OWASP Day IV – Milano 6 Novembre

OWASP organizza il prossimo 6 Novembre a Milano la IV edizione dell’OWASP Day. Speaker d’eccezione tratteranno le nuove tematiche di Web Application Security per una delle più rinomate e attese conferenze di Information Security sul territorio nazionale.

In questa occasione CIO, CTO, CISO, Auditor, Responsabili IT, Security Manager e responsabili della Security Governance avranno l’occasione di aggiornarsi sull’evoluzione della sicurezza applicativa e sulle nuove iniziative di Software Security presenti nel panorama internazionale.

Informazioni e pre-bopoking all’evento: http://www.owasp.org/index.php/Italy_OWASP_Day_4

Ci sarò!

 

Dopo tanto tempo

Dopo tanto tempo mi trovo a scrivere su questo spazio; è passato più di un mese dall’ultimo post pubblicato.

Causa di tutto questo gli impegni che, dalla fine dell’estate, hanno avuto un impennata esponenziale. Solo ultimamente riesco ad organizzare il (poco) tempo libero in maniera ottimale.

Nel frattempo si è svolto anche l’ESC e l’hackit_07.
Andiamo con ordine: all’ESC ho parlato di “GoogleTistic e WordPressTistic” insieme a Matteo Flora, non posso negare che è stata una bella esperienza e spero che abbia seguito a prossime manifestazioni: stay tuned. Le slides verranno pubblicate a breve.
Essendo la mia prima presenza a questa manifestazione non posso fare considerazioni, ma per quel poco che sono stato ho apprezzato l’atmosfera dell’hackIT_07: organizzazione, voglia di sperimentare e sopratutto non mi sembra di aver notato dei montati. Stando alle cronache dell’anno passato, quest’anno direi che, fortunatamente, i connotati filo-politici erano meno marcati. Vado a questo genere di eventi per parlare con amici, tecnici, smanettoni, ecc.. e la politica è bene lasciarla a casa.

Linux Day 2007Parlando invece di eventi futuri ricordo a tutti che tra poco più di una settimana si terrà il Linux Day 2007. Sabato 27 Ottobre si svolgerà in contemporanea in 106 città italiane la manifestazione nazionale articolata in eventi locali che ha lo scopo di promuovere Linux e il software libero. Il Linux Day è promosso da ILS (Italian Linux Society) e organizzato localmente dai LUG italiani e dagli altri gruppi che condividono le finalità della manifestazione.
Per il terzo anno consecutivo sto aiutando il LUG ACROS nell’organizzazione dell’evento che si svolgerà a Querceta (LU). In quella giornata terrò un seminario su Drupal: un CMS scritto in PHP rilasciato con GNU GPL.

Passando a tutt’altro argomento va un particolare ringraziamento a Feliciano Intini e Mario Fontana, che mi hanno fatto una gradita sorpresa: da pochi giorni appaio nella lista dei security blog italiani creata da Feliciano, grazie per la fiducia!

 

All’ESC di sabato parlo di GoogleTistic e sicurezza della blogosfera Italiana

ESC logoDal 14 al 16 Settembre, sarò ospite all’ ESC(End Summer Camp) che si tiene a San Donà di Piave (VE).
Terrò un seminario dal titolo GoogleTistic e il Web italiano… insieme all’amico Matteo Flora.
Si tratta di un proseguo del talk di Matteo Flora, tenuto da Alessio Orlandi (causa assenza di Flora) all’E-Privacy 2007. In questo appuntamento vedremo, oltre ai dati già raccolti su circa 80.000 siti Web UK, cosa è saltato fuori dopo l’aggiunta del 98% dei Blog Italiani più influenti.
Essi ci hanno rilevato dati molto interessanti: tracciamento utenti, sicurezza dei blog e sovversione della blogosfera Italiana.

GoogleTistic e WordPressTistic: le statistiche che nessuno avrebbe mai voluto mostrarvi (Matteo Flora e Matteo Carli)
Quanto estesa e’ realmente l’utenza di Google nella vita del Web? Quale reale penetrazione di mercato hanno le soluzioni ed i servizi proposti dal gigante del Web? Quando ci si ritrova a definire come “pericolose per la privacy” le operazioni di Google ci si scontra sempre con l’incredulità e con la scarsa propensione a ritenere che il fenomeno Google sia largamente diffuso. Se infatti la coscienza della permeazione diretta di Google come mezzo di ricerca e’ ormai assodata e scontata nell’immaginario collettivo, risulta invade di difficile comprensione la vastita’ del fenomeno del tracciamento della navigazione “derivato”, quello cioe’ che Google stesso e’ in grado di recuperare ed analizzare da suoi tool di piu’ complessa rilevazione quali Google Analytics, Google AdSense, Blogger Services e le nuove acquisizioni DoubleClick e FeedBurner. Questi servizi risiedono infatti sui siti web dei CLIENTI e non esiste metodo di rilevazione o di statistica senza interrogare i domini web uno ad uno.
Nell’ambito del progetto WatchingTheWatchers (WTW) verranno presentati i risultati preliminari delle statistiche di utilizzo dei servizi Google su 80.000 domini web inglesi, le statistiche che nessuno avrebbe mai voluto mostrare…
IN AGGIUNTA Quanto estesa è la rete dei Bloggers Italiani? Quali le minacce di sicurezza? Mediante le stesse tecnologie utilizzate per GoogleTistic si è proceduto all’analisi dei top 98% blog italiani con incredibili risultati sulle vulnerabilità, sugli utilizzi e sulle tendenze del Web moderno nella Penisola…

Orario: Sabato 18 ore 15.00 – 16.00

L’appuntamento è quindi fissato a Sabato 18 dalle ore 15 alle 16.
Non posso non consigliarvi anche gli altri talk a programma; in particolare quello di Matteo Flora: Censura in Italia: chi, come e perche’ censura.

Vi aspetto!

 

Net&System Security 2007: analisi e vulnerabilità dei sistemi informatici

Net and System security@Systemgroup, una collaborazione tra @System e Bitflow, organizza il V Convegno Net&System Security – analisi e vulnerabilità dei sistemi informatici. L’evento avrà luogo il 27 Novembre 2007 presso il Palazzo dei Congressi di Pisa, e vedrà la partecipazione di alcuni esperti e delle maggiori aziende leader del settore della sicurezza informatica.

Nell’ambito del convegno si terra’ la seconda edizione del Call For Paper, per cui sono previste due categorie di partecipazione; “Professional” e “Student”.

Tutti i paper selezionati saranno inseriti negli atti del convegno ed avranno il valore di una pubblicazione scientifica. Inoltre, agli autori dei migliori elaborati sara’ data la possibilità di presentarli durante l’evento.

Al vincitore di ogni categoria sarà assegnato il riconoscimento come “Best Paper Award”, e per l’autore dell’elaborato piu’ meritevole della categoria “Student” è prevista l’assegnazione di un celluare Linux-Based “Neo1973 Advanced Edition” .

La partecipazione al CfP è gratuita. Maggiori informazioni sono disponibili alla sezione dedicata presente sulla pagina web del convegno.

 

Conferenza sulla sicurezza dei tag RFID fermata da una azione legale

Una presentazione sulla sicurezza delle tecnologie RFID che doveva essere presentata, alla conferenza Black Hat che si sta svolgendo in queste ore, è stata cancellata all’ultimo minuto dal programma.

Chris Paget, l’autore della presentazione cancellata, voleva dimostrare come la tecnologia RFID utilizzata per il controllo degli accessi sia aggirabile. La HID Corporation, casa degli RFID presi in esame, ha comunicato a Chris che i tool utilizzati per preparare la presentazione violavano i loro brevetti e per questo la presentazione doveva essere annullata.
IOActive, società dove Chris lavora, in una nota ufficiale ha spiegato che gli unici materiali utilizzati per lo studio sono pubblicamente accessibili a tutti, in quanto presenti sul sito della stessa società.
IOActive aggiunge anche che le idee che stanno alla base della presentazione non sono nuove e il lavoro preparato era solo volto a dimostrare i possibili risvolti di sicurezza in sistemi di controlli di accesso.

Penso che HID più che interessata al rispetto dei propri brevetti sia stata spaventata da quello che una presentazione del genere può creare sulla reputazione dell’azienda. Cercando di nascondere falle di sicurezza di questo tipo si rischia di compromettere la sicurezza di intere società.
Questa notizia mi sa di déjà vu, o sbaglio?

Aggiornamento: Grazie a “ACLU of Northen Californiala conferenza si è tenuta ugualmente, ma è stata presentata da Nicole Ozer al posto della IOActive.