giovedì 10 giugno 2010

Security Summit 2010 - Giorno 2


Eccomi al secondo giorno di Security Summit 2010 e, per raccontarvi questa giornata, ho deciso di violare, per una volta, la regola per la quale questo blog si chiama Punto 1... voglio cioè cominciare dalla fine.


La conclusione può essere riassunta in un semplice "WOW!" Mi è capitato di rado di imbattermi in una giornata di convegno (gratuito per giunta) con tre sessioni di questo livello. Voglio proprio approfittare di questa occasione per fare i complimenti a tutti gli organizzatori per aver saputo mettere assieme questo evento.

Passando al resoconto della mia giornata, le sessioni a cui ho partecipato sono state: "Web Application Security: a 2.0 attacker's perspective", "Mobile security, il telefono una naturale estensione della propria vita digitale" e "Approfondimento e discussione sul CyberCrime".

La prima sessione sulla Web application security è stata tenuta da Alessandro Gai e Simone Riccetti. Tra le cose che mi sono segnato ci sono: le considerazioni relative alla permanenza delle vulnerabilità del Web 1.0 anche nel paradigma 2.0, la presenza di vulnerabilità di tipo XSS in un sito Web su tre, il ruolo dei social network negli attacchi portati ai contesti aziendali e la possibilità di tracciare i browser attraverso un insieme di informazioni che vengono rese pubbliche e che, se raccolte, creano dei pattern che rendono un browser distinguibile da ogni altro.
Molto interessanti anche le demo (anche se quella di un tool di exploiting di vulnerabilità XSS non è andata completamente a buon fine), in particolare quella sugli attacchi di tipo Tabnabbing.

La sessione sulla Mobile security, invece, è stata tenuta da Fabio "naif" Pietrosanti e Paolo Colombo. Questa sessione è stata veramente notevole e densissima di informazioni. Oltre al piacere personale di aver scoperto che non sono proprio l'unico matto ad aver installato sul mio smartphone un antivirus e un programma antitheft, mi sono segnato che, in ambito mobile, c'è ancora troppa fiducia (verso la robustezza degli apparati, verso gli operatori, dagli operatori verso gli utenti e anche tra operatore e operatore) soprattutto causata dalla bassa consapevolezza sulle vulnerabilità dell'"environment". Inoltre ho appreso che presto saranno disponibili tool per il cracking del GSM e che, con un po' di sforzo organizzativo e un po' di risorse finanziarie, è possibile creare degli operatori mobili fasulli a cui far attaccare i cellulari in roaming e quindi poter fare quasi tutto l'immaginabile. Infine si sta effetivamente (purtroppo) realizzando quello che gli analisti dicono da tempo e cioè che il mondo dei "cattivi" si sta per dedicare a tempo pieno al mondo mobile, infatti si è passati da 10 minacce individuate nel 2004 ad oltre 5000 nel 2009 e questo trend si è mantenuto  in crescita esponenziale.

La terza ed ultima sessione è stata quella organizzata dall'Italian Security Professional Group (di cui anche io faccio parte) e devo dire che è stato veramente un finale col botto. I relatori erano: Raoul Chiesa, Claudio Guarnieri, Marco Pacchiardo e Paolo Colombo.
In questa sessione dedicata al CyberCrime è stato analizzato il fenomeno nel suo complesso con degli interessantissimi focus sulle botnet e sul CyberLaundering (il riciclaggio di denaro effettuato in rete). A solo beneficio dei presenti sono stati presentati materiali, diciamo così, coperti da segreto e che non compariranno nelle slide pubblicate negli atti ufficiali. Avendolo rimarcato più volte non svelerò nulla di quello che è emerso ma devo proprio dire che è stato estremamente interessante e invito comunque tutti quelli che sono arrivati in fondo a questo post a scaricare tutti gli atti di questa sessione non appena saranno pubblicati.

Una volta tanto, posso dire di essere davvero soddisfatto. Anzi no, la prossima volta mettete qualche bottiglia di acqua in più... sono morto di sete!! ;-)))

2 commenti:

Mario Salvatori ha detto...

Grazie per l'apprezzamento del programma di Security Summit Roma 2010. Spero che sarai nostro ospite anche nell'edizione milanese di marzo 2011 e provvederò personalmente a controllare la scorta di acqua.

Mario Salvatori (organizzatore del Security Summit).

Matteo "nientenomi" Cavallini ha detto...

Mario,

grazie per il commento e grazie per l'organizzazione dell'evento.

L'anno prossimo farò il possibile per esserci soprattutto perché ho la tua assicurazione... sulla scorta di acqua!!

;-)))

Saluti,
Matteo

Posta un commento

http://www.wikio.it