SlideShare une entreprise Scribd logo

Smau Milano 2011 Alessio Pennasilico - tecnologia

SMAU
SMAU

L'approccio malizioso alla tecnologia

Technologie
1  sur  66
Télécharger pour lire hors ligne
L’approccio malizioso alla tecnologia Alessio L.R. Pennasilico mayhem@alba.st twitter: mayhemspp FaceBook: alessio.pennasilico
Alessio L.R. Pennasilico Security Evangelist @ Board of Directors: Associazione Informatici Professionisti, CLUSIT Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, Hacker’s Profiling Project ! L’approccio malizioso mayhem@alba.st 2
Agenda Virtualizzazione VoIP Mobile L’approccio malizioso mayhem@alba.st 3
Budget? 81% delle intrusioni avvengono su reti che non sodisfano i requirement delle più diffuse norme/best practice / guidelines Gartner L’approccio malizioso mayhem@alba.st 4
IT Security... Un inutile impedimento che rallenta le comuni operazioni e danneggia il business? L’approccio malizioso mayhem@alba.st 5
IT Security... O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore? L’approccio malizioso mayhem@alba.st 6
Virtualizzazione
Classical threats Escape from VM diversi esempi nel tempo, ne vedremo altri in futuro :) L’approccio malizioso mayhem@alba.st 8
Confidenzialità posso clonare macchine accese e fare quello che voglio sui cloni? L’approccio malizioso mayhem@alba.st 9
Dormant VM outdated policy outdated signatures (AV, IPS) manipolabili? >;-) L’approccio malizioso mayhem@alba.st 10
Management VLAN Gli host/hypervisor si dicono diverse cose interessanti Dove facciamo passare il traffico “di servizio”? L’approccio malizioso mayhem@alba.st 11
Traffico di servizio accesso all’interfaccia amministrativa test reachability per HA vMotion iSCSI, NFS L’approccio malizioso mayhem@alba.st 12
Soluzioni? Dividere Filtrare Analizzare L’approccio malizioso mayhem@alba.st 13
disruption Cosa succede se rendo “irraggiungibili” gli IP monitorati per la gestione dell’HA? L’approccio malizioso mayhem@alba.st 14
Perchè intercettare / rallentare il traffico iSCSI / NFS storage in replica per HA/DR L’approccio malizioso mayhem@alba.st 15
Migration Manipolare le VM durante la migrazione? http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdf Jon Oberheide, Evan Cooke, Farnam Jahanian: Xensploit L’approccio malizioso mayhem@alba.st 16
Dubbi... traffico “trusted” tra datacenter per garantire la migration delle VM? Traffico protetto? Traffico Trusted / VPN come canale di accesso amministrativo? L’approccio malizioso mayhem@alba.st 17
Conclusioni Usare la virtualizzazione? Si, ma… Progettare, Documntare Dividere, Filtrare, Analizzare, Patchare L’approccio malizioso mayhem@alba.st 18
VoIP
L’approccio malizioso mayhem@alba.st 20
Accendo il telefono I telefoni IP, per funzionare, possono eseguire diverse azioni preliminari, vulnerabili a diversi attacchi: ✓ottengono l'indirizzo IP da un server DHCP ✓ottengono dal DHCP l'indirizzo di un TFTP server ➡ io sono il server DHCP, ti indirizzo al mio TFTP ✓scaricano il firmware dal TFTP server ➡ io sono il TFTP e ti do il mio firmware/configurazione ✓scaricano la configurazione dal TFTP server ➡ io leggo la configurazione dal server TFTP ✓si autenticano sul server VoIP ➡ sniffo, o mi fingo il PBX e forzo auth plain text L’approccio malizioso mayhem@alba.st 21
Man in the middle Tutti i protocolli/servizi utilizzati sono particolarmente vulnerabili ad una serie di attacchi MITM, essendo tutti protocolli che si basano su broadcast e su UDP non autenticato. L’approccio malizioso mayhem@alba.st 22
Attacco al DHCP Posso impersonare il server DHCP, ma devo fornire parametri di rete compatibili con la topologia per poter interagire con il device. Tra i parametri che invio vi è l’option 150, che specifica l’IP del server TFTP dal quale scaricare firmware e configurazione. L’approccio malizioso mayhem@alba.st 23
Il server TFTP Poter reindirizzare i telefoni su un server TFTP gestito dall’attaccante permette di danneggiare irreparabilmente il telefono, installare una backdoor o configurarlo a suo piacimento. L’approccio malizioso mayhem@alba.st 24
TFTP spoofing Nel caso non si riesca ad impersonare il server DHCP è sempre possibile tentare di impersonare il server TFTP, con tutte le conseguenze elencate precedentemente. L’approccio malizioso mayhem@alba.st 25
Attacco al server TFTP La configurazione dei telefoni viene spesso conservata sul server in formato XML. Conoscendo i nomi dei file è possibile, in alcuni casi, spacciarsi per il telefono e richiedere la propria configurazione, che comprende username e password. L’approccio malizioso mayhem@alba.st 26
Autenticazione del telefono Molto spesso l’autenticazione verso il server VoIP avviene in chiaro. Basterà quindi utilizzare uno dei diversi strumenti in grado di identificare le credenziali all’interno di un flusso di traffico, dopo esserci messi in grado di “sniffare” le connessioni. L’approccio malizioso mayhem@alba.st 27
Impersonare il VoIP PBX E’ possibile tentare di impersonare il server VoIP, per ricevere eventuali tentativi di autenticazione dei telefoni, forzando l’autenticazione in chiaro, al fine di avere le credenziali di accesso di tutti i telefoni dell’infrastruttura. L’approccio malizioso mayhem@alba.st 28
Il telefono in funzione Nel caso in cui nessuno degli attacchi sopra citati possa essere portato a termine, è sempre possibile lavorare sulle operazioni di gestione delle chiamate. L’approccio malizioso mayhem@alba.st 29
Chiamiamoci! Completato lo startup il telefono conversa con il server in merito al proprio stato ed allo stato delle chiamate (signaling). Quando si effettua una chiamata tra due telefoni, conclusa la fase iniziale di signaling, si instaura un flusso RTP tra gli end-point o tra ogni SIP-UA ed il proprio server VoIP. L’approccio malizioso mayhem@alba.st 30
Traffico in chiaro Il traffico di signaling e di RTP è spesso in chiaro. Questo consente di catturare ed analizzare tutti i dati che transitano all’interno di quei flussi dati. L’approccio malizioso mayhem@alba.st 31
RTP Il flusso RTP può essere tra ogni telefono ed il proprio server VoIP o direttamente tra i due telefoni una volta che il call-setup è stato completato. Questo è da tenere presente quando si disegna la rete, per garantire performance adeguate. L’approccio malizioso mayhem@alba.st 32
Testare l’infrastruttura
Ettercap #1 http://ettercap.sourceforge.net/ La suite per gli attacchi Man in the Middle. Multipiattaforma, da usare in console o in un windows manager, Ettercap permette di lanciare tutti quegli attacchi a Layer 2 che permettono di capire quanto la nostra rete switchata sia vulnerabile se non adeguatamente protetta. Keywords: arp spoofing, arp poisoning, hijacking, sniffing, decoding, dns spoofing, dos, flood. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 34
Ettercap #2 VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 35
Wireshark #1 http://www.wireshark.org/ Sniffer multipiattaforma, corredato di molti decoder, che lo mettono in grado di interpretare il traffico intercettato. Wireshark può interpretare tanto i flussi di signaling, quanto quelli RTP, ed estrarne tutte le informazioni necessarie per una successiva analisi. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 36
Wireshark #2 VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 37
Vomit http://vomit.xtdnet.nl/ Voice Over Misconfigured Internet Telephones, a partire dal file di dump creato da uno sniffer, in formato tcpdump, vomit crea un file audio contenente la conversazione VoIP transitata sulla rete monitorata. Supporta il protocollo MGCP con codec G.711 e funziona solo con Linux. ./vomit -r elisa.dump | waveplay -S 8000 -B 16 -C 1 VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 38
Oreka http://oreka.sourceforge.net/ Distribuito per Windows e Linux, supporta i protocolli di Cisco CallMananager, Lucent APX8000, Avaya, S8500, Siemens HiPath, VocalData, Sylantro, Asterisk SIP channel. Intercetta e registra le conversazioni basate su flussi RTP. Semplice, intuitivo, via web e con supporto per MySQL. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 39
SipSak #1 http://sipsak.org/ Si tratta del coltellino svizzero del VoIPAdmin. Permette di interagire con qualsiasi device SIP inviando traffico creato ad hoc per interagire con il server e verificare il suo comportamento in situazioni create da noi. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 40
SipSak #2 VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 41
Ohrwurm http://mazzoo.de/blog/2006/08/25#ohrwurm Il “verme delle orecchie” è un RTP fuzzer. Il suo scopo è testare l'implementazione del protocollo SIP del device verificato, inviando una enorme quantità di richieste con diverse combinazioni di parametri, più o meno sensati, allo scopo di individuare eventuali comportamenti anomali. Le anomalie riscontrate spesso si rivelano essere bug di implementazione. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 42
Smap http://www.wormulon.net/index.php?/archives/1125-smap-released.html Unendo nmap e SipSak otteniamo uno strumento in grado di rilevare i device SIP, dedurre di che marca e modello di device si tratta dal fingerprint e creare una mappa della rete analizzata. E' inoltre possibile interagire direttamente con il device, fingendosi un apparato SIP, per ottenere maggiori informazioni. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 43
SiVus http://www.vopsecurity.org/html/tools.html Si tratta di un SIP security scanner: verifica le caratteristiche del target dello scan rispetto ad un database di vulnerabilità conosciute. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 44
SIPVicious http://sipvicious.org/blog/ Suite che comprende uno scanner, un enumeratore ed un password cracker. Multipiattaforma, anche per MacOSX. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 45
Cain & Abel http://www.oxid.it/ VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 46
Altri strumenti Cain&Abel Packet Gen & Packet Scan RTP Flooder Shoot Invite flooder Sipness RTP injector Sipshare Sipscan Sip scenario reg. hijacker eraser/adder Siptest harness Fuzzy Packet Sipv6analyzer Iax Flooder Winsip Call Generator Cain & Abel Sipsim SipKill Mediapro SFTF Netdude VoIPong SipBomber SipP L’approccio malizioso mayhem@alba.st 47
Conclusioni Il VoIP può essere più sicuro della telefonia tradizionale. Questo tuttavia si ottiene attraverso una corretta progettazione, implementazione e verifica, seguendo alcune best practice, sia dal punto di vista tecnico che dal punto di vista della formazione. L’approccio malizioso mayhem@alba.st 48
Mobile
SmartPhone Più potente del mio vecchio PC Più banda di seabone 20 anni fa L’approccio malizioso mayhem@alba.st 50
Utenti mobili: i vantaggi Connesso Ovunque (Lavoro Ovunque) Ho tutto sempre con me Minori costi operativi L’abito talvolta FA il monaco Soddisfazione Relax Produttività .... L’approccio malizioso mayhem@alba.st 51
Utenti mobili e perimetro Dove sono? A Cosa accedono? Loro o mio il device? Come li riconosco? Che dati conservano? .... L’approccio malizioso mayhem@alba.st 52
3G + WiFi Posso diventare un punto di accesso (o di uscita) rispetto alla rete aziendale? (routing / testa di ponte) L’approccio malizioso mayhem@alba.st 53
RIM Blackberry Enterprise Server (BES) L’approccio malizioso mayhem@alba.st 54
Apple ed i dati in the cloud L’approccio malizioso mayhem@alba.st 55
Applicazioni Quante e quali applicazioni potrebbero fare quante e quali cose non volute? L’approccio malizioso mayhem@alba.st 56
Videogame con sorpresa L’approccio malizioso mayhem@alba.st 57
Fartdroid Quale security con 50.000 utenti che installano fartdroid? L’approccio malizioso mayhem@alba.st 58
iPhone Worm: Rickrolls Jailbreak di iPhone: qualcuno cambia la password di root? (Novembre 2009) L’approccio malizioso mayhem@alba.st 59
Esperimento Chi c’è nel vostro albergo? L’approccio malizioso mayhem@alba.st 60
Conclusioni
Conclusioni L’aumento di produttività che deriva dall’utilizzo di tecnologie che permettono di lavorare “mobile” è evidente L’aumento dei rischi per l’infrastruttura altrettanto L’approccio malizioso mayhem@alba.st 62
Conclusioni Mobile oggi è una esigenza imprescindibile Il dover gestire la sua sicurezza è altrettanto imprescindibile L’approccio malizioso mayhem@alba.st 63
Conclusioni
Conclusioni Rifiutare una tecnologia è pericoloso e controproducente Conoscerla e gestirla crea valore L’approccio malizioso mayhem@alba.st 65
These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution- ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :) Domande? Grazie per l’attenzione! Alessio L.R. Pennasilico mayhem@alba.st twitter: mayhemspp FaceBook: alessio.pennasilico

Recommandé

Smau Padova 2012 Alessio Pennasilico
Smau Padova 2012 Alessio PennasilicoSmau Padova 2012 Alessio Pennasilico
Smau Padova 2012 Alessio PennasilicoSMAU
 
Smau Bologna 2011 Antonio Mauro
Smau Bologna 2011 Antonio MauroSmau Bologna 2011 Antonio Mauro
Smau Bologna 2011 Antonio MauroSMAU
 
Cellulare Magazine: PrivateGSM e parli con tutti
Cellulare Magazine: PrivateGSM e parli con tuttiCellulare Magazine: PrivateGSM e parli con tutti
Cellulare Magazine: PrivateGSM e parli con tuttiPrivateWave Italia SpA
 
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIPSmau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIPAlessio Pennasilico
 
Technical Sheet - PrivateGSM VoIP
Technical Sheet - PrivateGSM VoIPTechnical Sheet - PrivateGSM VoIP
Technical Sheet - PrivateGSM VoIPPrivateWave Italia SpA
 
Smau Milano 2011 Raffaello Balocco
Smau Milano 2011 Raffaello BaloccoSmau Milano 2011 Raffaello Balocco
Smau Milano 2011 Raffaello BaloccoSMAU
 
Fatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un clickFatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un clickSMAU
 
Smau milano 2013 claudio gagliardini
Smau milano 2013 claudio gagliardiniSmau milano 2013 claudio gagliardini
Smau milano 2013 claudio gagliardiniSMAU
 

Recommandé

Smau Padova 2012 Alessio Pennasilico
Smau Padova 2012 Alessio PennasilicoSmau Padova 2012 Alessio Pennasilico
Smau Padova 2012 Alessio PennasilicoSMAU
 
Smau Bologna 2011 Antonio Mauro
Smau Bologna 2011 Antonio MauroSmau Bologna 2011 Antonio Mauro
Smau Bologna 2011 Antonio MauroSMAU
 
Cellulare Magazine: PrivateGSM e parli con tutti
Cellulare Magazine: PrivateGSM e parli con tuttiCellulare Magazine: PrivateGSM e parli con tutti
Cellulare Magazine: PrivateGSM e parli con tuttiPrivateWave Italia SpA
 
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIPSmau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIPAlessio Pennasilico
 
Technical Sheet - PrivateGSM VoIP
Technical Sheet - PrivateGSM VoIPTechnical Sheet - PrivateGSM VoIP
Technical Sheet - PrivateGSM VoIPPrivateWave Italia SpA
 
Smau Milano 2011 Raffaello Balocco
Smau Milano 2011 Raffaello BaloccoSmau Milano 2011 Raffaello Balocco
Smau Milano 2011 Raffaello BaloccoSMAU
 
Fatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un clickFatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un clickSMAU
 
Smau milano 2013 claudio gagliardini
Smau milano 2013 claudio gagliardiniSmau milano 2013 claudio gagliardini
Smau milano 2013 claudio gagliardiniSMAU
 
Smau milano 2013 francesco fullone
Smau milano 2013 francesco fulloneSmau milano 2013 francesco fullone
Smau milano 2013 francesco fulloneSMAU
 
Collaborative e social workspace. Quali opportunità da Unified Communication ...
Collaborative e social workspace. Quali opportunità da Unified Communication ...Collaborative e social workspace. Quali opportunità da Unified Communication ...
Collaborative e social workspace. Quali opportunità da Unified Communication ...SMAU
 
Cloud & Mobilità: i fattori di successo per la crescita e la competitività ...
Cloud & Mobilità: i fattori di successo per la crescita e la competitività ... Cloud & Mobilità: i fattori di successo per la crescita e la competitività ...
Cloud & Mobilità: i fattori di successo per la crescita e la competitività ...SMAU
 
Smau milano 2013 michele rispoli
Smau milano 2013 michele rispoliSmau milano 2013 michele rispoli
Smau milano 2013 michele rispoliSMAU
 
Smau Napoli 2013 - Mario Alovisi - Aism
Smau Napoli 2013 - Mario Alovisi - AismSmau Napoli 2013 - Mario Alovisi - Aism
Smau Napoli 2013 - Mario Alovisi - AismSMAU
 
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDESMAU
 
Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...
Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...
Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...SMAU
 
Laboratorio ICT & Professionisti
Laboratorio ICT & Professionisti Laboratorio ICT & Professionisti
Laboratorio ICT & Professionisti SMAU
 
Smau Roma 2012 Cavallaro
Smau Roma 2012 CavallaroSmau Roma 2012 Cavallaro
Smau Roma 2012 CavallaroSMAU
 
Smau milano 2013 premio egovernment
Smau milano 2013 premio egovernmentSmau milano 2013 premio egovernment
Smau milano 2013 premio egovernmentSMAU
 
Smau Milano 2011 - Smart City Venezia
Smau Milano 2011 - Smart City VeneziaSmau Milano 2011 - Smart City Venezia
Smau Milano 2011 - Smart City VeneziaSMAU
 
Smau milano 2013 alterna
Smau milano 2013 alternaSmau milano 2013 alterna
Smau milano 2013 alternaSMAU
 
Smau Milano 2011 - Smart City Bari
Smau Milano 2011 - Smart City BariSmau Milano 2011 - Smart City Bari
Smau Milano 2011 - Smart City BariSMAU
 
Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...
Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...
Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...SMAU
 
Smau Milano 2011 Lazzarini-Blundo
Smau Milano 2011 Lazzarini-BlundoSmau Milano 2011 Lazzarini-Blundo
Smau Milano 2011 Lazzarini-BlundoSMAU
 
16. Creazione collettiva
16. Creazione collettiva16. Creazione collettiva
16. Creazione collettivaRoberto Polillo
 
Informazione, comunicazione, media, internet, socisal network. ferrando
Informazione, comunicazione, media, internet, socisal network. ferrandoInformazione, comunicazione, media, internet, socisal network. ferrando
Informazione, comunicazione, media, internet, socisal network. ferrandoAlberto Ferrando
 
Regione Lazio: tagliamo gli sprechi, investiamo sui servizi
Regione Lazio: tagliamo gli sprechi, investiamo sui serviziRegione Lazio: tagliamo gli sprechi, investiamo sui servizi
Regione Lazio: tagliamo gli sprechi, investiamo sui serviziRegioneLazio
 
Guglielmo Minervini Presidente - Puglia 2020 #9
Guglielmo Minervini Presidente - Puglia 2020 #9Guglielmo Minervini Presidente - Puglia 2020 #9
Guglielmo Minervini Presidente - Puglia 2020 #9Open La politica fatta in casa
 
La comunità scolastica
La comunità scolasticaLa comunità scolastica
La comunità scolasticaAntonio Nini
 
Cheope
CheopeCheope
CheopeDavide Farris
 
ESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityAlessio Pennasilico
 

Contenu connexe

En vedette

Smau milano 2013 francesco fullone
Smau milano 2013 francesco fulloneSmau milano 2013 francesco fullone
Smau milano 2013 francesco fulloneSMAU
 
Collaborative e social workspace. Quali opportunità da Unified Communication ...
Collaborative e social workspace. Quali opportunità da Unified Communication ...Collaborative e social workspace. Quali opportunità da Unified Communication ...
Collaborative e social workspace. Quali opportunità da Unified Communication ...SMAU
 
Cloud & Mobilità: i fattori di successo per la crescita e la competitività ...
Cloud & Mobilità: i fattori di successo per la crescita e la competitività ... Cloud & Mobilità: i fattori di successo per la crescita e la competitività ...
Cloud & Mobilità: i fattori di successo per la crescita e la competitività ...SMAU
 
Smau milano 2013 michele rispoli
Smau milano 2013 michele rispoliSmau milano 2013 michele rispoli
Smau milano 2013 michele rispoliSMAU
 
Smau Napoli 2013 - Mario Alovisi - Aism
Smau Napoli 2013 - Mario Alovisi - AismSmau Napoli 2013 - Mario Alovisi - Aism
Smau Napoli 2013 - Mario Alovisi - AismSMAU
 
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDESMAU
 
Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...
Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...
Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...SMAU
 
Laboratorio ICT & Professionisti
Laboratorio ICT & Professionisti Laboratorio ICT & Professionisti
Laboratorio ICT & Professionisti SMAU
 
Smau Roma 2012 Cavallaro
Smau Roma 2012 CavallaroSmau Roma 2012 Cavallaro
Smau Roma 2012 CavallaroSMAU
 
Smau milano 2013 premio egovernment
Smau milano 2013 premio egovernmentSmau milano 2013 premio egovernment
Smau milano 2013 premio egovernmentSMAU
 
Smau Milano 2011 - Smart City Venezia
Smau Milano 2011 - Smart City VeneziaSmau Milano 2011 - Smart City Venezia
Smau Milano 2011 - Smart City VeneziaSMAU
 
Smau milano 2013 alterna
Smau milano 2013 alternaSmau milano 2013 alterna
Smau milano 2013 alternaSMAU
 
Smau Milano 2011 - Smart City Bari
Smau Milano 2011 - Smart City BariSmau Milano 2011 - Smart City Bari
Smau Milano 2011 - Smart City BariSMAU
 
Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...
Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...
Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...SMAU
 
Smau Milano 2011 Lazzarini-Blundo
Smau Milano 2011 Lazzarini-BlundoSmau Milano 2011 Lazzarini-Blundo
Smau Milano 2011 Lazzarini-BlundoSMAU
 
16. Creazione collettiva
16. Creazione collettiva16. Creazione collettiva
16. Creazione collettivaRoberto Polillo
 
Informazione, comunicazione, media, internet, socisal network. ferrando
Informazione, comunicazione, media, internet, socisal network. ferrandoInformazione, comunicazione, media, internet, socisal network. ferrando
Informazione, comunicazione, media, internet, socisal network. ferrandoAlberto Ferrando
 
Regione Lazio: tagliamo gli sprechi, investiamo sui servizi
Regione Lazio: tagliamo gli sprechi, investiamo sui serviziRegione Lazio: tagliamo gli sprechi, investiamo sui servizi
Regione Lazio: tagliamo gli sprechi, investiamo sui serviziRegioneLazio
 
La comunità scolastica
La comunità scolasticaLa comunità scolastica
La comunità scolasticaAntonio Nini
 

En vedette (20)

Smau milano 2013 francesco fullone
Smau milano 2013 francesco fulloneSmau milano 2013 francesco fullone
Smau milano 2013 francesco fullone
 
Collaborative e social workspace. Quali opportunità da Unified Communication ...
Collaborative e social workspace. Quali opportunità da Unified Communication ...Collaborative e social workspace. Quali opportunità da Unified Communication ...
Collaborative e social workspace. Quali opportunità da Unified Communication ...
 
Cloud & Mobilità: i fattori di successo per la crescita e la competitività ...
Cloud & Mobilità: i fattori di successo per la crescita e la competitività ... Cloud & Mobilità: i fattori di successo per la crescita e la competitività ...
Cloud & Mobilità: i fattori di successo per la crescita e la competitività ...
 
Smau milano 2013 michele rispoli
Smau milano 2013 michele rispoliSmau milano 2013 michele rispoli
Smau milano 2013 michele rispoli
 
Smau Napoli 2013 - Mario Alovisi - Aism
Smau Napoli 2013 - Mario Alovisi - AismSmau Napoli 2013 - Mario Alovisi - Aism
Smau Napoli 2013 - Mario Alovisi - Aism
 
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
 
Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...
Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...
Affetti, storie locali, tradizioni: sono poche le esperienze di tecnologie ap...
 
Laboratorio ICT & Professionisti
Laboratorio ICT & Professionisti Laboratorio ICT & Professionisti
Laboratorio ICT & Professionisti
 
Smau Roma 2012 Cavallaro
Smau Roma 2012 CavallaroSmau Roma 2012 Cavallaro
Smau Roma 2012 Cavallaro
 
Smau milano 2013 premio egovernment
Smau milano 2013 premio egovernmentSmau milano 2013 premio egovernment
Smau milano 2013 premio egovernment
 
Smau Milano 2011 - Smart City Venezia
Smau Milano 2011 - Smart City VeneziaSmau Milano 2011 - Smart City Venezia
Smau Milano 2011 - Smart City Venezia
 
Smau milano 2013 alterna
Smau milano 2013 alternaSmau milano 2013 alterna
Smau milano 2013 alterna
 
Smau Milano 2011 - Smart City Bari
Smau Milano 2011 - Smart City BariSmau Milano 2011 - Smart City Bari
Smau Milano 2011 - Smart City Bari
 
Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...
Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...
Laboratorio Innovazione e Product Lifecycle Management - Come progettare e re...
 
Smau Milano 2011 Lazzarini-Blundo
Smau Milano 2011 Lazzarini-BlundoSmau Milano 2011 Lazzarini-Blundo
Smau Milano 2011 Lazzarini-Blundo
 
16. Creazione collettiva
16. Creazione collettiva16. Creazione collettiva
16. Creazione collettiva
 
Informazione, comunicazione, media, internet, socisal network. ferrando
Informazione, comunicazione, media, internet, socisal network. ferrandoInformazione, comunicazione, media, internet, socisal network. ferrando
Informazione, comunicazione, media, internet, socisal network. ferrando
 
Regione Lazio: tagliamo gli sprechi, investiamo sui servizi
Regione Lazio: tagliamo gli sprechi, investiamo sui serviziRegione Lazio: tagliamo gli sprechi, investiamo sui servizi
Regione Lazio: tagliamo gli sprechi, investiamo sui servizi
 
Guglielmo Minervini Presidente - Puglia 2020 #9
Guglielmo Minervini Presidente - Puglia 2020 #9Guglielmo Minervini Presidente - Puglia 2020 #9
Guglielmo Minervini Presidente - Puglia 2020 #9
 
La comunità scolastica
La comunità scolasticaLa comunità scolastica
La comunità scolastica
 

Similaire à Smau Milano 2011 Alessio Pennasilico - tecnologia

ESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityAlessio Pennasilico
 
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMHackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMSimone Onofri
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureMarcoMarinello2
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorlaisit
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Simone Onofri
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Il tuo router è sicuro?
Il tuo router è sicuro?Il tuo router è sicuro?
Il tuo router è sicuro?NaLUG
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Codemotion
 
Mobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoMobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoAlfredo Morresi
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Massimo Chirivì
 

Similaire à Smau Milano 2011 Alessio Pennasilico - tecnologia (20)

Cheope
CheopeCheope
Cheope
 
ESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)security
 
Sicurezza - VoIP
Sicurezza - VoIPSicurezza - VoIP
Sicurezza - VoIP
 
Internet (in)sicuro
Internet (in)sicuroInternet (in)sicuro
Internet (in)sicuro
 
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMHackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMM
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitor
 
Dark net.1203
Dark net.1203Dark net.1203
Dark net.1203
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 
Il tuo router è sicuro?
Il tuo router è sicuro?Il tuo router è sicuro?
Il tuo router è sicuro?
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
 
Mobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoMobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimento
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 
Secretbox Overview-V1
Secretbox Overview-V1Secretbox Overview-V1
Secretbox Overview-V1
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
 

Plus de SMAU

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...SMAU
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorSMAU
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
 

Plus de SMAU (20)

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
 

Dernier

Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Associazione Digital Days
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Associazione Digital Days
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Associazione Digital Days
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoQuotidiano Piemontese
 

Dernier (9)

Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 Torino
 

Smau Milano 2011 Alessio Pennasilico - tecnologia

  • 1. L’approccio malizioso alla tecnologia Alessio L.R. Pennasilico mayhem@alba.st twitter: mayhemspp FaceBook: alessio.pennasilico
  • 2. Alessio L.R. Pennasilico Security Evangelist @ Board of Directors: Associazione Informatici Professionisti, CLUSIT Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, Hacker’s Profiling Project ! L’approccio malizioso mayhem@alba.st 2
  • 3. Agenda Virtualizzazione VoIP Mobile L’approccio malizioso mayhem@alba.st 3
  • 4. Budget? 81% delle intrusioni avvengono su reti che non sodisfano i requirement delle più diffuse norme/best practice / guidelines Gartner L’approccio malizioso mayhem@alba.st 4
  • 5. IT Security... Un inutile impedimento che rallenta le comuni operazioni e danneggia il business? L’approccio malizioso mayhem@alba.st 5
  • 6. IT Security... O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore? L’approccio malizioso mayhem@alba.st 6
  • 8. Classical threats Escape from VM diversi esempi nel tempo, ne vedremo altri in futuro :) L’approccio malizioso mayhem@alba.st 8
  • 9. Confidenzialità posso clonare macchine accese e fare quello che voglio sui cloni? L’approccio malizioso mayhem@alba.st 9
  • 10. Dormant VM outdated policy outdated signatures (AV, IPS) manipolabili? >;-) L’approccio malizioso mayhem@alba.st 10
  • 11. Management VLAN Gli host/hypervisor si dicono diverse cose interessanti Dove facciamo passare il traffico “di servizio”? L’approccio malizioso mayhem@alba.st 11
  • 12. Traffico di servizio accesso all’interfaccia amministrativa test reachability per HA vMotion iSCSI, NFS L’approccio malizioso mayhem@alba.st 12
  • 13. Soluzioni? Dividere Filtrare Analizzare L’approccio malizioso mayhem@alba.st 13
  • 14. disruption Cosa succede se rendo “irraggiungibili” gli IP monitorati per la gestione dell’HA? L’approccio malizioso mayhem@alba.st 14
  • 15. Perchè intercettare / rallentare il traffico iSCSI / NFS storage in replica per HA/DR L’approccio malizioso mayhem@alba.st 15
  • 16. Migration Manipolare le VM durante la migrazione? http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdf Jon Oberheide, Evan Cooke, Farnam Jahanian: Xensploit L’approccio malizioso mayhem@alba.st 16
  • 17. Dubbi... traffico “trusted” tra datacenter per garantire la migration delle VM? Traffico protetto? Traffico Trusted / VPN come canale di accesso amministrativo? L’approccio malizioso mayhem@alba.st 17
  • 18. Conclusioni Usare la virtualizzazione? Si, ma… Progettare, Documntare Dividere, Filtrare, Analizzare, Patchare L’approccio malizioso mayhem@alba.st 18
  • 19. VoIP
  • 20. L’approccio malizioso mayhem@alba.st 20
  • 21. Accendo il telefono I telefoni IP, per funzionare, possono eseguire diverse azioni preliminari, vulnerabili a diversi attacchi: ✓ottengono l'indirizzo IP da un server DHCP ✓ottengono dal DHCP l'indirizzo di un TFTP server ➡ io sono il server DHCP, ti indirizzo al mio TFTP ✓scaricano il firmware dal TFTP server ➡ io sono il TFTP e ti do il mio firmware/configurazione ✓scaricano la configurazione dal TFTP server ➡ io leggo la configurazione dal server TFTP ✓si autenticano sul server VoIP ➡ sniffo, o mi fingo il PBX e forzo auth plain text L’approccio malizioso mayhem@alba.st 21
  • 22. Man in the middle Tutti i protocolli/servizi utilizzati sono particolarmente vulnerabili ad una serie di attacchi MITM, essendo tutti protocolli che si basano su broadcast e su UDP non autenticato. L’approccio malizioso mayhem@alba.st 22
  • 23. Attacco al DHCP Posso impersonare il server DHCP, ma devo fornire parametri di rete compatibili con la topologia per poter interagire con il device. Tra i parametri che invio vi è l’option 150, che specifica l’IP del server TFTP dal quale scaricare firmware e configurazione. L’approccio malizioso mayhem@alba.st 23
  • 24. Il server TFTP Poter reindirizzare i telefoni su un server TFTP gestito dall’attaccante permette di danneggiare irreparabilmente il telefono, installare una backdoor o configurarlo a suo piacimento. L’approccio malizioso mayhem@alba.st 24
  • 25. TFTP spoofing Nel caso non si riesca ad impersonare il server DHCP è sempre possibile tentare di impersonare il server TFTP, con tutte le conseguenze elencate precedentemente. L’approccio malizioso mayhem@alba.st 25
  • 26. Attacco al server TFTP La configurazione dei telefoni viene spesso conservata sul server in formato XML. Conoscendo i nomi dei file è possibile, in alcuni casi, spacciarsi per il telefono e richiedere la propria configurazione, che comprende username e password. L’approccio malizioso mayhem@alba.st 26
  • 27. Autenticazione del telefono Molto spesso l’autenticazione verso il server VoIP avviene in chiaro. Basterà quindi utilizzare uno dei diversi strumenti in grado di identificare le credenziali all’interno di un flusso di traffico, dopo esserci messi in grado di “sniffare” le connessioni. L’approccio malizioso mayhem@alba.st 27
  • 28. Impersonare il VoIP PBX E’ possibile tentare di impersonare il server VoIP, per ricevere eventuali tentativi di autenticazione dei telefoni, forzando l’autenticazione in chiaro, al fine di avere le credenziali di accesso di tutti i telefoni dell’infrastruttura. L’approccio malizioso mayhem@alba.st 28
  • 29. Il telefono in funzione Nel caso in cui nessuno degli attacchi sopra citati possa essere portato a termine, è sempre possibile lavorare sulle operazioni di gestione delle chiamate. L’approccio malizioso mayhem@alba.st 29
  • 30. Chiamiamoci! Completato lo startup il telefono conversa con il server in merito al proprio stato ed allo stato delle chiamate (signaling). Quando si effettua una chiamata tra due telefoni, conclusa la fase iniziale di signaling, si instaura un flusso RTP tra gli end-point o tra ogni SIP-UA ed il proprio server VoIP. L’approccio malizioso mayhem@alba.st 30
  • 31. Traffico in chiaro Il traffico di signaling e di RTP è spesso in chiaro. Questo consente di catturare ed analizzare tutti i dati che transitano all’interno di quei flussi dati. L’approccio malizioso mayhem@alba.st 31
  • 32. RTP Il flusso RTP può essere tra ogni telefono ed il proprio server VoIP o direttamente tra i due telefoni una volta che il call-setup è stato completato. Questo è da tenere presente quando si disegna la rete, per garantire performance adeguate. L’approccio malizioso mayhem@alba.st 32
  • 34. Ettercap #1 http://ettercap.sourceforge.net/ La suite per gli attacchi Man in the Middle. Multipiattaforma, da usare in console o in un windows manager, Ettercap permette di lanciare tutti quegli attacchi a Layer 2 che permettono di capire quanto la nostra rete switchata sia vulnerabile se non adeguatamente protetta. Keywords: arp spoofing, arp poisoning, hijacking, sniffing, decoding, dns spoofing, dos, flood. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 34
  • 35. Ettercap #2 VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 35
  • 36. Wireshark #1 http://www.wireshark.org/ Sniffer multipiattaforma, corredato di molti decoder, che lo mettono in grado di interpretare il traffico intercettato. Wireshark può interpretare tanto i flussi di signaling, quanto quelli RTP, ed estrarne tutte le informazioni necessarie per una successiva analisi. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 36
  • 37. Wireshark #2 VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 37
  • 38. Vomit http://vomit.xtdnet.nl/ Voice Over Misconfigured Internet Telephones, a partire dal file di dump creato da uno sniffer, in formato tcpdump, vomit crea un file audio contenente la conversazione VoIP transitata sulla rete monitorata. Supporta il protocollo MGCP con codec G.711 e funziona solo con Linux. ./vomit -r elisa.dump | waveplay -S 8000 -B 16 -C 1 VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 38
  • 39. Oreka http://oreka.sourceforge.net/ Distribuito per Windows e Linux, supporta i protocolli di Cisco CallMananager, Lucent APX8000, Avaya, S8500, Siemens HiPath, VocalData, Sylantro, Asterisk SIP channel. Intercetta e registra le conversazioni basate su flussi RTP. Semplice, intuitivo, via web e con supporto per MySQL. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 39
  • 40. SipSak #1 http://sipsak.org/ Si tratta del coltellino svizzero del VoIPAdmin. Permette di interagire con qualsiasi device SIP inviando traffico creato ad hoc per interagire con il server e verificare il suo comportamento in situazioni create da noi. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 40
  • 41. SipSak #2 VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 41
  • 42. Ohrwurm http://mazzoo.de/blog/2006/08/25#ohrwurm Il “verme delle orecchie” è un RTP fuzzer. Il suo scopo è testare l'implementazione del protocollo SIP del device verificato, inviando una enorme quantità di richieste con diverse combinazioni di parametri, più o meno sensati, allo scopo di individuare eventuali comportamenti anomali. Le anomalie riscontrate spesso si rivelano essere bug di implementazione. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 42
  • 43. Smap http://www.wormulon.net/index.php?/archives/1125-smap-released.html Unendo nmap e SipSak otteniamo uno strumento in grado di rilevare i device SIP, dedurre di che marca e modello di device si tratta dal fingerprint e creare una mappa della rete analizzata. E' inoltre possibile interagire direttamente con il device, fingendosi un apparato SIP, per ottenere maggiori informazioni. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 43
  • 44. SiVus http://www.vopsecurity.org/html/tools.html Si tratta di un SIP security scanner: verifica le caratteristiche del target dello scan rispetto ad un database di vulnerabilità conosciute. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 44
  • 45. SIPVicious http://sipvicious.org/blog/ Suite che comprende uno scanner, un enumeratore ed un password cracker. Multipiattaforma, anche per MacOSX. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 45
  • 46. Cain & Abel http://www.oxid.it/ VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 46
  • 47. Altri strumenti Cain&Abel Packet Gen & Packet Scan RTP Flooder Shoot Invite flooder Sipness RTP injector Sipshare Sipscan Sip scenario reg. hijacker eraser/adder Siptest harness Fuzzy Packet Sipv6analyzer Iax Flooder Winsip Call Generator Cain & Abel Sipsim SipKill Mediapro SFTF Netdude VoIPong SipBomber SipP L’approccio malizioso mayhem@alba.st 47
  • 48. Conclusioni Il VoIP può essere più sicuro della telefonia tradizionale. Questo tuttavia si ottiene attraverso una corretta progettazione, implementazione e verifica, seguendo alcune best practice, sia dal punto di vista tecnico che dal punto di vista della formazione. L’approccio malizioso mayhem@alba.st 48
  • 50. SmartPhone Più potente del mio vecchio PC Più banda di seabone 20 anni fa L’approccio malizioso mayhem@alba.st 50
  • 51. Utenti mobili: i vantaggi Connesso Ovunque (Lavoro Ovunque) Ho tutto sempre con me Minori costi operativi L’abito talvolta FA il monaco Soddisfazione Relax Produttività .... L’approccio malizioso mayhem@alba.st 51
  • 52. Utenti mobili e perimetro Dove sono? A Cosa accedono? Loro o mio il device? Come li riconosco? Che dati conservano? .... L’approccio malizioso mayhem@alba.st 52
  • 53. 3G + WiFi Posso diventare un punto di accesso (o di uscita) rispetto alla rete aziendale? (routing / testa di ponte) L’approccio malizioso mayhem@alba.st 53
  • 54. RIM Blackberry Enterprise Server (BES) L’approccio malizioso mayhem@alba.st 54
  • 55. Apple ed i dati in the cloud L’approccio malizioso mayhem@alba.st 55
  • 56. Applicazioni Quante e quali applicazioni potrebbero fare quante e quali cose non volute? L’approccio malizioso mayhem@alba.st 56
  • 57. Videogame con sorpresa L’approccio malizioso mayhem@alba.st 57
  • 58. Fartdroid Quale security con 50.000 utenti che installano fartdroid? L’approccio malizioso mayhem@alba.st 58
  • 59. iPhone Worm: Rickrolls Jailbreak di iPhone: qualcuno cambia la password di root? (Novembre 2009) L’approccio malizioso mayhem@alba.st 59
  • 60. Esperimento Chi c’è nel vostro albergo? L’approccio malizioso mayhem@alba.st 60
  • 62. Conclusioni L’aumento di produttività che deriva dall’utilizzo di tecnologie che permettono di lavorare “mobile” è evidente L’aumento dei rischi per l’infrastruttura altrettanto L’approccio malizioso mayhem@alba.st 62
  • 63. Conclusioni Mobile oggi è una esigenza imprescindibile Il dover gestire la sua sicurezza è altrettanto imprescindibile L’approccio malizioso mayhem@alba.st 63
  • 65. Conclusioni Rifiutare una tecnologia è pericoloso e controproducente Conoscerla e gestirla crea valore L’approccio malizioso mayhem@alba.st 65
  • 66. These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution- ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :) Domande? Grazie per l’attenzione! Alessio L.R. Pennasilico mayhem@alba.st twitter: mayhemspp FaceBook: alessio.pennasilico