Upload
emanuele-gentili
View
1.130
Download
1
Embed Size (px)
DESCRIPTION
Corporate e Security Intelligence talk about 0day hacking attack techniques.
Citation preview
Corporate e Security Intelligence
minacce 0day e compromissioni
1Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
2
Summary
‣ Chi è Tiger Security S.r.l.‣ Le figure che si occupano di sicurezza applicativa.‣ Metodologie e policy per i test di sicurezza.‣ BackTrack Linux.‣ Responsible Disclosure - Full Disclosure - Dark Business.‣ Introduzione al progetto “The Exploit Database”.‣ La situazione di Joomla!‣ Jesys: un SaaS per la corporate defence.‣ Responsabilità e riferimenti a normative italiane.‣ Horus: intelligence service.
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
3
Tiger Security Srl
Tiger Security Srl è una startup italiana che si occupa di innovazione tecnologica e di ricerca nel campo della sicurezza IT.
Nata da un piccolo gruppo di ricercatori fortemente motivati a realizzare nuovi strumenti ed implementare soluzioni finalizzate alla
verifica ed al miglioramento dei livelli di sicurezza IT, la società è oggi costituita da un team di consulenti esperti e dinamici, tra loro
complementari, che vantano certificazioni e competenze di altissimo livello tecnico e manageriale.
Tiger Security è infatti spesso presente con propri relatori in convention e seminari, sia nel mondo accademico che in quello
aziendale, su temi relativi information technology, privacy ed in particolare ICT Security.
Tiger Security Srl è particolarmente attiva anche in campo internazionale ed è una delle società di riferimento nella gestione di
progetti orientati alla raccolta di informazioni critiche e confidenziali circa vulnerabilità applicative e minacce
0day (vulnerabilità confidenziali non ancora pubbliche).
Ricerca
Security Intelligence
Security Audit
Formazione
ConsulenzaStrategica
Sicurezza Procedurale
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
4
Filosofia Aziendale
La filosofia aziendale di Tiger Security Srl trova radice nelle parole di “Dan Farmer” che nel 1993 iniziava ad introdurre il
concetto di Sicurezza Offensiva.
Dan Farmer sosteneva l’importanza di aumentare la sicurezza della propria infrastruttura attaccandola, verificando
ed eliminando vulnerabilità avvalendosi di operatività amica, prima che queste attività le potesse fare qualcun altro, magari con
cattive intenzioni.
Su questo concetto Tiger Security Srl basa il proprio operato, mettendo a sistema le sei parole chiave che definiscono le
caratteristiche di ogni nostro consulente, trainer, sviluppatore ed analista: skill, metodologia, creatività, passione, etica e
professionalità.
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
5
Le figure che si occupano disicurezza applicativa
Analisiti programmatori(Revisione sicura del codice)
Penetration Tester(test di intrusione)
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
6
Metodologie e Policy
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
7
Back|Track Linux
Distribuzione GNU/LinuxLive/installabile per attività di Intelligence e Security Audit [...]
Oltre 600 tools specifici per la sicurezza e l’investigazione
Metodologia OSSTMM
Oltre un milione di download (1,322,945 - 16 Giugno 2010 21:00)
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
8
Back|Track Linux
Cyber Defence Exercise 2009
www.nsa.gov
Testimonials
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
9
Metodologie di gestione informazionistrategiche e confidenziali
Responsible Disclosure
Dark Business
Full Disclosure
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
10
The Exploit Database
Osservatorio privilegiato su vulnerabilità informatiche
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
11
La situazione di Joomla!
0
125
250
375
500
2007 2008 2009 2010
Vulnerabilità pubbliche rilasciate (Core & componenti esterni)
Numero di exploit rilasciati
420 exploit
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
12
La situazione di Joomla! #2
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
0
75
150
225
300
SQL InjectionRCE
File InclusionXSS
Numero Vulnerabilità
domenica 10 ottobre 2010
13
La situazione di Joomla! #3
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
Non solo problemi relativi a core e plugins ma... configurazione e business continuity
domenica 10 ottobre 2010
14
Jesys: un SaaS per la corporate defence
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
15
Responsabilità e riferimenti a Normative Italiane
Documento programmatico per la sicurezza
Il Documento Programmatico per la Sicurezza (DPS) identifica gli aspetti dell'infrastruttura tecnologica aziendale
coinvolti nella gestione di dati personali e sensibili, verificandone l'aderenza a quanto disposto dalle più recenti normative (Dlgs. N.
196 del 30 Giugno 2003).
Il DPS costituisce una misura minima di sicurezza inerente il trattamento con strumenti elettronici dei dati personali sensibili e
giudiziari.
Devono adeguarsi tutti coloro che trattano dati personali: aziende, professionisti, cooperative, associazioni, scuole, comuni,
ospedali, enti pubblici.
I controlli vengono effettuati dalla Polizia Postale e dalla Guardia di Finanza sulla base di un protocollo di intesa con il Garante.
Non adeguarsi o non essere compliance con quanto dichiarato nel DPS può comportare sanzioni civili , sanzioni
amministrative (fino a cinquantamila euro) e sanzioni penali (anche l'arresto sino a due anni, ex art.
1691).
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
16
Horus: Intelligence Service
http://horus.tigersecurity.itCorporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
domenica 10 ottobre 2010
17
Grazie per l’ attenzione
Corporate e Security Intelligence: minacce 0day e compromissioni - Emanuele Gentili - Joomla Day 2010 Verona
http://ww.twitter.com/emgent
http://www.tigersecurity.it
domenica 10 ottobre 2010