@System, una associazione universitaria informatica non-profit, fondata nel 2003 da alcuni studenti di informatica dell’Università di Pisa, organizza per giovedì 11 dicembre 2008 un incontro dal titolo “Real Life Security: quando gli hackers diventano professionisti”.
L’evento si svolgerà nell’aula seminari Est, presso il Dipartimento di Informatica dell’Università di Pisa, situato in Largo B. Pontecorvo, 3 (ex via F. Buonarroti, 2).
Di seguito, i dettagli del programma della giornata:
- 9:30 Apertura dell’evento;
- 10:00 (12:00 “IT security agency essentials”) Storia di un penetration test immaginario.
A cura di: Francesco “ascii” Ongaro, Antonio Parata
Nel seminario verrà trattato il processo di penetration testing in tutte le sue fasi, a cominciare dalla definizione della parte contrattuale e legale, fino alla creazione del report. Verranno maggiormente approfondite ed enfatizzate le fasi più tecniche;
- 12:30 (13:30 Pausa pranzo;
- 14:30 – 16:00 Bakeca.it DDoS: come abbiamo sconfitto le forze del male.
A cura di: Alessio L. R. Pennasilico aka mayhem
È un normale mercoledì quando un violento attacco DoS inizia contro il noto sito di annunci online. Perché tutto si concluda per il meglio passeranno 15 giorni, troppe notti insonni, una valanga di traffico e diversi accorgimenti per mantenere la rete operativa. Uno dei pochi casi in cui l’attaccante si è guadagnato un po’ di rispetto, per cui vale la pena raccontare i fatti… ;
- 16:00 – 17:30 Web Application Security: Bug Hunting e Code Review. Come comportarsi di fronte ad uno “0day” e come relazionarsi con il vendor seguendo i canoni della “Responsible Disclosure”.
A cura di: Antonio Parata, Francesco “ascii” Ongaro
Al giorno d’oggi buona parte dell’attività di penetration testing condotta dall’esterno consiste nel testare la sicurezza di uno o più siti Web aziendali. Per tale motivo nella seconda parte del seminario si approfondirà la tematica della sicurezza delle applicazioni Web. In particolare verranno approfonditi concetti come “Bug Hunting” e “Code Review”, quest’ultimo utile nel caso in cui il codice sorgente dell’applicazione sia disponibile. Verrà inoltre spiegato come comportarsi nel caso di scoperta di una vulnerabilità non nota (comunemente detta 0day), e di come relazionarsi con il vendor seguendo i canoni della “Responsible Disclosure”;
- 17:30 Chiusura.
Per altre informazioni sull’incontro, su come raggiungere il luogo, consigliamo di visitare la pagina dedicata sul sito di @System.
