Alessio L.R. Pennasilicomayhem@alba.sttwitter: mayhemsppFaceBook/linkedin: alessio.pennasilico

Basta Hacker in TV!

Basta hacker in TV! mayhem@alba.st

$whois -=mayhem=-

Committed: AIP Associazione Informatici Professionisti, CLUSIT

AIPSI Associazione Italiana Professionisti Sicurezza InformaticaItalian Linux Society, Sikurezza.org, AIP/OPSI

Hacker’s Profiling Project, CrISTAL

2

!

Security Evangelist @

Basta hacker in TV! mayhem@alba.st

Non credere a tutto quel che vedi in televisione...

Mia nonna diceva...

3

Basta hacker in TV! mayhem@alba.st

Hacker?

4

Basta hacker in TV! mayhem@alba.st

La tecnologia dei desideri...

5

Basta hacker in TV! mayhem@alba.st

Manca il realismo

6

Basta hacker in TV! mayhem@alba.st

Attenti alle citazioni...

7

Basta hacker in TV! mayhem@alba.st

Anonimizzare le informazioni

8

Basta hacker in TV! mayhem@alba.st

Prassi...

9

Basta hacker in TV! mayhem@alba.st

Prassi...

10

Basta hacker in TV! mayhem@alba.st

Forenser?

11

Basta hacker in TV! mayhem@alba.st

Reagire “velocemente”

12

Basta hacker in TV! mayhem@alba.st

Le origini

13

Basta hacker in TV! mayhem@alba.st

Visualroute?

Chi di voi lo usa per determinare la sorgente di un attacco?

14

Basta hacker in TV! mayhem@alba.st

Zoom?

15

Basta hacker in TV! mayhem@alba.st

Zoomare con iPhone...

16

Basta hacker in TV! mayhem@alba.st

Castle

17

Basta hacker in TV! mayhem@alba.st

Le origini

18

Basta hacker in TV! mayhem@alba.st

Rubare con NFC

19

Basta hacker in TV! mayhem@alba.st

Person of Interest

20

Basta hacker in TV! mayhem@alba.st

I social network

21

Basta hacker in TV! mayhem@alba.st

Il più realistico?

22

Basta hacker in TV! mayhem@alba.st

Wardialing

23

Basta hacker in TV! mayhem@alba.st

Mai parlare della backdoor!

24

Basta hacker in TV! mayhem@alba.st

Gli hacker sono sexy?

25

Basta hacker in TV! mayhem@alba.st

Matrix Reloaded

26

Basta hacker in TV! mayhem@alba.st

Phisical Security

27

Basta hacker in TV! mayhem@alba.st

nmap

28

Basta hacker in TV! mayhem@alba.st

SSHv1 CRC32

29

Basta hacker in TV! mayhem@alba.st

La realtà?

Basta hacker in TV! mayhem@alba.st

SQL Injection

Video su SQL Injection

31

Video su SQL Injection

Basta hacker in TV! mayhem@alba.st

Altri rischi?

Posso interrogare il DB e ottenere tutti i dati contenuti:

'  UNION  ALL  SELECT  NULL,username,password,NULL  FROM  utenti  WHERE  'x'='x

32

Basta hacker in TV! mayhem@alba.st 33

Password in cleartext

Basta hacker in TV! mayhem@alba.st

Come mi proteggo?

Evito di processare i caratteri speciali come ‘

Prevedo il processo che si chiama “normalizzare l’input”

34

Basta hacker in TV! mayhem@alba.st

Esempio

$user=mysql_escape_string($_POST['user']);$password=mysql_escape_string($_POST['password']);

$query="SELECT  *  FROM  Users  WHERE  username='$user'  AND  password='$password';

35

Basta hacker in TV! mayhem@alba.st 36

Video su XSS

Cross site scripting

Basta hacker in TV! mayhem@alba.st

Lieto fine?

37

Basta hacker in TV! mayhem@alba.st

Conclusioni

Basta hacker in TV! mayhem@alba.st

Tecnologia aliena?

39

Basta hacker in TV! mayhem@alba.st

Cosa dobbiamo affrontare?

Rischi

reali, concretisemplici da trasformare in incidenti

alta probabilità di conversione in incidentgrande impatto sul business

40

Basta hacker in TV! mayhem@alba.st

Cosa fare?

Rischi

facili da preveniredifficili da mitigare a posteriori

41

Basta hacker in TV! mayhem@alba.st

Security by Design

Se costruisco una casasenza progettare

uscite di sicurezzacostruirle a lavori finiti

sarà disastroso

42

Alessio L.R. Pennasilicomayhem@alba.sttwitter: mayhemsppFaceBook/linkedin: alessio.pennasilico

Domande?

These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)

Grazie per l’attenzione!