SPEAKER & TALK - MOCA2024

TALK: Non te lo dico. Crittografia per ragazzi

BIO

I cifrari di Cesare e di Vigenère sono un’eccellente palestra per chi vuole scoprire le basi della crittografia e crittoanalisi, senza l’ausilio del computer. Verranno illustrate esperienze didattiche svolte con successo con fanciulli di scuola primaria, sotto due profili: scrivere un messaggio che possa superare gli sguardi indiscreti dei genitori; decodificare un messaggio in codice, scritto da un compagno. Con la metamorfosi da lezione a sfida (e opportunità), mentre gli studenti apprendono le tecniche di base della crittografia, l’attività si trasforma in un pretesto per sfatare falsi miti: da "io non ho niente da nascondere" fino a "tanto i miei dati li hanno già", creando un ponte tra informatica ed educazione civica, per niente scontato.

Lingua del talk: ITALIANO

Sono Giacomo Alessandroni, ingegnere prestato alla pubblica istruzione. Insegno (da 25 anni) e mi piace farlo. Credo fortemente nell’hacking, inteso come condivisione delle informazioni. I progetti di cui mi occupo maggiormente ruotano attorno alla divulgazione STEM nelle scuole primarie, dove coinvolgo i miei studenti. Secondo chi mi conosce, sono "un po' un fissato con il software libero".

https://sites.google.com/liceogmarconi.edu.it/seidiciannovesimi

https://instagram.com/seidiciannovesimi

TALK: The curse of False Flag

BIO

Questo è un caso di un'indagine condotta in collaborazione tra ricercatori di sicurezza riguardo a un post su un noto social network, che annunciava erroneamente una campagna lanciata da un gruppo APT, iniziata come un'analisi di intelligence delle minacce informatiche e conclusasi con la scoperta di una campagna di criminalità informatica più ampia coinvolgendo vari tipi di entità, inclusi diverse aziende di sicurezza private e Interpol.

Lingua del talk: ITALIANO

Talk tenuto insieme a Marco Di Costanzo

TALK: Enhancing privacy and security in storage systems with zero-knowledge cryptography

BIO

In un'epoca in cui le violazioni dei dati e i problemi di privacy sono in aumento, la crittografia a conoscenza zero offre un approccio innovativo alla sicurezza dei sistemi di archiviazione. Questa presentazione fornisce un'analisi approfondita del funzionamento delle prove a conoscenza zero e del loro potenziale per rivoluzionare la sicurezza dei dati. Verranno esplorate applicazioni pratiche, dimostrando come le tecniche a conoscenza zero possano garantire l'integrità e la riservatezza dei dati senza compromettere l'usabilità. I partecipanti acquisiranno conoscenze sull'implementazione di questi metodi crittografici per creare soluzioni di archiviazione robuste e rispettose della privacy. Alla fine di questa sessione, capirete come sfruttare la crittografia a conoscenza zero per costruire sistemi che proteggano i dati degli utenti da accessi non autorizzati, mantenendo fiducia e trasparenza.

Lingua del talk: INGLESE

Mohammadreza (Mo) Aahouri, PhD, è un esperto informatico specializzato nella sicurezza del software. Con un ricco background negli ecosistemi Java e JVM, il lavoro di Mo si concentra sull'integrazione di tecnologie avanzate per migliorare la sicurezza e le prestazioni. Mo ha conseguito un dottorato di ricerca in sicurezza del software presso l'Università di Potsdam, dove ha sviluppato una profonda comprensione delle sfide e delle soluzioni di sicurezza. I suoi contributi al campo sono caratterizzati da una miscela di rigore accademico ed esperienza pratica, che ha permesso di fare passi avanti significativi nello sviluppo di software sicuri ed efficienti.

TALK: Food Supply Chain Security: Protecting Against Digital Threats

BIO

Nel nostro mondo interconnesso, la sicurezza della catena di approvvigionamento alimentare è diventata una preoccupazione cruciale. Questa presentazione approfondisce le varie minacce digitali che possono interrompere il viaggio del cibo dalla fattoria alla tavola. Esploreremo esempi reali di cyberattacchi che hanno preso di mira la produzione, la lavorazione e la distribuzione degli alimenti, evidenziando le vulnerabilità in ogni fase. I partecipanti impareranno a conoscere le ultime tecnologie e le migliori pratiche per proteggersi da queste minacce. Discuteremo di come l'integrazione delle misure di cybersecurity in ogni aspetto della catena di approvvigionamento possa prevenire potenziali crisi, garantendo la sicurezza e l'integrità delle nostre forniture alimentari. Unitevi a noi per comprendere l'importanza di solide difese digitali per mantenere una catena di approvvigionamento alimentare sicura e resiliente.

Lingua del talk: INGLESE

TALK: Pandemia da coronausb

BIO

L’obiettivo del talk è raccontare la storia di come sono venuto a conoscenza e delle analisi svolte per il gruppo noto come UNC4990, particolarmente affezionato a vittime del territorio italiano utilizzando chiavette USB infette come vettore d’attacco. Grazie alle attività trasversali di: Threat Hunting, Malware Analysis e Threat Intelligence, verrà illustrato il modus operandi di un complesso impianto malevolo e verrà dimostrata l’importanza della sinergia di tali attività, necessarie per esaminare gruppi emergenti che utilizzano tecniche innovative e non convenzionali.

Lingua del talk: ITALIANO

TALK: Bitcoin e l'insicurezza segreta degli Hardware Wallet

BIO

La sicurezza estrema di Bitcoin può richiede conoscenze crittografiche profonde. Nel nostro paese i non tecnici spesso diffondono l'idea che il massimo livello della self custody di Bitcoin si basi sugli Hardware Wallet. Ma essi possono diventare vulnerabilità nella catena di custodia dei vostri asset crittografici. Se si utilizzano H.W. bisogna essere consapevoli che si espone il fianco a vulnerabilità nella generazione e detenzione della mnemonica che non possono essere mitigate.

Lingua del talk: ITALIANO

Fin da piccolo bazzica gli hackmeeting. Ex operatore Militare e di Polizia Militare. Le sue implementazioni crittografiche non sono mai state violate dallo Stato Italiano. Cyber Security Researcher. Master Chief at CR1PT0.

https://cr1pt0.com

http://npub1arzx5y0c4q4n08380l76v06w7u7k9q2ervva4fh9vseqy4vvwzksdz0ftj.onion

https://linkedin.com/company/cr1pt0

https://twitter.com/CR1PT0SECURITY

https://instagram.com/cr1pt0

https://www.facebook.com/CR1PT0

https://www.youtube.com/channel/UCch5SiEQPAa-SH4ZKllyFfw

TALK: Beyond the Basics: Deep Dive into Securing OAuth2 Implementations

BIO

Questa proposta presenta una sessione completa progettata per fornire ai professionisti della sicurezza le conoscenze tecniche e le competenze pratiche necessarie per proteggere le implementazioni di OAuth2 e OpenID Connect. Il seminario approfondisce gli aspetti tecnici dei flussi di grant di OAuth2, evidenziando i potenziali rischi per la sicurezza associati a configurazioni errate. Esploreremo le proprietà dei token, sottolineando l'importanza di definire ambiti granulari per ridurre al minimo l'escalation dei privilegi. Verranno analizzati esempi reali di vulnerabilità relative a OWASP “A07 - Identification and Authentication Failures”, dimostrando come le configurazioni insicure di OAuth2/OIDC contribuiscano a questa categoria di minacce critiche.

Lingua del talk: INGLESE

Talk tenuto insieme a Stefano Maistri, Giuseppe Porcu e Mattia Zago

Giovanni ha conseguito un master in ingegneria della sicurezza presso l'Università di Verona. Ha iniziato la sua carriera come analista di Cyber Security e poi ha cambiato rotta diventando Senior Oracle Database Administrator con oltre sette anni di esperienza nel settore IT. È un Oracle Cloud Infrastructure Architect Associate ed è certificato come OffSec Certified Professional (OSCP). Attualmente lavora presso Partech. Come appassionato di cybersecurity è sempre desideroso di studiare e ampliare le conoscenze e le competenze pratiche in materia di sicurezza informatica nel tempo libero e, come attività secondaria, attualmente crea macchine vulnerabili per OffSec come autore freelance, contribuendo alla loro offerta.

TALK: Datemi 21 minuti e cambierò la vostra visione del tracing su Linux

BIO

In questo talk, esploreremo le tecniche avanzate di tracciamento dei programmi su Linux, con un focus particolare su strumenti come bpfcc, perf, execsnoop, gdb, falco e strumenti meno noti. Il talk fornirà una panoramica su come tutto questo ecosistema di questi strumenti può essere utilizzato per monitorare e analizzare le prestazioni e il comportamento dei programmi, identificare colli di bottiglia, e risolvere problemi complessi e aiutare nel reverse engineering, possibilità fino a poco tempo fa mancanti su Linux. Verranno illustrate le differenze principali tra questi strumenti, i loro casi d'uso ideali, e le best practices per la loro implementazione. Alla fine del talk, i partecipanti avranno una comprensione chiara delle opzioni disponibili per il tracciamento su Linux e di come applicarle efficacemente nei propri progetti. Lo slogan del talk è: se anche tu, a un certo punto nell'uso di Linux ti sei chiesto: "Come fai ad avere una lista di tutti i comandi che vengono eseguiti su Linux quando lanci Firefox?" o domande simili, questo talk fa per te!

Lingua del talk: ITALIANO

Hacker e ricercatore accademico, lavoro sulla sicurezza dei sistemi UNIX-like, sistemi embedded e sistemi industriali. Mi occupo di virtualizzazione, di qualsiasi tipologia e di protocolli industriali. Ho fatto diverse CTF con il team Ulisse (Unibo) e con i SaarSec (CISPA), dove mi focalizzavo sul PWN e reverse engineering. Ho presentato a diverse conferenze accademiche internazionali (IEEE, ITASEC, ...) e a conferenze industriali (LinuxLab). Inoltre ho pubblicato su webzine (e.g. Paged Out!) e riviste accademiche (IEEE).

https://ihateyour.cloud
https://www.linkedin.com/in/davide-berardi-b1609796/
https://github.com/berdav/

TALK: Curious Minds, Converging Interests

BIO

Oggi molti Hackers degli anni ‘90 sono diventati esperti di sicurezza informatica e sono pagati profumatamente da varie aziende per proteggere i propri sistemi informatici. Uno dei più celebri è stato certamente Kevin Mitnick: attraverso l'iconico attacco durante il Natale del 1994 ai danni di Shimomura, vedremo come curiosità, passione e conoscenza hanno plasmato il passato e influenzeranno il futuro. Ripercorrendo questo epocale scontro si vuole ricercare insieme e presentare la scintilla originale che muove qualcosa in ognuno di noi: chi cerca una sfida, chi si sente molto in gamba o chi vuole diventarlo, chi si chiede dove stiamo andando e guarda indietro in cerca di risposte. Frutto di un incontro generazionale, passando dal particolare al generale, chiediamo insieme ai giganti venuti prima di noi il nostro futuro.

Lingua del talk: ITALIANO

Talk tenuto insieme a Riccardo Degli Espositi 'partywave'

TALK: XSS + SIDES

BIO

In questa presentazione, esploreremo una vulnerabilità XSS (Cross-Site Scripting) scoperta durante l'analisi, a seguito di secure code review pre rilascio, di un'applicazione web interna.
Partiremo dalle basi, spiegando cosa sia un XSS, come funziona e quali rischi comporta. Successivamente, analizzeremo il codice dell'applicazione, evidenziando come un input non adeguatamente controllato possa aprire le porte a un attacco. Dopo aver compreso la vulnerabilità, ci sposteremo su OAuth, il sistema di autenticazione utilizzato dall'applicazione, per capire come questa tecnologia interagisca con le problematiche di sicurezza. Infine, torneremo al codice per esaminare un exploit riuscito e concluderemo con una curiosa vulnerabilità nel backend PHP.
Questa presentazione offre un mix di teoria e pratica, perfetto per chi vuole approfondire le sfide della sicurezza web.

Lingua del talk: ITALIANO

WORKSHOP: Proteggere le Web Applications in Ambienti Cloud

BIO

In questo workshop parleremo di tecniche infrastrutturali (cioè che non richiedono modifiche nell'applicazione) per la protezione di web applications contro i threat più comuni. Partiremo con il simulare un attacco di data exfiltration contro un ambiente OWASP Juice Shop, per poi passare all'implementazione di contromisure (un Web Application Firewall e altre cose) e - se tutto va bene - mostreremo alla fine come lo stesso attacco non sarà più effettivo.
Faremo tutto ciò in una sandbox da noi fornita, quindi dovete portare solo il cervello e un computer di qualche tipo con un browser e una shell.

Lingua del workshop: ITALIANO

Mi occupo di infrastrutture web da quando avevo il pannolino. Nel tempo mi sono specializzato nel design e operations di infrastrutture scalabili e resilienti, che oggi è tecnicamente il mio lavoro. Per un po' ho fatto anche networking (sia quello tradizionale, con switch e routers, sia quello virtuale, con VPC e TGW). Sono appassionato di analisi dei disastri nel mondo digitale e in quello fisico, e passo giornate intere leggendo incident reports.

TALK: Zap Attack – web app open source scanner

BIO

Il testing dei sistemi informatici è sempre più importante, ZAP Attack Proxy è uno strumento open source e libero per i ricercatori e cyber security specialist. La mission del progetto è focalizzata nelle web app e portali web tramite tecniche di attacco a più livelli. La sezione Plug-in del marketplace ampliano le possibilità di operare in modo trasversale.

Lingua del talk: ITALIANO

Fabio Carletti aka Ryuw è un hacker del gruppo (SoldierX Hacker team). Esperto di sicurezza informatica con una vasta esperienza nel campo della protezione dei sistemi, delle reti e dei dati sensibili. Con più di 20 anni di esperienza nel settore della sicurezza informatica, ha lavorato con diverse organizzazioni per implementare strategie di difesa avanzate e mitigare le minacce informatiche in continua evoluzione.

https://www.linkedin.com/in/fabio-carletti-ryuw/

TALK: Hacking the Law: Quando i giudici AI incontrano gli avvocati "intelligenti"

BIO

Partendo dal paradosso di Kripkestein, discuteremo le implicazioni dell'uso dell'IA nelle sentenze sullo Stato di diritto. Vedremo come i modelli linguistici di grandi dimensioni (LLM) interpretano il testo e come possono essere manipolati attraverso l'ingegneria offensiva dei prompt o “jailbreaking”. Con questo termine intendiamo la creazione di prompt che costringono gli LLM a rispondere in modi che non sono stati voluti dai loro programmatori e, più specificamente, ad applicare regole diverse da quelle che gli LLM avrebbero dovuto applicare. Questo è istruttivo non solo perché ci mostra alcuni dei problemi che la giurisdizione guidata dall'intelligenza artificiale può sollevare, ma anche perché crea un quadro prezioso per discutere le regole generali da seguire. Concluderemo con un esercizio pratico in cui cercheremo di “hackerare” un LLM a cui è stato affidato il compito di agire come un giudice AI e di applicare una determinata regola a un caso. I partecipanti elaboreranno argomentazioni volte a sfruttare potenziali allucinazioni e debolezze nel modo in cui l'IA elabora le regole.

Lingua del talk: ITALIANO

Talk tenuto insieme a Michele Ubertone

Lorenzo Cococcia è nato e cresciuto in Italia, figlio di due mondi: l'informatica e la fisica. Specializzato in analisi malware, cyber security e threat intelligence, Lorenzo ha iniziato la sua carriera come analista di threat intelligence per grandi aziende industriali, dove ha sviluppato un approccio rigoroso al settore. È particolarmente interessato all'intersezione della fisica e della matematica con il mondo dell'hacking e della sicurezza informatica.

TALK: Attacchi di furto token: riutilizzare in modo fraudolento i cookie dopo l'MFA

BIO

I token sono elementi chiave nelle piattaforme di identità OAuth 2.0, come Entra ID. Per accedere a una risorsa (ad esempio, un'applicazione web protetta da Entra ID), un utente deve presentare un token valido. Gli aggressori rubano i token per impersonare gli utenti e accedere ai loro dati per tutto il ciclo di vita del token rubato. Per fare ciò, cercano di ottenere l'accesso alla posizione in cui è memorizzato un token (sul client, nei server proxy o in alcuni casi nei log di rete o applicativi) per acquisirlo e riutilizzarlo da un'altra posizione.

Lingua del talk: ITALIANO

TALK: External Attack Surface Management e Cyber Threat Intelligence: Proteggere il Perimetro Digitale

BIO

In un mondo sempre più connesso, la protezione del perimetro digitale è cruciale per la sicurezza delle organizzazioni. Questo talk approfondisce l'importanza della gestione della superficie di attacco esterna (EASM) e dell'intelligence sulle minacce informatiche (CTI) per monitorare e difendere le risorse digitali esposte. Analizzeremo come una combinazione efficace di questi approcci possa aiutare le organizzazioni a rilevare, comprendere e mitigare le minacce informatiche, garantendo una difesa robusta contro i cyber-attacchi in continua evoluzione.

Lingua del talk: ITALIANO

Talk tenuto insieme a Raffaello Parisi

TALK: CAN-Bus Zero Trust

BIO

Il CanBus è un protocollo solido e robusto, ma anche vecchio e insicuro. Negli ultimi anni viene sfruttato da malintenzionati per rubate diversi tipi di auto. Con un approccio molto basilare si vogliono analizzare le vulnerabilità che affliggono questa tecnologia e implementare un layer di sicurezza che non impatti sulle prestazioni del protocollo originale.

Lingua del talk: ITALIANO

TALK: Proof of Inference: Verifying the Integrity of Machine Learning Model Predictions

BIO

Questo intervento introduce un nuovo meccanismo per verificare l'integrità delle previsioni dei modelli di apprendimento automatico. Ispirato ai concetti di proof-of-computation e computation-pipeline, consente agli endpoint di inferenza di generare prove crittografiche che dimostrino che un modello ha realmente prodotto previsioni specifiche.

Lingua del talk: INGLESE

Michele è un consulente indipendente specializzato nel de-risking delle applicazioni AI. Con due decenni di esperienza nella costruzione di modelli analitici e predittivi per la robotica, l'editoria, la finanza decentralizzata, la gestione di megaprogetti e altro ancora. Ha conseguito un dottorato di ricerca in modellazione e interrogazione dei dati con incertezza.

https://www.linkedin.com/in/dallachiesa

TALK: Sviluppo Rapido di applicazioni con Laravel e Filament

BIO

Vi guiderò in un piccolo viaggio per mostrarvi come accelerare lo sviluppo di applicazioni con Laravel e Filament. Esploreremo come Filament, con la sua potente interfaccia amministrativa, si integra perfettamente con Laravel, permettendo di costruire applicazioni complesse in modo semplice e rapido. Attraverso esempi pratici e best practice, dimostreremo come queste tecnologie possono ridurre i tempi di sviluppo e migliorare la produttività.

Lingua del talk: ITALIANO

I have been a cybernaut since the days of BBS and a hacker in the romantic sense of the term: I love taking things apart, understanding how they work, and transforming them. Cybersecurity is a great passion of mine and guides my daily work as a software developer. I am currently employed as a Senior Full-Stack Developer at one of the leading hosting providers in Italy. In my free time, I continue to learn, create, disassemble, and transform with the Hackamole Association, of which I am a co-founder.

https://a80.it

https://www.linkedin.com/in/mirchaemanueldangelo/

https://github.com/mirchaemanuel

TALK: Curious Minds, Converging Interests

BIO

Lingua del talk: ITALIANO

Talk tenuto insieme a Christopher Bianchi 'calfcrusher'

TALK: Offensive Operations as Code: Personal Journey in Innovating and Automating Cloud Infrastructure

BIO

Questa presentazione ripercorre il mio personale viaggio nell'innovazione delle offensive cyber operations, utilizzando infrastrutture cloud con Terraform e il paradigma Infrastructure as Code (IaC). Le architetture introdotte, sfruttando il linguaggio HCL (HashiCorp Configuration Language), si integrano con strumenti avanzati di comando e controllo, strumenti di networking e anonimizzazione, riuscendo a garantire scalabilità e sicurezza. L'automazione della configurazione e la gestione delle risorse cloud possono consentire una migliore efficacia delle operazioni offensive complesse.

Lingua del talk: ITALIANO

Vito "Trust_No_One" De Laurentis è un esperto di sicurezza informatica con 20 anni di esperienza nel settore della cybersecurity. Programmatore dal 1998, inizia la sua carriera nel 2004 come sistemista, specializzandosi nel 2005 come istruttore di "Penetration Testing" e successivamente di "Red Teaming". Da sempre sostenitore della filosofia hacking come vera e propria arte, Vito ha lavorato instancabilmente per affermare la cultura della cybersecurity, diventando figura di riferimento nella Pubblica Amministrazione nella quale ha esercitato la sua opera di divulgazione.

Attualmente ricopre il ruolo di ricercatore nel ramo dell'incident response e del threat hunting, continuando a contribuire alla sicurezza delle organizzazioni attraverso l'identificazione e la mitigazione delle minacce avanzate.

TALK: Reti ieri oggi e domani

BIO

Evoluzione di una rete, come sono cambiate le reti in questi anni e come diventeranno.

Lingua del talk: ITALIANO

TALK: The curse of False Flag

BIO

Lingua del talk: ITALIANO

Talk tenuto insieme a Vito Alfano

TALK: LocalAI: The Open Source alternative to OpenAI, Anthropic, ...

BIO

Il talk esplora come LocalAI offra un'alternativa Open Source, totalmente gestibile in locale, a servizi di intelligenza artificiale chiusi e proprietari come OpenAI e Claude. In un contesto dove la privacy è sempre più fondamentale, e dove processare dati sensibili è importante, LocalAI si pone come soluzione completamente libera che funziona su qualsiasi hardware. LocalAI supporta l'esecuzione offline senza hardware costoso ed è anche completamente compatibile con le API di OpenAI, permettendo una transizione semplice per gli sviluppatori. Discuteremo l'architettura di LocalAI, le sue capacità di generazione di testo, distribuzione del workload, sintesi vocale e trascrizione audio, e come costruire assistenti personalizzati, anche con hardware di basso costo.

Lingua del talk: ITALIANO

Hacker e "hacktivista" Open Source di lunga data. Ettore fa parte della comunità Open Source da quasi 20 anni: ex sviluppatore Gentoo in, Sabayon Linux Lead e collaboratore di diversi progetti FOSS tra cui openSUSE, Cloud Foundry, openQA e altri ancora. In precedenza ha lavorato per SUSE dove era a capo del team Elemental. Ettore e' un appassionato del software Open e ha creato vari progetti ( tra cui LocalAI e Kairos ) - ama Golang e Kubernetes ed ha un forte background in Linux. Ettore ha creato e attualmente mantiene LocalAI.
https://github.com/mudler
https://x.com/mudler_it

TALK: Trusted boot and Kairos: Honey, I've secure yout boot!

BIO

Parleremo di sicurezza in ambito di Edge computing e di Kairos (kairos.io). Kairos e' un progetto open source, ora parte della CNCF/Linux foundation per utilizzare Kubernetes e Linux in ambienti di edge computing, dove la sicurezza non è mai scontata. Attraverso l'implementazione di tecnologie come Secure Boot, Trusted Boot, TPM e crittografia del disco, Kairos trasforma Linux in un sistema operativo resistente agli attacchi fisici (Evil maid attacks) e ideale per gestire le sfide di ambienti considerati non sicuri. In questo talk vedremo come ci possiamo difendere da attacchi fisici per proteggere la confidenzialita' dei dati in ambienti di edge computing.

Lingua del talk: ITALIANO

TALK: "Il buono, il brutto, il cattivo" della cybersecurity

BIO

Una retrospettiva critica delle lezioni apprese 20 anni fa, confrontate con le evoluzioni tecnologiche odierne e le prospettive future. Un viaggio semi-serio tra passato, presente e futuro della sicurezza informatica.

Lingua del talk: ITALIANO

Lorenzo Dina è un aggeggiatore seriale, esploratore e appassionato di reti (a 300bps) e sicurezza informatica sin da giovane età e che una ventina di anni fa fece un passo nella direzione "giusta" portandolo a diventare un professionista nei settori della Cybersecurity, Digital forensics e Information security management. Formatore presso aziende, università e panelist in eventi aziendali.

https://www.linkedin.com/in/lorenzodina/

TALK: Forensics digitale contemporanea

BIO

L'informatica forense è stata storicamente caratterizzata da processi investigativi estesi e manuali. Questo intervento introduce un approccio innovativo basato su modelli computazionali avanzati per trasformare il settore. Presentiamo f-T5, un modello linguistico generalista ottimizzato per applicazioni forensi digitali. f-T5 è stato affinato su dati forensi specializzati, curati appositamente, data la scarsità di risorse pubbliche nel dominio.

Lingua del talk: ITALIANO

Talk tenuto insieme a Nicolò Monti

TALK: Debian, /var/ vuota, /etc/ vuota e factory reset

BIO

Marco spiegherà i propri esperimenti per implementare in Debian, e più in generale nelle distribuzioni tradizionali, il factory reset (ripristino alle impostazioni di fabbrica): cosa funziona già, cosa manca e quali hack^Wstrategie si possono provare per sviluppare questo meccanismo in modo graduale e senza bisogno di coinvolgere l'intera distribuzione. Potere ripristinare un sistema cancellando tutto tramite /usr è interessante per gestire container, appliance hardware e altro ancora.

Lingua del talk: ITALIANO

Marco d'Itri fa cose in Internet in Italia dagli anni '90, e dal 2006 lavora per un fornitore italiano di infrastruttura cloud dove si occupa di reti, posta, DNS e varie questioni sistemistiche. Usa Linux dal 1996, IPv6 dal 2000 ed è un Debian Developer dal 1997. È anche uno dei gestori di MINAP, l'internet exchange alternativo di Milano, ed è l'autore del programma whois usato da tutte le distribuzioni di Linux. Gli piace programmare in Perl e bere buona birra.

https://www.linux.it/~md/
https://www.linkedin.com/in/rfc1036/
https://twitter.com/rfc1036
https://hostux.social/@rfc1036

TALK: La censura di Internet in Italia e nel mondo

BIO

Marco analizzerà in modo sistematico la storia e lo stato della censura di Internet in Italia e confronterà la situazione con quella di altri paesi. Saranno brevemente discussi i principali meccanismi che permettono di aggirare i sistemi di censura della rete.

Lingua del talk: ITALIANO

https://www.linux.it/~md/
https://www.linkedin.com/in/rfc1036/
https://twitter.com/rfc1036
https://hostux.social/@rfc1036

TALK: The sound of malware

BIO

Ciao CVEs, miei vecchi amici, sono venuto a occuparmi di nuovo di voi Perché una backdoor si insinua silenziosamente... Ops, scusate, stavamo cantando a squarciagola. È una cosa che continuiamo a fare ogni volta che una nuova vulnerabilità irrompe nella nostra routine quotidiana. Ultimamente è successo sempre più spesso a causa delle dipendenze del nostro software. Log4J, avete detto? Oh, beh, non dimentichiamoci di XZUtils! Li chiamano attacchi alla catena di distribuzione. Abbiamo iniziato ad affrontarli a ritmo di SLSA (leggi “salsa”), ma poi abbiamo notato che potevamo fare di più. Molto di più! E abbiamo trasformato i nostri binari malevoli in... beh, in forme d'onda. E abbiamo iniziato a farli dondolare! Leggendo questi binari come se fossero normali forme d'onda e analizzandoli con un po' di matematica (Cepstum, serie di Fourier, ecc.) abbiamo creato un modello che mira a rilevare se una dipendenza è dannosa. E anche di classificarla in base al tipo di malware. Affascinante, vero? Il suono del malware...

Lingua del talk: ITALIANO

Talk tenuto insieme a Gregorio Palamà

Laureato in Ingegneria Informatica all'Università degli Studi de L'Aquila e appassionato del mondo della ricerca, in particolar modo inerente il Machine Learning e Computazione Evolutiva, lavoro nel mondo IT in sicurezza e difesa, come Machine Learning Engineer. La mia passione per lo studio e l'accademia mi ha portato nel fantastico mondo dei Dev Talks dove spero di appassionare tanto quanto lo sono io.

https://www.linkedin.com/in/luca-di-vita-563b0a183/

https://www.instagram.com/luca_di_vita_

TALK: SATCOM/MILSAT Hacking

BIO

In orbita geostazionaria ci sono diversi satelliti militari ed alcuni di questi sono ormai usati più spesso da pirati che dai legittimi utenti. Uniamoci ai pirati ascoltando e provando a trasmettere a questi satelliti ascoltando il nostro segnale che torna giù sulla terra con l’affascinante ritardo di circa mezzo secondo.

Lingua del talk: ITALIANO

TALK: Open Source Digital Forensic

BIO

Importanza degli strumenti open-source in ambito forense: L'utilizzo di strumenti open-source o free software, meglio se con licenza GPLv3, in cui il codice sorgente è accessibile per l'ispezione, dovrebbe essere fondamentale per l’acquisizione, l’analisi ed in generale per le investigazioni. Gli strumenti open-source offrono trasparenza, consentendo agli esperti di verificare l'integrità e la sicurezza del codice. Consentono di ispezionare il codice con l’obiettivo di garantire l’assenza di vulnerabilità o di backdoor che potrebbero compromettere l'indagine. Inoltre, gli strumenti open-source possono essere personalizzati per soddisfare specifiche esigenze investigative e possono essere sottoposti a peer-review, migliorando la loro affidabilità e attendibilità nelle applicazioni forensi. Per moltissime attività di indagine e per numerosissimi casi, gli esperti sono purtroppo obbligati ad utilizzare strumenti completamente chiusi, dal punto di vista software, basati su tecnologie proprietarie che è impossibile ispezionare, gli unici test che è possibile fare con questi strumenti, sono quelli di verifica incrociata con altri strumenti (sempre closed) e/o di raffronto con l’analisi di device predisposti appositamente come “campioni”. Questa modalità di lavoro potremmo denominarla “black box” forensic.

Lingua del talk: ITALIANO

Alessandro Farina is an Information Technology expert and digital forensics specialist with over 30 years of dedicated experience. As a passionate advocate for cybersecurity awareness, he seamlessly balances his professional expertise with personal commitments. Alessandro's expertise extends to the Ministry of Justice and various Italian law enforcement agencies such as the Guardia di Finanza, Carabinieri, and Polizia di Stato, where he provides critical support in IT security, incident response, and cybercrime investigations. He is a valued technical advisor for digital forensic investigations for prosecutors' offices across Italy, including Venezia, Verona, Napoli, and Padova. Alessandro is deeply committed to promoting cybersecurity awareness through his volunteer work. He is an active member of the main staff for HackInBo, RomHack, and CyberSaiyan, where he contributes to organizing events and educating the public on cybersecurity issues.

TALK: Kubernetes security fundamentals: scraping your cluster security

BIO

Mettere in sicurezza un cluster Kubernetes comporta affrontare compiti complessi e diverse aree di intervento possibili. Il nostro percorso inizierà con l'analisi dello stato dell'arte attuale della sicurezza di Kubernetes, esplorando le diverse opzioni che dobbiamo affrontare nella gestione di un cluster. Successivamente ci concentreremo sulla configurazione e sull'uso di una delle soluzioni più conosciute: i motori di policy. Unisciti a noi e goditi il viaggio nel panorama della sicurezza di Kubernetes!

Lingua del talk: ITALIANO

Inizia la propria carriera informatica a 7 anni disassemblando un Commodore PC1 per capirne il funzionamento. Ingegnere informatico, si è sempre occupato di sistemi distribuiti (networking, architetture software). Attualmente guida il team dedicato allo sviluppo di servizi basati su tecnologie cloud (Kubernetes ed OpenStack) in Netsons, uno dei principali Cloud e Hosting Provider italiani.

His computer career starts at the age of 7 disassembling a commodore PC1 to understand how it worked. As a computer engineer, his main interest is about distributed systems (networking and software architecture). Currently, he leads the cloud services team in Netsons, one of the main Cloud and Hosting italian Providers, developing services based on Kubernetes and OpenStack.

TALK: Il ruolo di hacktivisti e cyber army volontari in guerra

BIO

Con la guerra in Ucraina si è dispiegato un tipo nuovo di hacktivismo e di partecipazione alla cyberwarfare tra Stati. Il suo modello è rappresentato dall’IT Army ucraino, che per la prima volta raccoglie i cyber volontari di tutto il mondo sotto un comando (benché formalmente indiretto) statale o governativo. Quel tipo di organizzazione si colloca volutamente in un terreno ambiguo, in cui lo Stato accetta i contributi ma nello stesso tempo ne prende le distanze. E ambiguo è lo status dei partecipanti. Ma nel conflitto ucraino non sono mancati gruppi sedicenti hacktivisti (o cybercrimninali, o entrambe le cose) che sembrano piuttosto allineati con l’intelligence russa, o con gli obiettivi di propaganda del Cremlino. C’è molta confusione sotto il cielo e non è chiaro nemmeno come definire tutti questi soggetti. L’unico dato chiaro è che agli Stati conviene poter contare su armate cyber che sostengano le proprie offensive informatiche mantenendo all'occorrenza una qual certa plausible deniability, o comunque una non completa responsabilità. Il tutto in un quadro in cui i privati (aziende, startup, individui) stanno assumendo un ruolo sempre più rilevante.

Lingua del talk: ITALIANO

Carola Frediani ha scritto di hacking, privacy, sorveglianza, cybercrimine per varie testate italiane ed estere. Poi ha iniziato a lavorare come cybersecurity awareness manager in realtà internazionali. Dopo essere stata nel team di sicurezza globale del segretariato di Amnesty International, attualmente è infosec technologist a Human Rights Watch. Ogni settimana scrive la newsletter gratuita Guerre di Rete che analizza notizie e storie di cybersicurezza, sorveglianza, diritti digitali, AI. La newsletter è poi evoluta in un progetto d'informazione indipendente, il sito Guerredirete.it, realizzato insieme all'associazione Cyber Saiyan.

www.guerredirete.it

TALK: Presentazione libro "Non ERA un libro per hacker"

BIO

Tra falsi miti e storie gonfiate sul cybercrime si racconta tutto e il contrario di tutto, distorcendo la percezione della realtà del fenomeno. Il libro è stato scritto con l’obiettivo di raccontare fatti realmente accaduti e storie avvincenti dove la sicurezza informatica e le indagini digitali vengono raccontate usando un linguaggio semplice e divulgativo. Stefano, in ogni storia, racconta un pezzo di sé e della sua pluriennale esperienza nel settore. Attacchi informatici, indagini oltre oceano, casi di violenza sulle donne e virus sofisticati accompagneranno il lettore in una serie di avvincenti ed incredibili avventure i cui protagonisti sembrano usciti da serie televisive e film campioni di incassi.

Lingua del talk: ITALIANO

Imprenditore, definito dai quotidiani Il Resto del Carlino e La Stampa “hacker buono”, citato tra le 50 persone della cybersecurity italiana da seguire secondo La Repubblica, è conosciuto a livello internazionale come padre e fondatore del progetto DEFT Linux, uno dei sistemi per le indagini informatiche più usato nel mondo. Nel 2013 ha fondato Tesla Consulting, società italiana specializzata in servizi pro attivi di Cyber Security e gestione di incidenti informatici. L’azienda è stata oggetto dell’OPA di Bain Capital su Be Shaping the Future S.p.A., che dal 2023 ne detiene il 100% delle quote societarie. Nel 2016 ha avuto il piacere e l’onore di essere stato nominato come componente esterno per una commissione giudicatrice presso il Senato della Repubblica Italiana. Nel corso della sua carriera ha partecipato, in qualità di consulente tecnico di Informatica Forense, a casi di importanza nazionale ed internazionale; tra questi il primo caso italiano di sentenza per violazione della privacy “Buongiorno! Vitaminic”, i noti casi “Telecom Italia – Sismi”, Volkswagen Dieselgate, Expo Milano 2015, il femminicidio di Alessandra Matteuzzi, per un totale di oltre 400 casi trattati. Professore a contratto per il corso di alta formazione post laurea in Data Protection e Privacy Officer dell’Università degli studi di Bologna. Da oltre 15 anni collabora come docente per svariate università italiane come esperto di Digital & Computer Forensics e Cyber Security. Ha partecipato come speaker a numerosi eventi sulla sicurezza informatica ed è consulente di Cyber Security per realtà televisive e radiofoniche come “Report”, “Le Iene”, “Omnibus La7” e “Radio Rai”.

www.stefanofratepietro.com

https://www.linkedin.com/in/stefanofratepietro/

https://www.instagram.com/stefanofratepietro/

https://x.com/stevedeft

WORKSHOP: Oltre ATT&CK: una metodologia per valutare e migliorare Detection & Response

BIO

In un panorama di minacce e tecnologie in continua evoluzione, i team SOC affrontano sfide crescenti. Questo talk offre una panoramica dell'evoluzione della detection engineering e dei framework basati su MITRE ATT&CK per la valutazione e il miglioramento delle capacità di Detection & Response, oltre a presentare una metodologia applicabile in ambito enterprise.

Lingua del workshop: ITALIANO

TALK: Hackerare un Large Language Model: un tentativo di Explainable AI (XAI)

BIO

In questa presentazione verrà introdotto il tema della Explainable AI, ossia della capacità di spiegare i modelli di intelligenza artificiale per lo più basati su reti neurali. Questo tema sta diventando sempre più importante con l'utilizzo diffuso dei Large Language Model, ma sappiamo davvero come funzionano e quali sono i loro limiti?

Lingua del talk: ITALIANO

Talk tenuto insieme a Enrico Zimuel

TALK: Coinvolgere le nuove generazioni, una storia di software, skateboard e gelato al lampone.

BIO

Il libro Ada & Zangemann (pubblicato sotto Creative Commons BY-SA) racconta la storia del famoso inventore Zangemann e della bambina Ada, una smanettona curiosa. Ada sperimenta con hardware e software, e scopre quanto sia cruciale per lei e per gli altri avere il controllo della tecnologia. Il libro scritto da Matthias Kirschner (presidente dell'FSFE) è stato negli ultimi mesi letto a più di 1000 bambini (dai sei anni in su) ed adulti in scuole, biblioteche ed altri eventi. Le letture sono avvenute perlopiù in Germania, ma sono state sperimentate anche in Italia. Vorrei presentarvi il libro e raccontarvi delle attività fatte a scuola, e in generale delle esperienze di lettura.

Lingua del talk: ITALIANO

LAB: Moca for First Responders

BIO

HackInBo® Forensic Games sarà presentato in forma ridotta e sarà articolato come un momento di formazione seguito da un laboratorio pratico in cui lavoreranno i partecipanti e da un momento di analisi e valutazione del lavoro svolto.
La formazione riguarderà l'attività di individuazione, repertazione e messa in sicurezza di dispositivi rinvenuti sulla scena del crimine.
Nel laboratorio saranno a disposizione dei partecipanti 3 portatili che dovranno essere adeguatamente repertati.
Nel momento di analisi, commenteremo tutti insieme il lavoro fatto e provvederemo a stilare una "graduatoria".

Lingua del talk: ITALIANO

HackInBo® è il più grande evento gratuito italiano dedicato alla Sicurezza Informatica, nato nel 2013 con l'obiettivo di diffondere la cultura della cybersecurity e aggiornare su tecnologie e minacce emergenti.

Organizzato a Bologna e giunto alla 23° edizione, HackInBo® si distingue per l'elevata qualità dei contenuti e per il suo ambiente informale e accessibile. Ogni sei mesi ospita esperti di rilievo nazionale e internazionale che, attraverso talk tecnici e workshop, condividono le loro competenze. L'evento è aperto a professionisti, studenti e appassionati, offrendo opportunità di apprendimento, networking e collaborazione in un contesto dinamico e inclusivo.

TALK: EUDI - La nuova identità digitale in Europa: un disastro annunciato?

BIO

Il 3 giugno 2021 la Commissione Europea ha raccomandato la creazione di una “cassetta degli attrezzi” (Toolbox) per lo sviluppo di “portafogli” (wallet) che custodiscano le identità digitali dei cittadini europei (EUDI, European Digital Identity). Gli attrezzi forniti includono un’Architettura e un Quadro di Riferimento tecnico, un insieme di standard comuni e specifiche tecniche e linee guida. I fornitori di tali portafogli saranno autorità pubbliche o organizzazioni del settore privato se riconosciute dagli Stati membri. L’operazione è guidata da un gruppo di esperti scelti da un’organizzazione di nome eIDAS (electronic Identification, Authentication and Trust Services) la cui missione è aggiornare e rafforzare le implementazioni di identità digitali in Europa, come quella dello SPID in Italia.

Nel lento corso di questa iniziativa, che doveva già essere conclusa con risultati usabili alla fine del 2023, si è evoluto un documento chiamato EUDI ARF (Architecture Reference Framework) che ha riassunto una serie di raccomandazioni su come realizzare l’architettura, evolvendosi attraverso varie versioni fino alla versione nr 4 recentemente pubblicata.

Il documento però presenta molti problemi per la privacy e la sicurezza dei cittadini, forse anche più gravi dei suoi ritardi....

Lingua del talk: ITALIANO

Jaromil è un artigiano del software ed un noto hacker etico. Autore del codice informatico definito da critici d'arte di tutto il mondo come il più elegante mai scritto, è anche un esperto in filosofia, crittografia e sviluppo di software libero. Jaromil dirige la fondazione Dyne.org ed e’ co-fondatore della Metro Olografix e dell’associazione dei crittografi italiani De Cifris. Da piu' di venti anni si dedica allo sviluppo e diffusione di strumenti digitali per la libertà di espressione, la democrazia partecipativa e la privacy. Le sue creazioni sono utilizzate in tutto il mondo da organizzazioni pubbliche e private.

https://jaromil.dyne.org

https://x.com/jaromil

https://linkedin.com/in/jaromil

TALK: gULP: A Versatile Log Processing Tool for digital forensics, incident response and threat hunting

BIO

This presentation aims to introduce our new open source project: gULP.
Developed by Mentat, gULP is a cutting-edge tool designed to improve incident response and analysis through simplified log processing.

Some of gULP’s key features include:

- a high-speed multi-processing engine that supports fast ingestion and querying.

- a versatile Python plugin system that supports multiple sources.

- query using custom filters, Opensearch DSL and Sigma Rules.

- full scalability support leveraging OpenSearch and PostgreSQL.

- “collaborative workflows” (aka play co-op with friends)

- an innovative UI which allows for quick recognition of attack patterns and data analysis from multiple sources at the same time, overcoming limitations of existing products.

Lingua del talk: ITALIANO

Talk tenuto insieme a Gabriele Zuddas

TALK: Inclusione e tecnologia

BIO

Nell'epoca in cui la tecnologia modella il nostro quotidiano e disegna il futuro del lavoro, è fondamentale garantire un ambiente inclusivo e equo per chiunque. In questo panel esploreremo le visioni e gli obiettivi del Manifesto Italiano delle Donne nella Tecnologia, parleremo delle principali sfide che le donne affrontano nel settore tech e come il manifesto propone di superarle attraverso azioni concrete, formazione e sensibilizzazione. Esploreremo insieme come ciascuno di noi può contribuire a creare un ecosistema tecnologico più equilibrato, valorizzando le competenze e le prospettive femminili.

Lingua del talk: ITALIANO

Siamo un gruppo indipendente di persone deciso a ridurre il gap di genere nella tech italiana! Il nostro Manifesto è per chi, come noi, vuole un futuro tech più aperto e inclusivo.

Ci impegniamo a combattere le discriminazioni, ispirando e sostenendo ragazze e donne nella passione per la tecnologia: vogliamo che abbiano successo negli studi in ambito tecnologico e che possano avere carriere soddisfacenti, fino a raggiungere posizioni di leadership.

Vogliamo un futuro dove ciascunə possa davvero dare il proprio contributo. Il nostro obiettivo è costruire un mondo dove il genere non blocchi mai il successo professionale.

TALK: Beyond the Basics: Deep Dive into Securing OAuth2 Implementations

BIO

Lingua del talk: INGLESE

Talk tenuto insieme a Giovanni Bartolomucci, Giuseppe Porcu e Mattia Zago

Stefano Maistri è un esperto di cybersecurity con un solido background accademico e professionale e ha conseguito un master presso l'Università di Verona. In qualità di Principal Security Consultant presso IMQ Minded Security, Stefano è specializzato in penetration test, secure code review e security project management. È in possesso della certificazione ISO/IEC 27001 Foundation. Stefano è stato relatore in varie conferenze e seminari di rilevanza nazionale, tra cui Hack in Bo e Romhack.

TALK: 30 seconds to Mars ma anche su Hotbird

BIO

Dallo ricostruzione del segnale video al fault injection sulle CPU. Questa è un po' la storia del hacking satellitare. Dialogheremo su cosa è cambiato in questi ultimi 30 anni e proveremo a vedere se ha ancora senso cercare vulnerabilità all'interno di Set Top Box.

Lingua del talk: ITALIANO

TALK: Research is Lagging Behind: Reverse Engineering DRAM Circuits with SEM and FIB

BIO

I produttori di DRAM non rendono nota l'architettura dei sense amplifiers installati nei loro chip. Purtroppo, questo ostacola la ricerca accademica che si concentra sullo studio o sul miglioramento delle DRAM. Senza conoscere la topologia del circuito, le dimensioni dei transistor e il layout dei sense amplifiers, i ricercatori sono costretti ad affidarsi a ipotesi, compromettendo la fedeltà dei loro studi. Il nostro obiettivo è quello di colmare per la prima volta questo divario tra il mondo accademico e quello industriale, eseguendo una microscopia elettronica a scansione (SEM) con fascio di ioni focalizzato (FIB) su chip di DRAM DDR4 e DDR5 di recente produzione dei tre principali fornitori. Ciò ha richiesto un'adeguata preparazione dei campioni, l'identificazione dell'area di rilevamento e l'allineamento delle immagini provenienti dalle diverse fette FIB. Utilizzando le immagini acquisite, abbiamo effettuato il reverse engineering dei circuiti, misurato le dimensioni dei transistor ed estratto i layout fisici dei sense amplifiers, tutti elementi precedentemente non disponibili ai ricercatori. I nostri risultati dimostrano che la topologia classica delsense amplifier, comunemente ipotizzata, è stata sostituita da un progetto più sofisticato di cancellazione dell'offset da parte di due dei tre principali produttori di DRAM.

Inoltre, le dimensioni dei transistor dei sense amplifiers e i loro layout fisici rivelati sono significativamente diversi da quelli ipotizzati nella letteratura esistente. Considerando le DRAM di base, la nostra analisi mostra che i modelli di DRAM pubblici sono fino a 9 volte imprecisi e la ricerca esistente ha un errore fino a 175 volte nella stima dell'impatto delle modifiche proposte. Per consentire in futuro una ricerca sulle DRAM ad alta fedeltà, abbiamo reso open source i nostri dati, compresi i circuiti e i layout realizzati in reverse engineering.

Lingua del talk: INGLESE

Michele ha appena concluso un PhD all'ETH di Zurigo con focus su DRAM security. Con la sua ricerca ha dimostrato come e' possibile proteggere la DRAM da attacchi Rowhammer con design basati su prove matematiche. I suoi risultati sono usati all'interno di JEDEC come fonte di discussione per i nuovi protocolli DDR5/6 e da ricercatori all'interno di Google e Microsoft. Recentemente, ha dimostrato che e' possibile realizzare Rowhammer su CPU RISC-V per la prima volta. Michele ha condotto il progetto HiFi-DRAM, che verra' presentato al MOCA24, con il quale chip DRAM DDR4 e DDR5 sono stati fotografati e ricostruiti.

https://www.michelemarazzi.com/
https://twitter.com/marazzi_michele
https://scholar.google.com/citations?user=BwQ0FYQAAAAJ&hl=en
https://www.linkedin.com/in/michele-marazzi-567524185/

TALK: Teoria dell'informazione per nerd svogliati

BIO

Hai sempre sentito parlare di teoria dell’informazione e per pigrizia non ci hai mai voluto guardare dentro? Quella formalizzata da Shannon alla fine degli anni 40? Ci toglieremo un po' di curiosità: dal concetto di informazione a come si riesca a comprimerla. Ci sarà un po’ di matematica ma se non ti piace la matematica non puoi essere amante dei calcolatori; prometto che non sarà difficile però!

Lingua del talk: ITALIANO

TALK: Sonic Visions: transforming landscapes into soundscapes

BIO

Sonic Vision è un innovativo programma open-source progettato per gli artisti visivi, che consente di generare musica in tempo reale attraverso l'analisi delle immagini. Integrato come plugin per Krita, uno dei più diffusi programmi di disegno digitale, Sonic Vision interpreta le informazioni cromatiche e posizionali dell'immagine originale come eventi musicali. Questi eventi vengono poi resi in formato MIDI e possono essere inviati a un sintetizzatore per creare suoni o musica che riflettono l'intento estetico dell'artista durante il disegno. Questo approccio consente di esplorare nuove dimensioni creative, combinando arti visive e musica in un'esperienza sinestetica unica.

Lingua del talk: INGLESE

Marco Melletti e Matteo Martelli sono due informatici e musicisti, entrambi laureati in Informatica all'Università di Bologna. Dopo l'università, hanno intrapreso una carriera nello sviluppo di software in ambito industriale, pur mantenendo una forte passione per l'arte e l'open source. Da diversi anni Marco si occupa di prodotti per il settore dei trasporti (multimedia, server, comunicazioni, videosorveglianza). Matteo si occupa principalmente di sviluppo embedded (kernel Linux, RTOS, device driver).

https://gitlab.com/mellotanica/sonic_visions/

TALK: My journey into cloud security

BIO

Con questo talk merlos vi guiderà attraverso le difficoltà e le sfide che ha già affrontato / sta affrontando / affronterà approcciando la sicurezza in un contesto full cloud.

Lingua del talk: ITALIANO

Mi chiamo Giovanni Mellini (aka merlos) e sono il fondatore e presidente pro tempore di Cyber Saiyan, un'associazione senza scopo di lucro che ho fondato nel lontano Dicembre 2017 insieme ad alcuni amici. Dal 2018 organizziamo RomHack, una security conference che si svolge ogni anno a Roma nel mese di Settembre. Nel 2022 abbiamo organizzato RomHack Camp [www.romhack.camp], il primo hacker camp a Roma. Mi capita di parlare ad eventi di community e nelle scuole/università. Ho avuto il mio giorno di gloria quando ho hackerato un butt plug BLE (bluetooth low energy)

https://x.com/merlos1977

https://www.linkedin.com/in/giovannimellini/

https://scubarda.com/

TALK: Digital Forensics ed investigazioni digitali

BIO

Nel corso della presentazione, esploreremo l'universo della serie TV C.S.I. e come le tecnologie moderne, dai computer agli smartphone, fino alle auto e ai droni, possano rivelare una quantità sorprendente di informazioni su eventi passati. Impareremo come raccogliere e presentare in modo efficace i dati informatici (spoiler: uno screenshot non basta!), esaminando il processo di sequestro e analisi dei dispositivi e scoprendo quali dati vengono memorizzati inconsapevolmente in ogni momento della nostra vita. Analizzeremo alcuni casi reali e discuteremo le potenzialità dell'intelligenza artificiale nel campo dell'investigazione digitale.

Lingua del talk: ITALIANO

Luca Mercatanti, dal 2007 si occupa di Sicurezza Informatica, Hacking e Comunicazione Digitale. Svolge attività di divulgazione all’interno di scuole, riviste del settore, programmi televisivi e radiofonici. Amministratore della Mercatanti SRL, si occupa di informatica forense come perito di parte (CTP) all'interno di procedimenti giudiziari civili e penali e come ausiliario di P.G. a supporto delle Procure.

mercatanti.com

@lmercatanti

TALK: Fondazione della Metro Olografix, hacking, stasi criogenica: aneddoti, considerazioni, sogni

BIO

In questo talk, Merc parla di come sia nata la Metro Olografix, aneddoti inediti sulle prime disavventure, disavventure, scelte -- e cosa succederebbe e quelle scelte fossero fatte oggi. Merc parla anche della sua stasi criogenica trentennale, di cosa ha scoperto al risveglio della cyber security, chiedendosi se lo spirito ed il divertimento di allora possa riemergere oggi nonostante i soldi, le certificazioni, gli stati, e le guerre.

Lingua del talk: ITALIANO

Tony Merc Mobily è uno dei fondatori di Metro Olografix. Ha iniziato la sua carriera informatica come sviluppatore software, ma si è presto interessato alla "sicurezza informatica", facendo amicizie interessanti che lo hanno guidato come mentori. È riuscito a sfuggire per un pelo a Ice Trap (che ha catturato tutti i suoi mentori). Il puro timore del "bussare alla porta" ha indotto una stasi criogenica autoimposta della sua carriera di hacker, portandolo a dedicarsi all'ingegneria del software, all'editoria e al balletto. Vive una vita molto felice in Australia con sua moglie e i suoi figli e, poco prima di Moca 2024, ha riavviato la sua carriera nella sicurezza informatica, ora che il campo è finalmente maturato con certificazioni, descrizioni di lavoro e una corretta governance. In altre parole, Merc è tornato

TALK: Astronomia e Cyber Security: L'Impatto Emotivo su Analisti e Ricercatori

BIO

Il mondo dell'astronomia e quello della cyber security condividono molte somiglianze sorprendenti. Proprio come se cercassimo di riconoscere costellazioni nel cielo notturno, tracciando linee immaginarie tra le stelle, all'interno del mondo della cyber security colleghiamo dati sparsi per identificare potenziali attori malevoli o nuove relazioni interessanti. Le galassie rappresentano cluster di attori state-sponsored, complessi e formati da entità poco riconoscibili. Le stelle simboleggiano i gruppi "as-a-Service", che diffondono strumenti a basso costo, mentre le comete rappresentano i gruppi di hacktivisti, visibili solo per brevi momenti prima di scomparire. Lavorando nell'intelligence, mi sono spesso reso conto di dover affrontare problemi imprevisti e spesso con dati insufficienti, domandandomi costantemente la validità delle mie conclusioni. Questa presentazione vuole far luce sulle sfide e gli impatti emotivi in cui ci si può imbattere, affrontando una miriade di informazioni senza un nesso logico apparente. Come possiamo mantenere la lucidità e prendere decisioni informate in un contesto così complesso e caotico?

Lingua del talk: ITALIANO

TALK: Cenere, macerie e ipocrisia dell'attivismo digitale

BIO

Che fine ha fatto l'attivismo digitale (posto che lo si possa chiamare così?) Dall'epoca d'oro di Metro Olografix, cyberpunk.ita, Cybernet, Strano Network, Freaknet, Shake edizioni, Forte Prenestino, Joe Lametta, A/I, Alcei fino alla feticizzazione dei diritti, alle parole d'ordine e alla ricerca del integrazione istituzionale, l'attivismo digitale. Come è nato cresciuto male e finito peggio l'attivismo digitale italiano.

Lingua del talk: ITALIANO

TALK: Forensics digitale contemporanea

BIO

Lingua del talk: ITALIANO

Talk tenuto insieme a Mirko Di Salvatore

TALK & WORKSHOP: Casa tua, domotica con le tue regole: Privacy, Scelta & Sostenibilità con Home Assistant

BIO

Ti piacerebbe domotizzare casa, ma non ti va di accedere a 5 cloud diversi per comandare 2 lampadine e 1 serranda, facendo anche sapere a svariati governi d’oltremare quante volte sei entrato in bagno? Allora impariamo assieme a smanettare con Home Assistant, il più famoso software open source per smart home basato su 3 principi: privacy (controlla cosa condividi, e con chi), libertà (niente restrizioni sui dispositivi da usare o lock-in) e sostenibilità (il supporto all’hardware deve durare nel tempo). Vedremo come installarlo su un RasPi o altro SBC, controllare alcuni componenti IoT e programmare le prime automazioni. Il tutto squisitamente in locale.

Per partecipare profiquamente al workshop, occorre arrivare con Home Assistant OS già installato su un supporto a scelta:

- Su un Raspberry PI - https://www.home-assistant.io/installation/raspberrypi

- Sul proprio computer all'interno di VirtualBox / VMWare / KVM

- Linux: https://www.home-assistant.io/installation/linux

- Mac: https://www.home-assistant.io/installation/macos

- Windows: https://www.home-assistant.io/installation/windows

- Sul proprio computer o board in qualche altro modo: https://www.home-assistant.io/installation

Una volta scelto un metodo di installazione, seguire le istruzioni ai link indicati ed arrivare alla fine del primo boot di Home Assistant, dove appare il "Welcome" di benvenuto.

TALK: Sabato - ore 15:00 - tent MOV

WORKSHOP: Sabato - 16:15 - Hackspace FREEKEVIN

Lingua del talk: ITALIANO

TALK: Evolving Fault Injection: progressi e stato dell'arte.

BIO

La Fault Injection (alias “glitching”) è una tecnica nota per attaccare i dispositivi informatici. Storicamente, è stata utilizzata per aggirare i controlli di sicurezza o per estrarre chiavi crittografiche (ad esempio con la DFA, Differential Fault Analysis). A causa della fisica sottostante e della complessità del sistema, i risultati della Fault Injection sono tipicamente volatili e, in larga misura, imprevedibili. In questo intervento mostreremo come la caratterizzazione di un bersaglio, insieme alla visualizzazione e all'analisi dei dati ottenuti, possa indicare un comportamento emergente a livello statistico, consentendo attacchi più precisi, affidabili e, in ultima analisi, più sofisticati. Eseguiremo una dimostrazione dal vivo, in cui un dispositivo embedded viene caratterizzato e i dati raccolti vengono visualizzati e analizzati, mostrando come la Fault Injection possa effettivamente essere una scienza guidata dai dati, piuttosto che un esercizio alla cieca. Mostreremo inoltre come i dati di caratterizzazione mettano in discussione la convinzione diffusa che “le istruzioni vengono saltate”, producendo risultati che non possono essere spiegati con questo modello di errore. Verrà quindi discusso un diverso modello di errore, la “corruzione delle istruzioni”, con le relative implicazioni. Dimostreremo come sia possibile utilizzare la Fault Injection per ottenere il pieno controllo del Program Counter (PC) su qualsiasi architettura, consentendo l'esecuzione di codice arbitrario, semplicemente controllando i dati trasferiti dal dispositivo. Infine, discuteremo gli ultimi progressi nel campo, che consentono l'esecuzione di codice arbitrario anche senza il controllo dei dati effettivi. (ad esempio, attacchi al secure boot dove il firmware è criptato).

Lingua del talk: ITALIANO

Cristofaro Mune è cofondatore e ricercatore di sicurezza di Raelize e lavora nel campo della sicurezza da oltre 20 anni. Ha più di 15 anni di esperienza nella valutazione della sicurezza SW e HW di prodotti sicuri. Le sue ricerche su Fault Injection, TEE, Secure Boot, White-Box cryptography, IoT exploitation e Mobile Security sono state presentate in rinomate conferenze internazionali e in articoli accademici.
https://raelize.com
https://twitter.com/pulsoid
https://www.linkedin.com/in/cristofaromune

TALK: Threat Modeling for Decentralized Identities

BIO

Negli ultimi decenni, c'è stato un crescente impegno per portare l'identità su internet e sul web. Ciò che un tempo era un luogo dove ci si identificava con un nickname, ora richiede i nostri dati reali. Attualmente, la gestione è nelle mani dei governi. Il Dipartimento della Sicurezza Interna degli Stati Uniti (US DHS), l'Unione Europea e le motorizzazioni stanno cercando di implementare su larga scala le identità digitali "reali" in modo decentralizzato. In futuro, avremo il nostro passaporto e la nostra patente digitale in un Wallet. Ma quali sono le minacce per la Privacy, la Sicurezza e i Diritti Umani? Al W3C, gli standard vengono sottoposti a revisioni di sicurezza attraverso un modello di minacce (Threat Model) per comprendere cosa si sta cercando di fare, cosa potrebbe andare storto e quali soluzioni possiamo adottare. Durante il talk, dopo una breve introduzione sul Threat Modeling e sull'architettura di riferimento, faremo una sessione interattiva di Threat Modeling tramite brainstorming. Utilizzeremo tecniche come OSSTMM, STRIDE, LINDDUN e altre per approfondire l'argomento insieme.

Lingua del talk: ITALIANO

Simone è il Security Lead del World Wide Web Consortium (W3C). Con oltre due decenni di esperienza nel Red e Blue Teaming, Vulnerability Research e Project/Product Management. Ha lavorato come istruttore presso il Joint Intelligence Intelligence and EW Training Centre e ha collaborato con multinazionali come Hewlett Packard Enterprise e Business Integration Partners · Bip. Simone possiede diverse certificazioni, tra cui GXPN, GREM, GWAPT, OSCP e OPSA. È un membro di organizzazioni come OWASP e ISECOM, e partecipa regolarmente come relatore alle principali conferenze, tra cui TEDx. Inoltre, è autore del libro "Attacking and Exploiting Modern Web Applications" pubblicato da Packt Publishing.

https://onofri.org

TALK: Fuzzing del firewall di Linux con syzkaller

BIO

Nftables, il sistema che molte distro Linux hanno iniziato a utilizzare come firewall, è stato negli ultimi anni preso di mira dagli attaccanti per via della sua alta complessità e facile programmabilità. Molti 0-days vengono identificati grazie all'analisi manuale del codice sorgente e, più frequentemente, al fuzzing con syzkaller, tramite la scrittura di specifiche grammatiche che definiscono le modalità d'interazione con i vari sottosistemi. Pur coprendo efficacemente la creazione delle regole, la grammatica di Nftables sembra non considerare molti casi d'uso delle regole del firewall, lasciando scoperta un'ampia superficie d'attacco. Questo talk descriverà come la copertura dello stack di rete è stata introdotta nel fuzzer per poi risolvere il problema della coverage incompleta e testare le regole di Nftables. Verranno poi mostrate le vulnerabilità rinvenute grazie a questa tecnica e le relative idee di exploitation per ottenere i privilegi di root su Linux.

Lingua del talk: ITALIANO

Davide è Co-founder in Betrusted, dove conduce regolarmente pentest infrastrutturali, applicativi e code review. Sia per lavoro che per interesse personale, Davide è coinvolto in attività di ricerca di vulnerabilità e kernel exploitation, concentrandosi in particolare sul kernel Linux, sul quale ha presentato la sua metodologia di ricerca e i risultati a conferenze internazionali e workshop.

https://www.linkedin.com/in/davide-ornaghi-b52609193/
https://x.com/TurtleARM97

TALK: Come gestire nodi TOR dalla tua cantina

BIO

Gestire nodi TOR puo' essere divertente, ma anche ben fastidioso, come farlo in Italia? Per spiegarlo vi racconteremo una storia che parte dal processo Ruby ter, arriva in Siria e finisce in una cantinetta piastrellata della Torino Liberty.

Lingua del talk: ITALIANO

Osservatorio Nessuno è un associazione No-profit che si impegna a tutelare il diritto alla privacy, il diritto all’anonimato, la libertà di informazione, espressione e comunicazione ed in generale i diritti digitali in rete. L’associazione si occupa di divulgazione riguardo i diritti digitali ed un utilizzo consapevole e corretto degli strumenti che le nuove tecnologie offrono. Inoltre contribuisce a progetti internazionali per la difesa di tali diritti, come ad esempio il progetto TOR, gestendo exit node con elevata disponibilità di banda all’interno del suolo italiano.

https://osservatorionessuno.org/

TALK: Design Shutters: reusable security objects

BIO

Fibonacci + Exploiting + Risk + Protection + Development "agitati non mescolati" = framework combinatorio per DevSecOps. "Design Shutters: reusable security objects" propone un modello operativo per il DevSecOps. Nasce per organizzare i contenuti del corso "Secure Programming Laboratory", tenuto al Politecnico di Bari nell’AA 2023-2024, ispirandosi a “Design Patterns: Elements of Reusable Object-Oriented Software”. Design Shutters fornisce un modo per raggruppare ed ordinare i 21 elementi necessari a garantire la protezione completa del SW, tramite un framework di 21 oggetti di sicurezza riutilizzabili: - mappato con le 8 fasi DevOps e, quindi, l’intero Application LifeCycle. - gestito con il ciclo di Shewhart (Deming) - fornendo indicatori operativi di governance. Lingua del talk: ITALIANO

Cybersecurity Professional | Adjunct Professor

Esperienza: quasi 30 anni, trascorsi principalmente in aziende multinazionali.

Certificazioni: CISSP ISSAP CISA CISM OPST ISO/IEC 27001 ITIL PMP PRINCE2.

Ingegnere, Maratoneta, Velista, Dang I di Viet Vo Dao, Alfista.

Appartiene al Direttivo del Capitolo italiano di (ISC)2.

Item Writer e Subject Matter Expert per (ISC)2 dal 2007.

Favorite Quotation: "Never draw anything you can copy, never copy anything you can trace, never trace anything you can cut out and paste up." [Wally Wood].

https://www.8linux.org

TALK: Come Rust mi ha aiutato a sviluppare un keystore programmabile, veloce e sicuro

BIO

Eseguire codice in luoghi sensibili è spesso necessario, ma oggi la sicurezza è fondamentale. Ultimamente abbiamo visto come tecnologie incredibili come WebAssembly e eBPF stiano guadagnando molta popolarità perché consentono di eseguire codice in modo sicuro in luoghi molto sensibili come un browser client o il kernel di Linux. Possiamo avere altri strumenti in questo campo? Possiamo avere una generica macchina virtuale multiuso scritta in Rust, che possa essere incorporata in molti luoghi sensibili, che esegua codice sicuro e non debba preoccuparsi di crash o loop infiniti? Ho cercato di rispondere a questa domanda scrivendo un keystore programmabile in Rust, che agisce come una cache molto veloce, memorizza i dati in memoria, ma può anche essere programmato in un linguaggio di interrogazione molto particolare che ho inventato. È emerso che questo linguaggio può essere utilizzato per molti scopi, non solo per un'applicazione di keystore!

Lingua del talk: ITALIANO

Classe 1983, ho iniziato a programmare a 8 anni con un vecchio Apple II GS e Applesoft BASIC. Da allora ho modificato il codice sorgente quasi ogni giorno, concentrandomi per decenni su C/C++/asm, strutture dati e sistemi interni. Oggi uso quotidianamente Python e Rust e mi piace giocare con Haskell, Lisp, Clojure, Forth, Joy, Factor, APL, K. Ho anche lavorato molto con i software CAD 3D quando ero al liceo e ultimamente mi sono appassionato ai mercati finanziari, concentrandomi sull'analisi dei titoli azionari statunitensi e sul calcolo dei dati finanziari.

http://rendar.xyz/

TALK: The sound of malware

BIO

Lingua del talk: ITALIANO

Talk tenuto insieme a Luca Di Vita

Lavoro nell'industria IT da oltre 15 anni. Attualmente mi occupo, presso Lutech, di tematiche DevOps, di Cloud Engineering, Cloud Native e tutto ciò che ruota attorno alla containerizzazione e al serverless. Sono Google Cloud Innovator Champion sulla tematica relativa alla modern architecture. Gestisco il GDG Pescara assieme ad altri sviluppatori, amo condividere le mie conoscenze e cercare di farlo in maniera divertente.
https://www.linkedin.com/in/gregorio-palam%C3%A0/
https://twitter.com/gregoriopalama

TALK: The good, the bad, the native

BIO

Native image di GraalVM offre un ottimo modo per ottimizzare le nostre applicazioni scritta per la JVM e trasformarle in un eseguibile nativo, che garantirà bassi tempi startup, basso consumo di risorse, alte prestazioni. Molte librerie e framework non sono ancora pronti per tutto questo, e questo è un male! Vieni a scoprire il mio viaggio personale nella compilazione nativa di un'applicazione basata su JVM. Vedremo sia le cose belle, così come i dolori, le varie vicissitudini e alcuni dei modi che ho trovato efficaci per risolvere i momenti difficili.

Lingua del talk: ITALIANO

TALK: Phantom Threats: Navigating Cyber False Flags in the Attribution Game

BIO

Oggi le operazioni di cyber false flag sono emerse come una forma sofisticata e ingannevole di guerra informatica. Queste operazioni coinvolgono attori malintenzionati che eseguono attacchi progettati per ingannare, facendo credere che il responsabile sia un gruppo o una nazione diversa. Imitando le tattiche, le tecniche e le procedure (TTP) di altre entità, le operazioni di cyber false flag mirano a confondere gli investigatori, sfruttare le tensioni esistenti e manipolare le narrazioni.

Il ciclo di individuazione delle operazioni di cyber false flag prevede la raccolta di informazioni, l'armamento di attacchi con attributi fuorvianti, la realizzazione di questi attacchi in modo da riflettere lo stile di un altro gruppo, lo sfruttamento delle vulnerabilità per raggiungere gli obiettivi dell'operazione e la creazione di una narrazione che rafforzi l'inganno. Questo ciclo evidenzia come le operazioni false flag possano sfruttare la manipolazione dei media e le piattaforme sociali per influenzare l'opinione pubblica.

Per affrontare queste sfide, i difensori devono impiegare una serie di TTP, tra cui l'intelligence delle minacce, l'analisi dell'attribuzione, la risposta agli incidenti e le strategie mediatiche. Tuttavia, queste misure possono anche contribuire a creare pregiudizi di conferma ed escalation, sottolineando la necessità di approcci completi all'attribuzione informatica e alla cooperazione internazionale per mitigare l'impatto di queste manovre ingannevoli.

Lingua del talk: INGLESE

Il dottor Agostino Panico è un esperto di sicurezza con oltre 15 anni di esperienza nel campo dell'offensive security. Operando all'intersezione tra codice e contromisure, Agostino eccelle nel red teaming avanzato, nelle operazioni offensive, nello sviluppo di exploit, nei test di sicurezza dei prodotti e nell'inganno, il che lo rende una presenza formidabile nell'arena della sicurezza.

Credendo nel significato profondo dell'hacking, Agostino è entusiasta di scoprire le vulnerabilità. Svolge un ruolo fondamentale nella comunità della sicurezza, in particolare come uno degli organizzatori di BSides Italy, dove aiuta a portare avanti le conversazioni del settore, promuovendo una cultura di collaborazione e innovazione.

Le credenziali di Agostino riflettono la sua profonda immersione nel settore, con diverse certificazioni da parte dei principali fornitori. In particolare, è tra le poche centinaia di persone in tutto il mondo ad aver conseguito la stimata certificazione GSE - GIAC Security Expert, a dimostrazione della sua abilità nella cybersecurity.

https://x.com/Van1sh_BSidesIT

https://www.linkedin.com/in/agostinopanicoitsecurity/

https://van1shland.io

TALK: External Attack Surface Management e Cyber Threat Intelligence: Proteggere il Perimetro Digitale

BIO

Lingua del talk: ITALIANO

Talk tenuto insieme a Marcello Dal Degan

TALK: The Annoying Sentinel: Un sistema di monitoraggio domestico con intelligenza artificiale che vi farà venire gli incubi

BIO

I progressi nelle capacità di visione dei Large Language Models stanno consentendo un nuovo tipo di interazione tra i sistemi GenAI e il mondo reale. Quando queste capacità possono essere sfruttate senza la necessità di ricorrere al cloud computing, è possibile creare agenti che rispettino la privacy e che sorveglino i nostri spazi privati. Mostreremo come, con risorse relativamente limitate, sia possibile creare un sistema di monitoraggio e allarme conversazionale che può essere potenzialmente ampliato per interagire con altri sensori distribuiti, ad esempio, all'interno di una casa intelligente.

Lingua del talk: ITALIANO

Alberto Pelliccione si occupa di cybersecurity e reverse engineering dal 1998. Ha lavorato presso il Consiglio Nazionale delle Ricerche di Roma, concentrandosi sulla ricerca sull'I.A., poi ha guidato lo sviluppo di software di intercettazione legale, per agenzie di intelligence e forze dell'ordine. Nel 2014 ha fondato ReaQta, un'azienda che sviluppa una piattaforma di rilevamento e risposta degli endpoint guidata dall'IA. Dopo l'acquisizione di ReaQta da parte di IBM nel 2021, Pelliccione ha assunto il ruolo di Global XDR Strategy. Nel 2023 è diventato partner di Alpha Intelligence Capital, un fondo di investimento globale in AI che si concentra sulle aziende in fase iniziale. Alberto interviene spesso a eventi incentrati sull'IA nel mondo finanziario, aiutando i non addetti ai lavori a comprendere le capacità e i limiti dell'IA.

TALK: Industroyer2: un'analisi tecnica

BIO

Le infrastrutture industriali critiche, sono sempre più sotto il mirino degli attaccanti. Industroyer2 è una sofisticata variante del malware Industroyer, progettato per attaccare e sabotare infrastrutture industriali, in particolare reti elettriche. Rilevato nel 2022, si distingue per la sua capacità di comunicare direttamente con sistemi di controllo industriale (ICS) utilizzando protocolli specifici come IEC 104. Industroyer2 sfrutta questa connessione per inviare comandi malevoli, interrompendo operazioni cruciali e causando blackout o danni fisici. Il malware è modulare, consentendo agli attaccanti di adattarlo a diversi ambienti ICS. È stato attribuito a gruppi di hacker sostenuti da stati, evidenziando la crescente minaccia del cyber warfare contro infrastrutture critiche. Inizieremo con una breve introduzione, esaminando come Industroyer2 si inserisce nel contesto più ampio degli attacchi cyber alle infrastrutture critiche. Vedremo come questo malware sia stato utilizzato in operazioni sostenute da Stati, sottolineando la crescente minaccia del cyber warfare. Esploreremo le sue caratteristiche principali, come la capacità di comunicare direttamente con i dispositivi ICS utilizzando protocolli specifici come IEC 104, che gli consente di inviare comandi malevoli e causare interruzioni significative nelle operazioni industriali. Passeremo poi all'analisi del codice di Industroyer2. Attraverso un’analisi tecnica vi mostrerò come è strutturato il malware, evidenziando le sue componenti modulari che permettono agli attaccanti di adattarlo a diversi ambienti.

Lingua del talk: ITALIANO

TALK: L'approccio Hacker al ruolo della cyber security nell'ESG

BIO

Si scrive ESG ma tutti leggono carbon footprint ed inclusione. Indispensabili, ci mancherebbe. Ma non bastano. ESG significa organizzarsi per fare bene le cose, riducendo i rischi per tutti. Ecco quindi che cyber, in generale, diventa strumento indispensabile per garantire a tutti i propri stakeholder (dal consumatore finale a tutta la filiera coinvolta) che i propri servizi sono affidabili e sicuri, ai propri fornitori che il business è solido e verranno pagate le fatture, agli investitori che le azioni non crolleranno, etc. Ma pensando a tutto il mondo OT/IoT , significa macchinari che non feriscono le persone o che a causa di un attacco o malfunzionamento non inquinano. La mentalità hacker di voler ottimizzare tutto, voler avere prodotti e servizi perfetti, nella massima tutela di tutti i soggetti coinvolti, svolge un ruolo fondamentale.

Lingua del talk: ITALIANO

Alessio L.R. Pennasilico, Security Evangelist, noto nell'hacker underground come -=mayhem=-, è internazionalmente riconosciuto come esperto dei temi legati alla gestione della sicurezza delle informazioni e delle nuove tecnologie. Da anni relatore ai più rilevanti eventi di security italiani ed internazionali, è stato intervistato dalle più prestigiose testate giornalistiche, radio e televisioni nazionali ed internazionali. Sviluppa progetti mirati alla riduzione dell’impatto del rischio cyber sul business aziendale, tenendo conto di compliance a norme e standard, della gestione del cambiamento nell’introduzione di nuovi processi ed eventuali tecnologie correlate. Credendo che il cyber risk sia anche un problema organizzativo e non esclusivamente un problema tecnologico, da anni aiuta il top management, lo staff tecnico e l’organizzazione nel suo complesso a sviluppare la corretta sensibilità in merito al problema. E’ inoltre membro del Comitato Scientifico di Clusit, del Comitato Direttivo di AIP, e Vicepresidente del Comitato di Salvaguardia per l’Imparzialità di LRQA.

https://www.facebook.com/alessio.pennasilico

https://www.instagram.com/mayhemspp/

https://www.linkedin.com/in/mayhem/

TALK: PiracyShield e censura di stato

BIO

Come si è arrivati a Piracy Shield? Quali sono stati i tentativi precedenti? Come dovrebbe funzionare? Quali pericoli rappresenta per la net neutrality e per la libertà di informazione? E a cosa si potrebbe arrivare? Storia (triste) dell’implementazione italiana della censura di Stato

Lingua del talk: ITALIANO

TALK: Segui il Bianconiglio... se ci riesci...

BIO

Quando le protezioni informatiche non funzionano, il processo di Cyber Threat Hunting sembra l'unica soluzione in grado di identificare e successivamente migliorare il livello di protezione e resilienza di una infrastruttura critica: partendo da un'ipotesi (ho il sospetto che ci sia qualcosa), seguita da un'indagine (questo è ciò che sta andando male), fino alla definizione di una strategia di rilevamento e risposta efficace (so come trovarlo e quindi eseguire la risposta giusta). Questo processo deve essere applicato continuamente in un contesto ormai senza confini e in continua evoluzione, dove anche il ciclo di vita di un processo di threat hunting, per essere efficace, dovrebbe perlomeno essere costantemente allineato con i tempi dell'attaccante. Un approccio Data-lake orientato all'elaborazione batch per l'identificazione dei pattern può risolvere in parte la necessità, ma rimane ancora il problema relativo all'enorme potenza di calcolo necessaria per rimanere allineati all’attaccante e reagire in tempo reale alle kill-chain rilevate, esigenza che non può essere risolta solo aumentando illimitatamente le risorse. Introdurremo quindi un nuovo approccio al Cyber Threat Hunting di tipo Real-Time, supportato da alcuni casi d'uso sperimentati sul campo, basato su un approccio comportamentale completo basato su modelli statistici e di intelligenza artificiale che possono essere combinati con playbook di risposta dinamici, che possono essere ridefiniti in relazione ai feedback ricevuti, o sistemi di deception in grado di rallentare l’azione dell’attaccante e consentire ulteriori validazioni per recuperare il tempo necessario.

Lingua del talk: ITALIANO

Andrea Pompili è un tecnologo che si occupa di sicurezza informatica. Entrato abbastanza giovane nel mondo dell'informatica, ha creato uno dei più famosi giochi italiani per la piattaforma C64. Una volta laureato, ha iniziato a lavorare prima nello sviluppo software, poi nella sicurezza informatica, seguendo le minacce e le soluzioni di sicurezza su progetti strategici. Attualmente Andrea lavora su piattaforme di livello militare, su progetti di ricerca dell'UE e sulla distribuzione di servizi a valore aggiunto per la sicurezza, con l'obiettivo di scoprire e integrare soluzioni innovative per questo mondo connesso.

https://www.linkedin.com/in/andreapompili/

TALK: From Zero to Hero: come fare un videogioco senza avere idea di come si faccia

BIO

Cosa puoi fare con il tuo C64 quando ti rendi conto di essere una frana nei giochi? Ovviamente farti il tuo gioco personale. E da bravo megalomane, non il solito puzzle game, ma uno shoot-em-up con tanti nemici sullo schermo, armi devastanti, parallasse e tanti livelli ambientati in mondi remoti. Senza alcuna idea di quello che mi sarebbe aspettato, tra ispirazioni più o meno esplicite, frustrazioni, idee e soddisfazioni, molti sogni ridimensionati, ma anche molti trick tecnici inaspettati, alla fine ci sono riuscito… in un mondo che al tempo era molto poco connesso (almeno per me) e in una continua lotta con le limitazioni degli strumenti a disposizione e con le interrogazioni del liceo.

Lingua del talk: ITALIANO

https://www.linkedin.com/in/andreapompili/

TALK: Beyond the Basics: Deep Dive into Securing OAuth2 Implementations

BIO

Lingua del talk: INGLESE

Talk tenuto insieme a Giovanni Bartolomucci, Stefano Maistri e Mattia Zago

Dopo aver conseguito la laurea triennale in Informatica presso l'Università di Cagliari, Giuseppe ha proseguito gli studi presso l'Università di Verona in Ingegneria e Scienze informatiche. Nel corso della sua carriera professionale ha ottenuto diverse certificazioni come la ISO/IEC 27001 Foundation, la UNI EN ISO 19011:2018, la UNI CEI EN ISO IEC 17021-1:2015 e ultimamente la ISO/IEC 42001:2023. Attualmente lavora come Principal Software Security Consultant per IMQ Minded Security, dove conduce corsi di formazione sullo sviluppo sicuro, attività di penetration testing e creazione di linee guida sulla sicurezza. È stato relatore in eventi nazionali come l'OWASP day e il Romhack.

TALK: Boot process for modern Linux

BIO

In the latest iterations of Linux, many features have been added regarding the Boot Process, including a new standard called BLS with support in GRUB2 and systemd-boot, Full Disk Encryption using TPM, and having the entire boot process signed, ensuring system integrity.

Another interesting feature is soft-reboot, which is the ability to reboot the entire userspace, without rebooting the hardware or reloading the kernel like kexec does. In this talk we will talk about these features, and why the major actors are collaborating on them.

Lingua del talk: INGLESE

TALK: How to Teach Complex Ideas

BIO

Nel 1998 Daniel Bleichenbacher scopre che l'utilizzo di RSA combinato con lo schema di padding PKCS#1v1.5 all'interno del protocollo SSLv3 può portare a scenari vulnerabili in cui è possibile forzare la decifratura dei messaggi cifrati con la chiave pubblica del server. L'attacco viene pubblicato e si propone un fix per la successiva versione del protocollo, il TLSv1. Si scoprirà solo in futuro che quel fix non bastava. Col passare degli anni, ad intervalli regolari, varie versioni dell'attacco vengono riscoperte. Si propongono ulteriori fix e raccomandazioni, fino ad arrivare all'ultima versione del protocollo, il TLSv1.3, in cui è stata tolta del tutto la possibilità di utilizzare RSA per proteggere lo scambio delle chiavi. Le conoscenze richieste per comprendere l'attacco in questione intersecano varie aree di interesse, tra cui la matematica, l'informatica e la crittografia. Tale attacco rappresenta dunque un ottimo scenario per analizzare come strutturare un argomento complesso in modo da aiutare il più possibile la misteriosa attività dell'insegnamento. L'obiettivo del contributo infatti è analizzare, prendendo come esempio concreto l'attacco scoperto da Bleichenbacher, quali sono le caratteristiche fondamentali che una lezione deve avere per essere considerata utile e significativa nel contesto informatico.

Lingua del talk: ITALIANO

Lavoro come software security consultant e trainer per IMQ Minded Security. Mi sono laureato in informatica triennale e magistrale all'università di Roma Tor Vergata. Dal 2020 porto avanti su youtube un progetto di insegnamento online in italiano, e dal 2023 ho iniziato a farlo anche in inglese. Sono terribilmente affascinato dalla storia dell'informatica, il mio software preferito è Emacs e ultimamente sto scoprendo il potere di Lisp.

https://blog.leonardotamiano.xyz/

https://www.youtube.com/@esadecimale/videos

https://www.youtube.com/@hexdump1337/videos

https://github.com/LeonardoE95

TALK: CodeQL as your hunting bro

BIO

CodeQL è uno strumento avanzato per l'analisi statica del codice, utilizzato per identificare vulnerabilità e migliorare la sicurezza del software. In questo talk, esploreremo le potenzialità di CodeQL, illustrando come consente ai team di sviluppo e ai bug hunter di scrivere query personalizzate in un linguaggio simile a SQL per analizzare il codice sorgente.
Comprenderemo come utilizzarlo per attività di bug hunting e vulnerability research.

Lingua del talk: ITALIANO

Alessandro è un artigiano vecchio e brontolone, che dorme con un papiro contenente qualche issue tracker stampato, nella determinazione di mantenere il codice che fa girare il mondo decente. Security researcher e software engineer specializzato principalmente in incident response, penetration testing e malware analysis. Con una lunga esperienza nello sviluppo di strumenti di security sia commerciali che open source, è conosciuto per progetti come Cuckoo Sandbox, Malwr, Ghiro e Secdocs.

TALK: Il diritto nella società della manipolazione

BIO

Anche se Internet è fondamentale per le nostre vite, non sempre riflettiamo sul tipo di transazione economica in cui siamo coinvolti tutte le volte che ce ne serviamo. Mentre quando andiamo al ristorante o in biblioteca abbiamo tutti abbastanza chiaro chi paga per il servizio che ci viene reso, ciò non ci è sempre altrettanto evidente quando siamo su Google, Instagram, TikTok, Tinder, Grindr, Snapchat, LinkedIn, o YouTube. Noi paghiamo il ristorante; il comune, attraverso i nostri tributi, paga la biblioteca, ma chi paga i colossi del Web con cui ci interfacciamo tutti i giorni? Anche se usiamo Internet molto più spesso di quanto non andiamo al ristorante o in biblioteca, solo una minoranza di noi sa dare una risposta esaustiva a questa domanda banale. La risposta, nelle linee essenziali, è la seguente. L'agente economico che opera nel settore digitale raccoglie dati su di noi: alcuni di questi dati vengono utilizzati per migliorare prodotti e servizi, mentre gli altri sono elaborati per ottenere algoritmi predittivi. Attraverso l'estrazione dei dati comportamentali è possibile rivolgere nel momento giusto lo stimolo giusto al consumatore, per indurlo a comportarsi online e offline nel modo desiderato dalla piattaforma e dall'inserzionista. Che il mezzo di comunicazione maggiormente utilizzato dall'umanità debba fondarsi sulla compravendita di potere manipolatorio è per così dire un accidente della storia. Non vi è nulla di tecnicamente necessario in questo disegno istituzionale. Esso non è mai stato votato o progettato da politiche pubbliche pienamente consapevoli. Il diritto inoltre si è tradizionalmente rivelato incapace di regolare Internet in modo efficace, di ridurre il suo potenziale manipolatorio e i suoi effetti distorsivi sulla rappresentazione della realtà da parte dei cittadini. In questo talk, ci serviremo di alcune nozioni di teoria generale del diritto per tentare di spiegare il perché di questa incapacità.

Lingua del talk: ITALIANO

Talk tenuto insieme a Michele Ubertone

Marta Taroni è avvocata, iscritta all’Ordine di Bologna; PhD - XXXV ciclo del Dottorato di ricerca in “Business, Institutions, Markets” presso il Dipartimento di Scienze Giuridiche e Sociali dell’Università “G. d’Annunzio” di Chieti-Pescara. Cultrice della materia in Filosofia del diritto (settore scientifico-disciplinare IUS/20) presso la medesima università nonché presso l’Alma Mater Studiorum di Bologna.

TALK: Hacking the Law: Quando i giudici AI incontrano gli avvocati "intelligenti"

BIO

Lingua del talk: ITALIANO

Talk tenuto insieme a Lorenzo 'lopoc' Cococcia

Michele Ubertone è professore assistente di Filosofia giuridica presso l'Università di Maastricht. Ha conseguito il dottorato di ricerca presso l'Università di Bologna con una tesi sulla filosofia della prova peritale. I suoi principali interessi di ricerca sono la filosofia della prova, l'argomentazione giuridica, gli approcci filosofici e delle scienze cognitive ai concetti giuridici e la divisione del lavoro cognitivo.

TALK: Il diritto nella società della manipolazione

BIO

Lingua del talk: ITALIANO

Talk tenuto insieme a Marta Taroni

TALK: Cloud Semplice e Scalabile con .NET Orleans: il motore dietro XBox, Skype e GearOfWar

BIO

Una delle maggiori sfide che si incontra nello sviluppo di soluzioni cloud è la scalabilità unità all'affidabilità. Per anni lo scettro di miglior soluzione è stato appannaggio della coppia ActorModel/Akka, che tuttavia richiedeva competenze specifiche ed un radicale cambio di paradigma nella programmazione. Per fortuna Microsoft ha reso Opensource e disponibile a tutta la community il framework .NET Orleans che, implementando il Virtual Actor Model fruibile in C# ed F#, permette di scalare con semplicità senza dover imparare da zero un nuovo linguaggio. Nella sessione vedremo brevemente un po' di teoria (Grain, Silos, ecc.) per poi passare alla dissezione di un'applicazione di esempio in esecuzione su un cluster Kubernetes.

Lingua del talk: ITALIANO

Lavoro in ambito IT da diverso tempo. Ho sempre coltivato la passione per l'OpenSource ed in particolare per Linux partecipando alla creazione di OpenLUG de L'Aquila. Attualmente lavoro per Blexin dove sono mi occupo di sviluppo Cloud nel mondo Microsoft. Nel tempo libero gioco con Raspberry, Arduino e stampanti 3D. Soprattutto "Proud Nerd Inside".

https://www.linkedin.com/in/piergiorgiovagnozzi/

TALK: Hacking e diritti digitali: come rivoluzionare il discorso pubblico e avere impatto reale

BIO

I diritti digitali rappresentano un importante campo di lotta che vale la pena conoscere, dove il pensiero multidisciplinare e l'hacking possono eccellere. È anche un mercato interessante e un campo geopolitico, in cui numerosi attori pubblici e privati si contendono spazio e potere, anche finanziando del software libero. Dalla crittografia alla data retention, dal web scraping al reverse engineering e, naturalmente, alla buzzword di questo decennio, l'IA: parleremo di come questi temi siano spesso maltrattati dalle regolamentazioni e distorti dal lobbismo, ma anche di come l'hacking o comunque una padronanza della tecnologia possano portare un punto di vista fondamentale che può rivoluzionare il discorso e creare cambiamento nella società. Un esempio parte proprio da qui: 8 anni fa, iniziò il progetto Tracking Exposed. È durato per 7 anni, partendo da un concept scritto proprio per il MOCA, è arrivato nell'accademia, in istituzioni europee, internazionali. il talk sarà l'occasione per dimostrare come qualcosa nato dall'hacking italiano abbia contribuito al discorso sui diritti digitali, all'intersezione tra mercato, politica, giurisprudenza e tecnologia. La comunità hacker ha il potere di essere attore fondamentale per modellare le lotte per i diritti digitali, e avere impatto: ecco come si può fare.

Lingua del talk: ITALIANO

Ho iniziato con l'hacking nel secolo scorso, ma una volta compreso quanta fuffa e difficoltà etica c'è nel mercato della sicurezza informatica, con altri soci, nel 2010 abbiamo iniziato a sviluppare sistemi di anonimato, sicurezza per giornalisti, tool di analisi degli algoritmi, reverse engineering di protocolli e di tecnologie. Con le giuste persone, ho contribuito a far nascere due organizzazioni (una Italiana il Centro Hermes, l'altra francese, AI Forensics), che al momento hanno circa 20 persone che lavorano nell'attivismo digitale a con impronta tecnologica. FYI, questo mercato offre sfide più interessanti rispetto al business della sicurezza informatica 😉

https://linktr.ee/claudio.agosti

TALK: Beyond the Basics: Deep Dive into Securing OAuth2 Implementations

BIO

Lingua del talk: INGLESE

Talk tenuto insieme a Giovanni Bartolomucci, Stefano Maistri e Giuseppe Porcu

Il dott. Mattia Zago, laureato con lode in Cybersecurity e AI presso l'Università di Murcia, in Spagna, ha accumulato un'esperienza decennale nel campo dell'IT e della cybersecurity. La sua ricerca accademica si è concentrata sull'applicazione dell'IA nella sicurezza informatica, fornendogli una solida base in questo campo. Ora, in qualità di responsabile della ricerca e dell'innovazione di Monokee, un fornitore di Identity and Access Management (IAM), il suo passaggio dal mondo accademico all'industria gli consente di applicare concetti teorici alle sfide reali della cybersecurity, migliorando ulteriormente lo sviluppo dell'identità digitale nel contesto della cybersecurity identity-first. È intervenuto alla conferenza EIC del Kuppingercole e a diversi eventi e conferenze accademiche internazionali, condividendo le sue intuizioni sulla decentralizzazione e l'orchestrazione delle identità.

TALK: Hackerare un Large Language Model: un tentativo di Explainable AI (XAI)

BIO

Lingua del talk: ITALIANO

Talk tenuto insieme a Leonida Gianfagna

TALK: gULP: A Versatile Log Processing Tool for digital forensics, incident response and threat hunting

BIO

Some of gULP’s key features include:

- a high-speed multi-processing engine that supports fast ingestion and querying.

- a versatile Python plugin system that supports multiple sources.

- query using custom filters, Opensearch DSL and Sigma Rules.

- full scalability support leveraging OpenSearch and PostgreSQL.

- “collaborative workflows” (aka play co-op with friends)

- an innovative UI which allows for quick recognition of attack patterns and data analysis from multiple sources at the same time, overcoming limitations of existing products.

Lingua del talk: ITALIANO

Talk tenuto insieme a Valerio Lupi

UNDER CONSTRUCTION

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

A

GIACOMO ALESSANDRONI 'Jackaless'

VITO ALFANO

MOHAMMADREZA ASHOURI

MOHAMMADREZA ASHOURI

ANDREA AZZALIN 'Mangusta'

B

DAVIDE BARALDI

GIOVANNI BARTOLOMUCCI

DAVIDE BERARDI

CHRISTOPHER BIANCHI 'calfcrusher' - HACKTIVE SECURITY

STEFANO BIOTTO 'sgrum0x'

GIORGIO BONFIGLIO

C

FABIO CARLETTI 'Ryuw'

LORENZO COCOCCIA 'lopoc'

MATTEO CREATI

D

MARCELLO DAL DEGAN - DIGIMETRICA

MASSIMO D'ALESSIO

MICHELE DALLACHIESA

MIRCHA EMANUEL D'ANGELO 'ryuujin'

RICCARDO DEGLI ESPOSITI 'partywave' - HACKTIVE SECURITY

VITO DE LAURENTIS 'Trust_No_One'

DONATO DE MEO

MARCO DI COSTANZO

ETTORE DI GIACINTO 'mudler'

ETTORE DI GIACINTO 'mudler'

LORENZO DINA

MIRKO DI SALVATORE

MARCO D'ITRI

MARCO D'ITRI

LUCA DI VITA

JOHN DOE

E

F

ALESSANDRO FARINA - Cyber Saiyan

AURELIO FORESE - NETSONS

CAROLA FREDIANI - Guerre di Rete

STEFANO FRATEPIETRO 'SteveDEFT'

G

MARCO GANDOLFI - Berghem-in-the-Middle

LEONIDA GIANFAGNA

ALESSANDRO GRASSI

H

HackInBo®

I

J

JAROMIL

K

L

VALERIO LUPI 'valerino'

M

M71A

STEFANO MAISTRI

VALERIO MANCINI 'ftp21'

MICHELE MARAZZI

NORMANDO MARCOLONGO

MARCO MELLETTI e MATTEO MARTELLI

GIOVANNI MELLINI 'merlos' - Cyber Saiyan

LUCA MERCATANTI

TONY MOBILY 'Merc'

ANDREI MOLDOVAN

ANDREA MONTI

NICOLÒ MONTI

ALFREDO MORRESI 'Rainbowbreeze'

CRISTOFARO MUNE

N

O

SIMONE ONOFRI

DAVIDE ORNAGHI - Berghem-in-the-Middle

OSSERVATORIO NESSUNO

PAOLO OTTOLINO

P

MARCO PAGLIARICCI

GREGORIO PALAMÀ

GREGORIO PALAMÀ

AGOSTINO PANICO 'van1sh' - BSides Italy