Tutti i Talk ai quali ho partecipato con slide, video e foto.

, ,

Errori informatici da non commettere nel mondo lavorativo!

Il prossimo 25 Ottobre sarò ospite all’Università degli Studi Palermo che organizza un Seminario di Orientamento al Lavoro assieme a Calogero Bonasia e Denis Frati!

Il mio talk illustrerà ai ragazzi del Dipartimento di Matematica e Informatica quali errori informatici bisogna evitare nel mondo lavorativo e illustrare ovviamente qualche consiglio per non incappare in irrimediabili Epic Fail!

L’abstract del Talk è il seguente:

Quotidianamente il 46% della popolazione mondiale sfrutta Internet.
3,4 miliardi di persone che grazie a molteplici tecnici informatici riescono in tutta semplicità a socializzare, informarsi, giocare o lavorare.
Tecnici che hanno una grossa responsabilità sulle proprie spalle per evitare disastri che possano mettere a rischio la privacy degli utenti o dati sensibili governativi.
Partendo dal Data Leak di Ashley Madison che ha spinto diversi uomini al suicidio vedremo assieme i principali errori da non commettere nel mondo lavorativo e studieremo casi reali avvenuti negli ultimi anni.

L’evento si terrà il giorno 25/10/2017 dalle ore 14:30 alle ore 17:30 presso l’Aula 7 del Dipartimento di Matematica e Informatica, potete controllare tutti i dettagli sul Sito Ufficiale dell’Università.

Come di consueto pubblicherò le slide in questo articolo ad evento terminato 😉

, ,

Hacking Lab con ProxMox e Metasploitable

Il FabLab Bassa Romagna e ImoLUG hanno intrapreso un percorso di approfondimento su ProxMox, un progretto OpenSource basato sul sistema operativo Debian Linux per la virtualizzazione di sistemi operativi, incontrandosi ogni martedì per affrontare tematiche diverse.

Martedì 23 Maggio sarò ospite al FabLab Bassa Romagna per insegnare come è possibile creare un proprio Hacking Lab. Creare un laboratorio nella propria infrastruttura di rete permette di allenarsi in assoluta legalità sulle principali tecniche sfruttate nel mondo del Hacking.

Per creare il proprio laboratorio virtualizzeremo Metasploitable, una famosa distribuzione vulnerabile creata da Rapid7, ovviamente su ProxMox e sfrutteremo BackBox Linux per effettuare i test di Sicurezza Informatica.

Entrando più nel dettaglio sfrutteremo software come nmap, zenmap, dirsearch, sqlmap e metasploit. Analizzeremo le vulnerabilità Command Execution, SQL Injection, XSS Reflected, XSS Stored e magari anche altre in base al tempo rimasto.

L’incontro inizierà alle 20:30 del 23 Maggio 2017 presso la sede del FabLab Bassa Romagna, Via Vassura 16/F a Cotignola. È gradita la prenotazione tramite Doodle!

Per chi non riuscisse a venire da Mercoldì 24 troverà, in questo articolo, le slide dell’evento e forse anche uno screencasting!

[ AGGIORNAMENTO ]

Le slide sono disponibili su SlideShare, lo screencasting a breve…

,

HackInBo – Phishing one shot, Many victims!

 

L’ottava edizione di HackInBo si è conclusa da qualche ora e questa volta ho personalmente vissuto l’evento in maniera più intensa essendo io tra i relatori dell’evento, una bellissima emozione. Il mio talk affrontava i principali aspetti del Phishing con un focus preciso verso gli attacchi Italiani e una recente indagine delle Forze di Polizia che ha portato alla luce una frode di 1,8milioni di euro effettuata in poco più di 6 mesi ai danni di utenti di Poste Italiane.

Ma andiamo con ordine, io ho chiuso la giornata dei Talk, il primo relatore è stato Giovanni Mellini che ci ha spiegato come l’ENAV (Società nazionale per l’assistenza al volo) ha affrontato dal 2015 un percorso di ristrutturazione del SOC passando da una soluzione in outsourcing ad una gestita totalmente da personale interno fondato anche su tecnologie Open Source. Successivamente Valerio Costamagna ci ha illustrato come è possibile attraverso determinati approcci algoritmici agevolare e velocizzare la ricerca di vulnerabilità, con un esempio reale attraverso il codebase di Android. Roberto Clapis ha infine concluso mattinata mostrandoci le sue impressionati capacità con la programmazione mostrando ogni punto di debolezza, ma anche di forza, del linguaggio Go sviluppato da Google.

Nel primo pomeriggio la “Strana Coppia” composta da Andrea Pierini e Giuseppe Trotta ci hanno illustrato una campagna di Spear Phishing che hanno condotto per ottenere informazioni sensibili all’interno dell’azienda target partendo dallo Smartphone della Segretaria fino ad una escalation di privilegi che gli ha permesso di sottrarre file sensibili a livello aziendale. Successivamente Michele Spagnuolo ci ha dimostrato com’è possibile grazie ad un nuovo approccio strict-dynamic adottare un Content Security Policy in prodotti molto complessi come Gmail. Infine alle 16:00 è arrivato il mio personale turno prima di una calorosa tavola rotonda composta Giovanni Ziccardi, Alessio Pennasilico e da tutti noi relatori.

L’evento è stato arricchito da fiumi di birra artigianale al miele prodotta dal Birrificio Valsusa in collaborazione con l’onlus Educamente e dalla importantissima presenza della Onlus Non Basta un Sorriso che grazie a tutti i presenti ha potuto raccogliere 1710euro da destinare al progetto Elikia, aiuteranno due bambini Kibeni e Wumba ad avere cure garantite ancora per sei mesi. Entrambi i bambini, che frequentano la scuola materna gestita dalla Onlus, sono affetti da anemia falciforme, una malattia tremenda anche in Europa ma che in un Paese come la Repubblica Democratica del Congo è una condanna a una vita che si spegne intorno ai 18 anni tra sofferenze tremende.

L’evento è poi proseguito anche nella giornata del 7 Maggio con i Laboratori a numero chiuso, per accedere a tali laboratori bisognava competere in una CTF organizzata dal Team di Hacktive Security. I lab erano tre il primo condotto da Valerio permetteva ai partecipanti di analizzare le vulnerabilità su Android, Giovanni ha invece dimostrato come è possibile creare da zero un’applicazione, costruita su una istanza free del software SPLUNK Enterprise, per la gestione degli eventi di sicurezza di un generico SOC. Il terzo, nonché mio, laboratorio permetteva ai partecipanti di analizzare i kit di Phishing sfruttati quotidianamente dai Phisher, le tecniche per aggirare i filtri anti-spam e le black list dei browser.

Le mie slide sono già disponibili su SlideShare, per quanto riguarda il video bisogna attendere il prezioso lavoro che farà tutta la squadra dei video-maker. Ammetto che ero veramente emozionato e anche agitato 🙂 non avevo mai parlato davanti a quasi 500 persone, l’emozione come sentirete ha giocato brutti scherzi con qualche errore/imprecisione, Scusatemi! Le slide di tutti gli altri relatori le trovate sul sito ufficiale di HackInBo.

Concludo questo post ringraziando Mario, non solo per avermi invitato come relatore, ma per tutto l’impegno che ci mette nell’organizzare un evento così importante e BELLO! È fantastico trovarsi con tantissimi amici provenienti da tutto il mondo (sì, non sto scherzando) per due giornate di Hacking! Infine un grazie più che meritato va a tutta la squadra che supporta Mario nell’organizzazione dell’evento.

, ,

Una serata sul Phishing: Analisi, Simulazione e Contromisure

Venerdì 24 Febbraio al Forlì Linux User Group terrò un talk sul Phishing dove analizzerò il fenomeno sempre crescente del Phishing con una simulazione.

Tutti noi riceviamo almeno quotidianamente eMail (e non solo) con il chiaro intento di rubarci le credenziali di accesso alla nostra vita digitale, che sia il conto corrente online, piuttosto che l’account social e così via.
Questo è il phishing, una truffa che come ogni tecnologia umana si sta evolvendo e questa serata ha come obbiettivo quello di spiegare in maniera chiara e precisa che cos’è, come funziona e come possiamo difenderci.
Vedremo anche con esempi pratici, come già avvenuto per la serata sul penetration test, esattamente come si può svolgere una campagna di phishing, quali sono gli attori coinvolti, un esempio di infrastruttura e come poter tutelarci da questi attaccanti.

Di seguito il programma più dettagliato del talk:

  • Presentazione
  • Introduzione al Phishing:
  • Cos’è,
  • Dati Statistici,
  • Tecniche,
  • Simulazione mediante due tecniche:
    • via eMail di Phishing ai danni di un ente normalmente soggetto ad attacchi di Phishing,
    • via SMS di Phishing con dominio creato ad-hoc per rendere maggiormente credibile SMS,
  • Analisi dei dati acquisiti nella simulazione e non solo:
    • IP
    • User Agent
    • Localizzazione
    • Credenziali
    • ecc…
  • Contromisure
  • Conclusione

La serata è aperta a tutti e non servono conoscenze tecniche, basta solo molta curiosità.

Ci vediamo il 24 febbraio presso la sede del FoLUG, la partecipazione è gratuita ma è richiesto la registrazione all’evento da qui.

Per chi non dovesse riuscire ad essere presente verranno pubblicate da Sabato 25 le slide e uno screencasting dell’evento.

Slide e Video

Le slide della serata sono disponibili qui: https://www.slideshare.net/drego85/phishing-analisi-simulazione-e-contromisure

,

[AGGIORNATO] #LinuxDay2016 vi aspetto a Bologna!

linuxday2016_pagina_01

 

Quest’anno sarò presente al Linux Day 2016 di Bologna, organizzato dall’ERLUG (Emilia Romagna Linux User Group) farò un breve talk di circa 20 minuti nel pomeriggio.

Il titolo del Talk sarà “Coding for Hackers” dove illustrerò le motivazioni che portano un utente a scrivere codice e farò un breve accenno sui principali software scritti in Python per il mondo Hacking.

Per chi fosse nei paraggi vi aspetto 😉 per tutti i dettagli potete consultare il sito ufficiale.

Le slide sono disponibili su SlideShare, di seguito una galleria fotografica di esse:

Questo slideshow richiede JavaScript.

 

,

RaspiBO Talk: Simulazione di un Penetration Test

RaspiBO Simulazione di un Penetration Test

 

Visto l’inaspettato successo del precedente Talk a FoLUG, Mario Anglani che tutti conoscerete per la magistrale organizzazione dell’HackInBo mi ha chiesto di ripetere il talk al RaspiBO di Bologna il prossimo 23 Febbraio 2016.

Martedì sera riprenderò i temi già trattati a Forlì con una simulazione in tempo reale di un Penetration Test in modalità Capture the Flag, ho optato per una variante in stile CTF per rendere l’evento più interattivo e coinvolgere al meglio tutti i partecipanti così da sfruttare il nostro intelletto per carpire importanti dettagli e/o vulnerabilità.

Il sistema target che andremo ad attaccare durante la serata presenta diverse vulnerabilità, ognuna di essere ci permetterà di scoprire le cinque fasi principali di un Penetration Test:

  • Information Gathering;
  • Vulnerability Assessment;
  • Exploitation;
  • Privilege Escalation;
  • Maintaining Access.

Attraverso la distribuzione BackBox Linux attaccheremo in tempo reale il sistema target, inizialmente raccoglieremo informazioni importanti sul nostro obiettivo, successivamente individueremo e sfrutteremo le vulnerabilità e infine scaleremo i privilegi per ottenere i permessi di root e catturare la bandiera 😉

L’evento si terrà presso il Makerspace di RaspiBO, Casalecchio via Canonica 18 , alle 21 circa. Vi consiglio di guardare il sito ufficiale per qualsiasi ulteriore indicazione e di iscrivervi su Eventbrite se vorrete partecipare.

Vi aspetto martedì sera 😉


Di seguito il video integrale, mentre le slide sono disponibili su SlideShare.

 

 

,

11 Dicembre al FoLUG terrò una Simulazione di Penetration Test con BackBox!

FoLug_11_Dicembre_2015

 

Venerdì 11 Dicembre presso il Forlì Linux Group terrò uno Speech su BackBox Linux, assieme al direttivo del FoLUG ho deciso di dimostrare le potenzialità di BackBox attraverso una Simulazione Live di Penetration Test.

In un evento che durerà circa 2ore dimostrerò le cinque fasi principali di un Penetration Test:

 

  • Information Gathering;
  • Vulnerability Assessment;
  • Exploitation;
  • Privilege Escalation;
  • Maintaining Access.

Sfrutterò dei software preinstallati in BackBox e vulnerabilità note per attaccare un Server Web basato su Ubuntu Linux. Dimostrerò quindi come è possibile usare nmap per scansione le porte, dirs3ach per ricercare applicativi web non indicizzati dai motori di ricerca, sqlmap per cercare e sfruttare vulnerabilità di tipo SQL Injection, Metasploit per attaccare un servizio presente sulla macchina target, effettuare un escalation dei privilegi sfruttando una vulnerabilità del Kernel e infine weevely per caricare una backdoor per mantenere attivo l’accesso sul target.

L’evento si terrà alla sera, alle 21:30 circa direttamente nella sede del FoLUG. Vi consiglio di guardare il sito ufficiale del LUG all’inizio della prossima settimana per conoscere gli orari esatti, non è che detto che ci sia anche un pre-ritrovo per chi vuol cenare in compagnia.

 

,

#OpenSourceDay 2015, vi aspetto a Udine Sabato 28 Novembre!

Open Source Day 2015

Sabato 28 Novembre 2015 sarò lieto, per la prima volta in questo evento che viene organizzato da ormai 6 anni, di essere un relatore dell’Open Source Day a Udine!

Un talk della durata di 45 Minuti presenterò il progetto BackBox Linux e tramite Metasploit effettuerò una simulazione di attacco ad un Server Web sfruttando la vulnerabilità Shellshock!

Il 2014 è stato un periodo nero per la sicurezza informatica dei sistemi Linux e non solo, l’anno  si è aperto con la vulnerabilità HeartBleed che ha afflitto la libreria OpenSSL e successivamente è stata individuata una importante falla nella shell Bash. Questa vulnerabilità permette ad un utente malintenzionato di eseguire comandi arbitrari, comandi che possono permettere ad un utente malintenzionato di ottenere l’accesso non autorizzato ad un sistema informatico.
I principali aggressori hanno sfruttato la vulnerabilità già poche ore dopo la sua pubblicazione per creare Botnet con i server vulnerabilità; Yahoo è stata una delle grandi vittime di questo exploit.

Vi aspetto quindi Sabato 28 Novembre, per chi volesse vedere l’agenda della giornata piena di eventi e talk vi rimando al sito ufficiale!

Ora, per chi mi segue live, vi consiglio di guardare il Pirate’s Night Show di stasera con Stefano Zanero e Automated Malware Analysis!


AGGIORNAMENTO: Le slide sono disponibili su SlideShare e il video dimostrativo di seguito

,

Pirate’s Night Show – Stasera vi aspetto!

Pirate's Night Show

Fra poco meno di 4 ore sarò ospite al Pirate’s Night Show, vi aspetto alle 21:30 su YouTube!

Il talk show Pirate’s Night ideato da Andrea Amani (Pinperepette) con la partecipazione di Paolo Stagno (VoidSec) e Daniele Ilardo è ormai un appuntamento fisso in streaming su YouTube tutti i Martedì sera dalle 21.30.

La puntata di stasera è incentrata sulle principali distribuzioni di Penetration Testing e Computer Forensics Italiane, personalmente con Raffaele Forte sono chiamato a rappresentare BackBox Linux la nostra “creatura” che dal 2010 sviluppiamo quotidianamente. Ci affiancherà Lorenzo Faletra di Parrot Security e Nanni Bassetti con la sua distribuzione CAINE.

Alle 21:30 😉


,

Linux Day 2015, ci vediamo ad Orvieto? Parlerò di Phishing!

Linux Day 2015

Sabato 24 ottobre sarò nuovamente ospite dell’Orvieto LUG per il Linux Day 2015, il tema di quest’anno che ho deciso di trattare è il Phishing! Grazie alla collaborazioni con il D3Lab porterò dati realistici sul Phishing Italiano!

Quotidianamente sfruttiamo computer o smartphone per rimanere interconnessi con il mondo digitale. Online condividiamo i nostri stati d’animo, gestiamo i conti bancari, facciamo acquisti, studiamo e lavoriamo. Viviamo in una società digitale che offre enormi vantaggi, ma nasconde anche pericolose trappole. Ogni volta che sfruttiamo una comunicazione digitale rischiamo che ci vengano sottratte informazioni, segreti, soldi e la nostra identità. Il phishing è una truffa dove un malintenzionato cerca di ingannare la vittima convincendola a fornire credenziali d’accesso, dati finanziari o informazioni personali. Si tratta di una attività illegale che sfrutta l’ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate. In prevalenza è una truffa eseguita usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Il programma della mattinata è molto intenso, 6 Talk della durata di 30 minuti l’uno ci parleranno di Programmazione, Open Source nella PA, Sicurezza Informatica, Anonimia con Linux, Musica e le basi dell’amato pinguino! Nel pomeriggio invece Laboratori tematici ed installazioni Linux anche su Raspberry Pi!

Se qualcuno vuole venirmi a salutare e a fare due o tre chiacchiere sulla Sicurezza Informatica può registrarsi su EventBrite mentre per tutti i dettagli sulla location, orari, ecc vi lascio il sito ufficiale dell’evento.

Vi aspetto!


AGGIORNAMENTO: Le slide dell’evento sono disponibili su SlideShare