Di seguito trovare un riepilogo di tutte le Slide presentante durante il Security Summit 2011 a Milano:

EVENTI DEL 14 MARZO 2011

Sessione plenaria
– “Cyberstalking ai Criminali Digitali”
Intervento di Jon Orbeton (atti.pdf)

Percorso professionale tecnico
– “Attacchi alle infrastrutture virtuali. Come proteggere le
informazioni e difendersi nei nuovi ambienti tecnologici
beneficiando al massimo dei vantaggi”

Intervento di Alessio Pennasilico e Gastone Nencini (atti.pdf)

Percorso professionale gestione della sicurezza
– “La sicurezza dei pagamenti e delle carte di credito (PCI-DSS)”
Interventi di: Alessandro Vallega (atti.pdf), Fabio Guasconi (atti.pdf),
Andrea Longhi (atti.pdf), Paolo Marchei (atti.pdf), Stefano Saibene (atti.pdf)

Atelier Tecnologico
– “Information Life Cycle: il governo della sicurezza nell’intero ciclo
di vita delle informazioni”

Interevnto di Jonathan Brera (atti.pdf)
Atelier Tecnologico
– “Enterprise Fraud Management System: un approccio strategico per
ridurre l’impatto delle frodi in azienda”

Intervento di Roberto Testa (atti.pdf)

Atelier Tecnologico
– “Convergenza di Security, Operation e gestione
energetica per postazioni di lavoro”

Intervento di Sergio Perrone (atti.pdf)

Percorso professionale legale
– “La computer forensics e le investigazioni digitali tra approcci
pratici e rigore scientifico: un’introduzione accademica”

Intervento di Giovanni Ziccardi (atti.pdf)

Atelier Tecnologico
– “Oracle Identity Analytics 11g: Identity Intelligence and Governance”
Intervento di Paola Marino (atti.pdf)

Atelier Tecnologico
– “Identity Intelligence”
Intervento di Jacopo Calori (atti.pdf)

Atelier Tecnologico
– “Dal log management in ambienti eterogenei al monitoraggio
degli accessi privilegiati, soluzioni Balabit per un “controllo rinforzato”

Intervento di Gaetano Gargiulo (atti.pdf)

Seminario a cura dell’Italian Security Professional Group
– “Mobile Security: Rischi, Tecnologie, Mercato”
Intervento di Raoul Chiesa e Philippe Langlois (atti.pdf)

Seminario a cura dell’Associazione Utilizzatori Sistemi E tecnologie Dell’informazione (AUSED)
– “Gli 11 Comandamenti della sicurezza per il 2011, tra sacro e profano”
Intervento di Dario Forte (atti.pdf)

Seminario a cura dell’Information Technology Service Management Forum Italia (itSMF)
Interventi di: Chiara Mainolfi (atti.pdf), Cesare Gallotti (atti.pdf), Andrea Praitano (atti.pdf)

Seminario a cura dell’ Associazione Italiana Professionisti della Sicurezza Informatica (AIPSI)
Interventi di: Claudia Del Re (atti.pdf), Alessandro Fiorenzi (atti.pdf), Pierluigi Perri (atti.pdf)

EVENTI DEL 15 MARZO 2011

Percorso professionale tecnico – “Il processo di Application security dal modello tradizionale al Cloud” Intervento di Alessandro Gai e Simone Riccetti (atti.pdf

Percorso professionale legale
– “I servizi “cloud”: problemi legali e contrattuali”
Intervento di Gabriele Faggioli (atti.pdf)

Atelier tecnologico
– “Le principali novità da IBM security solutions”
Intervento di Cesare Radaelli, Fabio Panada e Claudio Balestri (atti.pdf)

Atelier tecnologico
– “Compliance e sicurezza delle informazioni: un approccio
strutturato e incrementale alla gestione dell’identità elettronica”

Intervento di Antonello Gargano e Angelo Colesanto (atti.pdf)

Percorso professionale tecnico
– “Cloud, Security, SaaS, ed altre meraviglie: come uscirne illesi!”
Intervento di Alessio Pennasilico e Antonio Ieranò (atti.pdf)

Percorso professionale gestione della sicurezza
– ” ROSI – Return on Security Investment: Esperienze a confronto”
Interventi di: Alessandro Vallega e Mauro Cicognini (atti.pdf),
Giacomo Aimasso (atti.pdf), Alberto Piamonte (atti.pdf)

Atelier tecnologico
– “Enterprise Fraud Management:
Events, Identity and Data Correlation and Analisys”

Intervento di Gianvittorio Abate (atti.pdf)

Atelier tecnologico
– “XSecure, soluzione per la Security Log Management”
Intervento di Fabio Pierri (atti.pdf)

Seminario a cura del Capitolo Italiano di OWASP

Interventi di: Matteo Meucci (atti.pdf), Paolo Perego (atti.pdf), Giorgio Fedon (atti.pdf)

Seminario a cura dell’Associazione Italiana Professionisti Security Aziendale (AIPSA)
– “Caso Wikileaks: lesson learned per la security aziendale”
Interventi di: Giuseppe Femia (atti.pdf), Claudio Pantaleo (atti.pdf),
Luca Rizzo (atti.pdf), Pasquale Mancino (atti.pdf)

Seminario a cura dell’Associazione Nazionale Specialisti
Sicurezza in Aziende di Intermediazione Finanziaria (ANSSAIF)
– “La trasformazione del rischio operativo negli Istituti di Credito
– la sfida della Sicurezza su come affrontare i nuovi e vecchi rischi”

Interventi di: Marco Beozzi (atti.pdf), Roberto Nardella (atti.pdf)

EVENTI DEL 16 MARZO 2011

Sessione plenaria
– “Security dynamics worldwide, why did we end up in this world? And what’s next?”

Intervento di Philippe Langlois (atti.pdf)

Percorso professionale tecnico
– “Rischi ed opportunità nell’utilizzo degli Smartphones”
Intervento di Raoul Chiesa (atti.pdf)

Percorso professionale gestione della sicurezza
– “Il rischio informatico nelle piccole imprese”
Intervento di Claudio Telmon (atti.pdf)

Atelier Tecnologico
– “Un approccio risk-based alla protezione dei dati”
Intervento di Paolo Borghesi (atti.pdf)

Atelier tecnologico
– “Le quattro dimensioni di un progetto DLLP di successo”

Intervento di Andrea Zapparoli Manzoni e Paolo Capozucca (atti.pdf)

Atelier Tecnologico
– “Perché la classificazione delle informazioni è alla base
di un’efficace politica di Data Loss Prevention (DLP)”

Intervento di Antonio Tonani, Gary McConnell e Antonio Piazza (atti.pdf)

Percorso professionale tecnico
– “Infrastrutture Critiche vs Cyberthreats: come proteggersi dallo Stuxnet di domani”
Intervento di Raoul Chiesa e Fabio Guasconi (atti.pdf)

Atelier Tecnologico
– “La nuova linea di difesa per la sicurezza completa del tuo database”
Intervento di Paolo Marchei (atti.pdf)

Seminario a cura dell’Associazione Italiana Information Systems Auditors (AIEA)

Interventi di Enrico Frascari (atti.pdf) e Raffaella D’Alessandro (atti.pdf)

Seminario a cura dell’Associazione Informatici Professionisti (AIP)
Interventi di: Andrea Violetti (atti.pdf), Alessio L.R. Pennasilico (atti.pdf)

Seminario a cura di ASIS International
– “Security Convergence: lo stato dell’arte dall’inizio del secolo”
Intervento di Alessandro Lega (atti.pdf)

Premio “Innovare la sicurezza delle informazioni” – 6a edizione
Presentazione e premiazione delle migliori tesi universitarie del 2010.
Intervento di Claudio Telmon (atti.pdf)

Ho sempre provato di evitare gli argomenti politici su questo Blog perché li ritengo non in linea con i contenuti qui descritti, ma questa volta sono sicuro di fare cosa gradita a tutti quanti nell’annunciarvi che l’Agcom potrebbe votare una regolamentazione che censurerebbe internet definitivamente.

L’Autorità per le garanzie nelle comunicazioni (Agcom) è un’autorità amministrativa indipendente di nomina politica potrebbe rimuovere contenuti sospetti di violazione del copyright da siti internet italiani senza alcun controllo giudiziario. Ancora peggio, la pubblicazione di una canzone o di un testo sospetto potrebbero perfino portare alla chiusura di interi siti internet stranieri, inclusi siti d’informazione, portali di software libero, piattaforme video come YouTube o d’interesse pubblico come WikiLeaks.

Vi chiedo pertanto di unirvi a me e votare le petizioni proposte da:

  • Avaaz
  • e-Policy (Campagna di Agorà Digitale, Altroconsumo e altre associazioni)

Infine vi invito a leggere l’articolo della Repubblica per capire al meglio l’argomento.

Il sito ufficiale MySQL.com è stato compromesso tramite la tecnica di SQL injection, TinKode & Ne0h e così cosi riusciti ad estrapolare il contenuto di ben 46 Database presenti sul server comprensivi ovviamente di password e dettagli personali.

L’attacco avrebbe sfruttato la seguente pagina di dimostrazione dei servizi offerti:

Vulnerabile Target: http://mysql.com/customers/view/index.html?id=1170
Host IP: 213.136.52.29
Web Server: Apache/2.2.15 (Fedora)
Powered by: PHP/5.2.13
Iniezione Tipo: Blind MySQL
DB Corrente: web

Curioso invece notare che la password  di Robin Schumacher (MySQL di Product Management) contenuta nel database crakkato sia semplicemente composta da quattro numeri! 😮

E’ possibile visualizzare i dati sensibili estratti dai database grazie tramite le note TinKode & Ne0h lasciate da su Pastebin.

Un video dimostrativo dell’ultima vulnerabilità 0day di Adobe Flash Player che affligge la versione 10.2.152.33, e versioni precedenti, per i sistemi operativi Windows, Macintosh, Linux e Solaris ma anche la versione mobile 10.1.106.16, e precedenti, sviluppata  per il sistema operativo Android di Google.

Metasploit ha così aggiornato il suo database di vulnerabilità integrando anche quest’ultima ed ha pubblicato una dettagliata pagina sul Blog ufficiale.

 

Da pochi giorni è uscito UnderAttHack numero 13, in questa versione si trattano principalmente i seguenti argomenti:

  • Basi di dati e Web Mining by CirKu17
  • SQL?NoSQL     by Luca “Unsigned” Bruzzone
  • HTML5: come usare il nuovo tag <video> by cercamon
  • Cyberization  by Floatman

Potete scaricare il PDF del numero 13 direttamente tramite questo LINK.

L’utente Pandarossa ha recentemente rilasciato una attenta analisi delle reti Wireless Wind Infostrada nella quale spiega dettagliatamente l’algoritmo di generazione delle chiavi Wireless, anche se il lavoro non è stato ultimato ritengo comunque interessate proporsi le prime tre analisi ad oggi effettuate.

Potete trovare direttamente le tre analisi ai seguenti link:

Tecna Editrice, casa editrice focalizzata in periodici e organizzazione di eventi e conference professionali a carattere espositivo, organizza la prima Expo Conference CYBER-CRIME che si terrà a Roma presso il Centro Congressi Cavour il prossimo 6 aprile 2011.

La diffusione di Internet, l’utilizzo massiccio della posta elettronica, l’incremento delle transazioni telematiche e l’uso crescente di social network hanno  favorito una massiccia circolazione in rete di dati personali, aumentandone esponenzialmente la vulnerabilità.

L’evento CYBER-CRIME  nasce per approfondire le tematiche legate alla sicurezza e al contrasto dei crimini informatici: nel corso di una giornata di lavori, i massimi esperti del settore, provenienti dal mondo istituzionale e dal mondo IT, delineeranno il quadro attuale del fenomeno fornendo  le  indicazioni per le strategie del futuro e offrendo una panoramica delle iniziative in corso.

I partecipanti troveranno nell’ampia area espositiva della conferenza, un luogo ideale di incontro e confronto con manager e professionisti, per conoscere da vicino le migliori tecnologie disponibili sul mercato e le principali iniziative adottate.

L’evento  costituirà l’occasione per creare un indispensabile collegamento fra tutti  gli attori coinvolti: istituzioni, banche, assicurazioni, authorities, It security vendor, social network, associazioni dei consumatori e ogni altra realtà attiva nell’e-commerce.

E’ prevista una colazione di lavoro e la distribuzione di materiale documentale a tutti i visitatori.

Importanti personaggi parleranno alla conferenza:

  • Matteo Cavallini, Unità Locale Sicurezza MEF/Consip
  • Raoul Chiesa, Founder, @ Mediaservice.net – A security advisory company Senior Advisor, Cybercrime Issues & Strategic Alliances, UNICRI (United Nations Interregional Crime & Justice Research Institute)
  • Maggiore Gabriele Cicognani,. G.di F. responsabile del CERT-SPC
  • Isabella Corradini, Presidente Themis Crime
  • Fabrizio d’Amore, Professore del Dipartimento di Informatica e Sistemistica “Antonio Ruberti” Università La Sapienza di Roma Generale Pietro Finocchio, Presidente Afcea – Associazione delle Comunicazioni e dell’Elettronica per le Forze Armate
  • Alessio Pennasilico, Membro dell’osservatorio permanente sicurezza informatica OPSI/AIP
  • Andrea Rigoni, GC-SEC Global Cyber Security Center

Per info ed iscrizione per la partecipazione:  http://www.tecnaeditrice.com/forumcybercrime11_presentazione.php