Fresco da Hackinbo, oggi vorrei raccontarvi la mia esperienza in quel di Bologna. Questa edizione era incentrata sulla network security. Per la prima volta nella storia di HackInBo, c’è stato un ospite internazionale, Andrey Belenko con un talk su come funzionano i sistemi di data protection nei telefoni iOS e in generale.
Apre le danze Gianluca Varisco, ci parla di DevOps, che per chi non lo sapesse, sono figure che in azienda svolgono funzioni “ibride” e spesso hanno anche pieno accesso ai sistemi (sudo, root), per poter deployare codice su diversi ambienti e installare software “a piacere”. Gianluca in questo talk ha voluto sottolineare come queste figure dovrebbero avere nozioni anche di sicurezza informatica per non incappare in errori che potrebbero compromettere i propri sistemi. Durante la presentazione ha mostrato come è possibile utilizzare delle dork su GitHub per accedere a file particolari e come committare rubando il gravatar di personaggi famosi. Uno degli errori più comuni che i DevOps commettono in fase di deploy è l’upload di file sensibili, con dentro password, codici di accesso, chiavi private etc creando seri problemi di sicurezza. Come sfruttare alcune vuln, misconfiguration e information disclosure su sistemi come Vagrant, Jenkins, Redis e molte informazioni utili su come dorkerare i file Git con Google. In sintesi, informazioni da conservare in luoghi asciutti e criptati.
Colpi di scena
Questa edizione di HackInBo devo dire che è anche stata ricca di colpi di scena, dalla sorpresa fatta da Mario Anglani alla moglie, annunciando di aver adottato un bambino a distanza (tanti auguri Mario!) alla clamorosa rivelazione (per chi non lo conoscesse già) di Matteo Falsetti che dopo averci indottrinato di security experience fantastiche annuncia di essere in realtà un medico, applausi, silenzio, eeeh!?!?!
Pausa Pranzo
Passata la mattinata era oramai giunta ora di pranzo, così mi sono riunito con un gruppetto di giovani hacker proveniente da Torino e dintorni, tra cui i ragazzi di Shielder, Mattia Reggiani e Luca Poletti altra anima di Voidsec insieme a Paolo Stagno, in uno dei locali convenzionati da HackInBo il “Tortellino”, per degustare piatti tipici bolognesi, che poi piatti non erano perchè serviti in strani basket di cartone, della serie, viva il riciclo.
Seconda parte di HackInBo
Dopo questa piccola parentesi e 3 Redbull per compensare la sonnolenza del dopopranzo si è ripartiti con la sessione pomeridiana dove si sono succeduti: Giorgio Pedrazzi che ci ha parlato di privacy e smart grid nelle case del futuro sempre più interconnesse e Andrea Barisani di InversePath che ci ha mostrato come fare sicurezza non convenzionale e la differenza sostanziale tra safety e security. La ricerca di Andrea, è stata veramente interessante, in pratica siamo al piano 0 della nota pila ISO/OSI, livello Fisico. Andrea, facendo un reverse sui pacchetti Frame Ethernet ha scoperto un anomalia nella costruzione del frame sfruttabile per costruire pacchetti nei pacchetti. Se volete approfondire questo è il talk di Andrea.
Per finire, il talk che mi aveva messo più curiosità, un gruppo di 4 ragazzi ha presentato, lo Zanshin Tech. Non so se lo speaker era bravissimo con le parole nell’incartartela a modo o tutto quello che ha detto è stato pura genialità. Lo Zanshin Tech è una disciplina che fonde le arti marziali tradizionali con la sicurezza informatica. Inizialmente questa frase ha spiazzato anche me, e mi sono chiesto cosa c’entrasse il karate con la sicurezza informatica, poi continuando il suo discorso è stato tutto più chiaro.
Lo Zanshin Tech è nato a Genova nel 2013 da un gruppo di quattro persone che hanno deciso di fondare un luogo chiamato Dojo Centrale dove mettere in pratica questa disciplina. Così come avviene nelle arti marziali, loro si autodefiniscono dei “Sensei” o maestri, che attraverso l’utilizzo della tecnologia aiutano tutti gli individui dagli 11 anni in su a combattere ma soprattutto a riconoscere il Cyberbullismo.
Il percorso mira a creare nella mente degli individui (dagli 11 anni in su) uno stato di calma e concentrazione (lo Zanshin) che permette agli stessi di essere preparati, sia mentalmente, sia dal punto di vista tecnologico, ad un possibile attacco via rete.
Non è finita qui, hanno creato una loro struttura a livelli e a partire dal secondo livello diventa “peer to peer”: ogni persona insegna ed impara allo stesso tempo, contribuendo con le sue osservazioni al continuio aggiornamento del sistema.
Questi ragazzi affrontano secondo me il problema del cyberbullismo in maniera veramente seria, ma sopratutto concreta. Il problema maggiore che caratterizza il cyberbullismo è il suo target, molto spesso colpisce le fasce più deboli che non sanno difendersi o reagire finendo a volte a compiere gesti estremi.
Secondo lo Zanshin Tech – le aggressioni online sono accomunate dalla persistenza e dalla sistematicità e colpiscono sempre in un numero finito di modi. In questa disciplina si studiano queste tecniche di attacco e si impara a contrastarle con specifiche contromosse, sia tecnologiche (tracciare una mail, un numero di telefono, geolocalizzare una foto) che psicologiche (tecnica dell’azzeramento, regola del triangolo), il tutto sempre seguendo i principi fondamentali delle arti marziali: l’onore, il rispetto (anche per l’aggressore) e la disciplina.
Personalmente invito tutti coloro (privati, scuole, enti, fondazioni) che fossero interessati a formarsi in questa disciplina ad approfondire sul loro sito www.zanshintech.it
Invece di fare cose abbastanza fine a se stesse come l’oscuramento dell’avatar sui social contro il cyberbullismo, di cui sto leggendo ultimamente sui social, diffondete il verbo di questi ragazzi la loro idea e quello che fanno, è bello combattere questo problema che sta diventando una piaga sociale in maniera concreta, facciamolo conoscere.
Comments by Fabio Natalucci
Postfix: come configurare smtp esterno
Perfetto! Sono contento che ti sia stata utile.