La tua tecnologia vista da un hacker

Documenti analoghi
Le PMI Italiane e le Grandi Aziende sono realmente esposte al rischio Cyber? Alessio L.R. Pennasilico

Cybercrime S.p.A: analisi di una azienda e del suo business

Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare?

Aziende vs. cybercriminali

14 Marzo 2013 Security Summit Milano

Mobile Business Treviso, 9 Maggio 2014

Attacchi alle infrastrutture virtuali

Prospettive e programmi internazionali

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Content Security Spam e nuove minacce

Vulnerability management da incubo a processo economicamente sostenibile

Cyber Security Day. 6 ottobre Con il supporto di:

Assicuriamoci Di essere pronti a gestire il Cyber Risk. 14 Marzo2017

Sconfiggi i ransomware di ultima generazione con la sicurezza sincronizzata

L'utente poco saggio pensa che gli informatici lo boicottino

Virtualization (in)security

Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it. 3 Ottobre 2013 Security Summit Verona

La governance dei fornitori

Vulnerability management da incubo a processo economicamente sostenibile

Le bollette le voglio in busta chiusa. E la cassetta delle lettere deve avere una serratura.

Risultati survey ZeroUno

Il digitale: la chiave del business 2 / 29

(Cybercrime*Cryptolocker + Spie*APT)/ Datacenter * Hybrid cloud = AIUTOOOOO!

Mi adeguo alla legge. E mi sento inadeguato. Alessio L.R. Pennasilico

Il Content Security dall'ambiente fisico al virtuale : come approcciare le nuove sfide?

VoIP e Sicurezza: parliamone!

Come usare cloud per salvare l analogico

6 mosse per proteggere la propria Rete Informatica Aziendale Come mettere in sicurezza la rete aziendale: suggerimenti ed azioni.

Vigilare, disseminare, mai dissimulare Rischi, prospettive e protezione del business delle MPMI

Le soluzioni assicurative per tutelare l attività d impresa dal rischio Cyber

Security Summit Verona 4 ottobre 2018

Tipologie di Vulnerabilità PARTE I

Security Summit Verona 2016 Sessione Plenaria del

Come sta reagendo il mondo assicurativo al Rischio Cyber

L'oro dei nostri giorni. I dati aziendali, i furti, la loro protezione in un ambiente oltre i confini

Metamorfosi delle minacce: metodologie e strumenti di diagnosi e contrasto

Manutenzione del computer a livello software e tecniche di protezione anti malware Bologna - 26 novembre Elena Camerin

Quale sicurezza per l'utente mobile?

5 Passi per Vivere una Favola con il tuo cliente

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna

Utenti aziendali, device personali, informazioni riservate

Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption

Sicuramente

Rassegna Stampa. Copertura Stampa Security Summit e Rapporto Clusit

Chi elabora i tuoi dati oltre a te?

PERCORSO FORMATIVO CYBER SECURITY. by SIMULWARE & IAMA SP. sales professional

Vuoi davvero occuparti di Sicurezza delle Informazioni?

Cybersecurity, come difendersi dal furto dati

IaaS Insurance as a Service

Giacimenti di informazione: estrarle e gestirle. Saipem come fa? Alessio L.R. Pennasilico - Luca Mazzocchi - Saipem

Sei connesso? Sei sicuro? Nuove sfide e complessità per la sicurezza IT. Daniele Berardi - Vice President Global Technology Services, IBM Italia

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

IL CLOUD SEMPLIFICA LA PROTEZIONE DEI DATI E DELLE APPLICAZIONI

CYBERSECURITY AND DIGITAL AWARENESS

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Security ed Anti-Forensic nell ambito della rete aziendale

Global Cyber Security Center

Tipologie e metodi di attacco

- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam?

Combinare dinamicamente la Sicurezza e la Disponibilità delle informazioni per utilizzarne appieno il valore

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Un esperienza pensata per favorire gli utenti. Una piattaforma sicura per ridurre i costi di gestione

Le vere sfide delle minacce odierne

16 novembre E-privacy. Big Data e Cyber Risk. Giuseppe Vaciago

Security Summit Roma 2016 Sessione Plenaria del

Cybersecurity: la dimensione del problema. Gianluca Dini Dipartimento di Ingegneria dell Informazione Università di Pisa

La cybersecurity riguarda i diritti umani: di associazione, cooperazione, di spostamento e di comunicazione, diritti cui la privacy e la libera

La nostra visione della CYBERSECURITY

La gestione del Cyber Risk: una partita a scacchi tra campioni (ovvero come sacrificare un pedone e vincere la partita!)

VIRUS E I METODI DI ATTACCO ALLA SICUREZZA AZIENDALE. come i codici malevoli entrano nelle nostre reti

E-Commerce: profili giuridici, fiscali e critici. avv. Valerio Edoardo Vertua Castel Goffredo - 07 novembre 2017

Quando il CIO scende in fabbrica

Massimiliano Luppi, Major Account Executive

CLUSIT: il 2016 Annus Horribilis della sicurezza cyber. #RapportoClusit

Laboratorio di Applicazioni Internet Anno Accademico 2005/2006

Avviso n. 85 Anagni, 26 gennaio 2016

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

NAVIGARE SICURI: LE TRAPPOLE DI INTERNET

I Servizi IBM : Servizi professionali per garantire sicurezza e disponibilità dei sistemi IT

Direttore Massimo F. PENCO. Comitato scientifico. Giovanni MANCA. GTI Group Corporation

Minacce Massive e Mirate M.M.M.

PIÙ CONTROLLO, PIÙ SICUREZZA. Business Suite

COME IL ransomware. Cosa sono gli attacchi ransomware e come vengono distribuiti

Corso di sensibilizzazione al phishing Tempo richiesto per il completamento: 3 minuti circa

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

FaaS Firewall as a Service L evoluzione della sicurezza nell ecosistema 4.0

Istruzioni DCL di SQL. Pag. 119 par.5

InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017

MOC ADVANCED TECHNOLOGIES OF SHAREPOINT 2016

Mobile (in)security. Giuseppe Augiero. 27 ottobre Linux Day Pisa - Facoltà di Ingegneria - Università di Pisa

Security by design Massimiliano D Amore

Cyber Crime: minacce, costi e recovery

Cloud, Security, SaaS, ed altre meraviglie Come uscirne illesi!

La sicurezza informatica. Luca Filippi

Privacy e Cybersecurity nella sanità

CYBER SECURITY IN CAMPO

Sicurezza informatica in azienda: solo un problema di costi?

SPARQL Injection attacking the triple store

EUROP ASSISTANCE INDAGINE SULLA CYBER & DIGITAL PROTECTION

Transcript:

La tua tecnologia vista da un hacker Quali rischi corriamo ogni giorno? Alessio L.R. Pennasilico mayhem@obiectivo.it Confindustria Vicenza - 26 Febbraio 2015

$whois -=mayhem=- Security Evangelist @ Committed: AIP Associazione Informatici Professionisti CLUSIT, Associazione Italiana per la Sicurezza Informatica IISFA, Italian Linux Society, Metro Olografix Sikurezza.org, Spippolatori... 2

#iosonopreoccupato 3

Perché occuparsi di security?

L importanza delle informazioni 5

#iosonopreoccupato 6

Quanta attenzione... 7

Economia digitale 8

Ci attaccano per questo? 9

Identity theft: solo uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi 10

Rapporto Clusit 2015

Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell anno precedente e cosa ci si aspetta dall anno in corso 12

#iosonopreoccupato 13

Cosa emerge? Non importa chi sei Non importa cosa fai Non importa con cosa lo fai Ti attaccheranno E se non ti sarai protetto in modo adeguato subirai dei danni 14

Tutti vengono colpiti 15

16

Botnet Infetto il maggior numero possibile di host Li uso per fare spam, phishing, spit, vishing, DDoS Le affitto a chi vuole gestire da se le stesse attività Avendo il controllo del PC non mi costa nulla cercare dati personali 17

RBN 18

DDoS for Dummies Pay Russian Business Network DDOS Cost: $300 for 24 hours Month long prices available, no need to plan ahead. Also available for $50 per hour http://www.washingtonpost.com/wp-dyn/content/article/2007/10/12/ar2007101202461.html?nav=rss_technology http://www.birmingham-infragard.org/meetings/talks/presentations/ddos.in.practice.pdf 19

DDoS Market 20

Managing an attack 21

Trend? Aumentano i tentativi di intrusione Tra i tentativi aumentano quelli andati a buon fine Ad ogni intrusione perdiamo sempre più denaro 22

23

24

Aumento dei Black Swan 25

#iosonopreoccupato 26

Ransomware Ti cripto tutti i dati e chiedo il riscatto per dati la chiave per poterli consultare di nuovo 27

17 Novembre 2013 http://thehackernews.com/2013/11/cryptolocker-ransomware-spam-emails-campaign-ten-million-users.html 22 Novembre http://thehackernews.com/2013/11/us-police-department-pays-750-ransom-to.html 12.000 device infetti x $ 750 = $ 9.000.000 5% di 10.000.000 x $ 750 = $ 375.000.000 28

Cryptolocker Mobile? https://nakedsecurity.sophos.com/2014/06/06/cryptolocker-wannabe-simplelocker-android/ 29

Un esempio concreto

OWASP 10 Ten 31

Autenticazione 32

Come funziona di solito 33

Autenticazione: dietro le quinte select * from users where username= $_POST[username] AND password= $_POST[password] 34

SQL Injection: premesse Inserisco al posto della password: OR 1 = 1 35

SQL Injection (video) 36

SQL Injection: risultato select * from users where username= $_POST[username] AND password= OR 1 = 1 37

Come mi proteggo? Evito di processare i caratteri speciali come Prevedo il processo che si chiama normalizzare l input 38

#iosonopreoccupato 39

Altri rischi? Posso interrogare il DB e ottenere tutti i dati contenuti: ' UNION ALL SELECT NULL,username,password,NULL FROM utenti WHERE 'x'='x (provate ad inserire questa stringa in Ricerca Contatto...) 40

Password in cleartext 41

Esempio di cash-out Guadagna da casa, diventa il ns. responsabile commerciale, dacci il tuo IBAN e dovrai solo riscuotere le fatture dei ns. clienti Italiani. Le ragioni sono meramente fiscali. 42

Conclusioni

Evoluzione La tecnologia si evolve e con essa anche le minacce! 44

IT Security... Un inutile impedimento che rallenta le comuni operazioni e danneggia il business? 45

IT Security... O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore? 46

Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sul business 47

Cosa dobbiamo affrontare? Rischi facili da prevenire difficili da mitigare a posteriori 48

Optional? 49

Più GRCI per tutti! 50

#iosonopreoccupato 51

Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso 52

I Rischi Devo scegliere quali mitigare quali accettare quali trasferire per non farmi cogliere impreparato... 53

Grazie dell attenzione! Domande? Alessio L.R. Pennasilico mayhem@obiectivo.it twitter: mayhemspp - FaceBook: alessio.pennasilico - linkedin:alessio.pennasilico Confindustria Vicenza - 26 Febbraio 2015

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back