L evoluzione delle minaccie e degli impatti hacking e malware per il settore finance. OWASP Security Summit Milano Marzo 2012
|
|
- Arnaldo Alessi
- 8 anni fa
- Visualizzazioni
Transcript
1 L evoluzione delle minaccie e degli impatti hacking e malware per il settore finance Marco Morana Global Industry Committee Foundation Security Summit Milano Marzo 2012 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The Foundation
2 Conoscete? 2
3 Agenda Della Presentazione PARTE I: L evoluzione degli scenari di computer e internet hacking, attacchi ed agenti di minaccia PARTE II: Analisi delle minaccie di hacking malware e degli impatti per il settore finance PARTE III: Evoluzione ed efficacia delle contromisure e criteri per la mitigazione dei rischi di hacking-malware 3
4 PARTE I: L evoluzione degli scenari di internet hacking, attacchi ed agenti di minaccia 4
5 Evoluzione delle minaccie hacking-malware Lo scenario delle minaccie e cambiato negli ultimi 10 anni: Ieri: attacchi isolati di script kiddies (adolescenti) con obbiettivi di diffondere virus fare denial of service e diventare famosi Oggi: attacchi di gangs organizzate nella vendita di cybercrime. Obbiettivi sono soprattutto profitti dal furto dati di identita, dal furto carta di credito per vendita e contraffazione, frodi online, denial of service ai siti per motivi politici/hacktivism SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape 5
6 Profili threat agents degli anni Anno 1994 Vladimir Levin aka ArkanoID trasferisce 10 milioni di $ da citibank nel suo conto corrente by hacking X.25 financial networks Anno 2000 Michael Calce alias MAFIABOY All eta di 15 anni, mette offline i siti di yahoo, ebay, cnn, amazon. Etrade disconnesso per 90 minuti usando file sharing software Anno1999 Jooseph aka c0mrade James installa sniffer e intercetta le passwords US Dept of Defense Anno 2000 Onel Deguzman autore del virus ILOVEYOU, diventa famoso attaccando circa 10 milioni di computers nel mondo., danno estimato 5.5 miliardi $ per disinfestare iil virus 6
7 Threat agents famosi degli anni Anno 2004 Svem Jascham autore del Sasser worm con un impatto stimato di 10 milioni di host infettati Anno 2006 Jeanson James Ancheta primo autore di botnet in affitto a spammers ed hacker, infetta e controlla in totale 1/2 milione di computers inclusi quelli della Defense Information Systems Agency (DISA) 2007 Albert Gonzales ruba circa 130 milioni di acconti di carte di credito dai negozi Hannaford e TJX Maxx e dai Bancomats nei negozi SevenEleven Usa SQL Injection per installare malware sniffers e dati fra POS e credit card processors (e.g. Hearthland Payment Systems) Rivende i numeri di carta e PINs nel mercato hacker underground (Darknet) e realizza profitti dalla contraffazione delle carte via Bancomats Anno 2010 la corte di giustizia di NY sentenzia 37 hackers colpevoli di frodi bancarie su scala globale per 3 milioni di $ usando malware Zeus 7
8 Scenari di minaccia per siti financial: hackivism 8
9 Principali incidenti per volume di perdita dati 9
10 Gli incidenti di data breach piu recenti (2011) Sony (PlayStattion Network) Furto di dati di carta di credito e password for 100,000 users Epsilon, sito con s di AMEX, VISA, Retailers, Banche, 60 milioni di s compromesse RSA, servers del sistema di authenticazione a chiavetta (SecureID token), milioni di clienti impattati hanno dovuto sostituire le chaviette HBgary Federal, vendetta del gruppo Anonymous, s di clienti CEOs pubblicati su un server in Russia Stratofor, strategic intelligence-reporting per clienti, 860K s e 75K numeri di carta di credito dei clienti 10
11 Ok, let s take a step back.. 11
12 PARTE II: Attacchi di hacking : analisi degli minaccie e degli impatti 12
13 Quali sono le cause e gli effetti degli incidenti? 13
14 Principali cause degli incidenti con perdita di dati ( Fonte Verizon, 2011) La maggioranza sono causate da hacking e diffusione di malware Source: Verizon Data Breach investigation Report: 14
15 Tipologia di dati compromessi da attacchi malware-hacking (Fonte Verizon 2011) I tipi di dati piu a rischio sono carte di credito seguiti dai dati di authenticazione Source: Verizon Data Breach investigation Report: 15
16 Cause delle perdite di dati personali e tipologia di attacco (Fonte datalossdb) Cause No1 e hacking (32%) dall esterno (53%) Source: DataLossDb.org 16
17 Gli effetti di hacking e malware: tipologia di frodi online Account takeover transferimenti di denaro online via ACH/wire Card non present fraud :pagamenti online con dati carte rubate Contraffazione carte credit/debit e frodi via eatm/abm, POS Cattura dati di carta e sensibili con Man In the Middle e Man in the Browser e installazione di data sniffers nei canali POS Carding validazione dati di carta/debito usando online form Application fraud: Usare dati compromessi online per aprire un conto corrente, applicare per una carta di credito (application fraud) Attacchi e scams cross-border Money-laundering usando money mules Phishing e vishing ai fine di catturare dati di carta (CVV, PINs, ACC) 17
18 Le tecniche malware/hacking per frodi online banking: account takeover Attacchi diretti al client (browser, PC) Sfruttano le vulnerabilita del browser (Iframes, Flash, Plugins) e del client PC (no AV/AS) privilegi administrator Social engineering e phishing attraveso vari canali ( , facebook etc) Attacchi diretti al sito online banking Sfruttamento di vulnerabilita del sito (e.g. autenticazione login, debole, SQL injection, XSS, Iframe injection, Invaldiated Redirection) Mancansa di misure server di filtering/white-listing, monitoring eventi (e.g. no WAF, no SIEM, no blocking of malicious cookies/http agents) Attacchi diretti alle transazioni di pagamento/ bonifico Sfruttano mancanza di verifica origine della transazione (e.g. call back, verificazione tranazione su canale indipendente) Sfruttano mancanza autentificazione esterna (e.g. OOBA, SMS/voice, maker/checker dual person authorization) 18
19 Esempio di attacco sul browser utente: Man In The Browser 19
20 Il ciclo delle frodi online usando malware (fonte FBI) Hacker compra il crimeware o lo prende in affitto Malware coder scrive il codice oer attaccare la banca (crimware) Banking malware cattura i dati in tastiera ed online Utente online banking PC viene infettato con il baking malware Hacker si collega all conto online con i dati del server Hacker fa un bonifico ad un conto terzo (money mule) Hacker si collega al server, accede al computer della vittima e si collega all conto online con i dati del server Bonifico viene trasferito al conto del hacker Source: of the image from (Trojan_horse) The Zeus Fraud Scheme 20
21 Zeus banking malware: tracking dei siti controllati dai fraudsters (dati in real time dal sito abuse.ch) Source: 21
22 La lista prezzi dati carte e log-ins, hacking tools e servizi cybercrime (fonte PandaLabs 2011) Source PANDA labs: 22
23 Quale attenzione dedichiamo alla possibilita di futuri incidenti? 23
24 Monetizzazione del possibile impatto di una perdita di dati per un exploit di vulnerabilita di SQL injection 1. Calcolare la probabilita dell attacco Assumi i seguenti dati statistici: - il 11 % delle perdite dei dati avviene online (dati datalossdb) - il 19 % degli attacchi sfruttano SQL injection (dati del WHID) Probabilita e 2 % di perdere dati online per un attacco di SQL injection 2. Calcolare il valore dell asset (i dati) Euro per record ( as range) - Sito con 300,000 utenti registrati online Valore dell asset = 120 milioni di euro Liabilita di attacco SQL injection = Probabilita X Valore Asset = 2.4 milioni di euro o 80 Euro/customer 24
25 Monetizzazione del possibile impatto di hacking-malware account take over? 1. Calcolare la probabilita dell attacco Assumi i seguenti dati statistici: - in UK circa 100,000 PC sono infetti da malware Zeus (Trusteer) su una numero di PC in UK di 36 milioni la probabilita e 0.2 % Probabilita e 0.2 % di frode online a causa di un attacco malware Zeus 2. Calcolare il valore della transazione wire/ach - valore massimo di transfer via ACH online : 5,000 - numero di clienti gold con depositi medi ( > 10,000 ): 50,000 Valore della transazione (cumulativo) = 250 milioni di Liabilita di account take over online = Probabilita X Valore Asset = 500,000 o 10 /customer 25
26 Monetizzazione degli impatti per frodi con uso di dati di carte compromesse o contrafatte Source: Australian Payments Clearing Association (APCA) referred in 26
27 Impatti tangibili (monetary) ed intangibili (percezione) Source: DataLossDb.org 27
28 PARTE III: Evoluzione delle delle misure di prevenzione e riduzione del rischi e criteri di investimento 28
29 Nuove technologie offrono nuove opportunita di attacco e nuove sfide per la sicurezza Technologie di ieri Technologie di oggi 29
30 Nuove technologie, nuovi rischi e percezioni Source: 30
31 Evoluzione delle misure di sicurezza vs. evoluzione delle minaccie alcuni esempi Le frodi per contraffazione care sono diminute dal ma sono autmentate dal 2006 in poi (*) 2006 FFIEC stabilische che simple log-in non e piu sufficiente per transazioni a rischio (**) 2011 FFIEC stabilische nuove linee guida per mitigare il riischio malware/account take over (*) Source (**) Source FBI 31
32 Evoluzione della security governance negli ultimi 20 anni Build Security In Maturity Model 32
33 Chi si evolve adotta application risk management (e.g. NIST, TM, FAST, OCTAVE, PASTA) 33
34 Approccio application risk management applicato alle minaccie hacking-malware Valutare le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurre frodi (transferimento non autorizzato di denaro) Identificare le vulnerabilita (debolezze dell applicazione) Errori nel design di autenticazione e session management; Vulnerabilita in garantire confidenzialita e integrity dei dati; mancanza di logs e di tracciabilita degli eventi e azioni degli hackers sui sistemi Determinate l impatto tecnico (compromissione dei controlli) By-passamento di authenticazione multi-fattore (Challenge/Questions, KBA, OTPs;) By-passamento logica di identificazione del client prima di autorizzare transazioni; Compromissione delle web forms al fine di ottenere dati dall utente. Abuso session di autenticazione. Determinare l impatto per il business (perdita denaro) Perdite per Frodi/transferimento di denaro a mules; Perdita di data sensibili; Azioni legali per copertura danni account; Multe per non essere a norma con standards di sicurezza 34
35 Quali criteri per la decisione dell investimento in application security? 1) 75% degli incidenti prende di mira applicazioni web - 2) Piu del 70% delle vulnerabilita sono a livello applicativo e non network 3) Ridurre le vulnerabilita nel codice/software del 50% porta ad un risparmio del 75% sul costo totale della rimediazione delle vulnerabilita 1,2,3 Sources: Gartner 35
36 Vantaggi economici della sicurezza built into nello sviluppo di software sicuro (SDLC) Rimediare le vulnerabilita in di design e coding produce un risparmio del 36
37 Criteri guida per investimenti in application security: la Appsec guide per CISOs Source: 37
38 Q U E S T I O N S A N S W E R S 38
UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE
UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE Marco Gallone Sella Holding Banca 28 Novembre 2006 Il Gruppo Banca Sella ed il Commercio Elettronico Dal 1996 Principal Member dei circuiti Visa e MasterCard
DettagliTipologie e metodi di attacco
Tipologie e metodi di attacco Tipologie di attacco Acquisizione di informazioni L obiettivo è quello di acquisire informazioni, attraverso l intercettazione di comunicazioni riservate o ottenendole in
DettagliRetail Network Italy Division rappresenta le 3 Banche Retail di UniCredit presenti sul territorio con 4.500 Agenzie e oltre 7.
Internet Sicuro La gestione del rischio come opportunità per migliorare la customer experience e per incrementare la customer satisfaction dei Clienti Luigi Altavilla Head of Information Security Roma,
DettagliCartaSi: un mondo virtuale di vantaggi reali
CartaSi: un mondo virtuale di vantaggi reali Giorgio Avanzi, Direttore Generale CartaSi Milano, 14 Maggio 2008 CartaSi è leader di mercato consolidato Il Gruppo CartaSi, costituito nel 1985, è leader in
DettagliAllegato 1. Le tecniche di frode on-line
Allegato 1 Le tecniche di frode on-line Versione : 1.0 13 aprile 2011 Per una migliore comprensione delle tematiche affrontate nella circolare, riportiamo in questo allegato un compendio dei termini essenziali
DettagliBanking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director
Banking Cybercrime: Attacchi e scenari di banking malware in Italia Giorgio Fedon Owasp Italy Technical Director IEEE-DEST 2012 giorgio.fedon@owasp.org Copyright The OWASP Foundation Permission is granted
DettagliEvoluzione della sicurezza informatica Approntamento misure di sicurezza
Sicurezza Informatica Evoluzione della sicurezza informatica Approntamento misure di sicurezza Ordine dei Dottori Commercialisti di Milano Sala Convegni - C.so Europa, 11 Milano, 10 marzo 2006 Dott. PAOLO
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliCarlo, Pelliccioni Security
OWASP Top 10 2007 Le nostre informazioni sono veramente al sicuro? Carlo, Pelliccioni Security Consultant, @Mediaservice.net OWASP-Day Università La Sapienza Rome 10 th September 2007 carlo@mediaservice.net
DettagliINCONTRO DI STUDIO Sistemi di pagamento: la difesa dal furto di identità, profili normativi e i nuovi scenari tecnologici. Roma 22 maggio 2013
Responding to Life INCONTRO DI STUDIO Sistemi di pagamento: la difesa dal furto di identità, profili normativi e i nuovi scenari tecnologici Roma 22 maggio 2013 Il Furto d identità e gli italiani: tra
DettagliFocus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption
Cybercrime e Data Security Banche e aziende come proteggono i clienti? Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption Alessandro Piva Direttore dell Osservatorio
DettagliEvoluzione e rischi derivanti dai nuovi sistemi Banking Malware
Evoluzione e rischi derivanti dai nuovi sistemi Banking Malware Giuseppe Bonfà Security Consultant Minded Security SecuritySummit 2013-Italy Milan, 12 March 2013 Copyright 2008 - The OWASP Foundation Permission
DettagliSICUREZZA INFORMATICA MINACCE
SICUREZZA INFORMATICA MINACCE Come evitare gli attacchi di phishing e Social Engineering Ver.1.0, 19 febbraio 2015 2 Pagina lasciata intenzionalmente bianca 1. CHE COSA È UN ATTACCO DI SOCIAL ENGINEERING?
DettagliServizio Organizzazione - Monetica e Sistemi di Pagamento. Payment Systems Revolution : an opportunity for (too) many
Servizio Organizzazione - Monetica e Sistemi di Pagamento Payment Systems Revolution : an opportunity for (too) many Banche e Sicurezza 2015 4 giugno 2015 Evoluzione delle frodi in ambito monetica 1980
DettagliImpatto Economico e Approccio di Gestione delle Frodi sulle Carte di Pagamento. Antonio Galiano Responsabile E-Bank ICCREA Banca S.p.
Impatto Economico e Approccio di Gestione delle Frodi sulle Carte di Pagamento Antonio Galiano Responsabile E-Bank ICCREA Banca S.p.A 1 Agenda Impatto Economico delle Frodi Principali Trend di Mercato
DettagliThe OWASP Foundation http://www.owasp.org
Secure Banking Expert Community: Unire forze e competenze tecniche per arginare il crimine (sempre più) organizzato" Claudio Santacesaria Head of R&D Rototype -Italy Day2012 Rome, 23 November 2012 Copyright
DettagliSicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliLa sicurezza informatica. Luca Filippi Luca.Filippi@seclab.it
La sicurezza informatica Luca Filippi Luca.Filippi@seclab.it Che cos è SecLab 04/04/2015 http://www.seclab.it 2 Che cos è la sicurezza informatica Le informazioni vanno protette contro chi vuole appropriarsene
DettagliServizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio
Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliSommario Prefazione... xiii Diventa esperto in sicurezza... xiii Capitolo 1... 1 Codici nocivi... 1
Sommario Prefazione... xiii Diventa esperto in sicurezza... xiii A chi è rivolto questo libro... xiii Una verità scomoda... xiv Il punto della situazione... xv Gli hacker e l hacking... xvii Distinzione
DettagliGuida facile al network di pagamenti. Satispay. Satispay. Monetica. Accorciare le distanze
Guida facile al network di pagamenti Satispay Satispay Monetica. Accorciare le distanze GUIDA FACILE AL NETWORK DI PAGAMENTI Satispay Cos è Satispay Satispay è un innovativo network di pagamenti che consente
DettagliHome Banking storia, opportunità, sicurezza e futuro
Home Banking storia, opportunità, sicurezza e futuro Calambrone, 22 Maggio 2015 Claudio Telmon claudio@telmon.org Partiamo un po' prima... Fino agli anni 90 il sistema informativo della banca era chiuso
DettagliLa gestione e la prevenzione delle frodi esterne
La gestione e la prevenzione delle frodi esterne Gianluigi Molinari Responsabile Ufficio Prevenzione Frodi Direzione Centrale Organizzazione e Sicurezza Roma 28/29 maggio 2012 Il fenomeno delle frodi è
DettagliWWW.MISONOPERSA.IT 18 marzo 2014 Cenni sulla sicurezza Daniela Barbera SAX srl
WWW.MISONOPERSA.IT 18 marzo 2014 Cenni sulla sicurezza Daniela Barbera SAX srl Sotto attacco!! Malware - Trojan Horse Spyware - Adware Phishing - Defacement Furto di identità Perdita di dati Danni di immagine
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliIl Sistema Multipiattaforma di Autenticazione Sicura PassadoreKey. ABI SPIN 2014 Genova, 24/06/2014
Il Sistema Multipiattaforma di Autenticazione Sicura PassadoreKey ABI SPIN 2014 Genova, 24/06/2014 Agenda Profilo Aziendale Sistema Passadore Key Passadore Key Software Carta Conto Banca Passadore 2 Profilo
DettagliCyber security: tecnologie, innovazione e infrastrutture. I rischi attuali per le aziende italiane
Cyber security: tecnologie, innovazione e infrastrutture I rischi attuali per le aziende italiane Milano, 23 marzo 2016 Chi Sono Davide Rebus Gabrini Per chi lavoro non è un mistero. Come vedete, non sono
DettagliPOLITICHE DI GESTIONE DELLE COMUNICAZIONI E LORO IMPLEMENTAZIONE
POLITICHE DI GESTIONE DELLE COMUNICAZIONI E LORO IMPLEMENTAZIONE yvette@yvetteagostini.it vodka@sikurezza.org Consulente sicurezza delle informazioni Security evangelist Moderatrice della mailing list
DettagliBANCOMATLab Osservatori 2012
BANCOMATLab Osservatori 2012 Antonio Sarnelli BANCOMATLab Consorzio BANCOMAT Roma, Palazzo dei Congressi 15 novembre 2012 0 Agenda BANCOMATLab La Multicanalità delle banche Osservatorio Carte 1 Agenda
Dettagli16 novembre E-privacy. Big Data e Cyber Risk. Giuseppe Vaciago
16 novembre E-privacy Big Data e Cyber Risk. Giuseppe Vaciago Alcuni dati: un primato europeo In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accesso continuo ad Internet, e quasi
DettagliL'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security
L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation
DettagliSuggerimenti per rendere la PMI più sicura
Suggerimenti per rendere la PMI più sicura A cura di: Enrico Venuto Politecnico di Torino 20 novembre 2015 Dematerializzazione Libera da molte lentezze, inefficenze Introduce nuove problematiche e punti
DettagliIl servizio di E-Commerce
24 novembre 2015 Il servizio di E-Commerce Relatore: Alberto Taroni Assistente Servizi Direzione Territoriale Toscoemiliana 24/11/2015 2 Cos è Qui Pago è l offerta di BPER per il Commercio Elettronico:
DettagliIl processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it
Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di
DettagliProtagonisti di INNOVAZIONE un progetto industriale unico in Italia
Claudio De Paoli IT Security Practice Manager Un approccio innovativo alla sicurezza degli accessi ai servizi di ebanking Roma, gennaio 2011 Cybercrime: Costante aumento di Incidenti e frodi Il mercato
Dettagli2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7
Sommario Indice 1 Sicurezza informatica 1 1.1 Cause di perdite di dati....................... 1 1.2 Protezione dei dati.......................... 2 1.3 Tipi di sicurezza........................... 3 1.4
DettagliIl valore di un processo efficiente di Incident Response: un caso reale
Il valore di un processo efficiente di Incident Response: un caso reale CyberSecurity Summit Milano 9 Aprile,2014 Angelo Colesanto, Pre-Sales System Engineer, RSA 1 Scenario iniziale Primario istituto
DettagliSemplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!
Si può fare! Premessa La sicurezza informatica La sicurezza rappresenta uno dei più importanti capisaldi dell informatica, soprattutto da quando la diffusione delle reti di calcolatori e di Internet in
DettagliUSO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO
USO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO LA POLIZIA POSTALE E DELLE COMUNICAZIONI La Polizia Postale e delle Comunicazioni si occupa della prevenzione e repressione di tutti i reati commessi per il
DettagliLe problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti
Le problematiche di Web Application Security: la visione di ABI Lab Matteo Lucchetti Senior Research Analyst ABI Lab OWASP-Day II Università La Sapienza, Roma 31st, March 2008 Copyright 2008 - The OWASP
DettagliSicurezza dei Sistemi Informatici Introduzione
Sicurezza dei Sistemi Informatici Introduzione Contenuti Minacce: Da cosa deve essere protetto un sistema informatico? Danni: Quali sono i danni per l azienda? Risorse: Cosa proteggere? Hackers e Crackers:
DettagliSecurity Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT
Security Verification Standard Framework BANCOMAT Veronica Borgogna Consorzio BANCOMAT 0 L assioma della sicurezza Le perdite derivano da eventi dannosi, ossia fenomeni indesiderati accidentali o volontari
DettagliSicurezza Informatica e Digital Forensics
Sicurezza Informatica e Digital Forensics ROSSANO ROGANI CTU del Tribunale di Macerata ICT Security e Digital Forensics Mobile + 39 333 1454144 E-Mail info@digital-evidence.it INTERNET E LA POSSIBILITÀ
DettagliLINEE GUIDA PER LA SICUREZZA INFORMATICA NELLE PMI
LINEE GUIDA PER LA SICUREZZA INFORMATICA NELLE PMI Linee guida per la Sicurezza Informatica nelle PMI La presente ricerca costituisce il primo aggiornamento dello studio: La criminalità informatica e i
DettagliLe 12 truffe. 1. Phishing di beneficienza: attenzione alle donazioni
Dagli scaffali dei supermercati, alle lucine che esordiscono nei centri storici delle nostre città, si sta avviando all' inizio la stagione commerciale delle feste natalizie. Gli acquisti sul web per riempire
DettagliStrong Authentication, FEA, SPID: la Sicurezza nel Transaction Signing e negli Accessi per Abbattere le Frodi
Strong Authentication, FEA, SPID: la Sicurezza nel Transaction Signing e negli Accessi per Abbattere le Frodi Agostino Ghebbioni Direttore Mercato Servizi Finanziari Indra S.p.A. Antonio Bonsignore CEO
DettagliSymantec Insight e SONAR
Teniamo traccia di oltre 3, miliardi di file eseguibili Raccogliamo intelligence da oltre 20 milioni di computer Garantiamo scansioni del 70% più veloci Cosa sono Symantec Insight e SONAR Symantec Insight
DettagliKaspersky PURE 2.0: massima sicurezza per il network casalingo
Comunicato stampa Kaspersky PURE 2.0: massima sicurezza per il network casalingo Il prodotto home premium di Kaspersky Lab offre protezione avanzata per il PC e i dispositivi elettronici Roma, 30 marzo
DettagliTrasforma la tua attività in un punto ioritiro.
Trasforma la tua attività in un punto ioritiro. INFORMATIVA SUL SERVIZIO ioritiro per i bar e i negozi www.ioritiro.it il servizio ioritiro è una rete di bar e negozi che nasce per offrire a chi è spesso
DettagliProteggi gli account personali
con la collaborazione di Proteggi gli account personali Pensi che il PHISHING sia solo un tipo di pesca? Pensi che i COOKIE siano solo biscotti? Pensi che un VIRUS sia solo un raffreddore? Proteggi gli
DettagliPrimi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment
TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliProblematiche correlate alla sicurezza informatica nel commercio elettronico
Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference
DettagliMobile Insecurity. Manno, 28 Settembre 2011 D Amato Luigi
Mobile Insecurity Manno, 28 Settembre 2011 D Amato Luigi About us n Luigi D Amato: Senior CyberSecurity Consultant e CTO di Security Lab SAGL. Membro ufficiale del chapter italiano dell Honeynet Project
DettagliOfferta riservata agli iscritti ASSARCO Associazione Agenti e Rappresentanti di Commercio - Napoli
Offerta riservata agli iscritti ASSARCO Associazione Agenti e Rappresentanti di Commercio - Napoli Codice di Originazione (da fornire al Gestore BNL all apertura del conto) 306871389 F Offerta riservata
DettagliBANCHE E SICUREZZA 2005 - ABI. Valerio Minero - Amministratore Delegato ONE-ANS Executive VP Gruppo Italtel
BANCHE E SICUREZZA 2005 - ABI Valerio Minero - Amministratore Delegato ONE-ANS Executive VP Gruppo Italtel Roma, 7 Giugno 2005 Trend delle Minacce alla Sicurezza dell Infrastruttura Obiettivo degli attacchi
DettagliIdentità e autenticazione
Identità e autenticazione Autenticazione con nome utente e password Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente,
DettagliManaged Security Service
ANTI-PHISHING Managed Security Service Communication Valley Communication Valley S.p.A. è un Managed Service Provider specializzato nella gestione della sicurezza di reti complesse. Le soluzioni i offerte
DettagliIDENTITÀ E FRODI IN INTERNET PHISHING, PHARMING E I MODI PER DIFENDERSI. R.Remoli
- IDENTITÀ E FRODI I RISCHI CONNESSI AL FURTO DI IDENTITÀ IN INTERNET PHISHING, PHARMING E I MODI PER DIFENDERSI R.Remoli Di cosa parleremo Il furto d identità: caratteristiche e rischi concreti. Cos è
DettagliLa sicurezza nei servizi online di Poste Italiane. Roma, 8 maggio 2006
La sicurezza nei servizi online di Poste Italiane Roma, 8 maggio 2006 Internet: una opportunità per i servizi di Poste Italiane L esposizione dei sistemi/prodotti sulla rete internet se da un lato facilita
DettagliDEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici
DEFENCE in DEPTH Strategie di riduzione della superficie d attacco e dei rischi informatici Luca Bechelli Clusit luca@bechelli.net Ugo Di Nola Sinergy u.dinola@sinergy.it Roberto Banfi Sinergy r.banfi@sinergy.it
DettagliLa Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server
La Soluzione per Fusioni e acquisizioni, changing management, pianificazione e sviluppo del business, la documentazione correlata ai consigli di amministrazione, il corretto utilizzo dei documenti riservati
DettagliMobile Security: un approccio efficace per la sicurezza delle transazioni
ry colors 0 39 118 146 212 0 0 161 222 60 138 46 114 199 231 201 221 3 Mobile Security: un approccio efficace per la sicurezza delle transazioni RSA Security Summit 2014 Paolo Guaschi Roma, 13 maggio 2014
DettagliLE CERTIFICAZIONI ECDL 12 GIUGNO 2014. Lucchetti Silvia
LE CERTIFICAZIONI ECDL 12 GIUGNO 2014 IL D.M. N. 308 DEL 22.05.2014 TABELLA A-B GRADUATORIA ASPIRANTI DOCENTI II-III FASCIA RICONOSCE UN MASSIMO DI 4 PUNTI PER LE CERTIFICAZIONI INFORMATICHE. SI PRECISA
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliIl ruolo di Internet e delle Agenzie nella nuova generazione dei conti correnti
Il ruolo di Internet e delle Agenzie nella nuova generazione dei conti correnti Convegno ABI Internet e la Banca Roma, 5 Luglio 2005 Francesco Signoretti Direzione Marketing Clienti Famiglie e Privati
DettagliApriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati
Apriti Sesamo Plus come sistema di Autenticazione Forte AntiPhishing portabilità e protezione dei dati Massimo Penco mpenco@globaltrust.it 1 Sommario -line: il Phishing Una panoramica sulle tecniche più
DettagliL analisi del fenomeno delle frodi informatiche nel settore bancario italiano
L analisi del fenomeno delle frodi informatiche nel settore bancario italiano La convenzione ABI Polizia di Stato per la costruzione di una piattaforma tecnologica per lo scambio reciproco di alert Romano
Dettaglie quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero
Glossario Account (profilo o identità) insieme dei dati personali e dei contenuti caricati su un sito Internet o su un social network. Anti-spyware programma realizzato per prevenire e rilevare i programmi
DettagliGuida alla prevenzione della pirateria software SIMATIC
Guida alla prevenzione della pirateria software SIMATIC Introduzione Questa guida è stata realizzata per aiutare la vostra azienda a garantire l utilizzo legale del software di Siemens. Il documento tratta
DettagliSicurezza dei Sistemi Informativi. Alice Pavarani
Sicurezza dei Sistemi Informativi Alice Pavarani Le informazioni: la risorsa più importante La gestione delle informazioni svolge un ruolo determinante per la sopravvivenza delle organizzazioni Le informazioni
DettagliApplicazioni RFId nel SETTORE MODA TRAMA
Applicazioni RFId nel SETTORE MODA TRAMA (Tecnologia Rfid A supporto della Moda italiana e per l Anticontraffazione) Brand protection: gestione logistica ed applicazioni pratiche con tecnologia RFId nel
DettagliSecurity Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager
Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile Francesco Faenzi, Security Practice Manager Agenda Framework & Vision Value Proposition Solution Center Referenze
DettagliQUIPAGO - MODALITÀ PAYMENT
E-Commerce Qui Pago è l offerta di Key Client per il Commercio Elettronico: un Pos virtuale altamente affidabile ed efficiente che prevede diverse modalità d utilizzo: Payment (integrazione col sito del
DettagliVirus informatici Approfondimenti tecnici per giuristi
Creative Commons license Stefano Fratepietro - www.stevelab.net 1 Virus informatici Approfondimenti tecnici per giuristi Ciclo dei seminari Informatica nei laboratori del CIRSFID Facoltà di Giurisprudenza
DettagliDaniela Mercuri Associazione Informatici Professionisti www.aipnet.it
Associazione Informatici Professionisti www.aipnet.it 9 Maggio 2013 Social Network Innovazione Rischi Sicurezza Social Network, Immigrazione e Diritti Umani Che ruolo hanno i social network nei contesti
DettagliReport Ubiquity Mobile Finance
Report Ubiquity Mobile Finance Report IQ 2015 14/05/2015 Il mercato Mobile Finance in crescita nei primi 3 mesi del 2015 Nel primo trimestre del 2015 il mercato dei servizi Mobile Finance in Italia ha
DettagliLET US TELL YOU WHY YOU NEED IT
LET US TELL YOU WHY YOU NEED IT 2 FORSE NON SAI CHE QUANDO IN GENERALE UTILIZZI INTERNET, CONDIVIDI DOCUMENTI O NE SALVI SUL TUO DISCO O SU DISCHI ESTERNI NON SEI 2 4 TI CONSENTE DI: Inviare email con
DettagliSituation AWare Security Operations Center (SAWSOC) Topic SEC-2012.2.5-1 Convergence of physical and cyber security. Relatore: Alberto Bianchi
Situation AWare Security Operations Center (SAWSOC) Relatore: Alberto Bianchi Topic SEC-2012.2.5-1 Convergence of physical and cyber security Coordinatrice di Progetto: Anna Maria Colla annamaria.colla@selexelsag.com
DettagliICT e Sistemi informativi Aziendali. ICT e Sistemi informativi Aziendali. Sommario. Materiale di supporto alla didattica
ICT e Sistemi informativi Aziendali Materiale di supporto alla didattica ICT e Sistemi informativi Aziendali Capitolo III Business digitale Sommario Business Digitale E-commerce Sistemi di pagamento Rete
DettagliKASPERSKY FRAUD PREVENTION FOR ENDPOINTS
KASPERSKY FRAUD PREVENTION FOR ENDPOINTS www.kaspersky.com KASPERSKY FRAUD PREVENTION 1. Modi di attacco ai servizi bancari online Il motivo principale alla base del cybercrimine è quello di ottenere denaro
DettagliCome un criminale prepara un attacco e come una azienda può fare prevenzione
- open source intelligence Come un criminale prepara un attacco e come una azienda può fare prevenzione Paolo Giardini Direttore Osservatorio Privacy e Sicurezza Informatica Milano, 26-27 maggio 2016 1
DettagliBig Data e IT Strategy
Big Data e la forza degli eventi Da sovraccarico informativo a strumento di conoscenza Big Data e IT Strategy Come costruire l Impresa Intelligente Università Milano Bicocca 1 Marzo 2013 GIUSEPPE LIETO
DettagliIdee innovative a sostegno dei canali online: la card di sicurezza dei Servizi by
Idee innovative a sostegno dei canali online: la card di sicurezza dei Servizi by Angela Dall Olio Responsabile Prodotti e Servizi Famiglie Direzione Retail, Banco Popolare angela.dallolio@bancopopolare.it
DettagliCOMUNICAZIONE E CONDIVISIONE PROTETTE. Protezione per server, email e collaborazione
COMUNICAZIONE E CONDIVISIONE PROTETTE Protezione per server, email e collaborazione IL VALORE DELLA PROTEZIONE Gran parte degli attacchi malware sfruttano le vulnerabilità del software per colpire il proprio
DettagliExport Development Export Development
SERVICE PROFILE 2014 Chi siamo L attuale scenario economico nazionale impone alle imprese la necessità di valutare le opportunità di mercato offerte dai mercati internazionali. Sebbene una strategia commerciale
Dettagliwww.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl
www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura
DettagliData protection. Cos è
Data protection Cos è La sicurezza informatica è un problema molto sentito in ambito tecnico-informatico per via della crescente informatizzazione della società e dei servizi (pubblici e privati) in termini
Dettagli- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam?
Perché questo corso - Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam? Cosa spiegheremo - protocolli e le tecnologie internet - quali sono
DettagliLa sicurezza in banca: un assicurazione sul business aziendale
Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates
DettagliSoftware Gestionale per Architetti. Listino prezzi - PROMOZIONALE. web: www.architettore.com mail: info@architettore.com
Software Gestionale per Architetti Listino prezzi - PROMOZIONALE web: www.architettore.com mail: info@architettore.com Pag. 1 Pag. 2 Pag. 3 Pag. 4 Pag. 5 Pag. 6 Pag. 7 Indice Licenze e Assistenza Aggiornamenti
DettagliCyber Security e Social Networks: Minacce, Rischi e Contromisure. Padova, 10 Settembre 2015
Cyber Security e Social Networks: Minacce, Rischi e Contromisure Padova, 10 Settembre 2015 1 Agenda TASSONOMIA DEGLI AGENTI OSTILI E DELLE MINACCE ATTACCHI RECENTI E RELATIVI IMPATTI SCENARI DI RISCHIO
DettagliA B I. BANCHE E SICUREZZA 2006 Soluzioni, strumenti e metodologie per una nuova strategia di protezione. Roma, 6 e 7 Giugno 2006 Palazzo Altieri 2006
A B I BANCHE E SICUREZZA 2006 Soluzioni, strumenti e metodologie per una nuova strategia di protezione Roma, 6 e 7 Giugno 2006 Palazzo Altieri 2006 Dr. Alessandro Carini Sezione Crimini Economici Divisione
DettagliIl security adviser nelle PMI
Il security adviser nelle Workshop sulle competenze ed il lavoro dei Security Adviser Sicurezza delle informazioni: il problema c e ma chi e il responsabile? Milano, 10 maggio 2011 ore 18.00 Palazzo FAST
DettagliSicurezza e commercio elettronico
Sicurezza e commercio elettronico Prof. Marco Mezzalama Politecnico di Torino Il business dell e-commerce Crescita del 19% annuo Nel 2014 si valuta un business di 1.5 trillion $ Il mercato Il lato oscuro
DettagliResponsabilità e piano di azione per un nuovo approccio alla Cyber Security
Responsabilità e piano di azione per un nuovo approccio alla Cyber Security @RSAEMEA @VulpianiM #RSAEMEASummit Massimo Vulpiani, Regional Director Europe South RSA Lo stato dell arte Ieri, in attesa del
DettagliLe tecnicheinformaticheper la sottrazionedidatiriservati
Le tecnicheinformaticheper la sottrazionedidatiriservati Cosimo Anglano Dipartimento di Informatica & Centro Studi Interdipartimentale sulla Criminalitá Informatica Universitá del Piemonte Orientale Alessandria
DettagliUn'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione
Dettagli