Chain Exploiting the Business
|
|
- Fortunato Cappelletti
- 8 anni fa
- Visualizzazioni
Transcript
1 Chain Exploiting the Business 1
2 Chi sono ricercatore indipendente da più di quindici anni da dieci mi occupo professionalmente di penetration testing e vulnerability assessment non mi occupo (ancora) delle sole logiche aziendali Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 2
3 Agenda VA e PT, per me pari sono penetration test, gli ultimi 10 anni vulnerabilità aziendali - case history Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 3
4 VA e PT, per me pari sono simulazione di attacco analisi del rischio attacco hacker test di penetrazione test di sicurezza verifica delle vulnerabilità VA Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 4
5 VA e PT, per me pari sono network scan web assessment security scan analisi applicativa test infrastrutturale Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 5
6 VA e PT, per me pari sono (2) Vulnerability Assessment It is the process of identifying, quantifying, and prioritizing (or ranking) the vulnerabilities in a system. Vulnerability assessment has many things in common with risk assessment. Assessments are typically performed according to the following steps: Cataloging assets and capabilities (resources) in a system. Assigning quantifiable value (or at least rank order) and importance to those resources Identifying the vulnerabilities or potential threats to each resource Mitigating or eliminating the most serious vulnerabilities for the most valuable resources en.wikipedia.org Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 6
7 VA e PT, per me pari sono (3) Penetration Test It is a method of evaluating the security of a computer system or network by simulating an attack from malicious outsiders and/or malicious insiders. The process involves an active analysis of the system for any potential vulnerabilities that could result from poor or improper system configuration, both known and unknown hardware or software flaws, or operational weaknesses in process or technical countermeasures. This analysis is carried out from the position of a potential attacker and can involve active exploitation of security vulnerabilities. Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 7
8 VA e PT, per me pari sono (4) It is valuable for several reasons: Determining the feasibility of a particular set of attack vectors Identifying higher-risk vulnerabilities that result from a combination of lowerrisk vulnerabilities exploited in a particular sequence Identifying vulnerabilities that may be difficult or impossible to detect with automated network or application vulnerability scanning software Assessing the magnitude of potential business and operational impacts of successful attacks Testing the ability of network defenders to successfully detect and respond to the attacks Providing evidence to support increased investments in security personnel and technology en.wikipedia.org Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 8
9 VA e PT, per me pari sono (5) Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 9
10 VA e PT, per me pari sono (6) Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 10
11 penetration test, gli ultimi 10 anni the network is the computer? nope, the web http e xml le basi di un nuovo esperanto tutto è un applicazione web Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 11
12 penetration test, gli ultimi 10 anni (2) deployment in cluster distribuiti complessi scenari perimetrali virtualizzazioni e cloud computing eterogeneità dei client Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 12
13 penetration test, gli ultimi 10 anni (3) non esistono più exploit pesanti iis, apache, ssh? a remote in ssh is a dead dream (anonimo) se esistessero, probabilmente non sarebbero venduti ai soliti noti commerciali Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 13
14 penetration test, gli ultimi 10 anni (4) oggi gli exploit servono meno (con le dovute eccezioni) strumenti come metasploit facilitano enormemente la creazione di codice di attacco i pt richiedono altro sicurezza fisica logiche client-side conoscenza dell ambiente bersaglio, delle infrastrutture, delle tecnologie Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 14
15 penetration test, gli ultimi 10 anni (5) spesso i pt sono sotto-stimati ( meglio un assessment classico ) non compresi ( fate quel che dovete, ma non toccate nulla, non copiate o modificate alcun dato, non impersonate utenze altrui, non aumentate il carico della macchina, non... ) menomati da logiche aziendali estranee ( ok i sistemi A, C e D. Il B no, perchè fa parte della linea di esercizio e sistemi, che fa capo a X. I sistemi da E a H non li testiamo perchè non siamo riusciti a contattare il referente interno Y. ) Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 15
16 Active Directory Cloning, lotek edition dominio Windows DC1 e DC2, AD1 e AD2, 150 PDL patch level da manuale credenziali complesse e lock-out degli account Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 16
17 Veritas Netbackup Sala Server Postazioni di Lavoro Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 17
18 Veritas Netbackup Sala Server Postazioni di Lavoro Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 18
19 Active Directory Cloning, lotek edition Password Guessing Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 19
20 Active Directory Cloning, lotek edition Password Guessing Srv Enable Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 19
21 Active Directory Cloning, lotek edition Password Guessing Srv Enable SADMIND Exploit Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 20
22 Active Directory Cloning, lotek edition $ holygrail2 vs. SunOS 5.9 sadmind by kcope in 2008 binds a shell to port 5555 perl ~/xpl/sadmind.pl w.x.y.z Password Guessing docfuz@giringiro $ nc w.x.y.z 5555 id uid=0(root) gid=0(root) grep root /etc/shadow Srv Enable root:mfk7894ohtmoo:12458:::::: SADMIND Exploit Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 20
23 Active Directory Cloning, lotek edition Password Guessing Srv Enable Local Privilege Escalation SADMIND Exploit echo falsema ADMIN=ALL JBP=ALL >> /nbudb/openv/java/auth.conf Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 21
24 Active Directory Cloning, lotek edition Password Guessing Srv Enable Local Privilege Escalation SADMIND Exploit Netbackup Administration Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 22
25 Active Directory Cloning, lotek edition Password Guessing Srv Enable Local Privilege Escalation SADMIND Exploit Netbackup Administration Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 23
26 Active Directory Cloning, lotek edition Windows 2003 server R2 32bit edition Password Guessing Netbackup 5.1 install + patch Srv Enable Software Leech Local Privilege Escalation SADMIND Exploit Netbackup Administration Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 24
27 Active Directory Cloning, lotek edition Password Guessing Software Leech Srv Enable Local Privilege Escalation SADMIND Exploit Win2003 VM Netbackup Administration Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 24
28 Active Directory Cloning, lotek edition Password Guessing Software Leech Srv Enable Local Privilege Escalation SADMIND Exploit Win2003 VM Netbackup Administration AD half restore Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 24
29 Active Directory Cloning, lotek edition Password Guessing Software Leech Srv Enable Local Privilege Escalation SADMIND Exploit Win2003 VM Netbackup Administration AD half restore Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 25
30 Active Directory Cloning, lotek edition Password Guessing Software Leech Srv Enable Local Privilege Escalation Netbackup Administration SADMIND Exploit AD half restore Win2003 VM restore del server AD di backup reinstallazione driver installazione servizio nel registro creazione di utenza di dominio Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 25
31 Active Directory Cloning, lotek edition Password Guessing Software Leech Srv Enable Local Privilege Escalation SADMIND Exploit Win2003 VM Netbackup Administration AD half restore AD corruption Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 26
32 Active Directory Cloning, lotek edition Password Guessing Software Leech Srv Enable Local Privilege Escalation SADMIND Exploit Win2003 VM Netbackup Administration AD half restore AD corruption Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 26
33 Active Directory Cloning, lotek edition Password Guessing Software Leech Srv Enable Local Privilege Escalation SADMIND Exploit Win2003 VM Netbackup Administration AD half restore AD corruption Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 26
34 Active Directory Cloning, lotek edition Password Guessing Software Leech Srv Enable Local Privilege Escalation SADMIND Exploit Win2003 VM Netbackup Administration AD half restore AD corruption Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 26
35 Active Directory Cloning, lotek edition rischio quantificato come basso solo SSHd e portmapper Password Guessing credenziale non di default errore procedurale Local Privilege Escalation Srv Enable SADMIND Exploit Software Leech Win2003 VM Netbackup Administration AD half restore AD corruption Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 27
36 Active Directory Cloning, lotek edition rischio quantificato come basso solo SSHd e portmapper Password Guessing credenziale non di default errore procedurale Srv Enable Software Leech Local Privilege Escalation patch level non verificabile da VA blackbox SADMIND Exploit Win2003 VM Netbackup Administration AD half restore AD corruption Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 27
37 Active Directory Cloning, lotek edition rischio quantificato come basso solo SSHd e portmapper Password Guessing credenziale non di default errore procedurale Srv Enable VA non verifica la natura dei dati l analisi Software della componente umana Leech nelle procedure aziendali non è quasi mai automatizzabile Local Privilege Escalation patch level non verificabile da VA blackbox SADMIND Exploit Win2003 VM Netbackup Administration AD half restore AD corruption Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 27
38 Active Directory Cloning, lotek edition rischio quantificato come basso solo SSHd e portmapper Password Guessing credenziale non di default errore procedurale Srv Enable VA non verifica la natura dei dati l analisi Software della componente umana Leech nelle procedure aziendali non è quasi mai automatizzabile Local Privilege Escalation patch level non verificabile da VA blackbox Netbackup Administration SADMIND Exploit AD half restore Win2003 VM misteri delle race condition in AD corruption architetture complesse non verificabili o quantificabili nei VA automatizzati Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 27
39 Active Directory Cloning, lotek edition Risultati del VA nessun rischio HIGH qualche notifica su SSL e su protocolli di comunicazione insicuri nessuna credenziale di default Risultati del PT compromissione dei backup compromissione del dominio Active Directory e di ogni sua componente compromissione dati degli utenti Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 28
40 appliance a 6 zeri IPS applicativo grande azienda tutte le applicazioni web sono protette dall appliance three tier architecture Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 29
41 appliance a 6 zeri web application assessment XSS e SQL Injection praticamente impossibili l IPS identifica e/o filtra ogni input malevolo produce log di ogni transazione identificata Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 30
42 appliance a 6 zeri IP TCP HTTP Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 31
43 appliance a 6 zeri GET /brandprofile/vulnus.aspx?xyz=acm IP %27%3B%20CREATE%20TABL%20sqlmapoutput (data%20varchar(8000))%3b--%20and TCP %20%27PLyKB%27=%27PLyKB HTTP HTTP/1.1 Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 32
44 appliance a 6 zeri IP TCP HTTP Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 32
45 appliance a 6 zeri IP TCP HTTP Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 34
46 appliance a 6 zeri GET /brandprofile/vulnus.aspx?foo=aaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa IP aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa TCP aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa HTTP aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa&xyz=acm%27%3b %20CREATE%20 TABLE%20sqlmapoutput%28data%20varchar %288000%29%29%3B--%20AND%20%27PLyKB%27=%27PLyKB HTTP/1.1 Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 34
47 appliance a 6 zeri IP TCP HTTP Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 34
48 appliance a 6 zeri Risultati del VA nessun rischio HIGH impossibilità di testare le injection Risultati del PT compromissione dell IPS compromissione dei web server protetti mediante SQLI nessuna signature nota per la procedura pseudo-0-day Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 35
49 Oracle SchemeWalking DMZ con server Linux e Windows 2003 server vari domini AD, server Oracle, 200 PDL patch level ottimo credenziali complesse e lock-out degli account Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 36
50 38
51 38
52 38
53 Oracle SchemeWalking SQLI httpd #1 ORACLE Schema DOCS Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 39
54 Oracle SchemeWalking No DBA No filesystem I/O o exec SQLI httpd #2 ORACLE Schema WBMSTR SQLI httpd #1 ORACLE Schema DOCS Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 39
55 Oracle SchemeWalking SQLI httpd #2 ORACLE Schema WBMSTR SQLI httpd #1 ORACLE Schema DOCS Table CMS_uSeRS Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 39
56 Oracle SchemeWalking SQLI httpd #2 ORACLE Schema WBMSTR SQLI httpd #1 ORACLE Schema DOCS Table CMS_uSeRS Schema Ops$ACME Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 39
57 Oracle SchemeWalking SQLI httpd #2 ORACLE Schema WBMSTR SQLI httpd #1 ORACLE Schema DOCS Table CMS_uSeRS Schema Ops$ACME informazioni correlabili a livello umano, sono spesso disseminate in più schemi su più istanze differenti Table Landesk_users Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 39
58 Oracle SchemeWalking SQLI httpd #2 ORACLE Schema WBMSTR SQLI httpd #1 ORACLE Schema DOCS Table CMS_uSeRS Schema Ops$ACME Table Landesk_users Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 40
59 Oracle SchemeWalking (fusys) ~/ACMEIT/sqlmap/dumps > grep Matteo Landesk_users.csv SQLI httpd #2 SQLI httpd #1 ORACLE ORACLE ACME - palazzina,beepbeep,italy,699,null,matteo,"dala2naper,il", Schema WBMSTR Schema DOCS ,0,1,699,Falsetti Table CMS_uSeRS Schema Ops$ACME Table Landesk_users (fusys) ~/ACMEIT/sqlmap/dumps > grep Matteo CMS_uSeRS.csv 10299,1,1,1,1,m.falsetti@acmeit.it,canlogin,fal00mat,Matteo,Falsetti Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 40
60 Oracle SchemeWalking SQLI httpd #2 ORACLE Schema WBMSTR SQLI httpd #1 ORACLE Schema DOCS Table CMS_uSeRS Schema Ops$ACME FTP Access httpd #1 Table Landesk_users Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 41
61 Oracle SchemeWalking semi 0-day PHP LFI httpd #2 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS SQLI httpd #1 ORACLE Schema DOCS Schema Ops$ACME FTP Access httpd #1 Table Landesk_users Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 41
62 Oracle SchemeWalking semi 0-day PHP LFI httpd #2 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS SQLI httpd #1 ORACLE Schema DOCS Schema Ops$ACME PHP Shell FTP Access httpd #1 Table Landesk_users Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 42
63 Oracle SchemeWalking semi 0-day PHP LFI httpd #2 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS SQLI httpd #1 ORACLE Schema DOCS Schema Ops$ACME PHP Shell FTP Access httpd #1 Table Landesk_users reverse shell + port forwarding Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 42
64 Oracle SchemeWalking semi 0-day PHP LFI httpd #2 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS SQLI httpd #1 ORACLE Schema DOCS Schema Ops$ACME PHP Shell FTP Access httpd #1 Table Landesk_users reverse shell + port forwarding database enumeration Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 43
65 Oracle SchemeWalking semi 0-day PHP LFI httpd #2 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS SQLI httpd #1 ORACLE Schema DOCS Schema Ops$ACME PHP Shell FTP Access httpd #1 Table Landesk_users reverse shell + port forwarding database enumeration oracle:oracle Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 43
66 Oracle SchemeWalking SQLI httpd #2 ORACLE Schema WBMSTR unico account debole è sul DB core SQLI httpd #1 ORACLE Schema DOCS semi 0-day PHP LFI Table Schema httpd #2 accesso in shell sull AIX nodo CMS_uSeRS centrale della Ops$ACME rete l account oracle su un DB server è meglio di root PHP Shell FTP Access httpd #1 Table Landesk_users reverse shell + port forwarding database enumeration oracle:oracle Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 44
67 Oracle SchemeWalking semi 0-day PHP LFI httpd #2 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS SQLI httpd #1 ORACLE Schema DOCS Schema Ops$ACME PHP Shell FTP Access httpd #1 Table Landesk_users reverse shell + port forwarding database enumeration oracle:oracle OID package source code Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 45
68 Oracle SchemeWalking semi 0-day PHP LFI httpd #2 PHP Shell FTP Access httpd #1 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS rischio quantificato come basso SQLI httpd #1 solo HTTPd ORACLE e FTPd sui web server Schema DOCS credenziali complesse SQL Injection Schema non automatizzata Ops$ACME errore di separazione logica degli schemi Oracle Table Landesk_users reverse shell + port forwarding database enumeration oracle:oracle OID package source code Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 46
69 Oracle SchemeWalking regressione nel codice non visibile dalle signature degli scanner semi 0-day PHP LFI httpd #2 PHP Shell FTP Access httpd #1 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS rischio quantificato come basso SQLI httpd #1 solo HTTPd ORACLE e FTPd sui web server Schema DOCS credenziali complesse SQL Injection Schema non automatizzata Ops$ACME errore di separazione logica degli schemi Oracle Table Landesk_users reverse shell + port forwarding database enumeration oracle:oracle OID package source code Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 46
70 Oracle SchemeWalking regressione nel codice non visibile dalle signature degli scanner semi 0-day PHP LFI httpd #2 hardening locale non visibile PHP Shell da VA esterno FTP Access httpd #1 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS rischio quantificato come basso SQLI httpd #1 solo HTTPd ORACLE e FTPd sui web server Schema DOCS credenziali complesse SQL Injection Schema non automatizzata Ops$ACME errore di separazione logica degli schemi Oracle Table Landesk_users reverse shell + port forwarding database enumeration oracle:oracle OID package source code Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 46
71 Oracle SchemeWalking regressione nel codice non visibile dalle signature degli scanner semi 0-day PHP LFI httpd #2 hardening locale non visibile PHP Shell da VA esterno FTP Access httpd #1 SQLI httpd #2 ORACLE Schema WBMSTR Table CMS_uSeRS rischio quantificato come basso SQLI httpd #1 solo HTTPd ORACLE e FTPd sui web server Schema DOCS credenziali complesse SQL Injection Schema non automatizzata Ops$ACME errore di separazione logica degli schemi Oracle Table Landesk_users reverse shell + port forwarding database enumeration oracle:oracle è complesso automatizzare processi di data mining guidati da OID package source code deduzione e intuizione Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 46
72 Oracle SchemeWalking Risultati del VA nessun rischio HIGH qualche notifica su SSL, sui protocolli di comunicazione insicuri e su possibili injection da verificare a mano nessuna credenziale di default esposta su Internet Risultati del PT compromissione di un server perimetrale compromissione dell Oracle OID e delle applicazioni privilegiate da esso autenticate compromissione dati degli utenti Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 47
73 vulnerabilità aziendali - considerazioni anni fa oggi misconfiguration / hardening client-side exploit web input validation buffer overflow chained exploits Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 48
74 vulnerabilità aziendali - considerazioni anni fa oggi misconfiguration / hardening client-side exploit web input validation buffer overflow chained exploits Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 48
75 Domande? Chain Exploiting the Business Matteo Falsetti - mfalsetti@enforcer.it - fusys@sikurezza.org le immagini dei fumetti Dilbert e XKCD e del progetto Metasploit sono di proprietà dei rispettivi autori Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 49
76 Domande? Chain Exploiting the Business Matteo Falsetti - mfalsetti@enforcer.it - fusys@sikurezza.org le immagini dei fumetti Dilbert e XKCD e del progetto Metasploit sono di proprietà dei rispettivi autori Chain Exploiting the Business - Matteo Falsetti <mfalsetti@enforcer.it> - 49
the PT conundrum ( and its ANTISEC formulation ) matteo falsetti - mfalsetti@enforcer.it - fusys@sikurezza.org
the PT conundrum ( and its ANTISEC formulation ) matteo falsetti - mfalsetti@enforcer.it - fusys@sikurezza.org Chi sono ricercatore indipendente da diciannove anni da quattordici mi occupo professionalmente
Dettagli0wning the Business, Reloaded. x2f\x73\x68\x68\x. Matteo Falsetti - mfalsetti[at]enforcer.it - fusys[at]sikurezza.org
0wning the Business, Reloaded Matteo Falsetti - mfalsetti[at]enforcer.it - fusys[at]sikurezza.org Chi sono ricercatore indipendente vulnerability assessment non mi occupo (ancora) da più di quindici anni
DettagliPTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato
La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato
DettagliProtezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità
L Eccellenza nei servizi e nelle soluzioni IT integrate. Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità 2012 MARZO Omnitech s.r.l. Via Fiume Giallo, 3-00144 Roma Via
DettagliSommario. Oracle Database 10g (laboratorio) Grid computing. Oracle Database 10g. Concetti. Installazione Oracle Database 10g
Sommario Oracle Database 10g (laboratorio) Dr. Daniele Barone Dr. Simone Grega 1 2 Oracle Database 10g Offre alte qualità del servizio: Performance; Scalabilità; Sicurezza; Affidabilità. Gestione autonoma
DettagliIntroduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente
Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini
DettagliIndice. Introduzione PARTE PRIMA L ARCHITETTURA DEI DATABASE 1
Indice Introduzione XI PARTE PRIMA L ARCHITETTURA DEI DATABASE 1 Capitolo 1 Introduzione all architettura di Oracle 3 1.1 I database e le istanze 3 1.2 Installazione del software 9 1.3 Creazione di un
DettagliMinistero dell Ambiente e della Tutela del Territorio e del Mare
Ministero dell Ambiente e della Tutela del Territorio e del Mare DIREZIONE GENERALE PER GLI AFFARI GENERALI E DEL PERSONALE Divisione III Sistemi Informativi RDO PER LA FORNITURA DEL SERVIZIO PER LA GESTIONE
DettagliSecurity by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.
Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment
DettagliEsempi pratici, risultati e contromisure consigliate. Massimo Biagiotti
L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione
DettagliEsempi pratici di in-sicurezza dei sistemi e delle informazioni
Esempi pratici di in-sicurezza dei sistemi e delle informazioni Relatore: Cyber Security e sicurezza delle informazioni Bolzano, 11 dicembre 2015 TIS innovation park Igor Falcomatà Chief Technical Officer
DettagliInstallazione di GFI LANguard Network Security Scanner
Installazione di GFI LANguard Network Security Scanner Requisiti di sistema Installare GFI LANguard Network Security Scanner su un computer in possesso dei seguenti requisiti: Sistemi operativi Windows
Dettagli22 Ottobre 2014. #CloudConferenceItalia
22 Ottobre 2014 #CloudConferenceItalia Gli Sponsor AZU03 Microsoft Azure e Active Directory Giampiero Cosainz walk2talk giampiero.cosainz@walk2talk.it @GpC72 Ruberti Michele walk2talk michele.ruberti@walk2talk.it
DettagliSPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL
SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221
DettagliCiclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto
DettagliMonitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)
Monitorare la superficie di attacco Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Vulnerabilità Difetto o debolezza che può essere sfruttata per violare la politica di sicurezza di un sistema(*)
DettagliPenetration Testing Aziendale con BeEF
Penetration Testing Aziendale con BeEF Giovanni Cattani Giovanni Cattani Security Specialist @ Secure Network S.r.l. #penetrationtest #vulnerabilityassessment #web #mobile #network #riskassessment BeEF
DettagliStefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network
Penetration test vs. Security Assessment Capire le differenze tra le metodologie, gli obiettivi e i risultati (per non parlare di quelle tra i consulenti) Stefano Zanero, PhD - s.zanero@securenetwork.it
DettagliARCHIVIA PLUS VERSIONE SQL SERVER
Via Piemonte n. 6-6103 Marotta di Mondolfo PU tel. 021 960825 fax 021 9609 ARCHIVIA PLUS VERSIONE SQL SERVER Istruzioni per configurazione sql server e conversione degli archivi Versione n. 2011.09.29
DettagliMinistero dell Ambiente e della Tutela del Territorio e del Mare
Ministero dell Ambiente e della Tutela del Territorio e del Mare DIREZIONE GENERALE PER GLI AFFARI GENERALI E DEL PERSONALE Divisione III Sistemi Informativi RDO PER LA FORNITURA DEL SERVIZIO PER LA CONDUZIONE
DettagliPlugin Single Sign-On
NEXT-GEN USG Plugin Single Sign-On Configurazione Agent SSO su AD Verificare di avere l ultima release del client SSO installato su Windows Server. AL momento di redigere la guida la più recente è la 1.0.3
DettagliConcetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna
Concetti base di sicurezza applicativa web Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Agenda Concetti base Esempio reale (SQL code injection) Come cambia lo scenario
DettagliSIMULAZIONE DI UN PENETRATION TEST (PENETRATION TESTING SIMULATION)
Over Security SIMULAZIONE DI UN PENETRATION TEST (PENETRATION TESTING SIMULATION) Sommario Viene presentata la simulazione di un attacco informatico, Penetration Testing, un metodo per valutare la sicurezza
DettagliManuale per la configurazione di AziendaSoft in rete
Manuale per la configurazione di AziendaSoft in rete Data del manuale: 7/5/2013 Aggiornamento del manuale: 2.0 del 10/2/2014 Immagini tratte da Windows 7 Versione di AziendaSoft 7 Sommario 1. Premessa...
DettagliVULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
DettagliEyesServ. La piattaforma di monitoraggio per la tua sala server. Soluzioni Informatiche
EyesServ - La piattaforma di monitoraggio per la tua sala server Soluzioni Informatiche Che cos è EyesServ? EyesServ è una nuova soluzione per il monitoraggio infrastrutturale IT. E costituita da un pacchetto
DettagliDecomponibilità dei sistemi software
Decomponibilità dei sistemi software 1 Componenti di un Sistema Software Un sistema software può essere visto come composto da tre principali tipi di i Componenti dell Interfaccia utente ( s) - costituiti
DettagliOpenVAS - Open Source Vulnerability Scanner
OpenVAS - Open Source Vulnerability Scanner di Maurizio Pagani Introduzione OpenVAS è un framework che include servizi e tool per la scansione e la gestione completa delle vulnerabilità. Un vulnerability
DettagliCarlo, Pelliccioni Security
OWASP Top 10 2007 Le nostre informazioni sono veramente al sicuro? Carlo, Pelliccioni Security Consultant, @Mediaservice.net OWASP-Day Università La Sapienza Rome 10 th September 2007 carlo@mediaservice.net
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliSicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliRisorsa N 038000. Dal 09/2010 al 08/2011: Corso Cisco CCNA Networking Associate Dal 07/2014 al 08/2014: Corso Cisco CCNA Security Networking Associate
DATI ANAGRAFICI: Nato nel : 1988 Nato e Residente a : Roma Risorsa N 038000 FORMAZIONE E CORSI: Dal 09/2010 al 08/2011: Corso Cisco CCNA Networking Associate Dal 07/2014 al 08/2014: Corso Cisco CCNA Security
DettagliGara n. 4066. Fornitura di un sistema per il consolidamento della Piattaforma di Service Management SINTESI DELL APPALTO
Gara n. 4066 Fornitura di un sistema per il consolidamento della Piattaforma di Service Management SINTESI DELL APPALTO Pagina 1 di 5 INDICE 1. CARATTERISTICHE DEL SISTEMA INFORMATICO DEL GSE... 3 2. PROGETTO
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliModelli architetturali di infrastruttura. Diego Feruglio Direzione Progettazione Infrastrutture CSI-Piemonte
Modelli architetturali di infrastruttura Direzione Progettazione Infrastrutture CSI-Piemonte 0 Infrastruttura Definizione di Infrastruttura Nell ICT per infrastruttura si intende l insieme di componenti
DettagliELEMENTI DI PROGETTAZIONE SOFTWARE
ELEMENTI DI PROGETTAZIONE SOFTWARE Massimiliano Redolfi Architetture Architetture logiche e fisiche Stand Alone tipico applicativo anni 1980 nessun problema di concorrenza spesso nessuna scomposizione
Dettagli2006-2011 maurizio pizzonia sicurezza dei sistemi informatici e delle reti. esercizi su vulnerabilità del software e delle reti
esercizi su vulnerabilità del software e delle reti 1 input fidato e non per quali dei seguenti software una vulnerabilità rappresenta una minaccia? in quali condizioni? apache: server web il kernel linux
DettagliKLEIS A.I. SECURITY SUITE
KLEIS A.I. SECURITY SUITE Protezione dei servizi non web Kleis A.I. SecureMail, Kleis A.I. SecureEmulation, Kleis A.I. SecureXEmulation, Kleis A.I. SecureTransfer, Kleis A.I. SecureShare www.kwaf.it Protezione
DettagliCorso Linux Corso Online Amministratore di Sistemi Linux
Corso Linux Corso Online Amministratore di Sistemi Linux Accademia Domani Via Pietro Blaserna, 101-00146 ROMA (RM) info@accademiadomani.it Programma Generale del Corso Linux Tematiche di Base MODULO 1
DettagliModello di sicurezza Datocentrico
Modello di sicurezza Datocentrico I dati sono ovunque Chi accede ai dati, a dove accede ai dati e a quali dati accede? Public Cloud Desktop Virtualization Private Cloud Server Virtualization Proteggere
DettagliTelex telecomunicazioni. Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali
Telex telecomunicazioni Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali Agenda 1 azienda 2 organizzazione 3 offerta 4 partner 5 referenze Storia Azienda Nasce 30 anni fa Specializzata
DettagliFirewall applicativo per la protezione di portali intranet/extranet
Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)
DettagliKLEIS WEB APPLICATION FIREWALL
KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application
DettagliRealizzazione del nuovo cruscotto direzionale per il monitoraggio della gestione aziendale
Sommario 1. INTRODUZIONE... 3 2. DATI TECNICI DELL AMBIENTE DI PRODUZIONE... 4 2.1. UTENTE ORACLE PROPRIETARIO DELL INSTALLAZIONE... 4 2.2. ENVIRONMENT MICROSOFT... 4 2.3. ENVIRONMENT AIX... 4 2.4. PRE-REQUISITI
DettagliNEXT-GEN USG: Filtri Web
NEXT-GEN USG: Filtri Web Content-Filter & Single Sign On Guida alla configurazione Content-Filter con policy di accesso basate su utenti lactive directory e SSO con USG con firmware ZLD 4.1 Configurazione
DettagliReti di calcolatori. Reti di calcolatori
Reti di calcolatori Reti di calcolatori Rete = sistema di collegamento tra vari calcolatori che consente lo scambio di dati e la cooperazione Ogni calcolatore e un nodo, con un suo indirizzo di rete Storia:
DettagliPROFILO AZIENDALE 2011
PROFILO AZIENDALE 2011 NET STUDIO Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration, Application
DettagliApplicazioni software e gestione delle vulnerabilità: un caso concreto di successo
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,
DettagliLaboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla
Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla 1. Which are three reasons a company may choose Linux over Windows as an operating system? (Choose three.)? a) It
DettagliAttacchi alle Applicazioni Web
Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security
DettagliRischi e vulnerabilità nelle applicazioni aziendali
Rischi e vulnerabilità nelle applicazioni aziendali Presentazione Salvatore Capuano Collaboratore scientifico SUPSI e responsabile del Microsoft.NET Competence Center salvatore.capuano@supsi.ch Obiettivi
DettagliINFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1
NESSUS IL Security Scanner Francesco M. Taurino 1 La vostra RETE Quali servizi sono presenti? Sono configurati in modo sicuro? Su quali macchine girano? Francesco M. Taurino 2 Domanda Quanto e sicura la
DettagliIndice. Indice V. Introduzione... XI
V Introduzione........................................................ XI PARTE I Installazione di Linux come Server.............................. 1 1 Riepilogo tecnico delle distribuzioni Linux e di Windows
DettagliBOLLETTINO DI SICUREZZA INFORMATICA
STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere
DettagliREGIONE BASILICATA UFFICIO S. I. R. S.
UFFICIO S. I. R. S. INFRASTRUTTURA TECNOLOGICA TARGET PREVISTA PER IL NUOVO SI.HR SISTEMA INFORMATIVO PER L AREA RISORSE UMANE Pagina i di 11 Indice Controllo
Dettaglix6a\x3f\x58\xcd\x x49\x79\xf8\x6a\x x58\x99\x52\x68\ x2f\x73\x68\x68\x 0wning the Business Matteo Falsetti mfalsetti[at]enforcer.
0wning the Business Matteo Falsetti mfalsetti[at]enforcer.it 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 1 Chi sono ricercatore indipendente penetration testing
DettagliMaking the Internet Secure TM
Making the Internet Secure TM e-security DAY 3 luglio 2003, Milano Kenneth Udd Senior Sales Manager SSH Communications Security Corp. SSH Communications Security Corp Storia Fondata nel 1995 Ideatrice
DettagliAllegato Tecnico. Progetto di Analisi della Sicurezza
Allegato Tecnico Progetto di Analisi della Sicurezza Obiettivo E richiesta dal cliente un analisi della sicurezza reti/sistemi del perimetro internet ed un analisi della sicurezza interna relativa al sistema
DettagliRisorsa N 011116. Diploma di Ragioniere Perito Commerciale e Programmatore. Inglese Buono Francese Scolastico
Risorsa N 011116 DATI ANAGRAFICI: Nato nel : 1965 Nato e Residente a : Milano FORMAZIONE E CORSI: Corso su Unix: Base- Administrator SO- shell Corso su C linguaggio base e C su Unix Corso su Uniplex: Base-
DettagliObiettivi. Al termine del webinar sarete in grado di:
SSL VPN Modulo 1 1 2012 Fortinet Training Services. This training may not be recorded in any medium, disclosed, copied, reproduced or distributed to anyone without prior written consent of an authorized
DettagliCorso amministratore di sistema Linux. Corso amministratore di sistema Linux Programma
Corso amministratore di sistema Linux Programma 1 OBIETTIVI E MODALITA DI FRUIZIONE E VALUTAZIONE 1.1 Obiettivo e modalità di fruizione L obiettivo del corso è di fornire le conoscenze tecniche e metodologiche
DettagliAPPENDICE 5 AL CAPITOLATO TECNICO
APPENDICE 5 AL CAPITOLATO TECNICO Descrizione dei profili professionali INDICE 1 PROFILI PROFESSIONALI RICHIESTI 3 1.1 CAPO PROGETTO 3 1.2 ANALISTA FUNZIONALE 4 1.3 ANALISTA PROGRAMMATORE 5 1.4 PROGRAMMATORE
DettagliREGIONE BASILICATA UFFICIO S. I. R. S.
UFFICIO S. I. R. S. MANUALE DI INSTALLAZIONE Fornitore: Cooperativa EDP LA TRACCIA Prodotto: SIC Sistema Informativo Contabile C.I.G./C.U.P.: - APPROVAZIONI Data Autore Redatto : 30.03.2011 Lobefaro Angelo
DettagliLA TECNOLOGIA CONTRO L HACKING
LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A. I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line.
DettagliInfrastru)ura Sistema Informa0vo. Guido Guizzun0 31 Gennaio 2011
Infrastru)ura Sistema Informa0vo Guido Guizzun0 31 Gennaio 2011 Sommario Sistema Informa0vo al CNAF Riorganizzazione server Spostamento server VamWeb Reinstallazione del sistema presenze Ges0one backup
DettagliSicurezza dei servizi Voice over IP con SIP e RTP
Sicurezza dei servizi Voice con Program Manager: Francesco Limone f.limone@elis.org Project Manager: Emilio Tonelli Team Members CONSEL: Sebastiano Di Gregorio Matteo Mogno Alessandro Tatti Contents Introduzione
DettagliProblematiche correlate alla sicurezza informatica nel commercio elettronico
Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference
DettagliPROGRAMMA CORSO SISTEMISTA INFORMATICO
PROGRAMMA CORSO SISTEMISTA INFORMATICO Corso Sistemista Junior OBIETTIVI L obiettivo dei corsi sistemistici è quello di fornire le conoscenze tecniche di base per potersi avviare alla professione di sistemista
DettagliDomande e risposte su Avira ProActiv Community
Domande e risposte su Avira ProActiv Community Avira AntiVir versione 10 sfrutta un innovativa tecnologia protettiva cloud-based, denominata ProActiv, che identifica e blocca i nuovi virus non appena questi
DettagliBackup 2.0: entriamo nel tecnico. Claudio Panerai Direttore Tecnico di Achab
Backup 2.0: entriamo nel tecnico Claudio Panerai Direttore Tecnico di Achab Achab Achab Open Forum 2011 Il software di backup 2 Cosa manca al tuo backup per essere perfetto? durante il restore gli utenti
DettagliSommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007
Modulo 8: Applicativi Parte 3: Terminale remoto 1 Sommario Premessa Telnet SSH XWindows VNC RDP Reti di Calcolatori 2 1 Premessa Necessita : controllare a distanza un dispositivo attraverso la connessione
DettagliAllegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio
Allegato Servizio Hosting Virtual DataCenter di Regione Lombardia per l ENTE UCL Asta del Serio Contesto Il percorso condotto da Regione Lombardia (RL) per la razionalizzazione dei CED degli ENTI si inserisce
DettagliSPOSTARE IATROS DA UN PC AD UN ALTRO
SPOSTARE IATROS DA UN PC AD UN ALTRO Se si dispone di connessione Adsl sufficientemente veloce e/o tempo di attesa, prelevare il pacchetto completo disponibile nell'area download del sito www.iatros.it
DettagliIl Web Server e il protocollo HTTP
Corso PHP Parte 2 Il Web Server e il protocollo HTTP E un programma sempre attivo che ascolta su una porta le richieste HTTP. All arrivo di una richiesta la esegue e restituisce il risultato al browser,
DettagliTecnico Hardware & Sistemistica
Tecnico Hardware & Sistemistica Modulo 1 - Hardware (6 ore) Modulo 2 - Software (8 ore) Modulo 3 - Reti LAN e WLAN (12 ore) Modulo 4 - Backup (4 ore) Modulo 5 - Cloud Computing (4 ore) Modulo 6 - Server
DettagliPHOENIX S.P.A. ANALISI DI SICUREZZA. Milano, 31 Ottobre 2008. Nome e Cognome Società Ruolo Riferimenti
PHOENIX S.P.A. ANALISI DI SICUREZZA Milano, 31 Ottobre 2008 PARTECIPANTI Nome e Cognome Società Ruolo Riferimenti Gianluca Vadruccio Ivan Roattino Silvano Viviani Hacking Team Hacking Team Direzione Tecnica
DettagliCorso di Informatica Modulo T3 B2 - Database in rete
Corso di Informatica Modulo T3 B2 - Database in rete 1 Prerequisiti Programmazione web Applicazione web Modello OSI Architettura client/server Conoscenze generali sui database Tecnologia ADO in Visual
DettagliTeamPortal. Servizi integrati con ambienti Gestionali
TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione
DettagliEsempi di intrusioni reali.. Esempi di intrusioni
Esempi di intrusioni reali.. relatore: Igor Falcomatà Client side attacks, covert channels, social networks,.. - come cambiano gli attacchi e quanto sono efficiaci le misure di sicurezza tradizionali (firewall,
DettagliLa sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.
La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner
DettagliBase di dati e sistemi informativi
Base di dati e sistemi informativi Una base di dati è un insieme organizzato di dati opportunamente strutturato per lo svolgimento di determinate attività La base di dati è un elemento fondamentale per
DettagliSecurity policy e Risk Management: la tecnologia BindView
NETWORK SECURITY COMPANY Security policy e Risk Management: la tecnologia BindView www.bindview.com Luca Ronchini lr@symbolic.it Security policy e Risk Management : vulnerabilty management e security assessment,
DettagliIl controllo della tua infrastruttura in palmo di mano, come anticipare i problemi prima che sia troppo tardi
Il controllo della tua infrastruttura in palmo di mano, come anticipare i problemi prima che sia troppo tardi bigblue easy suite Monitoring è composta una serie di moduli software di alto livello selezionati,
DettagliChi siamo e cosa offriamo
Chi siamo e cosa offriamo AutoCAD Revit LT 2015 System Integrator per informatica tecnica nato nel 95 Consulenza a 360 in ambito informatico: Software CAD/CAM per la progettazione tecnica in diversi settori
DettagliBanking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director
Banking Cybercrime: Attacchi e scenari di banking malware in Italia Giorgio Fedon Owasp Italy Technical Director IEEE-DEST 2012 giorgio.fedon@owasp.org Copyright The OWASP Foundation Permission is granted
DettagliConfigurazione avanzata di XAMPP
Configurazione avanzata di XAMPP Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica Apache Binding definisce su quali indirizzi
DettagliServizi centralizzati v1.2 (20/12/05)
Servizi centralizzati v1.2 (20/12/05) 1. Premessa Anche se il documento è strutturato come un ricettario, va tenuto presente che l argomento trattato, vista la sua variabilità, non è facilmente organizzabile
DettagliSecurity & Compliance Governance
Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del
DettagliIndice generale. Gli autori...xiii. Prefazione...xv. Benvenuti nel cloud computing...1
Indice generale Gli autori...xiii Prefazione...xv Capitolo 1 Benvenuti nel cloud computing...1 Come evitare un successo disastroso... 2 Saperne di più sul cloud computing... 3 Cosa si intende per nuvola...
DettagliSiti web centrati sui dati (Data-centric web applications)
Siti web centrati sui dati (Data-centric web applications) 1 A L B E R T O B E L U S S I A N N O A C C A D E M I C O 2 0 1 2 / 2 0 1 3 WEB La tecnologia del World Wide Web (WWW) costituisce attualmente
DettagliGestione dell accesso alla rete con Network Access Protection
Gestione dell accesso alla rete con Network Access Protection Piergiorgio Malusardi IT Pro Evangelist http://blogs.technet.com/pgmalusardi piergiorgio.malusardi@microsoft.com Le persone sono il problema
DettagliAlfonso Ponticelli Una gestione ottimale delle utenze privilegiate
Alfonso Ponticelli Una gestione ottimale delle utenze privilegiate Log Management: necessita un approccio strutturato e consistente 1. Configurare i sistemi per generare eventi definire la tipologia di
DettagliLorenzo Sarti sarti@dii.unisi.it Materiale didattico http://www.dii.unisi.it/~ sarti
Lorenzo Sarti sarti@dii.unisi.it Materiale didattico http://www.dii.unisi.it/~ sarti Obiettivi esercitazioni Utilizzare nella pratica un DBMS Apprendere il linguaggio SQL Apprendere come si accede ad un
DettagliOfferta per attività di Vulnerability Assessment per Portale Servizi del Personale
Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del
DettagliOpen Source Day 2013. Marco Vanino mvan@spin.it
Open Source Day 2013 La sicurezza negli ambienti virtualizzati Marco Vanino mvan@spin.it Sicurezza in ambiente virtualizzato 1 computer fisico = 1 computer logico Virtualizzazione 1 computer fisico = N
DettagliAZIENDA ULSS 20 DI VERONA
AZIENDA ULSS 20 DI VERONA Sede legale: via Valverde n. 42-37122 Verona - tel. 045/8075511 Fax 045/8075640 ALLEGATO 1.1 1 Premessa L Azienda ha implementato negli anni una rete di comunicazione tra le proprie
DettagliWindows Web Server 2008 R2 64bit 1x Processore Intel Atom Dual (2x core 1.80 GHz) Dispositivo di memorizzazione flash esterno 32GB
LabPro ver AC Servizio RAPPORTI DI PROVA ON-LINE (disponibile dalla ver. 6C-001) SERVIZIO RAPPORTI DI PROVA ON-LINE SERVIZIO RdP on-line MODULO Base Mette a disposizione dei clienti finali del laboratorio
Dettagli2009. STR S.p.A. u.s. Tutti i diritti riservati
2009. STR S.p.A. u.s. Tutti i diritti riservati Sommario COME INSTALLARE STR VISION CPM... 3 Concetti base dell installazione Azienda... 4 Avvio installazione... 4 Scelta del tipo Installazione... 5 INSTALLAZIONE
Dettaglirischi del cloud computing
rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità
Dettagli