Basta hacker in TV!

1. Basta Hacker in TV!
Alessio L.R. Pennasilico
mayhem@alba.st
twitter: mayhemspp
FaceBook/linkedin: alessio.pennasilico

2. $whois -=mayhem=-
Security Evangelist @
Committed:
AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza Informatica
Italian Linux Society, Sikurezza.org, AIP/OPSI
Hacker’s Profiling Project, CrISTAL
!
Basta hacker in TV! mayhem@alba.st 2

3. Mia nonna diceva...
Non credere a tutto quel che vedi in televisione...
Basta hacker in TV! mayhem@alba.st 3

4. Hacker?
Basta hacker in TV! mayhem@alba.st 4

5. La tecnologia dei desideri...
Basta hacker in TV! mayhem@alba.st 5

6. Manca il realismo
Basta hacker in TV! mayhem@alba.st 6

7. Attenti alle citazioni...
Basta hacker in TV! mayhem@alba.st 7

8. Anonimizzare le informazioni
Basta hacker in TV! mayhem@alba.st 8

9. Prassi...
Basta hacker in TV! mayhem@alba.st 9

10. Prassi...
Basta hacker in TV! mayhem@alba.st 10

11. Forenser?
Basta hacker in TV! mayhem@alba.st 11

12. Reagire “velocemente”
Basta hacker in TV! mayhem@alba.st 12

13. Le origini
Basta hacker in TV! mayhem@alba.st 13

14. Visualroute?
Chi di voi lo usa per determinare la sorgente
di un attacco?
Basta hacker in TV! mayhem@alba.st 14

15. Zoom?
Basta hacker in TV! mayhem@alba.st 15

16. Zoomare con iPhone...
Basta hacker in TV! mayhem@alba.st 16

17. Castle
Basta hacker in TV! mayhem@alba.st 17

18. Le origini
Basta hacker in TV! mayhem@alba.st 18

19. Rubare con NFC
Basta hacker in TV! mayhem@alba.st 19

20. Person of Interest
Basta hacker in TV! mayhem@alba.st 20

21. I social network
Basta hacker in TV! mayhem@alba.st 21

22. Il più realistico?
Basta hacker in TV! mayhem@alba.st 22

23. Wardialing
Basta hacker in TV! mayhem@alba.st 23

24. Mai parlare della backdoor!
Basta hacker in TV! mayhem@alba.st 24

25. Gli hacker sono sexy?
Basta hacker in TV! mayhem@alba.st 25

26. Matrix Reloaded
Basta hacker in TV! mayhem@alba.st 26

27. Phisical Security
Basta hacker in TV! mayhem@alba.st 27

28. nmap
Basta hacker in TV! mayhem@alba.st 28

29. SSHv1 CRC32
Basta hacker in TV! mayhem@alba.st 29

30. La realtà?
Basta hacker in TV! mayhem@alba.st

31. SQL Injection
Video su SQL Injection
Video su SQL Injection
Basta hacker in TV! mayhem@alba.st 31

32. Altri rischi?
Posso interrogare il DB e ottenere tutti i dati
contenuti:
'
UNION
ALL
SELECT
NULL,username,password,NULL
FROM
utenti
WHERE
'x'='x
Basta hacker in TV! mayhem@alba.st 32

33. Password in cleartext
Basta hacker in TV! mayhem@alba.st 33

34. Come mi proteggo?
Evito di processare i caratteri speciali come ‘
Prevedo il processo che si chiama
“normalizzare l’input”
Basta hacker in TV! mayhem@alba.st 34

35. Esempio
$user=mysql_escape_string($_POST['user']);
$password=mysql_escape_string($_POST['password']);
$query="SELECT
*
FROM
Users
WHERE
username='$user'
AND
password='$password';
Basta hacker in TV! mayhem@alba.st 35

36. Cross site scripting
Video su XSS
Basta hacker in TV! mayhem@alba.st 36

37. Lieto fine?
Basta hacker in TV! mayhem@alba.st 37

38. Conclusioni
Basta hacker in TV! mayhem@alba.st

39. Tecnologia aliena?
Basta hacker in TV! mayhem@alba.st 39

40. Cosa dobbiamo affrontare?
Rischi
reali, concreti
semplici da trasformare in incidenti
alta probabilità di conversione in incident
grande impatto sul business
Basta hacker in TV! mayhem@alba.st 40

41. Cosa fare?
Rischi
facili da prevenire
difficili da mitigare a posteriori
Basta hacker in TV! mayhem@alba.st 41

42. Security by Design
Se costruisco una casa
senza progettare
uscite di sicurezza
costruirle a lavori finiti
sarà disastroso
Basta hacker in TV! mayhem@alba.st 42

43. These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-
ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)
Domande?
Grazie per l’attenzione!
Alessio L.R. Pennasilico
mayhem@alba.st
twitter: mayhemspp
FaceBook/linkedin: alessio.pennasilico