Luca Carettoni

Imię:
Luca

Nazwisko:
Carettoni

Informacje o prelegencie:
Luca Carlettoni, magister informatyki, specjalizuje się w bezpieczeństwie aplikacji WWW. Od 2005 roku pracuje jako konsultant bezpieczeństwa w Secure Network, firmie z Mediolanu specjalizującej się w konsultingu i szkoleniach z dziedziny bezpieczeństwa systemów i sieci komputerowych. Jest autorem kilkunastu prac naukowych, raportów oraz artykułów z dziedziny bezpieczeństwa IT dla włoskich publikacji akademickich. Jego zainteresowania skupiają się wokół: bezpieczeństwa aplikacji WWW, urządzeń mobilnych oraz wolności w dobie powszechnej cyfryzacji życia.

Temat wystąpienia 1:
BlueBag: przenośne urządzenie do atakowania sieci Bluetooth

Abstrakt 1:
W jaki sposób nieprzyjaciel może wykraść książkę telefoniczną z twojej komórki, podsłuchiwać rozmowy, odczytywać sekwencje klawiszy, robić zdjęcia miejsc, w których się znajdujesz i monitorować każdy twój ruch bez znajdowania się z zasięgu nadajnika Bluetooth wbudowanego w Twój telefon? W trakcie naszego wykładu zaprezentujemy grupę projektów, które połączone mogą zostać wykorzystane do podsłuchu ataków na urządzenia Bluetooth oraz ich użytkowników. Pokażemy jak słabości tych urządzeń mogą zostać wykorzystane do wynajdywania celów i ustanawiania podsłuchu i monitoringu pozwalającego na wykradanie danych a potem przekazywanie ich do bazy nieprzyjaciela. Zaprezentujemy poszczególne składniki projektu oraz dane zebrane poza laboratorium, jak również modele matematyczne. Omówimy efektywność ataków. Zaprezentujemy także naszą niespodziankę!


Temat wystąpienia 2:
Analiza łańcuchów znakowych w celu wykrycia słabych punktów aplikacji WWW.

Abstrakt 2:
Aplikacje WWW są dziś najlepszym sposobem świadczenia usług i dostarczania informacji do klientów i dostawców. Wyszukiwanie usterek w aplikacjach www staje się trudne z powodu rosnącego stopnia skomplikowania tych systemów. Nie istnieje jeden, magiczny i zautomatyzowany sposób na wykrycie wszystkich problemów. Chociaż myślimy, że nie istnieje jedno ogólne rozwiązanie, w niektórych przypadkach jest możliwe zastosowanie pewnych powtarzalnych technik: analiza statystyczna kodu źródłowego jest jednym z takich rozwiązań. Łącząc dobrze znane metodologie teoretyczne z analizą łańcuchów znakowych, proponujemy nowy sposób automatycznego wykrywania błędów. Wszystkie informacje przesyłane do i z aplikacji WWW mogą być modelowane jako wymiana obiektów tekstowych, w których zmienne znakowe/funkcje są najprostszymi tworami. Śledzimy każdą potencjalnie niebezpieczną metodę lub funkcję, próbując wygenerować statystyczne przybliżenie wywołań w czasie pracy programu; porównując to przybliżenie z bazą wiedzy o bezpiecznych parametrach nasza technika jest w stanie zidentyfikować błędy w sprawdzaniu poprawności danych wejściowych. Opracowaliśmy dodatek do pakietu Eclipse, który jest w stanie przeanalizować i wykryć usterki w aplikacjach J2EE. W trakcie naszego wykładu zaprezentujemy aspekty teoretyczne oraz nasze narzędzie, oceniając efektywność tego rozwiązania w czasie rozwoju bezpiecznej aplikacji WWW.