venerdì 10 giugno 2011

Security Summit 2011 - Day 2

Eccoci arrivati al resoconto della seconda giornata del Security Summit 2011 di Roma.

La mia seconda giornata al Summit è iniziata molto bene... ho partecipato ad un interessantissimo talk di Gabriele Faggioli  dal titolo: "I servizi “cloud”: problemi legali e contrattuali". Faggioli è partito con una puntuale analisi dei contratti tipici delle forniture IT classiche per poi passare in rassegna gli aspetti più rilevanti dei contratti di outsourcing e arrivare infine ai contratti tipici del mondo cloud.

Tra le notazioni che mi hanno più colpito c'è il riferimento all'utilizzo del contratto di licenza d'uso in alcuni contratti per servizi cloud che (giustamente) Faggioli inquadra come non adatto. Secondo Faggioli, la tipologia che si adatta meglio ai servizi cloud (ovviamente dal punto di vista del Cloud Service Consumer) è quella relativa ai contratti d'appalto di servizi con obbligazione di risultato.

L'intervento di Faggioli si è concluso con una lista di verifiche che dovrebbero essere sempre effettuate prima di accettare un contratto di servizi cloud:
- Qual'è la qualifica del fornitore (Responsabile privacy)?
- Quali tipologie di dati vengono trasferite "on the cloud"?
- Quali sono gli eventuali subfornitori?
- Dove sono le infrastrutture?
- Quali misure di sicurezza hanno i provider e i loro subfornitori?
- Come si effettua la nomina del provider e dei suoi subfornitori?
- Quali sono le previsioni contrattuali?
- Quali sistemi di controllo devo prevedere?
- Ci sono impatti in termini di 231/01?

Dopo questo intervento mi sono incontrato con Claudio Guarnieri e Feliciano Intini e abbiamo concordato la nostra presentazione pomeridiana dedicata alla lotta alle botnet. Non ho potuto quindi seguire altri interventi.

Nel primo pomeriggio, invece sono riuscito a vedere una parte del seminario di Marco Morana (altra guest star di questa edizione del Summit) e oltre alla gioia di rincontrarlo (avevo avuto il piacere di ospitarlo nella prima edizione dell'OWASP Day per la PA), ho avuto modo di avere alcuni flash sulla nuova metodologia per la simulazione degli attacchi e per l’analisi delle minacce che si chiama PASTA (Process for Attack Simulation e Threat Analysis). Molto interessante!!

Infine, in un auditorium che poteva essere più ricco di presenze... (abbiamo iniziato con poco meno di trenta persone) Feliciano, Claudio ed io abbiamo presentato il workshop dal titolo "Botnet Delenda Est" dedicato agli iscritti al gruppo linkedin "Italian Security Professional".

Ho personalemente trovato i lavori di Claudio e Feliciano estremamente interessanti. Claudio ha presentato un lavoro di investigazione su KoobFace (@drego85 ecco la tua risposta! ;-)) ), veramente aggiornato e completo. Nella migliore tradizione dei lavori di questo tipo c'erano una serie di slide che non saranno pubblicate perchè il contenuto è, diciamo così, "sensibile".
Feliciano, dal canto suo, ha portato una serie di informazioni che venivano direttamente dalla Microsoft Digital Crime Unit, sui take down di Rustock e Coreflood. Avevo visto una precedente versione di questa presentazione (in un consesso chiuso e altamente qualificato) e, in tutta onestà, posso affermare che Felicaino è riuscito a valorizzarla con dati e informazioni nuove facendola diventare ancor più interessante e ricca.
Per quanto mi riguarda, ho fatto un inquadramento generale del tema botnet esponendo i motivi per i quali siamo convinti che questi strumenti in mano ai cybercriminali debbano essere "distrutti", per poi concludere parlando della situazione italiana e presentare la proposta della creazione di un AntiBotnet Center Italiano (ABC-I). Il prezi della mia presentazione è già online, per le altre presentazioni dovrete attendere la pubblicazione degli atti del convegno.

Ancora grazie agli organizzatori e... ci vediamo il prossimo anno!


Nessun commento:

Posta un commento

http://www.wikio.it