Offerta per attivita di Vulnerability Assessment per il portale www.poste.it



Documenti analoghi
Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Allegato Tecnico. Progetto di Analisi della Sicurezza

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

Spett.le Clever Consulting Via Broletto, Milano

Spett.le CRIF Via M. Fantin, Bologna

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

In attesa di un vostro gradito riscontro, vi porgiamo i nostri più cordiali saluti.

Oggetto: Offerta per attività Ethical Hacking rete Galileo Avionica S.p.A.

Offerta per fornitura soluzione di strong authentication

Spett.le UBI SISTEMI E SERVIZI Via Cefalonia, BRESCIA

Prof. Mario Cannataro Ing. Giuseppe Pirrò

A seguito dei colloqui intercorsi vi sottoponiamo la nostra migliore proposta per il software in oggetto.

penetration test (ipotesi di sviluppo)

SOMMARIO... 3 INTRODUZIONE...

Introduzione alle problematiche di hacking

V.I.S.A. VoiP Infrastructure Security Assessment

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Alla cortese attenzione: Dott. Giuseppe Giannicolo e Dott. Sergio Insalaco. Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

Guida alla registrazione on-line di un DataLogger

UN COLLOQUIO DA 1 MILIONE DI EURO

Spett.le Milano Servizi Integrati Via Tanaro, RHO (MI)

Spett.le Cardif Assicurazioni S.p.A. Largo Toscanini, Milano (MI)

In attesa di un vostro gradito riscontro, vi porgiamo i nostri più cordiali saluti.

VULNERABILITY ASSESSMENT E PENETRATION TEST

Marketing Portal. Guida all utilizzo per i concessionari. Maggio 2013

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

MANUALE UTENTE Profilo Azienda Partecipata. APPLICATIVO CAFWeb

Console di Monitoraggio Centralizzata

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Protezione della propria rete

1) GESTIONE DELLE POSTAZIONI REMOTE

PRIVACY POLICY DI digitaldictionary.it. Digital Dictionary Servizi s.r.l. Milano via Paleocapa 1, (MI) P.IVA/CF: REA: MI

Elementi sull uso dei firewall

Import Sisam. Manuale utente. Maggio Sistema di raccolta dei dati statistici in ambito Socio-Assistenziale Minori

PRIVACY POLICY SITO INTERNET

Domande e risposte su Avira ProActiv Community

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

In attesa di un vostro gradito riscontro, vi porgiamo i nostri più cordiali saluti.


ALICE AMMINISTRAZIONE UTENTI WEB

Troppe Informazioni = Poca Sicurezza?

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

Guida di Pro Spam Remove

COMUNICAZIONE UTENTI SISTEMI-PROFIS INSTALLAZIONE GE.RI.CO e PARAMETRI2015

Cos è ND Rifiuti 2008?

SISTEMA DI GESTIONE AMBIENTALE

INSTALLAZIONE PROCEDURA 770/2011

METALRACCORDI SRL. Busto Arsizio 01/11/2006 Cliente e fornitore

PAWSN. Wireless social networking

Privacy Policy di

Allegato 2 Modello offerta tecnica

1) PREMESSE 2) OGGETTO DEL CONTRATTO

Relazione su: A cura di:

GUIDA ALLA CONFIGURAZIONE DELLA POSTA THUNDERBIRD. (v Maggio 2014)

OpenVAS - Open Source Vulnerability Scanner

SysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.

Informativa sul trattamento dei dati personali ai sensi dell Art. 13 del D.LGS. 196/2003 (C.D. Codice Privacy)

Alfa Layer S.r.l. Via Caboto, Torino ALFA PORTAL

Sito web per la presentazione e l accesso ai servizi di Ruven integrato con la piattaforma B2B del pacchetto software ERP Stratega.NET.

Light CRM. Documento Tecnico. Descrizione delle funzionalità del servizio

Manuale Utente. Gestione Richieste supporto BDAP. Versione 1.0

Ad oggi il prodotto è certificato funzionante sulle recenti tecnologie (WindowsServer2008, SQLServer2008) a garanzia dell investimento effettuato.

15J0460A300 SUNWAY CONNECT MANUALE UTENTE

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

EUROCONSULTANCY-RE. Privacy Policy

Documenti utili. La presentazione delle ricevute bancarie

Strategie e Operatività nei processi di backup e restore

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

GESTIONE DEI VASI VINARI.

Manuale Utente. Gestione Richieste supporto Data Warehouse. Della Ragioneria Generale dello Stato. Versione 1.0. Roma, Ottobre 2015

MANUALE DELLA QUALITÀ Pag. 1 di 6

WebGis - Piano Comprensoriale di Protezione Civile

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

Offerta di convenzione per l attivazione dei servizi di fatturazione elettronica PA e conservazione sostitutiva della piattaforma Clapps.

Interfaccia KNX/IP Wireless GW Manuale Tecnico

Manuale Utente Amministrazione Trasparente GA

GateManager. 1 Indice. tecnico@gate-manager.it

Sistema G.U.S. Capitolato di Gara ALLEGATO A

INFORMATIVA SULLA PRIVACY. In questa pagina si descrivono le modalità di gestione del sito in riferimento al

Privacy Policy del sito Web meseum.network

Lextel Servizi Telematici per l Avvocatura

Data: 18/03/2015 Prot. 3503/2015 Spett.le Consiglio nazionale dei Geologi Via Vittoria Colonna, Roma c.a.: Dott. Pierfederico De Pari

RICEZIONE AUTOMATICA DEI CERTIFICATI DI MALATTIA 1.1. MALATTIE GESTIONE IMPORT AUTOMATICO 1.2. ATTIVAZIONE DELLA RICEZIONE DEL FILE CON L INPS

Tutela della privacy Introduzione

Linee guida per il Comitato Tecnico Operativo 1

ACQUISTA SOFTWARE SPYPHONE PER CELLULARE SPIA

SOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE

Comune di Spoleto

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

SEGNALIBRO NON È DEFINITO.

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

PROCEDURA GESTIONE APPROVVIGIONAMENTO E FORNITORI 02 30/09/2006 SOMMARIO

PROFILO FORMATIVO Profilo professionale e percorso formativo

IL PARTNER IDEALE. Consulenza IT & Soluzioni HR

LEAN MANAGEMENT. AREA Area Supply Chain Flow & Network Management. Modulo Avanzato

Alla cortese attenzione di:

UN APP FLESSIBILE E INTUITIVA PER GESTIRE I TUOI AFFARI IN TUTTA COMODITÀ

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Transcript:

Milano, 5 Novembre 2004 Spett.le Postecom S.p.A. Ufficio Acquisti Via Cordusio, 4 20123 Milano n. 20041105.m02 Alla c. att.ne : Dr. Alessandro Verdiani Oggetto: per attivita di Vulnerability Assessment per il portale www.poste.it A seguito della gradita richiesta, vi sottoponiamo la nostra proposta per il servizio in oggetto. In attesa di un vostro gradito riscontro, vi porgiamo i nostri più cordiali saluti. Hacking Team Srl Marco Bettini Key Account Manager Hacking Team S.r.l. Sede legale e Amministrativa: Via Freguglia Carlo, 2 20122 Milano Sede operativa: Via della Moscova, 13-20121 Milano Tel: +39.02.29060603 e-mail: info@hackingteam.it web: http://www.hackingteam.it Fax: +39.02.63118946 P.IVA: 03924730967 Capitale Sociale: 100.000,00 i.v. N Reg. Imprese / CF 03924730967 N R.E.A. 1712545

per servizio di Vulnerability Assessment per il Portale www.poste.it 5 Novembre 2004 Marco Bettini Valeriano Bedeschi OFF-20041105.m02 2 di 10

SOMMARIO 1. RICHIESTA DEL CLIENTE... 4 2. DETTAGLI TECNICI DELLA SOLUZIONE PROPOSTA... 5 2.1. SECURITY PROBE... 5 3. DOCUMENTAZIONE UTENTE... 8 4. PIANO DI INTERVENTO... 9 4.1. ATTIVITÀ (TIPOLOGIE)... 9 4.2. DOCUMENTI NECESSARI... 9 5. RESPONSABILITÀ... 9 6. TEMPI DI REALIZZAZIONE... 10 7. OFFERTA ECONOMICA... 10 7.1. QUOTAZIONE A CORPO... 10 7.2. CONDIZIONI GENERALI... 10 5 Novembre 2004 Marco Bettini Valeriano Bedeschi OFF-20041105.m02 3 di 10

1. RICHIESTA DEL CLIENTE Postecom S.p.A. richiede di formulare una proposta, con relativa offerta economica, relativa a un intervento di Vulnerability Assessment che interessi il portale www.poste.it al fine di verificarne la possibile compromissione della riservatezza, integrità e disponibilità dei sistemi coinvolti e delle informazioni gestite. Il dimensionamento dell attivita richiesta e il seguente: Network di Indirizzi IP : 62.24.0/20 Si specifica inoltre che i seguenti punti saranno compresi nei risultati della consulenza in oggetto: Documento tecnico che riporti le vulnerabilità individuate e i passi necessari per eliminarle Documento di presentazione per il management in forma di slides. 5 Novembre 2004 Marco Bettini Valeriano Bedeschi OFF-20041105.m02 4 di 10

2. DETTAGLI TECNICI DELLA SOLUZIONE PROPOSTA 2.1. Security Probe Un attacco compiuto da hacker reali segue di norma la traccia che segue. Le attività di Ethical Hacking da noi eseguite tentano di emulare al 100% il comportamento di un vero hacker. Analisi non invasiva 1. FOOTPRINTING Questa fase ha lo scopo di raccogliere il maggior numero di informazioni sull obiettivo che si intende attaccare senza toccare l obiettivo stesso, ovvero effettuando una cosiddetta analisi non invasiva. In particolare in questa fase si cerca di determinare: domini, blocchi di rete e indirizzi IP dei sistemi direttamente collegati alla rete interna. Gli strumenti utilizzati sono: tecnologie di sniffing, traffic interception, DHCP discovery, IP discovery, interrogazione DNS, interrogazione WINS. 2. SCANNING L obiettivo dello scanning è ottenere una mappa più dettagliata possibile del sistema da attaccare. Ciò significa acquisire informazioni su quali indirizzi IP dei blocchi di rete trovati nella fase precedente siano effettivamente contattabili (IP discovery), quali servizi siano attivi (TCP/UDP port scan) e, infine, quali sistemi operativi posseggano. Gli strumenti generalmente utilizzati sono: interrogazioni ICMP (hping), scansione delle porte TCP e UDP (nmap, rascan), fingerprint dello stack (nmap, ettercap), application fingerprinting, firewalking, Traceroute, Network reverse mapping, Transitive trust. 5 Novembre 2004 Marco Bettini Valeriano Bedeschi OFF-20041105.m02 5 di 10

Analisi invasiva 3. ENUMERATION Con questa fase si inizia l analisi invasiva. Si effettuano, infatti, connessioni dirette ai server e interrogazioni esplicite. Tali attività potrebbero, a seconda della configurazione presente sui sistemi target, originare dei logs sui sistemi (tipicamente su sistemi di controllo). Attraverso l enumerazione si vuole giungere a identificare, sulle macchine riscontrate come raggiungibili, account validi (list user accounts), risorse condivise (list file shares) e applicazioni attive sulle porte in ascolto (identify application). Le tecniche utilizzate variano a seconda dei sistemi operativi delle macchine che si vogliono analizzare, ad esempio: Finger Rusers X11 SMB netbios shares SMB netbios resources NFS shares RPC mapping (portmap, common ports) Default accounts (SMTP,finger, ) SNMP Banner grabbing WWW (CGI, cookies, HTML sources, ) SSL (certificates, encryption used, numero di bits) 5 Novembre 2004 Marco Bettini Valeriano Bedeschi OFF-20041105.m02 6 di 10

Attacco 4. GAINING ACCESS Una volta ottenute le informazioni del punto precedente, inizia il vero e proprio attacco che ha come obiettivo riuscire a entrare nel sistema remoto. I metodi utilizzati anche in questo caso dipendono dal sistema operativo della macchina target, ma si basano sostanzialmente sulla ricerca di password corrispondenti agli utenti trovati (password guessing), sullo sfruttamento di errori progettuali delle applicazioni e servizi attivi sul server (buffer overflow, attacchi data driven, ecc.) o del sistema operativo stesso. 5. ESCALATING PRIVILEGES L obiettivo di questa fase è sfruttare i risultati ottenuti nella fase precedente per ottenere il pieno controllo del sistema remoto attaccato. Ciò si ottiene, per esempio, reperendo i files presenti sul sistema che contengono le password (/etc/passwd, SAM, ecc.) e tentando di decifrare le password in essi contenute (password cracking), oppure utilizzando appositi exploits. 5 Novembre 2004 Marco Bettini Valeriano Bedeschi OFF-20041105.m02 7 di 10

3. DOCUMENTAZIONE UTENTE Oltre a ciò specificatamente richiesto nel capitolo 1 (RICHIESTA DEL CLIENTE), al termine dell attività sarà fornito un report che conterrà: A. Topologia rilevata B. Dettagliata descrizione del metodo e degli strumenti C. Elenco delle vulnerabilità riscontrate e relative contromisure D. Elenco dei sistemi/apparati acceduti in modo non autorizzato E. Descrizione della catena di eventi che hanno portato all accesso della rete/sistema/applicazione F. Eventuali esempi di dati/informazioni riservate ottenuti Sarà inoltre allegata una descrizione dei possibili miglioramenti che potrebbero essere applicati ai sistemi e ai servizi unita all'elenco, supra vendor, delle soluzioni tecnologiche e/o dei prodotti da adottare per incrementare il livello di security del sistema informativo. 5 Novembre 2004 Marco Bettini Valeriano Bedeschi OFF-20041105.m02 8 di 10

4. PIANO DI INTERVENTO 4.1. Attività (tipologie) Attività Attività di Ethical Hacking dall esterno Incontro per la presentazione dei risultati e di tutto il materiale prodotto: Report Direzionale. Report tecnico dettagliato con indicazione delle possibili soluzioni. Il materiale prodotto sarà fornito su supporto cartaceo e/o supporto digitale. 4.2. Documenti necessari Per dare inizio alle attività sarà necessaria la sottoscrizione della liberatoria che autorizzi Hacking Team all attività di attacco ala rete di Poste. 5. RESPONSABILITÀ Sarà responsabilità di Hacking Team completare il presente progetto secondo quanto specificato nella definizione delle funzionalità iniziali, fornendo al Cliente la documentazione citata. Sarà responsabilità del Cliente garantire, ove necessario, l accesso ai locali preposti, nonché la disponibilità di una persona durante le attività previste dal presente progetto. La presenza di tale persona permetterà a Hacking Team di spiegare nel modo più rapido ed efficace le attività svolte, sia in termini di tecniche che di strumenti. 5 Novembre 2004 Marco Bettini Valeriano Bedeschi OFF-20041105.m02 9 di 10

6. TEMPI DI REALIZZAZIONE L attività di cui sopra verrà conclusa entro 4 settimane dalla ricezione dell ordine e, comunque, entro il 10 dicembre 2004. 7. OFFERTA ECONOMICA 7.1. Quotazione a corpo Pos. Descrizione Costo a corpo 1 Vulnerability Assessment portale 26.000,00 www.poste.it (ventiseimilaeuro) La documentazione e la reportistica sono comprese nel costo dei servizi esposti. 7.2. Condizioni generali I prezzi indicati sono da considerarsi IVA esclusa Validità offerta: 30gg Fatturazione: 50% all ordine 50% alla consegna della documentazione finale Pagamento: 30 gg data fattura Coordinate Bancarie: Unicredit Banca L.go Donegani - Milano ABI 02008 CAB 01621 C/C 000010228244 CIN A 5 Novembre 2004 Marco Bettini Valeriano Bedeschi OFF-20041105.m02 10 di 10

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back