Swascan vs IoT - PPT per Soiel By Cristiano Cafferata 25 minuti di ragionamenti su cosa è successo e cosa potrebbe succedere, al fine di evitarlo.

1. Cristiano Cafferata
Business Developer

2. Cristiano Cafferata: Oggi Business Developer di SWASCAN, consulente dedicato alla
formazione ed alla progettazione di reti sicure, Cristiano “N0F3@r”
Cafferata arrivò in SonicWALL nel 2003 dopo diversi anni di esperienza in
ISP e system integrators vari dove ha sempre scelto di ricoprire un ruolo
“flessibile”, networking, sviluppo di business, creazione di soluzioni ad
hoc e problem solving per i clienti ma soprattutto ottimizzazione e
securizzazione delle reti assieme a progettazione ed analisi economica.
Fedele a RedHat, Cisco e SonicWALL è cresciuto “night&day” come un
equilibrista tra la forte componente tecnica ed una spiccata abilità
commerciale. Non ha mai smesso di lavorare sul fronte tecnico neppure
quando nel 2009 è stato confermato Country Manager di SonicWALL
Italia, ruolo nel quale ha potuto fare crescere la country, inclusi il canale e
la distribuzione, in modo esponenziale. Dimostra una grande passione per
l’integrazione e lo sviluppo di nuove tecnologie allo scopo di migliorare
l'esperienza di lavoro e la sicurezza dei propri clienti.
The First Testing
Cyber Security Platform
Cloud or On Premise Platform
Buongiorno.
cc@swascan.com
+39.333.2735518
Linkedin Me

3. Swascan è la Cyber Security Company nata nel
2016 da Raoul Chiesa e Pierguido Iezzi.
È la prima azienda di Cyber Security Italiana
proprietaria di una piattaforma di Cyber Security
testing e di un centro di Cyber Security Research.
Premiata da Cisco come piattaforma di Cyber
Security, è l’unica al mondo in grado di poter
vantare il riconoscimento di «in collaboration
with Cisco»
È stata stata indicata da Il Sole 24ore e da ECSO,
rispettivamente, tra le eccellenze Cyber Security
Italiane e tra le 20 migliori aziende Cyber di
Security Europee. ECSO stessa ha scelto Swascan
nel suo Cyber Security Market Radar 2019 come
leading provider di soluzioni Cyber
Markets & Markets ha selezionato Swascan tra le
20 Aziende più promettenti al mondo per l’analisi
del Rischio Tecnologico.
CyberSecurity Expert
Cyber Tech GeekSerial Entrepreneur
Ethical Hacker
Pierguido Iezzi
Riccardo PagliaSara Colnago
Raoul Chiesa
Chi siamo

4. Cos’é Swascan ?
Identifica, analizza e risolve le criticità, problematiche e
vulnerabilità di Sicurezza Informatica degli asset Aziendali a
livello di:La prima suite interamente in
Cloud e OnPremise
che permette di:
Siti Web Applicazioni web Mobile App Network
Cyber Research Team:
Vulnerability Disclosure
Il Cyber Research Team di Swascan ha scoperto le vulnerabilità di Adobe Sandbox di Microsoft, Lenovo, Huawei, Nokia, Sap, GoToMeeting e Apple.
1
2
ANALIZZARE
RISOLVERE
IDENTIFICARE
Scopri di più Scopri di più Scopri di più Scopri di più
Scopri di più Scopri di più Scopri di più Scopri di più

5. Rischi informatici …
In un mondo Connesso

6. Un mondo SMART
Internet
of things
Traffic
Management
Smart
Health
Education
Intelligent
Shopping
Air
Pollution
Open
Data
Electromagnetic
Emissions
Smart
Buildings
Smart
Environment
Smart
Home
Smart
Street light
Waste
Management
Eletric
Vehicle Charging
Smart
Parking
Water
Quality
Smart
Energy
Gas & water
Leak detection
Public
Satefy

7. Industrial Revolution
Transforming industries and innovation
INDUSTRY 1.0
Mechanization, steam
power, weaving loom
1784
INDUSTRY 2.0
Mass production assembly
line.
Electrical energy
1870
INDUSTRY 3.0
Automation, computers and
electronics
1969
INDUSTRY 4.0
Cyber Physical Systems,
Internet of things, networks
TODAY

8. Industrial Automation

12. A thermometer in a lobby aquarium ( 2018 )
It always seems that casinos are some of the most secure organizations in the world, but they can be hacked as well. A few
years ago, a group of hackers used a rather unconventional method to break into a casino. They managed to access its
network via an internet-connected thermometer in an aquarium and extract its high-roller database with all sensitive details.
Parents nightmare: hacked baby monitor
Baby monitors started as simple one-way radio transmitters and evolved into sophisticated Wi-Fi-enabled smart devices with
cameras, infrared vision, and other features. However, as everything IoT, those devices can be hacked as well. Late last year, a
family from the US experienced a real nightmare. A hacker got into the wireless camera system used to keep an eye on the
baby and threatened to kidnap him. This case is not an exception. There are several reported incidents of strangers’ voices
being heard over baby monitors.
Hackable sex toys
Last year, researchers from a tech firm SEC Consult announced that the private sex life of at least 50,000 users had been
exposed by a sex toy ‘Vibratissimo Panty Buster.’ Multiple vulnerabilities put at risk not only the privacy and data but also the
physical safety of the owners. All customers’ data was accessible via the internet in such a way that explicit images, chat logs,
sexual orientation, email addresses, and passwords were visible in clear text. But it’s not the worst part. The ‘Panty Buster’
toys could be hacked to remotely inflict sexual pleasure on victims without their consent.

13. A spy in your own home
Earlier this year, CNN managed to access a variety of camera feeds using a search engine for IoT devices Shodan. One of the
feeds showed a family in Australia and its daily routine, while other cameras captured a man in Moscow preparing his bed
and a woman in Japan feeding her cat. All of them seemed unaware of the fact they could be watched through a camera in
their own room. According to CNN, none of the cameras had had security checks and were open to anyone who knew the
right address.
Insecure home thermostats
In 2016, hackers left the residents of two apartment buildings in Lappeenranta, Finland in freezing cold for nearly a week by
launching a DDoS attack on their environmental control systems via thermostats. Because both the central heating and hot
water systems were attacked, the environmental systems were rebooted in their attempt to fight off the attack and got
stuck in an endless loop.

14. Hackable medical devices
In 2017, the US Food and Drug Administration (FDA) confirmed that St. Jude Medical’s implantable cardiac devices could be
easily hacked. Such devices are usually used to monitor patients’ heart functions and control heart attacks. However, due to
transmitter vulnerabilities, hackers could control shocks, administer incorrect pacing, and deplete the battery. And it’s not the
only time when the FDA issued similar warnings. Earlier this year a new alert was issued on the security of Medtronic insulin
pumps, which hackers could remotely access and control.
The spying doll Cayla
In 2017, Germany banned an interactive doll ‘My Friend Cayla’ because it contains a “concealed surveillance device.” According
to the researchers, hackers can use an insecure Bluetooth device installed in the toy to listen and talk while a child is playing
with it. This interactive doll opens ways for hackers to use its cameras and microphones to see and hear whatever Cayla does.
The Cayla companion app also encourages children to share their parents’ names, what schools they go to, and where they
live.
Backseat driver of your jeep
Back in 2015, a team of researchers was able to take total control of a Jeep SUV. By exploiting a firmware update vulnerability,
they hijacked the vehicle and made it speed up, slow down, and veer off the road – almost a scene from Fast and Furious.
Luckily, this time, it was a team of researchers and not a real hacker. Four years later, we are still dreaming about autonomous
cars and but many of the previous vulnerabilities still haven’t been addressed.

15. Smart TV Risk

16. Smart Car

17. Healthcare

18. Smart Car Risk

19. Perché ?
• CyberTerrorismo
• Cyberwarfare
• Spionaggio industriale
• Furto dei Dati
• Device da “reclutare” in Botnet
• Device da trasformare in mining per le criptovalute
• Storage di contenuti illegali
• Phishing
• Spam

20. L’80% delle applicazioni ha una Critical Vulnerablity

21. Aumento degli attacchi verso bersagli IoT

23. I Vettori di Attacco Ottobre 2019

24. I Principali bersagli ottobre 2019

25. Vulnerability Assessment e Network Scan
1. Riduco dell’80% il rischio di Cyber Attack
2. Sono GDPR Compliant: Analisi del Rischio Tecnologico
Perché?

28. Le funzionalità di Swascan
Vulnerability
Assessment
Network
Scan
Code
Review
GDPR
Assessment
Security Testing e Security Scan
su applicazioni Web per
l’identificazione delle vulnerabilità
Analisi vulnerabilità di applicazioni
terze che possano generare perdita
o accessi indesiderati alla Privacy dei
dati
Conformità al modello OWASP e
alle normative vigenti
Reporting
Generazione automatica di report
in pdf e csv.
Network Scan ha l’obiettivo di
effettuare lo scan delle
vulnerabilità di network e device e
suggerire come fixarle
Security Testing e Security Scan a
livello di Network
Verifica di conformità con la
normativa vigente
Controllo delle procedure interne
e policy aziendali
La Code Review fornisce
un’accurata analisi del codice
sorgente per identificare le
vulnerabilità
Test sulla vulnerabilità del codice
sorgente
Individuazione lacunosità ed
inefficienza
Identificazione delle aree
d’intervento
GDPR Self Assessment
Effettua l’analisi e fornisce il livello
di Compliance GDPR
GDPR Gap Analysis
Identifica le criticità e priorità di
intervento
Piano d’azione Determina le
attività di riposizionamento
Reporting
Generazione automatica di un
report pdf.
Domain threat
Intelligence
Reporting
Generazione automatica di un
report pdf.
La Domain Threat Intelligence
fornisce un accurata analisi delle
possibili minacce a cui è esposta la
tua azienda.
Individua le informazioni pubbliche
disponibili a livello OSINT e CLOSINT
relative ad un determinato target.
Fornisce un’actionable
intelligence: un’informazione,
contestualizzata, accurata e
predittiva per determinare l’
esposizione del target

29. Vulnerability Assessment
Web App Scan è il servizio automatizzato di Web
Vulnerability Scan. Il Tool di Vulnerability Assessment
Scanner che permette di identificare le vulnerabilità e
criticità di sicurezza di siti web e delle applicazioni Web.
L’analisi delle vulnerabilità ha lo scopo di quantificare i
livelli di rischio e indicare le azioni correttive e di
riposizionamento necessarie per il ripristino.
Web Application Scan
Identifica le vulnerabilità dei siti e delle applicazioni web.
Tra queste: SQL Injection, Cross-Site Scripting e molte altre.
Owasp
Garanzia di conformità al modello OWASP e alle normative
vigenti. Fornisce una analisi dei livelli di rischio unitamente
alle indicazioni per la risoluzione delle vulnerabilità.
Security Testing
Security Scan per applicazioni Web per l’identificazione
delle vulnerabilità.
Reporting
Generazione automatica di report in pdf e csv.

30. Network Scan
Network Scan è il servizio automatizzato di Network
Vulnerability Scan. Il servizio online di Network scanner
permette la scansione dell’infrastruttura e dei device per
identificare le vulnerabilità e criticità di sicurezza. L’ Analisi
delle vulnerabilità ha lo scopo di quantificare i livelli di
rischio e indicare le azioni correttive e di riposizionamento
necessarie per il ripristino.
Network Scan
Effettua il Vulnerability Scan delle vulnerabilità
di network e device e suggerisce come fixarle.
Security Testing
Security Scan delle infrastrutture informatiche.
Compliance
Verifica di conformità con la normativa vigente GDPR.
Fornisce una analisi dei livelli di rischio unitamente alle
indicazioni per la risoluzione delle vulnerabilità.
Reporting
Generazione automatica di report in pdf e csv.

31. Domain Threat Intelligence
Il Domain Threat Intelligence ha lo scopo e l’obiettivo di
individuare le eventuali informazioni pubbliche disponibili
a livello OSINT e CLOSINT relative ad un determinato
target. L’attività di Threat Intelligence viene effettuata
attraverso un processo di ricerca, individuazione e
selezione delle informazioni disponibili pubblicamente
relative al dominio di interesse
Threat Intelligence
L’attività di Domain Threat Intelligence viene effettuata su
target e identificavi digitali relativi agli Asset e alle email
compromesse. L’attività è condotta attraverso la ricerca,
individuazione e selezione delle informazioni disponibili
pubblicamente relativa a Dominio, sottodominio ed email
compromesse.
Osint & Closint
Il servizio non effettua alcun test di sicurezza sul target,
opera unicamente sulle informazioni raccolte a livello OSINT
e CLOSINT e disponibili sul Dark Web.
OSINT: Acronimo di Open Source Intelligence, si fa
riferimento al processo di raccolta d’informazioni attraverso
la consultazione di fonti di pubblico dominio definite anche
“fonti aperte“.
CLOSINT: Close Source Intelligence, processo di raccolta
d’informazioni attraverso consultazione di “fonti chiuse“,
non accessibili al pubblico o aree “riservate”.
Reporting
Reportistica dettagliata delle attività in formato PDF.

32. Method

33. Tra le 20 soluzioni
al mondo
Come Piattaforma di
CyberSecurity in Cloud
Digital Innovation
Per la Mobilità
Programma di accellerazione
2019
Top 20 Cyber Security
firms in Europe
Ecosystem
success story
Cyber security
excellence
Riconoscimenti

34. Diventa partner
I nostri Partner

35. Grazie.
Cristiano Cafferata: Oggi Business Developer di SWASCAN, consulente dedicato alla
formazione ed alla progettazione di reti sicure, Cristiano
“N0F3@r” Cafferata arrivò in SonicWALL nel 2003 dopo diversi
anni di esperienza in ISP e system integrators vari dove ha sempre
scelto di ricoprire un ruolo “flessibile”, networking, sviluppo di
business, creazione di soluzioni ad hoc e problem solving per i
clienti ma soprattutto ottimizzazione e securizzazione delle reti
assieme a progettazione ed analisi economica. Fedele a RedHat,
Cisco e SonicWALL è cresciuto “night&day” come un equilibrista
tra la forte componente tecnica ed una spiccata abilità
commerciale. Non ha mai smesso di lavorare sul fronte tecnico
neppure quando nel 2009 è stato confermato Country Manager di
SonicWALL Italia, ruolo nel quale ha potuto fare crescere la
country, inclusi il canale e la distribuzione, in modo esponenziale.
Dimostra una grande passione per l’integrazione e lo sviluppo di
nuove tecnologie allo scopo di migliorare l'esperienza di lavoro e
la sicurezza dei propri clienti.
The First Testing
Cyber Security Platform
Cloud or On Premise Platform
cc@swascan.com

36. Cristiano Cafferata
Business Developer