Corporate e Security Intelligence: minacce 0day e compromissioni

Corporate e Security Intelligence

minacce 0day e compromissioni

1Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona

domenica 10 ottobre 2010

2

Summary

‣ Chi è Tiger Security S.r.l.‣ Le figure che si occupano di sicurezza applicativa.‣ Metodologie e policy per i test di sicurezza.‣ BackTrack Linux.‣ Responsible Disclosure - Full Disclosure - Dark Business.‣ Introduzione al progetto “The Exploit Database”.‣ La situazione di Joomla!‣ Jesys: un SaaS per la corporate defence.‣ Responsabilità e riferimenti a normative italiane.‣ Horus: intelligence service.

Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona


3

Tiger Security Srl

Tiger Security Srl è una startup italiana che si occupa di innovazione tecnologica e di ricerca nel campo della sicurezza IT.

Nata da un piccolo gruppo di ricercatori fortemente motivati a realizzare nuovi strumenti ed implementare soluzioni finalizzate alla

verifica ed al miglioramento dei livelli di sicurezza IT, la società è oggi costituita da un team di consulenti esperti e dinamici, tra loro

complementari, che vantano certificazioni e competenze di altissimo livello tecnico e manageriale.

Tiger Security è infatti spesso presente con propri relatori in convention e seminari, sia nel mondo accademico che in quello

aziendale, su temi relativi information technology, privacy ed in particolare ICT Security.

Tiger Security Srl è particolarmente attiva anche in campo internazionale ed è una delle società di riferimento nella gestione di

progetti orientati alla raccolta di informazioni critiche e confidenziali circa vulnerabilità applicative e minacce

0day (vulnerabilità confidenziali non ancora pubbliche).

Ricerca

Security Intelligence

Security Audit

Formazione

ConsulenzaStrategica

Sicurezza Procedurale



4

Filosofia Aziendale

La filosofia aziendale di Tiger Security Srl trova radice nelle parole di “Dan Farmer” che nel 1993 iniziava ad introdurre il

concetto di Sicurezza Offensiva.

Dan Farmer sosteneva l’importanza di aumentare la sicurezza della propria infrastruttura attaccandola, verificando

ed eliminando vulnerabilità avvalendosi di operatività amica, prima che queste attività le potesse fare qualcun altro, magari con

cattive intenzioni.

Su questo concetto Tiger Security Srl basa il proprio operato, mettendo a sistema le sei parole chiave che definiscono le

caratteristiche di ogni nostro consulente, trainer, sviluppatore ed analista: skill, metodologia, creatività, passione, etica e

professionalità.



5

Le figure che si occupano disicurezza applicativa

Analisiti programmatori(Revisione sicura del codice)

Penetration Tester(test di intrusione)



6

Metodologie e Policy



7

Back|Track Linux

Distribuzione GNU/LinuxLive/installabile per attività di Intelligence e Security Audit [...]

Oltre 600 tools specifici per la sicurezza e l’investigazione

Metodologia OSSTMM

Oltre un milione di download (1,322,945 - 16 Giugno 2010 21:00)



8

Back|Track Linux

Cyber Defence Exercise 2009

www.nsa.gov

Testimonials



http://www.nsa.gov

http://www.nsa.gov

9

Metodologie di gestione informazionistrategiche e confidenziali

Responsible Disclosure

Dark Business

Full Disclosure



10

The Exploit Database

Osservatorio privilegiato su vulnerabilità informatiche



11

La situazione di Joomla!

0

125

250

375

500

2007 2008 2009 2010

Vulnerabilità pubbliche rilasciate (Core & componenti esterni)

Numero di exploit rilasciati

420 exploit



12

La situazione di Joomla! #2


0

75

150

225

300

SQL InjectionRCE

File InclusionXSS

Numero Vulnerabilità


13

La situazione di Joomla! #3


Non solo problemi relativi a core e plugins ma... configurazione e business continuity


14

Jesys: un SaaS per la corporate defence



15

Responsabilità e riferimenti a Normative Italiane

Documento programmatico per la sicurezza

Il Documento Programmatico per la Sicurezza (DPS) identifica gli aspetti dell'infrastruttura tecnologica aziendale

coinvolti nella gestione di dati personali e sensibili, verificandone l'aderenza a quanto disposto dalle più recenti normative (Dlgs. N.

196 del 30 Giugno 2003).

Il DPS costituisce una misura minima di sicurezza inerente il trattamento con strumenti elettronici dei dati personali sensibili e

giudiziari.

Devono adeguarsi tutti coloro che trattano dati personali: aziende, professionisti, cooperative, associazioni, scuole, comuni,

ospedali, enti pubblici.

I controlli vengono effettuati dalla Polizia Postale e dalla Guardia di Finanza sulla base di un protocollo di intesa con il Garante.

Non adeguarsi o non essere compliance con quanto dichiarato nel DPS può comportare sanzioni civili , sanzioni

amministrative (fino a cinquantamila euro) e sanzioni penali (anche l'arresto sino a due anni, ex art.

1691).



16

Horus: Intelligence Service

http://horus.tigersecurity.itCorporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona


http://horus.tigersecurity.it

http://horus.tigersecurity.it

17

Grazie per l’ attenzione


http://ww.twitter.com/emgent

http://www.tigersecurity.it

[email protected]






mailto:[email protected]

mailto:[email protected]

Technology

Corporate e Security Intelligence: minacce 0day e compromissioni