Tutti i Talk ai quali ho partecipato con slide, video e foto.

, ,

Una serata sul Phishing: Analisi, Simulazione e Contromisure

Venerdì 24 Febbraio al Forlì Linux User Group terrò un talk sul Phishing dove analizzerò il fenomeno sempre crescente del Phishing con una simulazione.

Tutti noi riceviamo almeno quotidianamente eMail (e non solo) con il chiaro intento di rubarci le credenziali di accesso alla nostra vita digitale, che sia il conto corrente online, piuttosto che l’account social e così via.
Questo è il phishing, una truffa che come ogni tecnologia umana si sta evolvendo e questa serata ha come obbiettivo quello di spiegare in maniera chiara e precisa che cos’è, come funziona e come possiamo difenderci.
Vedremo anche con esempi pratici, come già avvenuto per la serata sul penetration test, esattamente come si può svolgere una campagna di phishing, quali sono gli attori coinvolti, un esempio di infrastruttura e come poter tutelarci da questi attaccanti.

Di seguito il programma più dettagliato del talk:

  • Presentazione
  • Introduzione al Phishing:
  • Cos’è,
  • Dati Statistici,
  • Tecniche,
  • Simulazione mediante due tecniche:
    • via eMail di Phishing ai danni di un ente normalmente soggetto ad attacchi di Phishing,
    • via SMS di Phishing con dominio creato ad-hoc per rendere maggiormente credibile SMS,
  • Analisi dei dati acquisiti nella simulazione e non solo:
    • IP
    • User Agent
    • Localizzazione
    • Credenziali
    • ecc…
  • Contromisure
  • Conclusione

La serata è aperta a tutti e non servono conoscenze tecniche, basta solo molta curiosità.

Ci vediamo il 24 febbraio presso la sede del FoLUG, la partecipazione è gratuita ma è richiesto la registrazione all’evento da qui.

Per chi non dovesse riuscire ad essere presente verranno pubblicate da Sabato 25 le slide e uno screencasting dell’evento.

Slide e Video

Le slide della serata sono disponibili qui: https://www.slideshare.net/drego85/phishing-analisi-simulazione-e-contromisure

,

[AGGIORNATO] #LinuxDay2016 vi aspetto a Bologna!

linuxday2016_pagina_01

 

Quest’anno sarò presente al Linux Day 2016 di Bologna, organizzato dall’ERLUG (Emilia Romagna Linux User Group) farò un breve talk di circa 20 minuti nel pomeriggio.

Il titolo del Talk sarà “Coding for Hackers” dove illustrerò le motivazioni che portano un utente a scrivere codice e farò un breve accenno sui principali software scritti in Python per il mondo Hacking.

Per chi fosse nei paraggi vi aspetto 😉 per tutti i dettagli potete consultare il sito ufficiale.

Le slide sono disponibili su SlideShare, di seguito una galleria fotografica di esse:

Questo slideshow richiede JavaScript.

 

,

RaspiBO Talk: Simulazione di un Penetration Test

RaspiBO Simulazione di un Penetration Test

 

Visto l’inaspettato successo del precedente Talk a FoLUG, Mario Anglani che tutti conoscerete per la magistrale organizzazione dell’HackInBo mi ha chiesto di ripetere il talk al RaspiBO di Bologna il prossimo 23 Febbraio 2016.

Martedì sera riprenderò i temi già trattati a Forlì con una simulazione in tempo reale di un Penetration Test in modalità Capture the Flag, ho optato per una variante in stile CTF per rendere l’evento più interattivo e coinvolgere al meglio tutti i partecipanti così da sfruttare il nostro intelletto per carpire importanti dettagli e/o vulnerabilità.

Il sistema target che andremo ad attaccare durante la serata presenta diverse vulnerabilità, ognuna di essere ci permetterà di scoprire le cinque fasi principali di un Penetration Test:

  • Information Gathering;
  • Vulnerability Assessment;
  • Exploitation;
  • Privilege Escalation;
  • Maintaining Access.

Attraverso la distribuzione BackBox Linux attaccheremo in tempo reale il sistema target, inizialmente raccoglieremo informazioni importanti sul nostro obiettivo, successivamente individueremo e sfrutteremo le vulnerabilità e infine scaleremo i privilegi per ottenere i permessi di root e catturare la bandiera 😉

L’evento si terrà presso il Makerspace di RaspiBO, Casalecchio via Canonica 18 , alle 21 circa. Vi consiglio di guardare il sito ufficiale per qualsiasi ulteriore indicazione e di iscrivervi su Eventbrite se vorrete partecipare.

Vi aspetto martedì sera 😉


Di seguito il video integrale, mentre le slide sono disponibili su SlideShare.

 

 

,

11 Dicembre al FoLUG terrò una Simulazione di Penetration Test con BackBox!

FoLug_11_Dicembre_2015

 

Venerdì 11 Dicembre presso il Forlì Linux Group terrò uno Speech su BackBox Linux, assieme al direttivo del FoLUG ho deciso di dimostrare le potenzialità di BackBox attraverso una Simulazione Live di Penetration Test.

In un evento che durerà circa 2ore dimostrerò le cinque fasi principali di un Penetration Test:

 

  • Information Gathering;
  • Vulnerability Assessment;
  • Exploitation;
  • Privilege Escalation;
  • Maintaining Access.

Sfrutterò dei software preinstallati in BackBox e vulnerabilità note per attaccare un Server Web basato su Ubuntu Linux. Dimostrerò quindi come è possibile usare nmap per scansione le porte, dirs3ach per ricercare applicativi web non indicizzati dai motori di ricerca, sqlmap per cercare e sfruttare vulnerabilità di tipo SQL Injection, Metasploit per attaccare un servizio presente sulla macchina target, effettuare un escalation dei privilegi sfruttando una vulnerabilità del Kernel e infine weevely per caricare una backdoor per mantenere attivo l’accesso sul target.

L’evento si terrà alla sera, alle 21:30 circa direttamente nella sede del FoLUG. Vi consiglio di guardare il sito ufficiale del LUG all’inizio della prossima settimana per conoscere gli orari esatti, non è che detto che ci sia anche un pre-ritrovo per chi vuol cenare in compagnia.

 

,

#OpenSourceDay 2015, vi aspetto a Udine Sabato 28 Novembre!

Open Source Day 2015

Sabato 28 Novembre 2015 sarò lieto, per la prima volta in questo evento che viene organizzato da ormai 6 anni, di essere un relatore dell’Open Source Day a Udine!

Un talk della durata di 45 Minuti presenterò il progetto BackBox Linux e tramite Metasploit effettuerò una simulazione di attacco ad un Server Web sfruttando la vulnerabilità Shellshock!

Il 2014 è stato un periodo nero per la sicurezza informatica dei sistemi Linux e non solo, l’anno  si è aperto con la vulnerabilità HeartBleed che ha afflitto la libreria OpenSSL e successivamente è stata individuata una importante falla nella shell Bash. Questa vulnerabilità permette ad un utente malintenzionato di eseguire comandi arbitrari, comandi che possono permettere ad un utente malintenzionato di ottenere l’accesso non autorizzato ad un sistema informatico.
I principali aggressori hanno sfruttato la vulnerabilità già poche ore dopo la sua pubblicazione per creare Botnet con i server vulnerabilità; Yahoo è stata una delle grandi vittime di questo exploit.

Vi aspetto quindi Sabato 28 Novembre, per chi volesse vedere l’agenda della giornata piena di eventi e talk vi rimando al sito ufficiale!

Ora, per chi mi segue live, vi consiglio di guardare il Pirate’s Night Show di stasera con Stefano Zanero e Automated Malware Analysis!


AGGIORNAMENTO: Le slide sono disponibili su SlideShare e il video dimostrativo di seguito

,

Pirate’s Night Show – Stasera vi aspetto!

Pirate's Night Show

Fra poco meno di 4 ore sarò ospite al Pirate’s Night Show, vi aspetto alle 21:30 su YouTube!

Il talk show Pirate’s Night ideato da Andrea Amani (Pinperepette) con la partecipazione di Paolo Stagno (VoidSec) e Daniele Ilardo è ormai un appuntamento fisso in streaming su YouTube tutti i Martedì sera dalle 21.30.

La puntata di stasera è incentrata sulle principali distribuzioni di Penetration Testing e Computer Forensics Italiane, personalmente con Raffaele Forte sono chiamato a rappresentare BackBox Linux la nostra “creatura” che dal 2010 sviluppiamo quotidianamente. Ci affiancherà Lorenzo Faletra di Parrot Security e Nanni Bassetti con la sua distribuzione CAINE.

Alle 21:30 😉


,

Linux Day 2015, ci vediamo ad Orvieto? Parlerò di Phishing!

Linux Day 2015

Sabato 24 ottobre sarò nuovamente ospite dell’Orvieto LUG per il Linux Day 2015, il tema di quest’anno che ho deciso di trattare è il Phishing! Grazie alla collaborazioni con il D3Lab porterò dati realistici sul Phishing Italiano!

Quotidianamente sfruttiamo computer o smartphone per rimanere interconnessi con il mondo digitale. Online condividiamo i nostri stati d’animo, gestiamo i conti bancari, facciamo acquisti, studiamo e lavoriamo. Viviamo in una società digitale che offre enormi vantaggi, ma nasconde anche pericolose trappole. Ogni volta che sfruttiamo una comunicazione digitale rischiamo che ci vengano sottratte informazioni, segreti, soldi e la nostra identità. Il phishing è una truffa dove un malintenzionato cerca di ingannare la vittima convincendola a fornire credenziali d’accesso, dati finanziari o informazioni personali. Si tratta di una attività illegale che sfrutta l’ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate. In prevalenza è una truffa eseguita usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Il programma della mattinata è molto intenso, 6 Talk della durata di 30 minuti l’uno ci parleranno di Programmazione, Open Source nella PA, Sicurezza Informatica, Anonimia con Linux, Musica e le basi dell’amato pinguino! Nel pomeriggio invece Laboratori tematici ed installazioni Linux anche su Raspberry Pi!

Se qualcuno vuole venirmi a salutare e a fare due o tre chiacchiere sulla Sicurezza Informatica può registrarsi su EventBrite mentre per tutti i dettagli sulla location, orari, ecc vi lascio il sito ufficiale dell’evento.

Vi aspetto!


AGGIORNAMENTO: Le slide dell’evento sono disponibili su SlideShare

,

Linux Day 2014 @ Imola – Diario di Viaggio, Video e Slide!

Linux Day 2014_Pagina_01

Come saprete lo scorso 25 Ottobre 2014 ho partecipato come relatore al Linux Day di Imola, su richiesta del presidente del ImoLug ho ripresentato lo stesso argomento che lo scorso anno ha avuto un notevole successo a Orvieto sempre in occasione del Linux Day! Sto parlando dell’incauto collegamento a reti WiFi sconosciute e spesso libere/gratuite, collegandosi ad una rete WiFi sconosciuta non possiamo sapere se i nostri dati verranno o meno spiati. Ho dimostrato durante il mio Talk come sia possibile creare un Fake AP per poter sniffare i dati, come vedrete dal video la connessione ad Internet dell’istituto non mi ha assistito e dopo poco meno di un minuto è crollata e non sono riuscito a completare correttamente la dimostrazione; poco male perchè credo che il concetto sia passato forte e chiaro. Indubbiamente ho imparato che devo affidarmi sempre e solo ai miei mezzi, sbagliando si impara! 😀

Il mio Talk: “BackBox: WiFi Libero? Ti Spio!” rifletteva su Smartphone e Tablet che trainano le vendite del settore informatico degli ultimi anni, gli utenti inconsci della propria sicurezza si collegano incautamente a reti WiFi sconosciute mettendo a rischio le proprie informazioni personali. Con la distribuzione BackBox Linux ho dimostrato in pratica come creare un finto Access sensibilizzando l’utente medio e rilevando ai più esperti la tecnica per sfruttare questo attacco.

Con grande piacere son riuscito a coinvolgere il pubblico, come potete vedere dal video seguente, raccogliendo domanda tecniche o curiosità che hanno permesso di rendere più coinvolgente il mio Talk. Prima di lasciarvi al materiale ringrazio pubblicamente Stefano Ballardini (presidente ImoLUG) per avermi invitato e anche tutti gli altri ragazzi per aver trascorso assieme a me una piacevole mattinata…lasagne comprese 😉

Slide

Le slide sono sono disponibili su SlideShare.

Video

Il video è stato girato con una GoPro ma purtroppo l’ho posizionata frontalmente al video proiettore e la ventola di raffreddamento di quest’ultimo ha disturbato completamente l’audio. Il Lug dovrebbe caricare il loro video ufficiale ripreso da un punto diverso, provvederò ad aggiornare l’articolo non appena verrà reso disponibile anche quest’altro video.

[AGGIORNATO]

Questo è un altro video realizzato direttamente dall’ImoLug, la qualità audio è sicuramente migliore!

,

Linux Day 2013 Orvieto – Diario di Viaggio, Slide, Foto e Video

Linux Day 2013 Orvieto

Non so come iniziare questo articolo, le storie da scrivere sono tante ma soprattutto l’emozione di sentire gli applausi e il calore di un pubblico interessato è ancor più grazioso! Per me è stato il primo Linux Day e a renderlo ancora più bello è stato il fatto che ero uno dei relatori! Marco Ciammella, il presidente del LUG di Orvieto, mi contattò quasi un anno fa per propormi di intervenire al Linux Day 2013 di Orvieto per parlare di BackBox Linux così ad Agosto abbiamo iniziato a definire meglio i dettagli e gli proposi un argomento che mi stava a cuore!

Il mio Talk intitolato “BackBox Linux: attacchi informatici a Smartphone e Tablet via WiFi”  parlava di Smartphone e Tablet i quali trainano le vendite del settore informatico degli ultimi anni, gli utenti inconsci dei problemi di sicurezza si collegano incautamente a reti WiFi sconosciute mettendo a rischio le proprie informazioni personali. Una dimostrazione pratica mi ha permesso di sensibilizzare maggiormente l’utente medio e ha rilevato ai più esperti come creare un finto Access Point con la distribuzione BackBox Linux.

Non solo ero il relatore novello ma ho anche aperto i Talk della mattina rendendo il tutto ancor più frizzante, dopo una breve e rapida presentazione di rito da parte di Marco sulle attività svolte dal Lug ecco che toccava a me iniziare a parlare…un po’ di emozione iniziale ma poi tutto è andato alla grande anzi mi son fin troppo dilungato e il segretario del Lug è arrivato per dirmi di tagliare altrimenti non rimaneva spazio per gli altri quattro relatori.

Ma avevo un asso nella manica, per sensibilizzare ancora di più gli oltre 120 spettatori! Nella prima mattinata mentre preparavo tutta la mia strumentazione ho creato un Access Point Wireless aperto denominato “Free WiFi Linux Day” così arrivato alla slide sul mio test alla stazione di Roma Termini ho svelato di aver ripetuto lo stesso test anche al Linux Day e vi erano ben 9 utenti collegati (su un massimo di 10 supportati dalla mia Internet Key WiFi) ad una rete WiFi sconosciuta ma che credevano lecita visto SSID (nome) molto probabile della rete Wireless!

Ho poi proseguito la dimostrazione mostrando la distribuzione BackBox Linux e la procedura per creare un finto Access Point con la conseguente dimostrazione di come sia facile carpire password o cronologia di navigazione mediante il software Wireshark!

È stato bellissimo vedere i ragazzi interessati e dopo la presentazione son venuti a farmi domande o semplicemente a chiedermi cosa ho studiato alle superiori, per capire se il loro percorso è corretto o meno! Affascinante!

La mattinata è proseguita con un talk di Emanuele Palazzetti su Android e le app per il mobile che purtroppo a causa delle domande/interviste non ho potuto seguire integralmente ma durante il talk ha messo in risalto cosa significa per utenti finali e sviluppatori avere a disposizione un sistema operativo come Android, grazie al quale è possibile rendere concrete le proprie idee “senza dover chiedere il permesso a nessuno”.

Successivamente è stato il turno di Stefano Paggetti, Direttore Consorzio SIR Umbria, che ci ha illuminati sul software Open Source Libre Office e sull’attività del consorzio per convertire tutta la pubblica amministrazione in strumenti Open e Freeware! Vi basti pensare che la sola provincia di Perugia nell’anno 2012 ha risparmiato oltre 280mila euro con la conversione da Microsoft Office a Libre Office!

Massimiliano Pippi, membro dell’associazione Tinker Garage, ci ha presentato Arduino! Arduino come tanti di voi sapranno è una piattaforma Open per la realizzazione di progetti elettronici, ha parlato di diversi progetti ormai diventati famosi come l’orologio Pebble, le stampanti 3D e i quadcopter! Per poi terminare con una bellissima dimostrazione pratica, uno smartphone Android che tramite WiFi controlla una scheda Arduino per pilotare lampade o ventilatori…un bellissimo progetto di domotica!

La mattinata si è conclusa con il talk di Peppe De Ninno, Professore Liceo Scientifico Majorana Orvieto, sul montaggio dei video grazie a Linux! Un mondo assolutamente sconosciuto per me, ma ho appreso che grazie al software Kdenlive è veramente immediato montare un video…ma ci vuole anche un po’ di vena creativa…e al professore di certo non manca! 🙂

Concluso il Diario di Viaggio voglio rendere partecipi anche tutti voi che non siete potuti venire al Linux Day, in tanti su Twitter mi chiedete il video e le slide della presentazione! Per ora vi accontento con le slide e con qualche foto scattata durante la mattinata, il video della mia presentazione è stato girato ma ancora deve essere caricato e non appena verrà reso disponibile aggiornerò questo articolo!

Slide

Le slide sono disponibili su SlideShare.

Foto

Video

N.B. Questa è una prima bozza incompleta, l’Orvieto Lug quando prima caricherà il video integrale ed in alta definizione. Provvederò ad aggiornare l’articolo non appena disponibile.

Ringraziamenti

Concludo questo diario di viaggio ringraziando l’associazione Lug di Orvieto che con molto calore mi ha invitato al Linux Day, l’Istituto Scientifico E. Majorana per la disponibilità dei locali, tutto il team e gli altri relatori che hanno reso unica la giornata…per non dimenticare il caloroso pubblico!!

Ed infine un ringraziamento alla mia fidanzata per il servizio fotografico 🙂