Skip to main content

BlueHat Security Briefings: sessioni e interviste dell'autunno 2009

BlueHat v9: Attraverso lo specchio, 22-23 ottobre presso le sedi aziendali principali di Microsoft

L’obiettivo principale della serie di conferenze BlueHat Conference è quello di creare un ponte tra gli sviluppatori e i dirigenti Microsoft, i relativi partner di programma principali e i membri della comunità impegnata nel campo della sicurezza e di informare contemporaneamente tutti gli utenti Microsoft in senso più esteso sulle minacce per la protezione e sulle relative prevenzioni.

La conferenza di quest’anno fa leva sul successo degli eventi passato mostrando come le singole strategie possano integrarsi per offrire vantaggi sostanziali e risultati positivi, nel tentativo di demistificare le minacce per la protezione a livello globale e regionale e di creare canali per uno scambio produttivo delle informazioni in merito alle minacce comuni che interessano tutti i soggetti interessati appartenenti all’ecosistema di sicurezza.

Ancora una volta l’evento BlueHat v9 raduna i ricercatori esterni leader nel settore della sicurezza per presentare i risultati della ricerca in corso, gli strumenti e le tecniche più all’avanguardia utilizzate dai pirati informatici e le minacce per la protezione emergenti. I temi principali affrontati in occasione dell’evento BlueHat v9 sono incentrati sugli attacchi a opera di pirati informatici, sull’economia degli exploit, sul panorama delle minacce globali, sui servizi in linea, sulla sicurezza nella Cloud, sulla sicurezza o insicurezza dei dispositivi mobili e su strumenti avanzati e prevenzioni.

Le sessioni e i video relativi alle interviste sono identificati da questa icona riportata di seguito.

Giorno 1: Giovedì 22 ottobre – Sessioni generali BlueHat v9

Serie della mattina: Iperrealismo: chi ha dipinto le mie rose di rosso?

 Note di apertura: Vinny Gullotto, direttore generale, MMPC, Trustworthy Computing, Microsoft
 Attacchi DoS (Denial of Service) con motivazioni politicheJose Nazario, responsabile ricerca nell’ambito della sicurezza, Arbor Network
 Sicurezza RIA: Lezioni pratiche su Flash e SilverlightPeleus Uhley, ricercatore senior nell’ambito della sicurezza, Adobe & Jesse Collins, Software Security Engineer, Microsoft
 Il linguaggio di trust: sfruttamento delle relazioni di trust nel contenuto attivo– Ryan Smith, ricercatore nell’ambito della sicurezza presso Accuvant, David Dewey, ricercatore X-Force presso IBM Internet Security Systems

 

Serie pomeridiana: sicurezza e insicurezza dei dispositivi mobili: sempre più curiosa

 Messaggi SMS aggressiviZane Lackey, consulente senior nell’ambito della sicurezza, iSEC Partners e Luis Miras, ricercatore indipendente nell’ambito della sicurezza
Sicurezza dei dispositivi mobili e applicazioni radio di tipo softwareJosh Lackey, responsabile senior nell’ambito della sicurezza, Microsoft
Attacchi informatici tramite messaggi SMS ai danni di dispositivi iPhone con accenni ai payloadCharlie Miller, responsabile analista, Independent Security Evaluators
Sicurezza degli operatori di telefonia mobile: problemi di sicurezza delle reti globali per i dispositivi tascabiliPatrick McCanna, Security Architect, AT&T Mobility

Giorno 2: Venerdì 23 ottobre – Sessioni generali BlueHat v9

Serie della mattina: servizi cloud e virtualizzazione: Non t'importa d'esser solo e
sul mondo spieghi il volo…
 Note di aperturaAndrew Cushman, direttore generale, TwC Security - Microsoft
 Fornicazione nella cloud: Fornicazioni informatiche indiscriminate che coinvolgono l’infrastruttura InternetChris Hoff, direttore di Cloud and Virtualization Solutions, Cisco
 Distinguersi nelle cloud: La sicurezza nel modello Software-plus-ServicesJohn Walton, Principal Security Lead, Microsoft
 Creazione di cloud: Come evitare la “pioggia” nella transizione dal modello "on-premise" ai serviziRobert Fly, responsabile della sicurezza dei prodotti, Salesforce.com
 Condivisione della cloud con il nemicoBilly Rios, Security Engineer, Microsoft e Nate McFeters, Senior Security Advisor, Ernst and Young

 

Serie pomeridiana: Strumenti di generazione test con dati casuali e
prevenzioni: come rincorrere il “bianconiglio”
 Come rendere il software meno intelligenteTavis Ormandy, Security Engineer, Google e Neel Mehta, Staff Software Engineer, Information Security, Google
 Ingegneria della sicurezza di OfficeTom Gallagher, Security Senior Test Lead, Microsoft & David Conger, SDET II, Microsoft
 Trasformazioni dei caratteri:  come trovare vulnerabilità nascosteChris Weber,Co-Founder, Casaba Security

BlueHat v9: giorno 1

Relatore del Keynote

Descrizione della sessioneRelatore
 

Vinny Gullotto
direttore generale di MMPC, Microsoft

In qualità di direttore generale del Malware Protection Center presso Microsoft, Vinny Gullotto supervisiona le strategie quotidiane e a lungo termine dell’azienda per proteggere i clienti da virus, malware e altre minacce per la protezione.

Gullotto e il suo team sono responsabili per la ricerca di minacce dannose e attacchi contro gli utenti domestici. Mediante tale ricerca, sviluppano soluzioni e collaborano con il Microsoft Security Response Center per fornire ai clienti le istruzioni, il supporto e la protezione da tali minacce. Sotto la sua guida, il Microsoft Malware Protection Center fornisce tecnologia la tecnologia anti-malware di base a Windows Live OneCare, Microsoft Windows Defender, allo Strumento di rimozione malware e ai prodotti per la protezione Forefront. L’obiettivo di Gullotto consiste nel garantire che le competenze Microsoft nel combattere le minacce per la protezione proteggeranno gli utenti di computer in tutto il mondo.

Prima di essere assunto in Microsoft, Gullotto ha lavorato per diversi anni presso McAfee, Inc. dove ha occupato la posizione di Vice President del team AVERT (Anti-virus Research and Vulnerability Emergency Response Team). Oltre a partecipare come relatore presso conferenze sulla sicurezza in tutto il mondo, Gullotto ha testimoniato di fronte a una commissione del congresso in merito alle contromisure attuate dal governo federale contro le minacce per la protezione che coinvolgono i computer negli Stati Uniti.

Gullotto è stato membro del consiglio di amministrazione presso un'azienda statunitense privata che sviluppava sistemi di segreteria telefonica basati su PC. Gullotto ha conseguito una laurea in Business Administration dall'Università di Phoenix.

 

Attacchi DoS (Denial of Service) con motivazioni politiche

Descrizione della sessioneRelatore
La rapida diffusione di Internet ha comportato una notevole crescita degli attacchi di tipo packet flooding in tutto il mondo con motivazioni politiche. Estonia, Georgia, CNN, l’Ucraina e molti altri obiettivi sono stati vittime di simili attacchi negli ultimi anni e che si sono diffusi da circa un decennio. In questo discorso viene esplorato il mondo degli attacchi DDoS e del ruolo in costante crescita come arma politica in linea. Viene inoltre illustrato come Arbor Networks abbia misurato gli attacchi diretti all’Estonia e alla Georgia, il modo in cui vengono misurati gli altri attacchi e in che modo tali attacchi si traducono per Internet in generale.

Dott. Jose Nazario
Responsabile della ricerca nell'ambito della sicurezza, Arbor Networks

Il dott. Jose Nazario è responsabile della ricerca nell’ambito della sicurezza presso Arbor Networks. Con questo ruolo, è responsabile per l’analisi di minacce per la protezione Internet appena nate e il reverse engineering del codice dannoso e lo sviluppo di meccanismi di protezione distribuiti successivamente verso le piattaforme Peakflow di Arbor tramite il servizio di rilevamento minacce ATF (Active Threat Feed). Gli interessi nell’ambito della ricerca del dott. Nazario includono le tendenze Internet su larga scala quali la raggiungibilità e la misurazione della topologia, eventi Internet su larga scala quali attacchi DdoS, botnet e worm, strumenti di analisi del codice sorgente e data mining. È l’autore dei testi Defense and Detection Strategies against Internet Worms e Secure Architectures with OpenBSD. Ha conseguito un master in biochimica dalla Case Western Reserve University nel 2002. Prima di essere assunto in Arbor Networks, era consulente indipendente nell'ambito della sicurezza. Il dott. Nazario partecipa regolarmente come relatore presso conferenze in tutto il mondo, tra cui presentazioni tenute presso gli eventi FIRST, CanSecWest, PacSec, Black Hat e NANOG. Gestisce anche WormBlog.com, un sito dedicato allo studio del rilevamento dei worm e alla ricerca nell’ambito della difesa.

Guarda l’intervista a Jose Nazario

 

Sicurezza RIA: Lezioni pratiche su Flash e Silverlight

Descrizione della sessioneRelatore

Maggiore la potenza, maggiore è la responsabilità. I framework RIA (Rich Internet Application) come Adobe Flash, Flex e Microsoft Silverlight consentono agli sviluppatori di creare applicazioni Web uniche e interessanti; tuttavia, se misuriamo la potenza di tali tecnologie, ci rendiamo conto che consentono anche agli sviluppatori di creare vulnerabilità nelle applicazioni Web uniche e interessanti. Inoltre, si è scoperto che alcuni soggetti senza scrupoli hanno creato applicazioni Flash e Silverlight dannose con l’intento di ingannare utenti corretti e onesti a ospitare tali applicazioni sui propri siti Web.

In questa sessione verranno esaminate tali problematiche dalle prospettive Flash e Silverlight. Viene illustrato come creare applicazioni RIA più sicure, come identificare applicazioni RIA potenzialmente dannose prima di ospitarle sul proprio sito e il lavoro dei team di sviluppatori di Flash e Silverlight per consentire la protezione dei clienti.

  Guarda la presentazione Sicurezza RIA: Lezioni pratiche su Flash e Silverlight

Peleus Uhley
ricercatore senior nell'ambito della sicurezza, Adobe

Peleus Uhley è un ricercatore senior nell'ambito della sicurezza all'interno del team Secure Software Engineering di Adobe. Il suo compito principale consiste nel fornire assistenza sulle piattaforme Adobe, tra cui Flash Player e AIR. Prima di essere assunto da Adobe, Peleus ha iniziato a lavorare nel settore della sicurezza per Anonymizer, Inc., e successivamente come consulente nell’ambito della sicurezza per aziende come @stake e Symantec.

Jesse Collins
Software Security Engineer, Microsoft

Jesse Collins è un ingegnere esperto in sicurezza del team Silverlight. Ha iniziato la sua carriera nell’ambito della sicurezza nel 2005 formandosi insieme a David Ross e i suoi ricercatori MSRC per un discreto tempo prima di lavorare su WPF. Oggi, contribuisce a proteggere la piattafroma Silverlight tramite test con dati casuali, alterazioni del codice e invitando tutti gli sviluppatori a utilizzare la funzionalità OACR. Jesse inoltre offre assistenza per indicare ai clienti e ai team di prodotto Microsoft come creare applicazioni Silverlight sicure.

Guarda l’intervista con Peleus Uhley e Jesse Collins

 

Il linguaggio di trust: Sfruttamento delle relazioni di trust nel contenuto attivo

Descrizione della sessioneRelatore

Il contenuto interattivo è diventato sempre più potente e più flessibile negli ultimi anni con introduzioni di funzionalità principalmente in diverse tecnologie basate sul Web, quali Javascript, .NET e tramite plugin del browser. Tali cambiamenti nelle funzionalità, in associazione a un crescente aumento di livelli di comunicazione complessi, hanno comportato la nascita di un livello di trust precario e con diverse sfaccettature tra un elevato numero di componenti diversi precedentemente senza correlazione.

In questa presentazione si tenta di affrontare il problema dell’attendibilità nel contesto di contenuto attivo e illustrare come possa rivelarsi più complicato del previsto. Verrà illustrato lo sfruttamento di tali relazioni di trust a diversi livelli applicativi, partendo dal sabotaggio dei controlli di protezione architetturali fino ad arrivare alle vulnerabilità di danneggiamento della memoria che comportano l’esecuzione arbitraria di codice.

Ryan Smith
ricercatore nell’ambito della sicurezza, Accuvant

Ryan Smith, responsabile di www.hustlelabs.com, principalmente si occupa del rilevamento delle vulnerabilità, dello sviluppo delle strategie di sfruttamento delle risorse, di condurre attività di reverse engineering generico e della progettazione di algoritmi per il supporto nell'analisi dei programmi. Gli è stato attribuito, da diversi fornitori, il rilevamento di vulnerabilità nel software per server, in applicazioni P2P, nella tecnologia dei browser Web, nei software anti-virus e nei programmi di compressione.

  Guarda l’intervista a Ryan Smith

David Dewey
ricercatore di X-Force Researcher, IBM Internet Security Systems

David Dewey presso il team X-Force di IBM Internet Security Systems. Ha rilevato diverse vulnerabilità nei server delle applicazioni, nelle applicazioni anti-virus e nella tecnologia dei browser. La sua ricerca nello scorso anno si è concentrata principalmente sullo sfruttamento delle vulnerabilità dei browser. David ha partecipato come relatore presso un elevato numero di conferenze di settore, tra cui Black Hat.

 

Messaggi SMS aggressivi

Descrizione della sessioneRelatore

Con l’aumento dell’utilizzo di servizi di invio SMS in tutto il mondo, il messaggio SMS rappresenta una superficie di attacco in costante espansione nei telefoni cellulari di oggi. Partendo dagli aggiornamenti OTA (Over-The-Air) fino ad arrivare ai messaggi multimediali con contenuto avanzato, lo standard SMS non è più un semplice servizio per distribuire piccoli messaggi di solo testo. Oltre alla vasta gamma di funzionalità supportate, lo standard SMS rappresenta anche una delle superfici di attacco dei telefoni cellulari sempre attiva per impostazione predefinita che non richiede quasi alcuna interazione da parte dell'utente per subire l'attacco.

In questo discorso si cercherà di informare il pubblico sulle minacce a cui sono sottoposti i telefoni cellulari odierni attraverso traffico SMS ostile. Verrà illustrato il modo in cui vengono attaccate le implementazioni principali degli standard SMS e MMS, oltre alle funzionalità di terze parti ottenibili tramite lo standard SMS. Verranno inoltre illustrati i risultati dei test delle piattaforme mobili in situazioni reali.

Oltre ai nostri risultati, verranno illustrati e rilasciati un elevato numero di strumenti per consentire agli utenti di testare la sicurezza dei propri dispositivi mobili. Per finire, dimostreremo e rilasceremo un’applicazione per inoltrare attacchi tramite SMS basati su iPhone e che facilita un certo numero di attacchi illustrati in questa sede.

Luis Miras
ricercatore indipendente nell’ambito della sicurezza

Luis Miras è un ricercatore indipendente nell’ambito della sicurezza. Ha lavorato presso fornitori di prodotti per la sicurezza e aziende di consulenza leader nel settore. I suoi interessi comprendono la ricerca delle vulnerabilità, l'analisi dei file binari e il reverse engineering hardware e software. In passato, ha lavorato nel settore della progettazione digitale e della programmazione di componentistica integrata. Ha eseguito presentazioni in occasione degli eventi CanSecWest, Black Hat, CCC Congress, XCon, REcon, DefCon e altre conferenze in tutto il mondo. Di recente, è stato coautore del testo Reverse Engineering Code with IDA Pro (Syngress, 2008).

Zane Lackey
consulente senior nell’ambito della sicurezza, iSEC Partners, Inc.

Zane Lackey è consulente senior nell’ambito della sicurezza presso iSEC Partners, Inc. La sua ricerca comprende la sicurezza dei telefoni cellulari, le applicazioni Web AJAX e il protocollo VoIP (Voice over IP). Zane ha partecipato come relatore presso le principali conferenze sulla sicurezza, tra cui Black Hat, Toorcon, MEITSEC, YSTS e l’iSEC Open Forum. Inoltre, ha partecipato alla stesura del testo Hacking Exposed: Web 2.0 (McGraw-Hill) e ha contribuito alla stesura e alla redazione tecnica del testo Hacking VoIP (No Starch Press). Ha conseguito una laurea in economia e una laurea breve in scienze informatiche presso l’università Davis della California.

 

Sicurezza dei dispositivi mobili e applicazioni radio di tipo software

Descrizione della sessioneRelatore
La ricerca nell’ambito della sicurezza dei telefoni cellulari sta rapidamente conquistando una massa critica. I ricercatori stanno esaminando la superficie di attacco e diffondendo le proprie conoscenze. Sono in corso progetti volti a violare la crittografia, progetti volti a trovare le vulnerabilità di implementazione e progetti che mirano ad attaccare l’infrastruttura stessa. Le applicazioni radio di tipo software, poiché consentono ai ricercatori di controllare i livelli più bassi dei protocolli disponibili, aiutano e, in alcuni casi promuovono tali attacchi. In questa sessione verranno esaminati gli attuali attacchi pubblici sferrati contro la sicurezza dei telefoni cellulari.

Josh Lackey
responsabile senior nell'ambito della sicurezza, Microsoft

Josh Lackey è responsabile del team TwC MSEC Penetration Testing. Il suo team è responsabile per generare attacchi simulati ai prodotti Microsoft prima che vengano sferrati da utenti malintenzionati esterni. Josh ha una laurea magistrale in matematica e impiega il proprio tempo nella ricerca di vulnerabilità di sicurezza. Ama violare il software e specialmente mediante applicazioni radio di tipo software.

  Guarda l’intervista a Josh Lackey

 

Attacchi informatici tramite messaggi SMS ai danni di dispositivi iPhone con accenni ai payload

Descrizione della sessioneRelatore

In questo discorso verrà presentata l’architettura di sicurezza dell’iPhone e verrà illustrato come eseguire test con dati casuali automatizzati sul dispositivo, compresi test con dati casuali SMS. Verrà descritto la vulnerabilità SMS scoperta da Charlie Miller e come sfruttarla. Infine, si accennerà ai payload exploit e quello che possono eseguire gli autori degli attacchi una volta assunto il controllo.

  Guarda la presentazione Attacchi informatici tramite messaggi SMS ai danni di dispositivi iPhone con accenni ai payload

Charlie Miller
Responsabile analista, Independent Security Evaluators

Charlie Miller è stato il primo a eseguire pubblicamente attacchi di tipo exploit sull’Apple iPhone e sul telefono Google G1. Ha vinto il concorso Pwn2Own negli ultimi due anni. È stato classificato come uno dei dieci principali “hacker” del 2008 dalla rivista Popular Mechanics. Ha conseguito una laurea magistrale dall’università di Notre Dame ed è attualmente responsabile analista presso Independent Security Evaluators.

 

Sicurezza degli operatori di telefonia mobile: problemi di sicurezza delle reti globali per i dispositivi tascabili

Descrizione della sessioneRelatore

Cosa significa implementare la sicurezza nella rete di un operatore di telefonia mobile? Non è sufficiente implementare alcuni firewall e un sistema di prevenzione intrusioni?

In questa presentazione verranno illustrate le problematiche uniche che devono affrontare gli operatori di telefonia mobile nell'implementazione della sicurezza e il motivo per cui soluzioni ovvie come i firewall, filtri e la prevenzione delle intrusioni falliscono nel proprio intento in modo non altrettanto ovvi. Il pubblico apprenderà le funzioni di una rete di telefonia mobile e le problematiche di sicurezza affrontate dagli operatori durante la distribuzione di servizi in una rete di telefonia mobile nonché l'implementazione di nuove piattaforme per la stessa rete.

Patrick McCanna
Security Architect, AT&T Mobility

Patrick McCanna è membro principale del personale tecnico della divisione Chief Security Organization di AT&T, dove è responsabile per la sicurezza per i prodotti e i servizi destinati ai clienti privati presso AT&T mobility. Benché non sviluppi attivamente oggi, il suo portfolio da sviluppatore software comprende software di rete per i pannelli di controllo degli aeroplani, applicazioni Web di e-commerce e strumenti di misurazione per datacenter. Patrick ha conseguito una laurea in scienze informatiche e una laurea breve in matematica dal Linfield College. È un Certified Information Systems Security Professional.

  Guarda l’intervista a Patrick McCanna

 

BlueHat v9: Giorno 2

Relatore del Keynote

Descrizione della sessioneRelatore
 

Andrew Cushman
direttore generale, TwC Security - Microsoft Corporation

In qualità di direttore generale della strategia presso il gruppo TwC (Trustworthy Computing Group) presso Microsoft Corporation, l’impegno principale di Cushman è sull’End to End Trust, l’iniziativa di Microsoft per una rete Internet più attendibile e più sicura volta a garantire l’attendibilità del mondo fisico nel mondo digitale. Cushman è responsabile dell’evento End to End Trust Outreach e collabora con i team di Microsoft responsabili della formulazione e della garanzia della privacy, della sicurezza, dell’affidabilità e di un’esperienza attendibile.

Cushman è entrato a far parte del gruppo MSRC nel 2004 in qualità di membro del team direzionale del gruppo Security Engineering Group che ha fatto dei processi di sicurezza parte integrante della cultura tecnica di Microsoft. Da allora dirige una task force oltre la portata delle attività strategiche ed esecutive dei ricercatori nell’ambito della sicurezza dell’azienda, formulando la strategia Responsible Disclosure Initiative e avviando l’esclusiva delle conferenze in ambito della sicurezza BlueHat.

Cushman in precedenza ha gestito l’MSRC (Microsoft Security Response Center) il quale gestisce gli interventi di emergenza in caso di minacce per la protezione, definisce e applica i criteri di intervento e monitora la qualità e la tempestività degli aggiornamenti mensili. Cushman ha ampliato la portata dei programmi MSRC per includere i ricercatori nell'ambito della sicurezza nonché le organizzazioni, le aziende e i team di intervento di emergenza informatica principali.

Da quando è stato assunto in Microsoft nel gennaio del 1990, Cushman ha ricoperto posizioni nella divisione Microsoft International Product Group, nel team di Microsoft Money e nel team IIS (Internet Information Services). È stato responsabile del team del prodotto IIS durante lo sviluppo di IIS 6.0 in Windows Server® 2003. IIS 6.0 è stato uno dei primi prodotti Microsoft ad adottare completamente i processi di progettazione della sicurezza che oggi sono integrati nel modello SDL e rimane un simbolo dell'impegno di Microsoft nella progettazione della sicurezza e del Trustworthy Computing.

Cushman ha conseguito una laurea in studi internazionali dall’università di Washington e una laurea magistrale in economia internazionale dall’università di Seattle. Nel tempo libero, al di fuori del lavoro, è uno sciatore entusiasta.

 

Fornicazione nella cloud: Fornicazioni informatiche indiscriminate che coinvolgono l'infrastruttura Internet

Descrizione della sessioneRelatore

Ciò che una volta era incluso, oggi è escluso.

Questa metafora si rivela vera non solo come un’analisi accurata delle tendenze di adozione della tecnologia e dell'innovazione distruttiva nell'azienda, ma trova anche un equivalente nell'incredibile velocità di come vengono ricreati i perimetri dei data center di Microsoft e letteralmente stravolti, grazie al Cloud Computing e alla virtualizzazione.

Uno degli elementi più preoccupanti che si sta verificando con l'enorme convergenza tra virtualizzazione e Cloud Computing è l'effetto sui modelli di sicurezza e le informazioni per la quale protezione sono progettati. I soggetti interessati, l’infrastruttura utilizzata, la posizione, il modo in cui i dati vengono creati, elaborati, utilizzati, archiviati, sottoposti a backup e distrutti per diventare sicuramente servizi basati su Cloud sovrapposti pongono problematiche significative correlate alla sicurezza, alla privacy, alla conformità e alla sopravvivibilità. 

Inoltre, l'"effetto matrioska” diventa incredibilmente terrificante quando la nozione di cloud nidificate diventa realtà: fornitori di servizi SaaS basati su cloud che dipendono da fornitori di servizi IaaS basati su cloud che a propria volta dipendono dai fornitori di reti cloud. Si tratta appunto di un “effetto matrioska”.

Mostreremo più livelli di errori sovrapposti associati alla dipendenza da infrastrutture e servizi di tipo "cloud-on-cloud", tra cui la divulgazione di presupposti incoerenti e teorie non verificate per quanto concerne la sicurezza, la privacy e la riservatezza nella cloud, con alcuni vettori di attacco univoci.

  Guarda la presentazione Fornicazione nella cloud: Fornicazioni informatiche indiscriminate che coinvolgono l'infrastruttura Internet

Chris Hoff
direttore di Cloud and Virtualization Solutions, Data Center Solutions presso Cisco Systems

Chris Hoff ha oltre quindici anni di esperienza nei ruoli globali a elevato profilo nell'architettura, nella progettazione, nelle attività e nella gestione della sicurezza di rete e informatica, con una propensione per la virtualizzazione e la tecnologia cloud onnicomprensiva. Hoff ricopre attualmente il ruolo di direttore della divisione Cloud and Virtualization Solutions, Data Center Solutions presso Cisco Systems. Prima di essere assunto in Cisco, ha ricoperto il ruolo di Chief Security Architect della divisione Systems & Technology di Unisys Corporation. Inoltre, ha ricoperto il ruolo di responsabile capo della sicurezza di Crossbeam System, ha ricoperto il ruolo di CISO (Chief Information Security Officer) per una società di servizi finanziari con un capitale pari a 25 miliardi di dollari, è stato fondatore e CTO (Chief Technology Officer) di una società di consulenza per la sicurezza nazionale e attualmente offri servizi di consulenza ad aziende e a venture capitalist. Pubblica post sul blog di http://www.rationalsurvivability.com ed è co-conduttore del Cloud Security Podcast.

  Guarda l’intervista a Chris Hoff

 

Distinguersi nelle cloud: La sicurezza nel modello Software-plus-Services

Descrizione della sessioneRelatore
Il modello S+S (Software-plus-Services) è un settore in rapida crescita per l’ultima generazione dell’informatica. Si tratta della convergenza di più fenomeni del settore, tra cui SaaS, SOA e Web 2.0. Il modello S+S (Software-plus-Services) combina questi approcci per integrare i migliori aspetti dei servizi basati su cloud e del software installato su una moltitudine di dispositivi. La potenza dei client locali e/o del software sul posto associati alla portata e alle caratteristiche di costante aggiornamento dei servizi basati su cloud offre maggiore flessibilità di offerte basate solo su software o servizi. In questa presentazione verranno esaminate sia i vantaggi che gli svantaggi associati alla progettazione e alla gestione di soluzioni S+S attendibili. Inoltre, verrà confrontata e messa in contrapposizione la sicurezza con le classiche e flessibili procedure di sviluppo. Le aziende e i clienti che considerano questo nuovo modello informatico trarranno vantaggio da questa presentazione per valutare i rischi e le aspettative di sicurezza del modello S+S.

John Walton
Principal Security Lead presso Microsoft

Il team OSSLT (Online Services Security Leadership Team) è un team virtuale di esperti di sicurezza Microsoft e dediti alla risoluzione delle problematiche di sicurezza associate ai servizi in linea. Questo team sviluppa e condivide le procedure consigliate, gli strumenti, i processi, i modelli di sicurezza, nonché le conoscenze relative ai nuovi vettori di attacco e alle nuove vulnerabilità. Il team OSSLT è stato costituito per un impatto strategico sul modo in cui Microsoft applica la sicurezza al modello S+S (Software-plus-Services). John Walton è Principal Security Lead presso Microsoft, dove dedica il suo tempo nella gestione del team di sicurezza di progettazione responsabile per l’attivazione e la gestione di uno sviluppo sicuro di Microsoft Online Services attendibili. Insieme al suo team ha fondato il team OSSLT (Online Services Security Leadership Team) per poter divulgare e collaborare in merito alle procedure consigliate di sicurezza della community dei servizi in linea di Microsoft in senso più ampio. Le responsabilità del suo team comprendono la ricerca nell’ambito della sicurezza, la modellazione delle minacce, il controllo del codice, lo sviluppo di strumenti e i test di penetrazione del modello S+S (Software-plus-Services) sviluppato e gestito da Microsoft per le aziende.

  Guarda l’intervista a John Walton

 

Creazione di cloud: Come evitare la "pioggia" nella transizione dal modello "on-premise" ai servizi

Descrizione della sessioneRelatore
Poiché sempre più progetti software classici vengono trasferiti nella cloud e distribuiti come servizi, le aziende devono riconoscere che i meccanismi di sicurezza su cui si basavano in passato non saranno sufficienti per le minacce diffuse su Internet in senso più ampio e per le maggiori aspettative dei clienti relativamente ai servizi basati su cloud. Verranno introdotti alcuni aspetti univoci per la creazione di servizi cloud pronti per l’azienda e per la distribuzione attendibile che consentiranno di promuovere il successo in termini di sicurezza dei fornitori di servizi cloud ed evitare un torrenziale scatenamento di problemi imprevisti.

Robert Fly
direttore della sicurezza dei prodotti, Salesforce.com

Robert Fly è responsabile del team per la sicurezza dei prodotti presso Salesforce.com. Tra l’altro, il suo team gestisce il ciclo di sviluppo della sicurezza che garantisce che venga posta la massima attenzione affinché venga garantita la protezione dei dati dei clienti. Attraverso standard, strumenti, automazioni e punti di controllo della sicurezza, Salesforce.com è stata in grado di creare e mantenere un programma che garantisca la nostra attendibilità nei confronti dei clienti.

Prima di essere assunto da Salesforce.com, Robert ha trascorso otto anni in Microsoft presso cui il suo incarico più recente è stata la gestione del team di sicurezza di Microsoft Online Services. Prima di tale incarico, era impegnato nel team di sicurezza Office, presso cui collaborò a implementare soluzioni di protezione per prodotti, quali Outlook e SharePoint. Ha partecipato alla stesura del testo Open Source Fuzzing, è membro fondatore della Cloud Security Alliance, ha una certificazione CISSP e diverse domande di brevetti depositate nell’ambito della sicurezza e del test del software.

 

Condivisione della cloud con il nemico

Descrizione della sessioneRelatore

Grazie all’enorme quantità di offerte di servizi cloud emergenti, la potenza di calcolo pura messa a disposizione di quasi tutti gli utenti con una carta di credito (sottratta) è veramente sbalorditiva. In questa presentazione non verranno illustrate le implicazioni in termini di legalità e conformità della fruizione dei servizi cloud che lasceremo al personale di controllo preposto. Invece, questa presentazione sarà incentrata sui seguenti argomenti:

  • Un esame del modo in cui lo "stack di sicurezza" della cloud aumenti o riduca i rischi di sicurezza.
  • Una dimostrazione del modo in cui l'impatto di vettori di attacco ben noti può avere un effetto devastante sulle piattaforme cloud e sui clienti che ne usufruiscono.
  • Una procedura dettagliata delle vulnerabilità scoperte che hanno interessato i fornitori di servizi cloud più noti.
  • Nuovi vettori di attacco che mirano ai modelli aziendali dei fornitori di servizi cloud che possono introdurre un abuso perpetuo e inarrestabile senza variazioni nei modelli aziendali dei fornitori di servizi cloud.

L’obiettivo di questa presentazione è quello di promuovere una discussione nella community tecnologica con la sincera speranza che innescherà un più ampio riconoscimento delle implicazioni di sicurezza dei cambiamenti che probabilmente interesseranno le piattaforme cloud e i relativi clienti nel futuro prossimo.

Billy Rios
Security Engineer, Microsoft

Billy Rios è attualmente Security Engineer presso Microsoft all’interno della divisione Business Online Services Group. Prima del suo attuale ruolo, Billy eseguiva test di penetrazione per VeriSign ed Ernst and Young. In qualità di penetration tester, Billy è stato assoldato da diverse organizzazioni Fortune 500 per valutare l’efficienza delle misure di sicurezza di ciascuna organizzazione. Billy ha sempre guadagnato le proprie parcelle superando in astuzia i team di sicurezza, aggirando le misure di sicurezza e dimostrando i rischi aziendali delle vulnerabilità di sicurezza ai dirigenti e ai decision maker delle organizzazioni. Prima di diventare penetration tester, Billy ricopriva il ruolo di Information Assurance Analyst per l’ente DISA (Defense Information Systems Agency). Durante la sua permanenza in DISA, Billy collaborò nella protezione dei sistemi informativi dell’ente DoD (Department of Defense) mediante l’esecuzione di rilevamenti di intrusioni di rete, analisi delle vulnerabilità, gestione degli eventi imprevisti e segnalazione formale degli eventi imprevisti in merito a eventi associati alla sicurezza che coinvolgessero i sistemi informativi del DoD. Prima di attaccare e difendere i sistemi informativi, Billy è stato un ufficiale in servizio presso il corpo dei Marine degli Stati Uniti. Billy ha partecipato come relatore presso diverse conferenze sulla sicurezza tra cui: Black Hat Briefings, BlueHat, RSA, Hack in the Box e PACSEC. Billy ha una laurea in Business Administration, una laurea magistrale in informatica e sta attualmente per conseguire la laurea magistrale in Business Administration.

Nathan McFeters
Senior Security Advisor, Ernst and Young

Nathan McFeters è Senior Security Advisor presso l’Advanced Security Center di Ernst & Young con sede a Houston, Texas. Ha svolto incarichi di verifica di applicazioni Web, del codice sorgente di applicazioni, di applicazioni wireless, di accesso remoto e di social engineering per diversi clienti Fortune 500 durante la sua carriera presso Ernst & Young e ha ricoperto il ruolo di Engagement Manager per il cliente più grande dell’ASC (Advanced Security Center) per cui ha gestito centinaia di recensioni di applicazioni Web solo nell’anno in corso.

Prima di essere assunto presso Ernst & Young, Nathan è arrivato a conseguire la propria laurea e laurea breve presso la Western Michigan University grazie alle sue attività di consulenza svolte per Solstice Network Securities, un’azienda fondata insieme Bryon Gloden di Arxan, dedita a fornire attività di consulenza di elevata qualità per clienti della regione del Western Michigan.

Nathan ha conseguito una laurea breve in teoria e analisi informatica e una laurea magistrale in informatica con specializzazione nella sicurezza dei sistemi informatici dalla Western Michigan University.

  Guarda l’intervista a Billy Rios e Nate McFeters

 

Come rendere il software meno intelligente

Descrizione della sessioneRelatore

Descriveremo la nostra esperienza con un sistema progettato per la selezione di candidati seme di input ottimali per i test con dati casuali sulla base di un corpo di esempi di grosse dimensioni a fronte di un investimento iniziale di risorse minimo. I test con dati casuali basati su inferenza nel modello si sono distinti per l’identificazione delle vulnerabilità durante l’analisi software di dati di input altamente strutturati; descriveremo come raggiungere risultati simili senza la grammatica prerequisita e a un costo di configurazione molto più ridotto. La nostra tecnica applica una minimizzazione della copertura preimpostata al corpo di esempio, associata alla mutazione basata su feedback che utilizza una nuova tecnica definita “raccolta informazioni delle sotto-istruzioni”. Dimostreremo come abbiamo utilizzato questa tecnica per scoprire più vulnerabilità di Windows.

Il titolo deriva dall’osservazione che la ricerca principale nei test con dati casuali si basa sul presupposto che gli strumenti per la generazione di test casuali vengono resi più intelligenti e informati sul protocollo e sull’obiettivo di attacco. Riteniamo che questo sia l’approccio sbagliato e dimostriamo come il software possa essere reso generalmente “meno intelligente” essenzialmente eseguendo test con dati casuali elementari che si rivelano efficaci quanto quelli generati da strumenti di generazione di test casuali più costosi in termini di sviluppo.

Tavis Ormandy
Security Engineer, Google

Tavis Ormandy è un ricercatore nell’ambito della sicurezza UNIX e un partecipante attivo nella sicurezza Open Source. In qualità di ingegnere della sicurezza informatica nel relativo team di Google, è responsabile dell’identificazione e dell’analisi delle vulnerabilità e degli exploit in una vasta gamma di software. Tra le sue recenti pubblicazioni sono inclusi i testi in cui ha partecipato alla stesura Exposing Application Internals e Hostile Virtualized Environments.

Neel Mehta
Staff Software Engineer, Information Security, Google

Neel Mehta è un ricercatore nell’ambito della sicurezza di Google con una preparazione in reverse engineering. Neel ha trascorso la maggior parte della propria carriera a trovare le vulnerabilità ad ampio spettro nel software e nell’hardware connesso in rete. Ha partecipato alla stesura del testo The Shellcoder's Handbook e ha partecipato come relatore presso diverse conferenze accademiche e relative alla sicurezza informatica. In particolare, Neel si impegna assiduamente per restare all’avanguardia nella ricerca delle vulnerabilità e nel reverse engineering, campo di cui è prevalentemente appassionato. Nello specifico, Neel ama sottoporre a controlli il software Microsoft.

 

Ingegneria della sicurezza di Office

Descrizione della sessioneRelatore

Questa è una presentazione in più parti tenuta da ingegneri che lavorano alla sicurezza di Microsoft Office. Nella prima parte verrà esaminato un framework di test con dati casuali distribuito. Nella seconda parte verranno esaminate le difese tecniche agli attacchi basati su test con dati casuali nella prossima versione di Office (Office 2010).

I ricercatori nell’ambito della sicurezza e gli attacchi di tipo zero day exploit continuano a sfruttare i bug basati su test con dati casuali dei prodotti Microsoft. In che modo difendiamo i nostri prodotti? Come illustrato in occasione dell’evento Blue Hat dell’anno scorso, maggiore sarà il numero di iterazioni di test con dati casuali, maggiore sarà la probabilità di trovare bug. Per poter essere rilasciato, oggi SDL richiede che vengano completate con esito positivo cinquecento mila iterazioni di test con dati casuali. Sembra una buona idea e piuttosto fattibile, ma cosa accade se l'applicazione consente l’analisi di oltre 200 formati? È ora di pensare come un hacker e sfruttare la potenza di una rete botnet per completare il lavoro, corredata di comandi e server di controllo dei test con dati casuali per delegare il lavoro alle unità bot preposte.

In questa presentazione viene illustrato un framework creato dal team di Office per eseguire in modo efficiente un test con dati casuali per ciascun parser di formati file. Il framework può essere utilizzato da qualsiasi team di prodotto interno che analizza l’input di file e riduce in modo significativo i problemi associati alla generazione di test con dati casuali relativi ai file. Tuttavia, il framework non è uno strumento di generazione test casuali di per sé. Non sarà neanche necessario di ricreare gli strumenti, i quali, invece, potranno essere integrati ed eseguiti in modo distribuito. Il team di Office utilizza questo sistema per eseguire milioni di iterazioni al giorno senza acquistare alcun hardware aggiuntivo. Il team di Office ha trasformato i computer desktop e di laboratorio in una rete botnet per eseguire i test con dati casuali durante i periodi di inattività. Altre problematiche risolte dal framework distribuito per la generazione di test casuali e illustrate in questa presentazione comprendono la gestione centrale delle esecuzioni, la pianificazione dei lavori ricorrenti, il rilevamento di duplicati tra computer ed esecuzioni, le approvazioni automatizzate delle regressioni e l‘archiviazione automatizzata dei bug.

Anche con milioni di iterazioni di test con dati casuali e attenendosi alle procedure consigliate dell’SDL (Security Development Lifecycle), alcuni bug non verranno individuati. Il team di sicurezza di Office ha progettato inoltre una serie di misure di difesa a più livelli per supportare l’attività dei parser. In questa presentazione verranno anche trattati due di questi livelli. Il primo livello, Gatekeeper, consente di stabilire se i dati devono essere caricati dall'applicazione di destinazione. L’architettura del gatekeeper ne consente l’utilizzo da parte di altre applicazioni e la descrizioni di formati binari aggiuntivi. Il secondo livello illustrato sfrutta i livelli di integrità di Windows ed è noto con il nome di Visualizzazione protetta. Anche se il codice dannoso viene eseguito all’interno della Visualizzazione protetta, non dovrebbe essere in grado di modificare la macchina host. In questa presentazione verrà illustrato come casi recenti dell’MSRC siano prevenuti dai livelli Visualizzazione protetta e Gatekeeper.

  Guarda la presentazione Ingegneria della sicurezza di Office

Tom Gallagher
Security Senior Test Lead, Microsoft

Tom Gallagher è stato sempre affascinato dalla sicurezza fisica e informatica sin dalla gioventù. È attualmente responsabile del team di sicurezza di Microsoft Office Security. Tom ha partecipato alla stesura del testo pubblicato da Microsoft Press Hunting Security Bugs e ha partecipato come relatore all’evento OWASP (Open Web Application Security Project) a Seattle, all’evento Black Hat e alle conferenze TechEd.

David Conger
SDET II, Microsoft

David Conger ha iniziato la sua carriera in Microsoft nel 2005 dopo essersi laureato all’università di Puget Sound. Ha la qualifica di Software Development Engineer in Test II all’interno del team di Microsoft Access e ha creato il framework distribuito per la generazione di test con dati casuali per utilizzare al meglio le risorse del team nell’ambito della generazione dei test con dati casuali.

  Guarda l’intervista a David Conger e Tom Gallagher

 

Trasformazioni dei caratteri: come trovare vulnerabilità nascoste

Descrizione della sessioneRelatore

Le applicazioni Web sono sottoposte ad attacchi di tipo exploit quotidianamente non appena gli autori degli attacchi trovano nuovi vettori per l’esecuzione di attacchi XSS (Cross-Site Scripting). In questa presentazione verranno affrontati i modi in cui tale gestione di caratteri e stringhe latenti possa trasformare gli input non dannosi in output dannosi. Molti framework applicativi, quali Microsoft .NET e ICU consentono tali comportamenti all’insaputa degli sviluppatori. Le trasformazioni di stringhe tramite mapping ottimali, attività di conversione da maiuscole a minuscole, sovraconsumo e altri mezzi verranno illustrati in questa presentazione unitamente a utili input per i test. È previsto anche il rilascio di uno strumento di test.

Verrà inoltre illustrato lo stato attuale degli attacchi di tipo spoofing visivo. Gli attacchi di tipo phishing sono prevalenti in Internet e URL opportunamente progettati possono aumentare le possibilità di successo di un attacco. È sorprendente vedere dimostrazioni di come siano i browser Web moderni siano ancora così vulnerabili a molte forme di attacchi di tipo spoofing visivo.

Chris Weber
cofondatore, Casaba Security

Chris Weber è cofondatore di Casaba Security dove è responsabile dello sviluppo di nuovi strumenti di supporto nell’ambito della sicurezza Unicode e delle applicazioni Web. Ha trascorso diversi anni dedito a test della sicurezza software per alcune delle aziende di sviluppo software leader a livello mondiale e di società che operano online. Chris ha scritto diversi testi, articoli e presentazioni sulla sicurezza e regolarmente partecipa come relatore in occasione di eventi di settore. Lavora come ricercatore e consulente nell’ambito della sicurezza da oltre dieci anni in cui ha identificato centinaia di vulnerabilità di sicurezza in molti prodotti molto diffusi.

  Guarda l’intervista a Chris Weber

 

Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di. Se si sceglie di partecipare, quando si lascia il sito Web di verrà visualizzato il sondaggio in linea.

Si desidera partecipare?