Password_Monkey

Lo scorso 24 Febbraio mentre mi dirigevo al lavoro e ascoltavo come tutte le mattine Il Ruggito del Coniglio su Radio 2, un contributo telefonico mi ha veramente scioccato dall’ingenuità di un Dirigente Sanitario nel confessare di aver mandato in stallo l’intero sistema informatico dell’ospedale a causa della dimenticanza delle password e il continuo tentativo di inserire le credenziali corrette. Ma ancora più sconvolgente è la sua ammissione di aver bloccato non solo le operazione di routine ma anche le sale operatorie, il tutto ridendo al telefono con i conduttori radiofonici.

Le generalità del dirigente ospedaliero non le conosciamo, se non il suo nome Paolo e la provenienza Caserta forniti da uno dei due conduttori, potete riascoltare l’intervento del signore tramite i Podcast al minuto 25:50. Testualmente questo è quanto è stato detto da Paolo:

Dopo ferie estive scorse ad agosto, io sono un dirigente ospedaliero, ho cercato di recuperare le password di accesso a tutto il sistema che dirigeva le cose fra cui le prenotazione, le sale operatorie..alla fine niente ho bloccato tutto il sistema, ho bloccato tutto l’ospedale. Niente da fare, perché sono entrato con altre password e mi ha bloccato tutto…tutto! Ahahahahah interventi operatori rimandati, alla fine ho dovuto chiamare il tecnico da Roma per farmi sbloccare tutto.

Lascio a voi ogni conclusione, ho voluto riportare il fatto perché lo ritengo grave. Probabilmente sono state messe a rischio delle vite umane visto il blocco degli interventi, ma anche per la sfacciataggine e ingenuità di questo Paolo di andare in radio a raccontare il fatto. Spero sia stato uno scherzo radiofonico, spero!

RaspiBO Simulazione di un Penetration Test

 

Visto l’inaspettato successo del precedente Talk a FoLUG, Mario Anglani che tutti conoscerete per la magistrale organizzazione dell’HackInBo mi ha chiesto di ripetere il talk al RaspiBO di Bologna il prossimo 23 Febbraio 2016.

Martedì sera riprenderò i temi già trattati a Forlì con una simulazione in tempo reale di un Penetration Test in modalità Capture the Flag, ho optato per una variante in stile CTF per rendere l’evento più interattivo e coinvolgere al meglio tutti i partecipanti così da sfruttare il nostro intelletto per carpire importanti dettagli e/o vulnerabilità.

Il sistema target che andremo ad attaccare durante la serata presenta diverse vulnerabilità, ognuna di essere ci permetterà di scoprire le cinque fasi principali di un Penetration Test:

  • Information Gathering;
  • Vulnerability Assessment;
  • Exploitation;
  • Privilege Escalation;
  • Maintaining Access.

Attraverso la distribuzione BackBox Linux attaccheremo in tempo reale il sistema target, inizialmente raccoglieremo informazioni importanti sul nostro obiettivo, successivamente individueremo e sfrutteremo le vulnerabilità e infine scaleremo i privilegi per ottenere i permessi di root e catturare la bandiera 😉

L’evento si terrà presso il Makerspace di RaspiBO, Casalecchio via Canonica 18 , alle 21 circa. Vi consiglio di guardare il sito ufficiale per qualsiasi ulteriore indicazione e di iscrivervi su Eventbrite se vorrete partecipare.

Vi aspetto martedì sera 😉


Di seguito il video integrale, mentre le slide sono disponibili su SlideShare.

 

 

Lettera aperta al Presidente del Consiglio dei Ministri, Matteo Renzi, sulla "Sicurezza Cibernetica Nazionale"

Lo scorso 20 Gennaio un gruppo di colleghi capitanato da Fabio Pietrosanti ha deciso di costituire un comitato informale per scrivere per scrivere una lettera aperta al
Presidente del Consiglio Renzi. Comitato nato dai recenti “rumors” riportati dalla stampa in merito alla prossima nomina del responsabile della Sicurezza Cibernetica Nazionale.

Data la delicatezza estrema di questo passaggio istituzionale, critico per la sicurezza dell’Italia e dei suoi cittadini, con questa lettera intendiamo offrire al Premier alcuni spunti di riflessione, derivanti dalla nostra esperienza nel settore.

Se ti occupi di sicurezza informatica e condividi i contenuti e gli intenti di questa lettera, sottoscrivila: darai il tuo contributo affinché questa iniziativa raggiunga i suoi obiettivi, e farai sentire anche la tua voce su un argomento di estrema importanza per il futuro di tutti.

La lettera e i firmatari sono raggiungibili all’indirizzo https://www.cybersecuritynazionale.org