Claudio Merloni

Imię:
Claudio

Nazwisko:
Merloni

Informacje o prelegencie:
Claudio Merloni, magister informatyki, ukończył politechnikę w Mediolanie. Od 2004 roku pracuje jako konsultant bezpieczeństwa w Secure Network, firmie Mediolanu specjalizującej się w konsultingu i szkoleniach z dziiedziny bezpieczeństwa systemów i sieci komputerowych. Na co dzień zajmuje się formułowaniem polityk bezpieczeństwa, zarządzaniem, oceną zabezpieczeń oraz zbieraniem i analizą dowodów włamań.

Temat wystąpienia 1:
BlueBag: przenośne urządzenie do atakowania sieci Bluetooth

Abstrakt 1:
W jaki sposób nieprzyjaciel może wykraść książkę telefoniczną z twojej komórki, podsłuchiwać rozmowy, odczytywać sekwencje klawiszy, robić zdjęcia miejsc, w których się znajdujesz i monitorować każdy twój ruch bez znajdowania się z zasięgu nadajnika Bluetooth wbudowanego w Twój telefon? W trakcie naszego wykładu zaprezentujemy grupę projektów, które połączone mogą zostać wykorzystane do podsłuchu ataków na urządzenia Bluetooth oraz ich użytkowników. Pokażemy jak słabości tych urządzeń mogązostać wykorzytsane do wynajdywania celów i ustanawiania podłsuchu i monitoringu pozwalającego na wykradanie danych a potem przekazywaanie ich do bazy nieprzyjaciela. Zaprezentujemy poszczególne składniki projektu oraz dane zebrane poza laboratorium, jak również modele matematyczne. Omówimy efektywność ataków. Zaprezentujemy także naszą niespodziankę!


Temat wystąpienia 2:
Analiza łańcuchów znakowych w celu wykrycia słabych punktów aplikacji WWW.
Abstrakt 2:
Aplikacje WWW są dziś najlepszym sposobem świadczenia usług i dostarczania informacji do klientów i dostawców. Wyszukiwanie usterek w aplikacjach www staje się trudne z powodu rosnącego stopnia skomplikowania tych systemów. Nie istnieje jeden, magiczny i zautomatyzowany sposób na wykrycie wszystkich problemów. Hociaż myślimy, że nie istnieje jedno ogólne rozwiązanie, w niektórych przypadkach jest możliwe zastosowanie pewnych powtarzalnych technik: analiza statystyczna kodu źródłowego jest jednym z takich rozwiązań. Łącząc dobrze znane metodologie teoretyczne z analizą łańcuchów znakowych, proponujemy nowy sposób automatycznego wykrywania błędów. Wszystkie informacje przesyłane do i z aaplikacji WWW mogą być modelowane jako wymiana obiektów tekstowych, w których zmienne znakowe/funkcje są najprostszymi tworami. Śledzimy każdą potencjalnie niebezpieczną metodę lub fukcję, próbując wygenreować statystyczne przybliżenie wywołań w czasie pracy programu; porównując to przybliżenie z bazą wiedzy o bezpiecznych parametrach nasza technika jest w stanie zidentyfikować błędy w sprawdzaniu poprawności danych wejściowych. Opracowaliśmi dodatek do pakiety Eclipse, który jest w stanie przeanalizować i wykryc usterki w aplikacjach J2EE. W trakcie naszego wykładu zaprezentujemy aspekty teoretyczne oraz nasze narzędzie, oceniając efektywność tego rozwiązania w czasie rozwwoju bezpiecznej aplikacji WWW.