Back to Posts

Share this post

Reportage: HackInBo 2015 – Winter Edition

Posted by: voidsec

Reading Time: 6 minutes

Il 17 Ottobre a Bologna si è tenuta la quinta edizione dell’Hackinbo, l’evento tutto italiano dedicato alla sicurezza informatica, che oramai da svariati anni seguiamo con grande interesse. Una edizione decisamente interessante, durante la quale sono state affrontate tematiche legate alla network security.

L’evento, come sempre, è rivolto a tutti quelli che per lavoro o per passione vogliono approfondire gli argomenti riguardanti la sicurezza informatica; anche quest’anno i talks sono stati tenuti da professionisti affermati nel campo dell’IT security Italiano.

Per scaricare le slides è sufficiente premere sull’anteprima del talk scelto.

P_Varisco

Gianluca Varisco

DevOoops (Increase awareness around DevOps infra security)

DevOps è la risposta alle necessità aziendali di rilasci rapidi del software e alla crescente interdipendenza tra sviluppatori e addetti all’IT Operations. Con l’obiettivo di reagire più velocemente, le aziende finiscono per introdurre vulnerabilità nei sistemi inizialmente designati per proteggerle e aumentare le loro performance. Gianluca Varisco mostra come errori comuni nelle configurazioni dei sistemi quali GitHub, Jenkins, Vagrant, AWS possano compromettere la sicurezza di interi progetti. Per esempio una semplice ricerca avanzata all’interno di GitHub può portare alla luce mail, password di database e chiavi crittografiche usate da aziende nei propri prodotti oppure una mal configurazione di un Jenkins può esporre una rete aziendale ad attacchi Remote Code Execution (RCE).

P_Garribba

Michele Garribba

Il telefono, la tua voce: Voip e sicurezza

Il VOIP è una tecnologia in costante espansione nel mondo per il suo facile utilizzo sia in ambito enterprise sia in ambito provider permettendo l’integrazione di numerosi servizi aggiuntivi, la portabilità dei numeri e tariffe molto vantaggiose per il traffico internazionale. Nel corso della presentazione Michele Garribba ha illustrato le principali metodologie e gli strumenti utilizzati per colpire le reti VOIP, i principali metodi per commettere frodi ai danni di clienti e provider stessi e le possibili contromisure da attuarsi per mitigare attacchi e frodi a queste reti, il tutto correlato da esempi reali.

P_Falsetti Matteo Falsetti

The PT Conundrum (and its antisec formulation)

A mio personal parere [kalup] uno dei talk più interessanti fra quelli visti in tutte queste edizioni. Un’analisi pratica, corredata di esempi e considerazioni, delle differenze tra un vulnerability assestment e uno scenario di attacco reale. Matteo Falsetti ha mostrato come vulnerabilità considerabili irrisorie in un vulnerability assestment standard, possano portare ad una compromissione totale del sistema in esame, dimostrando come i tool automatici non possano ancora sostituire totalmente l’occhio di un esperto e come una analisi standard e da manuale possa non coprire gli scenari di attacco tipici.

P_Pedrazzi Giorgio Pedrazzi

Smart Grid: Privacy e Sicurezza nella Rete (elettrica)

L’evoluzione della rete di distribuzione elettrica costituisce una rivoluzione silenziosa e sotterranea.
Le finalità di garantire maggiore efficienza e resilienza, la prevenzione di black-out , l’integrazione di fonti energetiche rinnovabili costituiscono i presupposti dell’implementazione di sistemi più avanzati e di contatori “intelligenti” (smart meter).
Il passaggio a un modello bilaterale di comunicazione sulla rete di distribuzione elettrica permette l’utilizzo dei contatori come sensori in real-time in grado di fornire e ricevere energia ma anche un’enorme quantità di informazioni. Si ripropongono pertanto i tradizionali dilemmi legati al bilanciamento tra sicurezza (anche nazionale) e privacy (anche domestica), all’efficacia e all’effettività dell’anonimato.

P_Barisani Andrea Barisiani

La sicurezza dei sistemi safety-critical

In questa presentazione l’esperto Andrea Barisiani illustra le problematiche legate allo specifico mondo dei sistemi embedded safety-critical, ossia i sistemi che devono garantire la sicurezza di vite umane o integrità di strutture. Sono state presentate esperienze reali di penetration testing e code auditing legate al mondo dell’automotive, avionica ed automazione industriale. In particolare viene presentato il risultato di una interessante ricerca in ambito networking, una vulnerabilità nel design del protocollo Ethernet, e la sua applicazione in ambito embedded.

P_Belenko Andrey Belenko

Data and Network Security in iOS

Per la prima volta nella storia dell’HackInBo vediamo salire sul palco un ospite internazionale, Andrey Belenko, il quale presenta un compendio molto dettagliato sul come possano essere trattati e salvati i dati nei sistemi operativi iOS. Questo talk nasce con un fine didattico con l’obiettivo di spiegare agli sviluppatori quali strumenti si abbiano a disposizione per la messa in sicurezza dei dati su disco, in memoria o su backup.

P_tech Zanshin Tech

La prima arte marziale digitale

A conclusione della giornata vi è stata la presentazione dello Zanshin Tech, la prima arte marziale digitale. Il progetto presenta un concetto totalmente nuovo e si prefigge l’obiettivo di preparare le persone, in particolare i ragazzi dagli 11 anni in su, da un punto di vista mentale e tecnologico ad un possibile attacco via rete, in particolare per evitare forme di cyberbullismo. Sono state presentati casi nei quali dei giovani ragazzi, grazie alle conoscenze tecniche e alla forma mentis acquisite nello studio di questa arte marziale, sono stati in grado di contrastare o proteggere le persone a loro vicine dalla minaccia di attacchi alla persona tramite mezzi digitali. Un progetto decisamente interessante e che merita ulteriori approfondimenti: Zanshin Tech

A mio parere, una delle edizioni migliori, il livello tecnico dei talk è migliorato, esempi pratici e teorici sono stati bilanciati alle tematiche divulgative, e l’intervento del gruppo Zanshin Tech mi ha personalmente portato a spunti di riflessione interessanti relativi alle applicazioni delle tecniche digitali.

Un ringraziamento particolare è per Mario Anglani, che con passione e dedizione ci regala ogni anno questo evento chiave nel panorama della sicurezza informatica in Italia.

Mario supporta inoltre l’associazione ONLUS Non basta un Sorriso, associazione che opera in Africa con progetti materiali e concreti: la costruzione di scuole, orfanotrofi e case in cui accogliere bambini abbandonati e famiglie.

di kalup

Back to Posts