giovedì 8 novembre 2007

Corsi VoIP security e Layer2 Security

Avevo chiesto a CLUSIT tempo fa se "Posso pubblicare con download libero le slides che ho presentato ai corsi LAN e VLAN Security fatto a febbraio/marzo 2005 e VoIP Security di fine 2004 ?". E' materiale buono, dato che avevo colto l'occasione della richiesta di clusit di tenere quei due corsi per riorganizzare le idee e metterle (bene) su slides.

Dovevo chiederlo, perché il copyright era di CLUSIT che aveva scelto di dare il materiale solo ai soci, quindi io non potevo dare il materiale liberamente renderlo disponibile.

Mi scrive Giorgio di CLUSIT con una buona notizia! Se n'é parlato e si e' deciso che il materiale é liberamente scaricabile avendo diversi anni (quasi tre!), quindi eccoli:

Etichette: ,

posted by misi @ 17.29 0 comments

giovedì 25 ottobre 2007

VoIP e Sicurezza @ E-Academy 2007, le slides.

Per chi me l'ha chiesto e per chi ha letto la promessa di pubblicazione, ecco le slides che abbiamo usato come spunto a SMAU per parlare di VoIP e Sicurezza.

Etichette:

posted by misi @ 12.37 0 comments

venerdì 12 ottobre 2007

VoIP e Sicurezza

Un altro argomento che mi ha molto appassionato, e che continua a farlo, anzi forse e' l'argomento che più a lungo mi sta appassionando é coniugare le tecnologie di VoIP con le relative considerazioni di sicurezza. La domanda quando si parla di VoIP, di IP Communications, di Unified Communications é quasi d'obbligo: "Ma questa roba é sicura ?". Ecco dal tentativo di dare una risposta a questa domanda (la risposta brevissima é "Si", la risposta breve é "Si, se configurata correttamente una infrastruttura di IP Communications é tanto sicura quanto una infrastruttura di Telefonia tradizionale se non di più") nasce una serie di spunti e considerazioni praticamente inesauribile, che non posso certo esaurire in un singolo post. Quello che posso fare e' raccogliere quanto ho buttato giù sull'argomento, quindi:

- VoIP: una interessante novità con molte problematiche di sicurezza, scritto assieme ad Andrea Pasquinucci alla fine del 2003. Oltre che uno dei primi paper indipendenti in italiano sull'argomento, é anche probabilmente il pezzo più famoso, perché io stesso l'ho molto referenziato in molteplici occasioni. E' stato pubblicato su ICT Security alla fine del 2003. Mantiene una certa attualità anche se io lo referenzio come un pezzo storico.

- IP telephony e Sicurezza: La soluzione esiste, scritto a nome Cisco assieme a Roberto Mircoli nello stesso periodo e pubblicato su ICT Security (scansione), nello stesso numero del pezzo sopra. Già dai titoli si capisce che il mio stato d'animo in quel momento si divideva fra preoccupazione e possibilismo. Fortunatamente nel corso degl'anni ho avuto modo di consolidare più il secondo stato d'animo del primo. Questo lo considero un pezzo storico ma datato; la buona notizia e' che se già presentava un approccio possibilistico, le cose sono *molto* migliorate dall'epoca!

- Sicurezza delle soluzioni VoIP enterprise, scritto a titolo indipendente assieme ad Antonio Mauro e pubblicato su Hackin9 nel febbraio 2007. Mi piace molto e che ancora in questo momento e' attuale. Io ho curato la prima parte, Antonio la seconda. Lo reputo un pezzo ben riuscito, anche se lo sto usando come base per qualcosa di ancora più articolato.

Ci sono state altre attività nel mezzo durante e dopo. Una di queste e' stato un seminario per clienti sulla Sicurezza delle soluzioni Voce. Una iniziativa Cisco che ha avuto un grande successo (posso dirlo?) di pubblico e critica. E' stato girato un video durante l'evento, chi é curioso di vederlo (e vedermi, ci sono due o tre interventi miei), lo trova qui.

Ho altre cose in cantiere: Parlerò dell'argomento a SMAU2007 Sabato prossimo, vorrei portare un po di considerazioni che ho sul quaderno da tempo parlandone trasparentemente e (sopratutto) senza slides. L'amico Alessio 'mayhem' Pennasilico mi darà una mano ed io la darò a lui in un altro intervento. E' sempre un gran piacere lavorare assieme a lui. Per chi e' curioso o vuol fare quattro chiacchiere i seminari sono questi:
- VoIP e Sicurezza: Parliamone, Sabato 20 alle 15
- Hardening VoIP - piccoli accorgimenti per una rete più sicura, Sabato 20 alle 16

C'e' un'altra cosa che bolle in pentola e dovrebbe diventare una pubblicazione di riferimento per molto tempo ed essere corposa: Clusit ha chiesto chiesto a me e ad Alessio la realizzazione di un "quaderno" clusit sull'argomento. Va da se che abbiamo accettato con entusiasmo!

[25/10/2007 update]

  • A SMAU2005 ho presentato queste slides sull'argomento. emozionante, e' stata anche la prima 'uscita' pubblica di AIPSI!
  • A SMAU 2007, con Alessio Pennasilico, abbiamo parlato di VoIP e Security. Ecco le slides.
  • Questo articolo é scritto anche a nome mio. Saró onesto, non ci ho scritto nulla direttamente, il mio nome c'é perche gli autori, Alessio ed Elisa mi atttribuiscono parte dei contenuti. Li ringrazio. Il pezzo é del 2006.

[8/11/2007 update]

  • A fine 2004 ho tenuto un workshop su VoIP Security per conto di CLUSIT Education. Fino ad ora il materiale del corso era disponibile solo ai soci clusit, ma da oggi é in download libero per tutti. Corso CLUSIT VoIP Security, tenuto da M.Misitano e S.Bodini

Etichette: ,

posted by misi @ 10.53

mercoledì 10 ottobre 2007

Layer 2 Security

Un argomento che mi ha appassionato moltissimo qualche anno fa é stato la sicurezza del layer 2 del modello OSI. Me ne sono occupato per qualche tempo, e sono lieto di averlo fatto perché la trovo un'area di estrema importanza ed interesse. Del resto per chi si occupa di reti ed anche di applicazioni il concetto e' molto semplice. Se comprometto il livello 2 subisco un effetto domino fino ai livelli più alti, dunque: cosa c'e' da sapere per evitarlo ?
Ho scritto un breve articolo sull'argomento, che si può leggere a partire da QUESTO LINK. L'articolo é di qualche tempo fa, più o meno 2004, ma ritengo sia relativamente attuale. E' stato pubblicato anche questo su ICT Security, ma di questo non ho la scansione !
Ma ho fatto anche dell'altro sull'argomento, ad esempio CLUSIT mi aveva chiesto assieme all'amico Marco "NaGA" Valleri (uno dei due autori di ettercap) di tenere un workshop di mezza giornata sull'argomento applicato alla sicurezza di LAN e VLAN. Il workshop é stato un buon successo ed il materiale presentato si può scaricare (per i soci clusit!) dalla sezione download sito del CLUSIT, a QUESTO link diretto.

[update 8/11/2007] Il Materiale del corso clusit é disponibile a tutti adesso!

Etichette:

posted by misi @ 15.39

martedì 9 ottobre 2007

Sulle certificazioni professionali in Sicurezza Informatica

Da collezionista di acronimi (ne ho svariati, di tre, quattro ed anche cinque lettere!) quale mi sono scoperto - ovviamente mi riferisco agli acronimi che rappresentano certificazioni professionali relative a sicurezza informatica - ho scritto qualcosa sull'argomento. il titolo é : "certificare il security manager" ed e' stato pubblicato su ICT Security a Novembre del 2003 (scansione dell'articolo). Parlo delle più popolari certificazioni individuali in sicurezza informatica e l'articolo conserva una certa attualità anche oggi. Voglio dire, certe certificazioni non sono cambiate più di tanto.

Etichette:

posted by misi @ 20.13

Pubblicazioni

Negli anni passati ho scritto diversi papers. Alcuni migliori di altri, alcuni a titolo personale, alcuni a titolo Cisco. Diversi sono stati pubblicati da giornali, alcuni sono tuttora attuali, altri hanno solo un valore storico. Per tutti un unico denominatore: pur essendo sul sito non erano referenziati, per cui o io davo il link diretto, o questo lo si trovava in qualche slide autoreferenziale dove mi autocitavo, o altrimenti nulla. Ho pensato di mettere i link qui, in modo che siano ricercabili e presentati con un minimo di abstract. Vorrei anche mantenere la buona abitudine per eventuali pubblicazioni future, quindi inseriró una nuova tag: paper!

Etichette:

posted by misi @ 20.09