Infosecurity: social engineering e penetration test

di Fabio Brivio

A Infosecurity 2007, Raoul “Nobody” Chiesa e Andrea “Pila” Ghirardini, due guru nella lotta ai crimini digitali, tratteranno di un argomento davvero inusuale: il Social Engineering e la sua applicazione nei Penetration Test professionali.

L’edizione romana di Infosecurity 2007 vedrà all’opera due relatori di eccezione, molto noti sia a livello nazionale che internazionale per il contributo che, con metodi e approcci diversi, da anni forniscono alla causa dell'IS: Raoul Chiesa e Andrea Ghirardini, insieme per discutere di ingegneria sociale calata nella prassi dei penetration test.

Il Social Engineering è una tecnica utilizzata dagli hacker per carpire informazioni utili ad attacchi: nominativi, numeri di telefono, password, schemi di rete, informazioni sulla sicurezza fisica di un palazzo ecc.
Chiesa e Ghirardini, assoluti esperti nazionali di questa difficile tematica, insegneranno ai partecipanti i trucchi utilizzati dai “cattivi”, come difendersi e, soprattutto, come fare cultura e awareness in azienda, al fine di evitare che i dipendenti possano rimanere vittime di attacchi (dove il tristemente noto phishing è solo la punta dell’iceberg).
Il workshop, della durata di 6 ore, si terrà il 6 Giugno 2007 (9.50 – 17.30) e fa parte dei corsi di aggiornamento proposti da CLUSIT EDU, la divisione formativa del CLUSIT. La partecipazione al Workshop è gratuita per i soci CLUSIT.
Maggiori informazioni su edu.clusit.it.

Raoul Chiesa non è un nome nuovo alle cronache ed agli esperti del settore: primo hacker in Italia, hacker sin dal 1986, nel 1997 si è convertito all’ethical hacking ed oggi ricopre importanti cariche istituzionali all’interno del CLUSIT (Associazione Italiana per la Sicurezza Informatica), ISECOM (Institute for Security and Open Methodologies), nel capitolo italiano dell’OWASP (Open Web Applications Security Project) ed in TSTF (Telecom Security Task Force). Divenuto famoso per il suo concreto impegno verso tematiche critiche quali l’utilizzo dell’Open Source nella PA, la difesa della privacy, la scoperta di vulnerabilità e la sicurezza applicata ai mondi del mobile, dell’automotive e delle architetture SCADA, Chiesa è anche il fautore del progetto di ricerca internazionale “HPP” (Hacker’s Profiling Project), volto a definire una seria metodologia di profiling applicato al mondo dell’hacking, nazionale ed internazionale.
Da queste ricerche è nato il libro, a firma di Raoul Chiesa e del Prof. Silvio Ciappi dell’Università di Pisa, Profilo Hacker.

Andrea Ghirardini, uno dei primi CISSP certificati in Italia, è probabilmente a oggi uno dei maggiori esperti nazionali nel campo della “Computer Forensics”, ovverosia quella scienza che permette l’acquisizione di prove digitali – relativamente a casi di computer-crime, piuttosto che di criminalità tradizionale – ed il conseguente utilizzo in tribunale. Come Ghirardini ama spiegare, “siamo come quelli che, in C.S.I., indagano su reati ed omicidi, collezionando prove sulla scena del crimine. La differenza, non da poco, è che noi non eseguiamo autopsie sui cadaveri, ma analizziamo server, hard disk, chiavette USB, CD-ROM e quant’altro, con lo scopo di trovare ed acquisire prove decisive per la giustizia, in casi che variano dall’antipedofilia al terrorismo, passando per frodi alla Comunità Europea, casi di spionaggio industriale, concorrenza sleale ecc.”.
Dalla sua esperienza è nato il libro Computer Forensics, la prima pubblicazione sull'argomento mirata al pubblico italiano.