Post on 04-Jun-2015
description
Alessio L.R. Pennasilicomayhem@alba.sttwitter: mayhemsppFaceBook/linkedin: alessio.pennasilico
Basta Hacker in TV!
Basta hacker in TV! mayhem@alba.st
$whois -=mayhem=-
Committed: AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza InformaticaItalian Linux Society, Sikurezza.org, AIP/OPSI
Hacker’s Profiling Project, CrISTAL
2
!
Security Evangelist @
Basta hacker in TV! mayhem@alba.st
Non credere a tutto quel che vedi in televisione...
Mia nonna diceva...
3
Basta hacker in TV! mayhem@alba.st
La tecnologia dei desideri...
5
Basta hacker in TV! mayhem@alba.st
Manca il realismo
6
Basta hacker in TV! mayhem@alba.st
Attenti alle citazioni...
7
Basta hacker in TV! mayhem@alba.st
Anonimizzare le informazioni
8
Basta hacker in TV! mayhem@alba.st
Reagire “velocemente”
12
Basta hacker in TV! mayhem@alba.st
Visualroute?
Chi di voi lo usa per determinare la sorgente di un attacco?
14
Basta hacker in TV! mayhem@alba.st
Zoomare con iPhone...
16
Basta hacker in TV! mayhem@alba.st
Rubare con NFC
19
Basta hacker in TV! mayhem@alba.st
Person of Interest
20
Basta hacker in TV! mayhem@alba.st
I social network
21
Basta hacker in TV! mayhem@alba.st
Il più realistico?
22
Basta hacker in TV! mayhem@alba.st
Mai parlare della backdoor!
24
Basta hacker in TV! mayhem@alba.st
Gli hacker sono sexy?
25
Basta hacker in TV! mayhem@alba.st
Matrix Reloaded
26
Basta hacker in TV! mayhem@alba.st
Phisical Security
27
Basta hacker in TV! mayhem@alba.st
SQL Injection
Video su SQL Injection
31
Video su SQL Injection
Basta hacker in TV! mayhem@alba.st
Altri rischi?
Posso interrogare il DB e ottenere tutti i dati contenuti:
' UNION ALL SELECT NULL,username,password,NULL FROM utenti WHERE 'x'='x
32
Basta hacker in TV! mayhem@alba.st 33
Password in cleartext
Basta hacker in TV! mayhem@alba.st
Come mi proteggo?
Evito di processare i caratteri speciali come ‘
Prevedo il processo che si chiama “normalizzare l’input”
34
Basta hacker in TV! mayhem@alba.st
Esempio
$user=mysql_escape_string($_POST['user']);$password=mysql_escape_string($_POST['password']);
$query="SELECT * FROM Users WHERE username='$user' AND password='$password';
35
Basta hacker in TV! mayhem@alba.st 36
Video su XSS
Cross site scripting
Basta hacker in TV! mayhem@alba.st
Tecnologia aliena?
39
Basta hacker in TV! mayhem@alba.st
Cosa dobbiamo affrontare?
Rischi
reali, concretisemplici da trasformare in incidenti
alta probabilità di conversione in incidentgrande impatto sul business
40
Basta hacker in TV! mayhem@alba.st
Cosa fare?
Rischi
facili da preveniredifficili da mitigare a posteriori
41
Basta hacker in TV! mayhem@alba.st
Security by Design
Se costruisco una casasenza progettare
uscite di sicurezzacostruirle a lavori finiti
sarà disastroso
42
Alessio L.R. Pennasilicomayhem@alba.sttwitter: mayhemsppFaceBook/linkedin: alessio.pennasilico
Domande?
These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)
Grazie per l’attenzione!