Ict Security Forum 2014Perdonatemi per il titolo, no, non sono un dentista, non siamo nel mese della prevenzione delle carie. Ma nemmeno mi sono inventato nulla, lo ha deciso ENISA dichiarando che in questo mese bisogna parlare di sicurezza informatica; security awarness per tutti.

Pur non essendo a conoscenza di questo mese particolare, ho deciso comunque di partecipare a due eventi interessanti: ICT Security Forum e HackInBo.

 

 

 

ICT Security Forum

Quest’anno ICT Security Forum è giunto alla 14esima edizione ed è stato organizzato presso la città militare della Cecchignola a Roma. Offtopic: per un attimo, ho immaginato, come potesse essere un Black Hat (anche se il paragone è oltrelimite) organizzato al Pentagono…delirio.

Tornando a noi, quest’anno ha visto la partecipazione delle forze armate – maddai? – e di molti vendor, tanti vendor, troppi vendor…Era pieno di vendor. Un fiume di pubblicità di aziende che vantavano la propria capacità di essere i migliori nel fare sicurezza. Una frase comune a tutti…”siamo tutti sotto attacco,tutti preoccupati, tutti pieni di virus, malware, bot, APT e non c’è soluzione, ma con i nostri prodotti $VENDORNAME sarete al sicuro..”, parola più parola meno.

Alla fine c’è stato anche qualche vendor interessante. Ad esempio: c’era un’azienda che pubblicizzava un dispositivo per criptare i dati attraverso un device, che non sto qui a dirvi, perchè non voglio fargli pubblicità, in quanto non si è dimostrato molto disponibile per far eseguire dei  “test” su questo oggetto :-P (se mi stai leggendo Michele dalla lontana Svizzera, chissà per quale motivo, scrivimi, sei ancora in tempo). Tra l’altro era abbastanza costoso per le mie finanze, soprattutto per fini “ludici”.

Fortunatamente in programma era previsto anche qualche momento di discussione tra pubblico, relatori e operatori del settore; sono stati aperti dibattiti di ottimo spessore. Si è parlato di SPID, di identità digitale, code review, SCADA, internet of things, futuro della sicurezza in Italia e sono stati affrontati temi di sicurezza in generale.

Mi hanno colpito molto alcuni interventi tra cui: il solito e sempre originale Alessio Pennasilico con la sua presentazione: “Cappuccetto Rosso ed il Lupo. Non sempre il cacciatore arriva in tempo“. Il carisma usato durante la presentazione di Stephen Gates che ci spiegava le varie classificazioni degli attacchi DDOS.  Ottimo e originale, l’esempio usato da Cristiano Cafferata di Dell, per definire le varie versioni dei malware che mutano in continuazione (come si chiamava quella scimmia?). Stefano Mele, con la sua visione futuristica da uomo del 2020 che viaggia nel tempo, ci ha raccontato quanto ci siamo evoluti e come sono cambiate le cose nel futuro, in ambito privacy, identità digitale, dati personali e marketing.

Al terzo ed ultimo giorno, durante la tavola rotonda, è emerso che abbiamo tutti uno scopo comune, quello  di parlare di sicurezza informatica nel modo corretto, fare security awarness, ma ci si accorge sempre che lo si fa nel posto sbagliato e con le persone sbagliate. Parlare di sicurezza informatica con chi già la conosce è inutile, per fare sicurezza c’è bisogno di un pubblico che non conosce la materia.

Proprio per questo, mi sono fatto coraggio e microfono in mano, (nel più totale imbarazzo) ho proposto di organizzare l’ICT Security Forum in una scuola pubblica. La mia proposta ha acceso un pò il dibattito, molti hanno subito sottolineato il fatto che per l’azienda ci deve essere un ritorno economico per avere la presenza del proprio commerciale ad un evento (RSA Italia). C’è poi chi ha detto, “..si ma noi lo facciamo nelle Università”. Ma le università non sfornano i programmatori del futuro, oramai secondo me sono già belli che pronti. Secondo il mio punto di vista si dovrebbe fare divulgazione nelle scuole superiori, dove ancora la curiosità è attiva e a pieno regime.

In questa idea/proposta, ho trovato un’appoggio di spessore da parte di Corrado Giustozzi, molto sensibile sul tema della divulgazione. Vedremo come andrà…

HackinBo2014WE.jpgHackInBo Winter Edition – Sicurezza all’ombra delle torri

Chiusa la parentesi prettamente vendoriana dell’ICT Security Forum, entriamo nella Sala Borsa in quel di Bologna insieme a Mario Anglani organizzatore dell’evento. HackInBo è un evento totalmente gratuito organizzato alla grande e con una qualità dei relatori eccellente. E’ stata la mia prima presenza all’HackInBo e non posso che confermare quanto già sentito in rete a riguardo.

HackinBo Winter Edition aveva come tema principale la Mobile Security, in salsa forense. Finalmente si respirava un po di aria hacker, ricordandomi i bei momenti dell’Hack in the Box ad Amsterdam. Anche qui, relatori ottimi, tra tutti mi ha colpito molto Marco Grassi che ci ha mostrato il reverse engineering di un malware su diversi dispositivi. Ottima preparazione tecnica!

Litiano Piccin e Davide Gabrini,  entrambi analisti forensi, ci hanno mostrato come funziona il keychain di Apple, con la presentazione iPhone Encryption e come vengono svolte le indagini forensi da parte delle forze di polizia, con la presentazione dal titolo “Little Pin, Little Pin, let me in…“. Da quest’ultima si possono trovare diversi spunti interessanti per approfondire alcuni argomenti della computer forensics.

Presentazione moooolto tecnica da parte di Lorenzo Cavallaro meglio noto come GigiSullivan, che ci ha mostrato il suo progetto chiamato CopperDroid, usato per l’analisi dei malware su Android. Geniale direi, l’utilizzo dell’emulatore Qemu per fare debugging e l’aggiunta di un’app in combo per la raccolta delle informazioni sui thread. Il progetto CopperDroid è disponibile online. Info di servizio: se siete interessati alla materia Lorenzo cerca altri collaboratori per il progetto.

Ultima la presentazione della distro linux per il pentest, tutta italiana, BackBox 4.0 di Raffaele Forte. Basata su Ubuntu 14.04LTS, la nuova versione comprende funzionalità di anonimizzazione, disk encryption, wipe della ram e molto altro. Per questa presentazione, vi rimando sul sito di OverSecurity dove Andrea Draghetti ci spiega al meglio il changelog della nuova versione di BackBox 4.0.

Conclusioni

4 giorni all’insegna della sicurezza informatica hanno dato un quadro complessivo più che pessimo per il nostro paese, dove ancora mancano basi e principi su cui fondare il minimo indispensabile per fare sicurezza come si deve. Un paese dove gli operatori di settore dichiarano di volere persone competenti e preparate, fare code review sul codice e poi invece si adoperano in mille appalti e arrivano a pagare lo stagista 30 euro per sviluppare il suo prodotto. Tutto il contrario di tutto. In Italia non si capisce che cosa vogliamo fare dei nostri sistemi critici, che nella maggior parte dei casi, sono lasciati alla loro sorte su internet senza procedure di sicurezza. Un paese dove tutti vogliono fare sicurezza, divulgazione, ma si ha sempre l’impressione che è meglio se non stai li a parlarne troppo, perché altrimenti rischi di farla veramente e non lavorare in futuro…ognuno tira l’acqua al suo mulino, come sempre.

Altrove, il concetto di sicurezza cambia totalmente, esce fuori l’hacker che è in ognuno di noi e che si ispira al passato dove i valori del significato hacking avevano altro significato. Genialità è la parola che caratterizza ogni slide dell’HackInBo, e curiosità è il concetto che ne deriva. La differenza è netta, a volte mi chiedo, ma se fossero altre persone ad occuparsi di scrivere lo Statuto di Internet? O i decreti che parlano di sicurezza informatica (cibernetica)? O addirittura portassero avanti l’Italia Digitale, secondo voi saremmo ancora a questo punto? Perchè lasciamo fare ad una classe politica incompetente e ignorante? Ci sono tanti ragazzi in gamba e competenti che sicuramente potrebbero essere un valore aggiunto al nostro paese. Ma nessuno se ne interessa, tutti a difendere il proprio stipendio.

Ciao alla prossima…

PS. volevo ringraziare, quel signore che mi ha regalato il suo antivirus vinto all’estrazione finale. Purtroppo non ci siamo scambiati i biglietti da visita.

Cheers!

UPDATE:

Dopo aver contattato la Tecna Editrice promotrice dell’evento ICT Security Forum, per la proposta di parlare di sicurezza nelle scuole, la risposta è stata questa:

“Purtroppo ci sono delle scelte studiate e ben precise quando andiamo a scegliere una location per i nostri eventi, e una scuola non ha determinati requisiti che sono per noi fondamentali.”

Viva la Security !