione, ma può richiamare direttamente una funzione, ad esempio: backend/esegui_qualcosa.php?comando=fai_questo Una funzione contiene un parametro che specifica l'azione da eseguire, il livello di autorizzazione non viene verificato: dalla chiamata backend/gestisci.cgi?azione=mostra alla chiamata backend/gestisci.cgi?azione=modifica Seminario sulla sicurezza delle applicazioni mobili 32

33 A7: prevenzione Contrariamente ad A4 la verifica avviene a livello di funzione 1. function funzione(id_sessione, ) { 2. aut_rich = CO_LIVELLO_AUTORIZZAZIONE_RICHIESTO; 3. if verifica_autorizzazione(id_sessione, aut_rich) { 4. tutto_ok_procedi(); 5. } else { 6. disconnetti(id_sessione); 7. } 8. } Seminario sulla sicurezza delle applicazioni mobili 33

34 A10: Unvalidated Redirects and Forwards L'applicazione usa una pagina per il redirect che attende in input un parametro contenente l'url di destinazione backend/go.cgi?to=www.malware.ru/get_malware.html L'applicazione usa forward per ruotare le richieste da una funzione applicativa alla successiva usando un parametro per determinare la destinazione: backend/funzione1.cgi?fwd=funzione2.cgi Questo porta alla possibilità di alterazione del normale flusso di controllo Seminario sulla sicurezza delle applicazioni mobili 34

35 M2: Insecure Data Storage Agenti di minaccia: furto o smarrimento del dispositivo, malware, app ripacchettizzata Vettori d'attacco: navigazione all'interno del filesystem del dispositivo Debolezza: deriva dallo storage insicuro sul dispositivo Può essere molto grave: credenziali, token di autenticazione, cookies Dati geografici, personali, bancari, ID personale (!), etc Seminario sulla sicurezza delle applicazioni mobili 35

36 M2: Prevenzione Nulla di ciò che non c'è può essere rubato Non salvare nulla in locale se non è strettamente necessario Non salvare credenziali d'accesso Se si salvano token, far scadere le sessioni! Utilizzare api di crittografia di sistema standard Considerare l'utilizzo di altri livelli di crittografia al di sopra di quelli forniti dal sistema Applicare i permessi opportuni sui file utilizzati Non utilizzare chiavi hardcoded Seminario sulla sicurezza delle applicazioni mobili 36

37 M3: Insufficient Transport Layer Protection Agenti di minaccia: informazioni in transito fra dispositivo e backend. Vettori d'attacco: Rete wifi compromessa o monitorata (MITM) dispositivi del fornitore di accesso infrastruttura lato server malware sul dispositivo Seminario sulla sicurezza delle applicazioni mobili 37

38 M3: Insufficient Transport Layer Protection Debolezza: deriva dalla mancanza di mutua autenticazione degli endpoint crittografia delle informazioni in transito Spesso SSL/TLS viene usato in sola fase di autenticazione e scambio token Usare SSL non significa necessariamente usarlo bene Seminario sulla sicurezza delle applicazioni mobili 38

39 M3: scenari d'attacco Mancata verifica del certificato o dell'endpoint Certificato corretto e firmato da CA fidata Presentato da server malevolo Negoziazione di protocollo di cifratura debole SSL3 e BEAST attack basato sulla debolezza di degli IV nel caso TLS 1.0 e CRC Perdita di informazioni sensibili Invio di informazioni sensibili verso altri endpoint attraverso canali non crittografati Seminario sulla sicurezza delle applicazioni mobili 39

40 M3: prevenzione Assumere come non sicure le connessioni di rete Utilizzare SSL/TLS, quanto meno al trasporto di credenziali e token di sessione Utilizzare protocolli di cifratura standard e sicuri, scegliere chiavi adeguatamente lunghe e complesse Utilizzare certificati firmati da CA accreditate, ove possibile preferire il pinning (accordo) Non disabilitare o ignorare la verifica della catena SSL Stabilire connessioni sicure solo dopo aver verificato l'identità del server endpoint Seminario sulla sicurezza delle applicazioni mobili 40

41 M3: prevenzione Avvertire l'utente attraverso l'ui in caso di riscontrato errore nei certificati Non inviare informazioni confidenziali attraverso canali alternativi (sms, mms, etc) Ove possibile aggiungere un livello di crittografia prima di SSL E' possibile intercettare il traffico all'interno del dispositivo prima che venga crittografato in SSL Seminario sulla sicurezza delle applicazioni mobili 41

42 M4: Unintended Data Leakage Agenti di minaccia: malware, applicazioni ripacchettizzate, accesso fisico al dispositivo Vettori d'attacco: API per l'accesso alle zone di memoria condivise, strumenti di analisi forense Debolezza: Salvataggio involontario (OS, libs, etc) di informazioni sensibili in zone di memoria condivisa Deriva dalla mancata consapevolezza di come le informazioni gestite vengono trattate Seminario sulla sicurezza delle applicazioni mobili 42

43 M4: prevenzione Per ogni asset strategico è necessario conoscere le modalità di gestione a basso livello di: cache, cookie buffer di copia/incolla, tastiera modalità di background log e modalità di debug E' importante sapere come queste informazioni vengono processate da sistema operativo, librerie e framework Seminario sulla sicurezza delle applicazioni mobili 43

44 M5: Poor Authorization and Authentication Agenti di minaccia: richieste al backend, forzatura di autenticazione locale Vettori d'attacco: inclusione delle informazioni di autenticazione mediante richieste dirette al backend attacco locale all'applicazione ( M10) Debolezza: il formato del dispositivo porta all'utilizzo di PIN possibilità di utilizzo offline: delegazione all'app delle decisioni in merito all'autorizzazione Seminario sulla sicurezza delle applicazioni mobili 44

45 M5: Scenari d'attacco Attacchi al frontend (modalità offline) Rimozione dei controlli di autorizzazione Visualizzazione di informazioni scaricate ma non rese disponibili a livello di presentazione Attacchi al backend Esecuzione di funzioni in modalità anonima (rimuovendo i token di sessione dalle richieste) A7 Esecuzione diretta di funzioni non mostrate nella UI, per le quali l'utente non ha i diritti di esecuzione A7 Seminario sulla sicurezza delle applicazioni mobili 45

46 M5: prevenzione Assumere aggirabili tutti i controlli di autenticazione ed autorizzazione lato client Ove possibile devono essere fatti lato server Nel caso siano necessari controlli locali, effettuare verifiche di integrità del codice dell'applicazione ( M10) Non permettere di usare PIN come password Brute force lato client Se rubate bastano pochi tentativi per romperle, anche se salvate in maniera sicura Seminario sulla sicurezza delle applicazioni mobili 46

47 M6: Broken Cryptography Agenti di minaccia: qualunque entità possa accedere a dati crittografati in maniera errata Vettori d'attacco: decrittografia dei dati tramite accesso fisico al dispositivo, cattura del traffico di rete, malware sul dispositivo Debolezza: utilizzo di algoritmi di cifratura deboli o errori nel processo di crittografia Seminario sulla sicurezza delle applicazioni mobili 47

48 M6: Broken Cryptography If you're typing the letters A-E-S into your code, you're doing it wrong Thomas Ptacek Seminario sulla sicurezza delle applicazioni mobili 48

49 M6: cosa non fare Affidamento a processi di crittografia implementati localmente In genere i sistemi di crittografia implementati localmente possono essere aggirati Esempio: protezione locale degli eseguibili di ios Processo di gestione delle chiavi insicuro Inclusione delle chiavi con il contenuto (file system) Inclusione delle chiavi nel codice (hard-coding) Utilizzo di algoritmi insicuri, deprecati o propri(etari) Seminario sulla sicurezza delle applicazioni mobili 49

50 M7: Client Side Injection Agenti di minaccia: qualunque entità possa inviare dati all'applicazione, utenti esterni o interni, altre applicazioni, file o l'applicazione stessa Vettori d'attacco: attacchi testuali che sfruttano la sintassi di un interprete o iniezione di codice applicativo Debolezza: l'input malevolo forza un cambio di contesto e viene interpretato come eseguibile, anche con alti privilegi iniezione diretta di codice eseguibile all'interno dell'app ( M10) Seminario sulla sicurezza delle applicazioni mobili 50

51 M7: scenari d'attacco all'applicazione SQL Injection su SQLite ( A1) Accesso ai dati dell'applicazione JavaScript Injection (XSS A3) Furto di sessioni Local File Inclusion Accesso a file e contenuto delle directory dell'app Seminario sulla sicurezza delle applicazioni mobili 51

52 M7: scenari d'attacco al codice Attacchi al codice eseguibile ( M10) Modifica del livello di presentazione Buffer overflow ed esecuzione di codice arbitrario Seminario sulla sicurezza delle applicazioni mobili 52

53 M7: prevenzione Validare tutti gli input all'applicazione Parametrizzare le query SQL Inibire l'esecuzione di JavaScript nei controlli WebView o preferire l'uso dei browser mobili Validare l'input ai file manager e disabilitare l'accesso al filesystem alle WebView Su ios avere cura di proteggere C ed Objective-C Proteggere le funzioni Objective-C prone ad attacchi di tipo format string Non usare funzioni C prone all'iniezione (strcat, strcpy, strncat, strncpy, etc) Seminario sulla sicurezza delle applicazioni mobili 53

54 M8: Security Decisions via Untrusted Inputs Agenti di minaccia: IPC (Inter Process Communication) Vettori d'attacco: lettura o modifica dei messaggi IPC utilizzati per prendere decisioni di sicurezza ( A10) Debolezza: utilizzare informazioni non fidate per prendere decisioni di sicurezza Seminario sulla sicurezza delle applicazioni mobili 54

55 M8: prevenzione Non passare informazioni confidenziali attraverso IPC, in quanto in molti scenari possono essere lette (!) Utilizzare white-list di applicazioni fidate da cui accettare input attraverso IPC Per il passaggio di informazioni, utilizzare funzioni che permettano di ottenere il BundleID dell'app chiamante Validare tutti gli input ricevuti tramite IPC Seminario sulla sicurezza delle applicazioni mobili 55

56 M9: Improper Session Handling Agenti di minaccia: qualunque entità abbia accesso al traffico http(s), ai cookie, ai token di sessione, etc Vettori d'attacco: accesso fisico al dispositivo, cattura del traffico di rete o malware Debolezza: esposizione di token di sessione in fase di assegnazione, salvataggio o utilizzo degli stessi ( A2) Seminario sulla sicurezza delle applicazioni mobili 56

57 M9: scenari d'attacco Chiusura di sessioni lato client (e non lato server) Mancanza di timeout di sessione Mancanza di rotazione dei token al cambio di livello di autorizzazione Creazione insicura dei token di sessione Seminario sulla sicurezza delle applicazioni mobili 57

58 M9: prevenzione Chiudere le sessioni lato server Impostare timeout di sessione adeguati in base al livello di autorizzazione Ruotare i token ad ogni cambio del livello di autorizzazione Creare token in maniera casuale Seminario sulla sicurezza delle applicazioni mobili 58

59 M10: Lack of Binary Protections Agenti di minaccia: analisi, reverse e modifica dell'applicazione Vettori d'attacco: modifica dell'app inserimento di funzionalità malevole esposizione di dati confidenziali e proprietà intellettuale superamento di blocchi (sicurezza, licenza, etc) Debolezza: l'applicazione non implementa controlli sulla propria integrità Seminario sulla sicurezza delle applicazioni mobili 59

60 M10: Lack of Binary Protections Decrittografia del codice dell'app o analisi mediante debugger Visualizzazione delle strutture di controllo (diagramma di flusso) Modifica al livello di presentazione (html,js, css) ed esecuzione di codice JavaScript modificato Sostituzione di chiavi di crittografia o certificati per decifrare il traffico generato Superamento di controlli di sicurezza mediante modifica di applicazione o spazio di memoria Seminario sulla sicurezza delle applicazioni mobili 60

61 M10: prevenzione Implementare controlli di sicurezza per la rilevazione di Ambiente jailbroken Ambiente di debug Modifiche ai checksum Modifiche al pinning dei certificati Modifiche del codice a runtime Seminario sulla sicurezza delle applicazioni mobili 61

62 Rischi derivanti dalla modifica del codice Ripacchettizzazione di applicazione modificata Decrittografia, modifica malevola e fornitura attraverso canali non ufficiali dell'applicazione Swizzling dei metodi mediante la fornitura di librerie esterne Fornitura di metodi malevoli con medesima firma di quelli richiamati dall'applicazione Aggiramento dei controlli di sicurezza mediante la modifica del flusso di controllo Autenticazione, autorizzazione e gestione delle sessioni Validazione di dati, verifica di firme, gestione licenze Seminario sulla sicurezza delle applicazioni mobili 62

63 Rischi derivanti dalla modifica del codice Aggiramento dei sistemi di verifica di ambienti jailbroken Modifica del livello di presentazione Modifica dei file che definiscono il livello di presentazione Sostituzione di chiavi di crittografia Esecuzione di attacchi di tipo MITM (Man In The Middle) Seminario sulla sicurezza delle applicazioni mobili 63

64 Rischi derivanti da reverse ed analisi del codice Possibilità di analisi di logiche applicative o di business mediante Esposizione delle firme dei metodi Monitoraggio di API, librerie e chiamate di sistema Esposizione delle strutture dati (nomi degli attributi) Esposizione delle stringhe Intercettazione di chiavi di crittografia Decompilazione degli algoritmi Decrittografia delle applicazioni Seminario sulla sicurezza delle applicazioni mobili 64

65 Top Ten Mobile Controls C1 Identify and protect sensitive data on the mobile device C2 Handle password credentials securely on the device C3 Ensure sensitive data is protected in transit C4 Implement user authentication,authorization and session management correctly C5 Keep the backend APIs (services) and the platform (server) secure C6 Secure data integration with third party services and applications Seminario sulla sicurezza delle applicazioni mobili 65

66 Top Ten Mobile Controls C7 Pay specific attention to the collection and storage of consent for the collection and use of the user s data C8 Implement controls to prevent unauthorized access to paid-for resources (wallet, SMS, phone calls etc.) C9 Ensure secure distribution/provisioning of mobile applications C10 Carefully check any runtime interpretation of code for errors Seminario sulla sicurezza delle applicazioni mobili 66

67 Qualche riferimento Network intelligence SSL/TLS attacks: Part 1 BEAST Attack HP Enterprise Security HP Fortify Taxonomy Software Security Errors Infosecurity magazine Two Thirds of Personal Banking Apps Found Full of Vulnerabilities Defuse Security Password Hashing Security: Salted Password Hashing Doing it right Thomas Ptacek If You're Typing The Letters A-E-S Into Your Code, You're Doing It Wrong. OWASP Format string attack PenTest Magazine SSH Tunnels: How to Attack Their Security ENISA Smartphone Secure Development Guideline LifeHacker How to Crack Just About Any Mac App (and How to Prevent It) Seminario sulla sicurezza delle applicazioni mobili 67

68 Sicurezza informatica Corso di Laurea Magistrale in Informatica Seminario sulla sicurezza delle applicazioni mobili Andrea Seminario sulla sicurezza delle applicazioni mobili 68

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Sicurezza e compliance delle App

Sicurezza e compliance delle App Sicurezza e compliance delle App Fabio Pacchiarotti (EY) Roma 23/04/2015 Agenda Presentazione relatore Contesto di riferimento Sicurezza delle App Aspetti di compliance Conclusioni Bibliografia & sitografia

Dettagli

Progetti OWASP per la sicurezza mobile

Progetti OWASP per la sicurezza mobile Progetti OWASP per la sicurezza mobile ( a cura di Gianrico Ingrosso Minded Security ) Pag. 1 INDICE DELLA PRESENTAZIONE : 1. Introduzione 2. OWASP Mobile Security Project 3. OWASP Top 10 Mobile Risks

Dettagli

Iniziativa : "Sessione di Studio" a Torino

Iniziativa : Sessione di Studio a Torino Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Symantec Mobile Security

Symantec Mobile Security Protezione avanzata dalle minacce per i dispositivi mobili Data-sheet: Gestione degli endpoint e mobiltà Panoramica La combinazione di app store improvvisati, la piattaforma aperta e la consistente quota

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Seminario sulla sicurezza delle applicazioni web

Seminario sulla sicurezza delle applicazioni web Sicurezza informatica Corso di Laurea Magistrale in Informatica Andrea Zwirner andrea@linkspirit.it @AndreaZwirner Andrea Zwirner Linkspirit 1 Chi sono Mi interesso di sicurezza informatica dallo scorso

Dettagli

RSA Sun Insurance Office Ltd

RSA Sun Insurance Office Ltd RSA Sun Insurance Office Ltd Web Application Security Assessment (http://rsage49:9080/sisweb) Hacking Team S.r.l. Via della Moscova, 13 20121 MILANO (MI) - Italy http://www.hackingteam.it info@hackingteam.it

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Sicurezza informatica e responsabilità sociale, l'importanza della consapevolezza

Sicurezza informatica e responsabilità sociale, l'importanza della consapevolezza Sicurezza informatica Sicurezza informatica e responsabilità sociale, l'importanza della consapevolezza Andrea Zwirner andrea@linkspirit.it @AndreaZwirner 1 Chi sono Mi interesso di sicurezza informatica

Dettagli

Programmazione Java Avanzata

Programmazione Java Avanzata Programmazione Java Avanzata Accesso ai Dati Ing. Giuseppe D'Aquì Testi Consigliati Eclipse In Action Core J2EE Patterns - DAO [http://java.sun.com/blueprints/corej2eepatterns/patterns/dataaccessobject.html]

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

OWASP Mobile Top 10 Risks & Real Life Threats

OWASP Mobile Top 10 Risks & Real Life Threats Mobile Top 10 Risks & Real Life Threats Gianrico Ingrosso Security Consultant @ Minded Security Milano, 12 Marzo 2013 Copyright 2008 - The Foundation Permission is granted to copy, distribute and/or modify

Dettagli

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER Sicurezza delle Applicazioni Informatiche Qualificazione dei prodotti di back office Linee Guida RER 1 Cliente Redatto da Verificato da Approvato da Regione Emilia-Romagna CCD CCD Nicola Cracchi Bianchi

Dettagli

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza

Dettagli

Protezione delle informazioni in SMart esolutions

Protezione delle informazioni in SMart esolutions Protezione delle informazioni in SMart esolutions Argomenti Cos'è SMart esolutions? Cosa si intende per protezione delle informazioni? Definizioni Funzioni di protezione di SMart esolutions Domande frequenti

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

MOBILE ENTERPRISE: APPLICAZIONI, COMPORTAMENTI E RISCHI

MOBILE ENTERPRISE: APPLICAZIONI, COMPORTAMENTI E RISCHI MOBILE ENTERPRISE: APPLICAZIONI, COMPORTAMENTI E RISCHI ANTONELLA FRISIELLO E FRANCESCO RUÀ ISTITUTO SUPERIORE MARIO BOELLA Quali pericoli corriamo utilizzando internet e gli strumenti digitali? Uno, nessuno

Dettagli

Xerox SMart esolutions. White Paper sulla protezione

Xerox SMart esolutions. White Paper sulla protezione Xerox SMart esolutions White Paper sulla protezione White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Approfondimento di Marco Mulas

Approfondimento di Marco Mulas Approfondimento di Marco Mulas Affidabilità: TCP o UDP Throughput: banda a disposizione Temporizzazione: realtime o piccoli ritardi Sicurezza Riservatezza dei dati Integrità dei dati Autenticazione di

Dettagli

COOKIES PRIVACY POLICY DI BANCA PROFILO

COOKIES PRIVACY POLICY DI BANCA PROFILO COOKIES PRIVACY POLICY DI BANCA PROFILO Indice e sommario del documento Premessa... 3 1. Cosa sono i Cookies... 4 2. Tipologie di Cookies... 4 3. Cookies di terze parti... 5 4. Privacy e Sicurezza sui

Dettagli

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS KASPERSKY FRAUD PREVENTION FOR ENDPOINTS www.kaspersky.com KASPERSKY FRAUD PREVENTION 1. Modi di attacco ai servizi bancari online Il motivo principale alla base del cybercrimine è quello di ottenere denaro

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Problematiche correlate alla sicurezza informatica nel commercio elettronico Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

Nuvola It Data Space

Nuvola It Data Space MANUALE UTENTE INDICE 1. Descrizione servizio... 3 1.1. Informazioni sul servizio di Telecom Italia... 3 1.2. Ruoli e Autenticazione per il servizio di Telecom Italia... 3 1.3. Strumenti... 5 1.4. Documentazione...

Dettagli

Monitoraggio di outsourcer e consulenti remoti

Monitoraggio di outsourcer e consulenti remoti 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

privacy e sicurezza..

privacy e sicurezza.. privacy e sicurezza.. relatore: Igor Falcomatà Problemi e soluzioni per la privacy e la sicurezza dei giornalisti in rete. (brevissima) dimostrazione dell'uso di Tails, un pc sicuro in una penna USB. free

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

Security Summit 2010. Insert Company Logo. L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e

Security Summit 2010. Insert Company Logo. L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e Security Summit 2010 Insert Company L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e L evoluzione nella sicurezza delle applicazioni

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Versione 1.0 gennaio 2011. Xerox Phaser 3635MFP Extensible Interface Platform

Versione 1.0 gennaio 2011. Xerox Phaser 3635MFP Extensible Interface Platform Versione 1.0 gennaio 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX e XEROX and Design sono marchi di Xerox Corporation negli Stati Uniti e/o in altri paesi. Questo documento è soggetto a modifiche

Dettagli

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text

Dettagli

WPA, generalità e principi di funzionamento.

WPA, generalità e principi di funzionamento. WPA, generalità e principi di funzionamento. Baglieri Eugenio Matricola: A40/000047 Sicurezza dei Sistemi Informatici 2 C.d.S in Informatica Applicata Facoltà di scienze MM.FF.NN. Università degli Studi

Dettagli

Manuale di Integrazione IdM-RAS

Manuale di Integrazione IdM-RAS IdM-RAS Data: 30/11/09 File: Manuale di integrazione IdM-RAS.doc Versione: Redazione: Sardegna IT IdM-RAS Sommario 1 Introduzione... 3 2 Architettura del sistema... 4 2.1 Service Provider... 4 2.2 Local

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit. Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security

Dettagli

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa

Dettagli

Il Sito utilizza cookies tecnici e non di profilazione

Il Sito utilizza cookies tecnici e non di profilazione PRIVACY POLICY Informativa Privacy 1. INTRODUZIONE La presente Privacy Policy è relativa al sito www.aslnapoli2-formazione.eu. Le informazioni che l utente deciderà di condividere attraverso il Sito saranno

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

Sicurezza delle reti. Monga. L autenticazione in rete Password Altre credenziali OTP Metodi crittografici. Pericoli. Sicurezza delle reti.

Sicurezza delle reti. Monga. L autenticazione in rete Password Altre credenziali OTP Metodi crittografici. Pericoli. Sicurezza delle reti. 1 Mattia Lezione XIX: Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

COOKIES PRIVACY POLICY. Il sito web di. Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova

COOKIES PRIVACY POLICY. Il sito web di. Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova COOKIES PRIVACY POLICY Il sito web di Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova Titolare, ex art. 28 d.lgs. 196/03, del trattamento dei Suoi dati personali La rimanda

Dettagli

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15 Sicurezza dei sistemi e delle 1 Mattia Lezione VI: Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2014/15 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi

Dettagli

Mobile Security Suite

Mobile Security Suite Mobile Security Suite gennaio 2012 Il presente documento contiene materiale confidenziale di proprietà Zeropiu. Il materiale, le idee, i concetti contenuti in questo documento devono essere utilizzati

Dettagli

Servizi remoti Xerox Un passo nella giusta direzione

Servizi remoti Xerox Un passo nella giusta direzione Servizi remoti Xerox Un passo nella giusta direzione Diagnosi dei problemi Valutazione dei dati macchina Problemi e soluzioni Garanzia di protezione del cliente 701P41696 Descrizione generale di Servizi

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sophos Mobile Control Guida utenti per Apple ios. Versione prodotto: 3.5

Sophos Mobile Control Guida utenti per Apple ios. Versione prodotto: 3.5 Sophos Mobile Control Guida utenti per Apple ios Versione prodotto: 3.5 Data documento: luglio 2013 Sommario 1 Sophos Mobile Control...3 2 Informazioni sulla guida...4 3 Accesso al portale self-service...5

Dettagli

DIVISIONE DATA & NETWORK SECURITY

DIVISIONE DATA & NETWORK SECURITY DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

System & Network Integrator. Rap 3 : suite di Identity & Access Management

System & Network Integrator. Rap 3 : suite di Identity & Access Management System & Network Integrator Rap 3 : suite di Identity & Access Management Agenda Contesto Legislativo per i progetti IAM Impatto di una soluzione IAM in azienda La soluzione di SysNet: Rap 3 I moduli l

Dettagli

Ridisegnare i Sistemi Operativi per una Nuova Sicurezza

Ridisegnare i Sistemi Operativi per una Nuova Sicurezza Andrea Pasquinucci, Febbraio 2013 pag. 1 / 6 Ridisegnare i Sistemi Operativi per una Nuova Sicurezza Sommario I nuovi strumenti informatici, dagli smartphone ai tablet che tanto ci sono utili nella vita

Dettagli

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni PRINCIPI DI COMPUTER SECURITY Andrea Paoloni 2 Cade il segreto dei codici cifrati Corriere della Sera 26 febbraio 2008 3 Gli hacker sono utili? 4 Safety vs Security SAFETY (salvezza): protezione, sicurezza

Dettagli

Come mettere in ginocchio un'azienda (italiana) a colpi di click

Come mettere in ginocchio un'azienda (italiana) a colpi di click Sicurezza informatica Come mettere in ginocchio un'azienda (italiana) a colpi di click Andrea Zwirner andrea@linkspirit.it @AndreaZwirner 1 Andrea Zwirner Mi interesso di sicurezza informatica dallo scorso

Dettagli

FORSETI BLOG. Readcast. Aprile 2014 Speciale Heartbleed. http://blog.forseti.it/

FORSETI BLOG. Readcast. Aprile 2014 Speciale Heartbleed. http://blog.forseti.it/ FORSETI BLOG Readcast Aprile 2014 Speciale Heartbleed http://blog.forseti.it/ Indice di 3 Forseti Blog - Aprile 2014 3 di Dottore in Sicurezza dei Sistemi e delle Reti Informatiche, Dottore Magistrale

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com NETASQ V9: PKI & Controllo accessi Presentation Marco Genovese Presales engineer marco.genovese@netasq.com Alcuni concetti Alcuni concetti prima di incominciare per chiarire cosa è una PKI e a cosa serve

Dettagli

- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam?

- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam? Perché questo corso - Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam? Cosa spiegheremo - protocolli e le tecnologie internet - quali sono

Dettagli

Concetti base. Impianti Informatici. Web application

Concetti base. Impianti Informatici. Web application Concetti base Web application La diffusione del World Wide Web 2 Supporto ai ricercatori Organizzazione documentazione Condivisione informazioni Scambio di informazioni di qualsiasi natura Chat Forum Intranet

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

IT Security 3 LA SICUREZZA IN RETE

IT Security 3 LA SICUREZZA IN RETE 1 IT Security 3 LA SICUREZZA IN RETE Una RETE INFORMATICA è costituita da un insieme di computer collegati tra di loro e in grado di condividere sia le risorse hardware (stampanti, Hard Disk,..), che le

Dettagli

INFORMATIVA PRIVACY. Politica ed informativa sull'utilizzo cookie

INFORMATIVA PRIVACY. Politica ed informativa sull'utilizzo cookie INFORMATIVA PRIVACY Politica ed informativa sull'utilizzo cookie Informazioni importanti sul consenso: utilizzando il nostro sito web o la nostra app mobile («Sito»), utilizzando i servizi forniti tramite

Dettagli

SCP: SCHEDULER LAYER. a cura di. Alberto Boccato

SCP: SCHEDULER LAYER. a cura di. Alberto Boccato SCP: SCHEDULER LAYER a cura di Alberto Boccato PREMESSA: Negli ultimi tre anni la nostra scuola ha portato avanti un progetto al quale ho partecipato chiamato SCP (Scuola di Calcolo Parallelo). Di fatto

Dettagli

Inviare la Posta Elettronica in Modo Sicuro

Inviare la Posta Elettronica in Modo Sicuro ICT Security n. 37, Settembre 2005 p. 1 di 7 Inviare la Posta Elettronica in Modo Sicuro Uno dei principali problemi pratici attuali nella gestioni delle reti informatiche, è quello della posta elettronica.

Dettagli

IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci

IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci IP Intelligence IP Fingerprinting per l antifrode Emanuele Bracci Techub: presenza sul territorio Siti principali: Roma Milano Parma Presidi: L Aquila Mestre Più di 80 specialisti sul territorio nazionale

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Security by Virtualization

Security by Virtualization Metro Olografix Hacking Party Security by Virtualization 19 Maggio 2007 Pescara Marco Balduzzi Le ragioni della sfida I convenzionali meccanismi di protezione vengono alterati ed evasi

Dettagli

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer : applicazioni telematiche Secure Socket Layer E-commerce Trading on-line Internet banking... Protocollo proposto dalla Netscape Communications Corporation Garantisce confidenzialità e affidabilità delle

Dettagli

User Manual Version 3.6 Manuale dell utente - Versione 2.0.0.0

User Manual Version 3.6 Manuale dell utente - Versione 2.0.0.0 User Manual Version 3.6 Manuale dell utente - Versione 2.0.0.0 User Manuale Manual dell utente I EasyLock Manuale dell utente Sommario 1. Introduzione... 1 2. Requisiti di Sistema... 2 3. Installazione...

Dettagli

COOKIES POLICY. 2. Tipologie di Cookies utilizzati da parte del sito www.elleservizi.it e/o delle aziende e dei marchi che ne fanno parte

COOKIES POLICY. 2. Tipologie di Cookies utilizzati da parte del sito www.elleservizi.it e/o delle aziende e dei marchi che ne fanno parte COOKIES POLICY Questa cookies policy contiene le seguenti informazioni : 1. Cosa sono i Cookies. 2. Tipologie di Cookies. 3. Cookies di terze parti. 4. Privacy e Sicurezza sui Cookies. 5. Altre minacce

Dettagli

Sophos Mobile Control Guida utenti per Apple ios. Versione prodotto: 4

Sophos Mobile Control Guida utenti per Apple ios. Versione prodotto: 4 Sophos Mobile Control Guida utenti per Apple ios Versione prodotto: 4 Data documento: maggio 2014 Sommario 1 Sophos Mobile Control...3 2 Informazioni sulla guida...4 3 Accesso al portale self-service...5

Dettagli

Sicurezza accessi, su software e piattaforme diverse, anche da dispositivi mobili, com è possibile?

Sicurezza accessi, su software e piattaforme diverse, anche da dispositivi mobili, com è possibile? Rimini, 1/2015 Sicurezza accessi, su software e piattaforme diverse, anche da dispositivi mobili, com è possibile? Le configurazioni con Server e desktop remoto (remote app), che possa gestire i vostri

Dettagli

Offerta sviluppo gestione applicativo mobile Descrizione del documento

Offerta sviluppo gestione applicativo mobile Descrizione del documento Offerta sviluppo gestione applicativo mobile Descrizione del documento Quello che seguirà nel documento si riferisce allo sviluppo di applicazione mobile, relativo pannello di controllo web ed API per

Dettagli

Sicurezza delle email, del livello di trasporto e delle wireless LAN

Sicurezza delle email, del livello di trasporto e delle wireless LAN Sicurezza delle email, del livello di trasporto e delle wireless LAN Damiano Carra Università degli Studi di Verona Dipartimento di Informatica La sicurezza nello stack protocollare TCP/IP Livello di rete

Dettagli

Mobile Insecurity. Manno, 28 Settembre 2011 D Amato Luigi

Mobile Insecurity. Manno, 28 Settembre 2011 D Amato Luigi Mobile Insecurity Manno, 28 Settembre 2011 D Amato Luigi About us n Luigi D Amato: Senior CyberSecurity Consultant e CTO di Security Lab SAGL. Membro ufficiale del chapter italiano dell Honeynet Project

Dettagli

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server Windows 2000 Server 1 A cosa serve il task manager? A A monitorare quali utenti stanno utilizzando una applicazione B A restringere l'accesso a task determinati da parte degli utenti C Ad interrompere

Dettagli

Token USB V1 - Guida rapida

Token USB V1 - Guida rapida Token USB V1 - Guida rapida 1 Indice 1 Indice... 2 2 Informazioni sul documento... 3 2.1 Scopo del documento... 3 3 Caratteristiche del dispositivo... 4 3.1 Prerequisiti... 4 3.1.1 Software... 4 3.1.2

Dettagli

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Supplemento informativo: Requisito 6.6 Analisi del codice e firewall a livello di applicazione

Supplemento informativo: Requisito 6.6 Analisi del codice e firewall a livello di applicazione Standard: Data Security Standard (DSS) Requisito: 6.6 Data: febbraio 2008 Supplemento informativo: Requisito 6.6 Analisi del codice e firewall a livello di applicazione Data di rilascio: 2008-04-15 Generale

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli