Posts Tagged security summit

Perchè partecipare a CAT?

Posted by aspy in CAT2011 Secsum Edition on 24 Febbraio 2011

Io definirei CAT un’esperienza!!!
CAT: è un gioco divertente, è la possibilità di trascorrere un pomeriggio diverso dal solito, è l’opportunità per tirar fuori un pò di fantasia….ma è anche l’occasione per mettere alla prova le proprie competenze e per incontrare e confrontarsi con persone diverse 🙂

Non tutti i ragazzi amano “smanettare” con il pc, c’è chi ha come passione il calcio e chi la musica….e sono sicura che questi ultimi sarebbero entusiasti di partecipare ad una manifestazione, che essa sia una partita di calcio o un concerto, avendo l’opportunità di giocare o cantare con il proprio beniamino o almeno… con grandi campioni nazionali o cantanti famosi…c’è sempre la possibilità che qualcuno ti noti!
CAT offre a tutti gli “appassionati di bit” e a tutti coloro che amano trascorrere le serate “curiosando in RETE” la possibilità di avere una giornata con GRANDI esperti…con chi le parole Networking e Security le analizza in “profondità”.

E poi, come dicevo prima, CAT è un gioco ma è anche un’esperienza pratica che mette le proprie competenze alla prova e fa “parlare di se”.

CAT è seguita dai MassMedia, di CAT ne scriveranno i giornali. Intorno a CAT ruotano anche grandi aziende… come la società americana SonicWALL ( un Brand leader nel mercato), che mette a disposizione la sua tecnologia per questo gioco e che presenzierà dietro alle quinte con sue persone, la società ALBA, la società @Mediaservice.net ecc…importanti nomi sempre felici di incontrare volti nuovi… validi e capaci!

SonicWALL offre inoltre una grande opportunità alla squadra vincitrice!!!!!
Il team dei vincitori infatti avrà la possibilità di raccontare la propria esperienza in un intervista, organizzata con il team SonicWALL, che verrà poi pubblicata sul sito web della società e ripresa tramite l’agenzia stampa.
Questa vuole essere una bella occasione per raccontare la propria esperienza e far conoscere le proprie capacità!

Quindi…formate velocemente le squadre, armatevi di tutti gli strumenti che potrebbero servirvi, convenzionali o brevettati da voi con astuzia e fantasia (come documentano le foto delle precedenti edizioni)….e partite per Milano!
Noi vi aspettiamo!!!!!

Claudia Parodi

Io definirei CAT un'esperienza!!!
CAT: è un gioco divertente, è la possibilità di trascorrere un
pomeriggio diverso dal solito, è l'opportunità per tirar fuori un pò di
fantasia....ma è anche l'occasione per mettere alla prova le proprie
competenze e per incontrare e confrontarsi con persone diverse :)

Non tutti i ragazzi amano "smanettare" con il pc, c'è chi ha come
passione il calcio e chi la musica....e sono sicura che questi ultimi
sarebbero entusiasti di partecipare ad una manifestazione, che essa sia
una partita di calcio o un concerto, avendo l'opportunità di giocare o
cantare con il proprio beniamino o almeno... con grandi campioni
nazionali o cantanti famosi...c'è sempre la possibilità che qualcuno ti
noti!

CAT offre a tutti gli "appassionati di bit" e a tutti coloro che amano
trascorrere le serate "curiosando in RETE"  la possibilità di avere una
giornata con GRANDI esperti...con chi le parole Networking e Security le
analizza in "profondità".

E poi, come dicevo prima, CAT è un gioco ma è anche un'esperienza
pratica che mette le proprie competenze alla prova e fa "parlare di se".
CAT è seguita dai MassMedia, di CAT ne scriveranno i giornali. Intorno a
CAT ruotano anche grandi aziende... come la società americana SonicWALL
( un Brand leader nel mercato), che mette a disposizione la sua
tecnologia per questo gioco e che presenzierà dietro alle quinte con sue
persone, la società ALBA, la società @Mediaservice ecc...importanti nomi
sempre felici di incontrare volti nuovi.. validi e capaci!

SonicWALL offre inoltre una grande opportunità alla squadra vincitrice!!!!!
Il team dei vincitori infatti avrà la possibilità di raccontare la
propria esperienza in un intervista, organizzata con il team SonicWALL,
che verrà poi pubblicata sul sito web della società e ripresa tramte
l'agenzia stampa.
Questa vuole essere una bella occasione per raccontare la propria
esperienza e far conoscere le proprie capacità!

Quindi...formate velocemente le squadre, armatevi di tutti gli strumenti
che potrebbero servirvi, convenzionali o brevettati da voi con astuzia e
fantasia (come documentano le foto delle precedenti edizioni)....e
partite per Milano!
Noi vi aspettiamo!!!!!

cat2011, cracca al tesoro, hacking, Milano, security summit, wardriving

Nessun commento

Prime iscrizioni a CAT2011

Posted by aspy in CAT2011 Secsum Edition on 16 Febbraio 2011

Bello!

Appena aperta la pagina con il form sono cominciate ad arrivare le prime iscrizioni. Certamente l’evento è di quelli che fanno notizia, e le squadre cominciano a formarsi.
A proposito: vorreste partecipare ma non avete una squadra? Contattateci e vi metteremo in contatto con altri che cercano compagni d’avventura.
Volete esserci ma non vi sentite “così hacker”?
Beh, è anche bello fare da spettatori e seguire le squadre durante il gioco, che come sapete, si svolgerà all’interno della zona di Corso Como a Milano, dove verranno nascosti degli access point wireless e i partecipanti, a squadre, dovranno, partendo da un indizio iniziale, individuare il primo, violarlo, “bucare” l’eventuale sistema collegato per trovare l’indizio che porta al successivo access point, fino al bersaglio finale.
In pratica il meccanismo della caccia al tesoro è contaminata con il wardriving e con l’hacking puro.
Ma CAT non è solo gioco e divertimento, perché, in fondo, essere hacker significa anche volersi mettere alla prova e parlare dei temi caldi della sicurezza informatica. L’evento è infatti patrocinato dal CLUSIT, Associazione per la sicurezza informatica, da AIP, Associazione Informatici Professionisti ed OPSI, l’Osservatorio Privacy e Sicurezza delle Informazioni, che organizzano al mattino di sabato un convegno – tavola rotonda con nomi importanti del panorama hacker e security.
Ricorsd che l’iscrizione è gratuita e sono previsti omaggi per tutti i partecipanti.
C’è di che passare un bel sabato, no?

cat2011, cracca al tesoro, eventi, hacking, security summit, wardriving

Nessun commento

Sunday CAT

Posted by Raoul Chiesa in CAT2011 Secsum Edition on 13 Febbraio 2011

In questa domenica senza traffico, il gatto si è mosso e – udite udite – SONO APERTE LE ISCRIZIONI AL CAT 2011 @ SECSUM!!!!!!!
Quindi ragazzi e ragazze, signori e signore, geeks e nerds, smanettoni e security professionals, hacker ed acari, è giunta l’ora 🙂
Ricordiamo che le iscrizioni a CAT sono gratuite, la partecipazione a CAT è’ gratuita, e tutte le squadre riceveranno (almeno!) la bellissima T-shirt di CAT (una per partecipante) e la cartellina. Se poi qualcuno di voi vincerà…. ci sono i premi degli sponsor!!!

Vi attendiamo numerosi e…con una “scommessa”: quest’anno vorremmo vedere ancora più squadre rispetto alla passata edizione. Pensate di riuscirci?? Spargete la voceeeeeeeeeeee!!!

Raoul “Nobody” Chiesa

cat, cat2011, cracca al tesoro, Milano, security summit

Nessun commento

The CAT is really back? ;)

Posted by Raoul Chiesa in CAT2011 Secsum Edition on 12 Febbraio 2011

Prendo spunto dal post di Aspy di ieri 11 febbraio per “scombussolare” un po’ il tutto 🙂
Innanzitutto, YES, “The CAT is back!”. Sabato 12 Marzo 2011, all’ATA Hotel Executive sopra citato: questo corrisponde a verità.
Dove però il gatto ha messo lo zampino è sull’agenda della giornata.
Non ci sembrava carino tornare da voi ed al pubblico milanese con il solo pomeriggio. Sappiamo che ci volete bene, ed abbiamo deciso di stare con voi tutto il giorno!

Scherzi a parte, a brevissimo verrà postata l’agenda ufficiale, ma possiamo anticiparvi che, il 12 Marzo 2011, CAT aprirà i battenti alle 10.00 (Registrazione dei partecipanti: non fate quindi troppa bisboccia venerdì sera ragazzi…;) per iniziare alle 10.30 con il benvenuto da parte dello staff ed un veloce riepilogo delle regole del gioco e dell’agenda della (impegnativa) giornata che ci si prospetterà davanti.

Qui iniziano le sorprese. Insieme ai “soliti” speaker del CAT (oltre al sottoscritto, Alessio “mayhem” L.R. Pennasilico, Paolo Giardini, la nostra mitica PR Stefania Coltro e l’insostituibile Cristiano Cafferata), quest’anno amici “lontani” hanno deciso di venire a trovarci!
Jon Orbeton, responsabile antifrodi elettroniche di PayPal USA, sarà infatti dei nostri e terrà un intervento di apertura, una sorta di “anticipo” del Key Note che porterà Lunedì 14 Marzo 2011 all’apertura del Security Summit. Ho conosciuto Jon oramai 3 anni fa e vi posso assicurare che è un tecnico davvero preparato, ne ha viste di tutti i colori, ama l’Italia ed è una persona molto alla mano.

Proseguiremo con una tavola rotonda, verso le 12.00, per fare il punto della situazione e degli interventi, ed un po’ prima delle 13.00 ci sarà il lunch break (se avremo abbastanza sponsor vi offriremo il pranzo, diversamente “sacchetto da casa” o bar nella zona di C.so Como).

Alle 14.30 il gatto miagolerà ed inizieremo il CAT-game, per finire verso le 18.30 (quest’anno stiamo preparando dei bersagli ancora più difficili delle passate 3 edizioni 😉

Alle 19.30 – cosicchè le squadre possano riposarsi, rinfrescarsi e confrontrarsi tra di loro, mentre la giuria analizza i dati ed assegna i punteggi – ci sarà la premiazione finale, con ricchi premi offerti dagli sponsor, tra i quali il CLUSIT ha già confermato (iscrizione gratuita
per un anno ad ogni membro delle squadre vincitrici), così come Apogeo Editore (libri e manuali tecnici per le prime 3 squadre classificate).

Infine, un bell’aperitivo milanese, con location ancora da decidere (anche qui, dipende dalla bontà dagli sponsor).

Per adesso è tutto, ci riaggiorniamo tra qualche giorno con l’agenda definitiva, gli sponsor che man mano stanno arrivando (spargete la voce, aiutateci: STT/SUPPORT THE CAT!!!) e tante altre novità.
..per esempio……lo sapevate che quest’anno, tra i volontari che aiuteranno lo staff a “smazzarsi tutto l’evento”, ci saranno i ragazzi di un Politecnico molto famoso in Italia? Quale? Eh….un pezzetto alla volta, no ?
Così…il topo è più buono 😉

Un abbraccio,
Raoul “Nobody” Chiesa

cat, cat2011, cracca al tesoro, Milano, security summit

Nessun commento

The CAT is back!

Posted by aspy in CAT2011 Secsum Edition on 11 Febbraio 2011

Si’ si’ il CAT a Milano si farà 🙂
Ci stiamo lavorando, dietro le quinte, già da un po’ per preparare un’edizione nuova, sorprendente, ricca di contenuti, di possibilità di confrontarsi e di fare domande a chi ne sa di più.
E la Cracca Al Tesoro vera e propria?
Beh…ci sara’ anche quella e il nostro “fantasioso” team tecnico sta escogitando prove, configurazioni degli Access Point, percorsi e quesiti per accumulare punti extra che metteranno alla prova le squadre ma che consentiranno a tutti di divertirsi.
Nei prossimi giorni apriremo le iscrizioni e “sveleremo” poco per volta le molte sorprese che vi abbiamo preparato!
Per il momento vi diamo appuntamento il 12 marzo a Milano, all’AtaHotel Executive di viale Don Luigi Sturzo, 45 (zona Porta Garibaldi).
Il programma di massima è consultabile online.

cat, cat2011, cracca al tesoro, Milano, security summit

Nessun commento

Milano CAT2010 bersaglio due

Posted by aspy in CAT2010 SECSUM Edition on 24 Giugno 2010

Aggiorniamo la lista dei bersagli “bucati” durante l’edizione di Milano della Cracca Al Tesoro. Parliamo questa volta del bersaglio 2, un sistema connesso al primo access point bersaglio da individuare.

Prima di svelare la vulnerabilità lasciate che spenda due parole sulla difficoltà dei bersagli. Alcuni infatti hanno chiesto come mai si sia quasi sempre trattato di vulnerabilità semplici e ben conosciute, quasi come se per qualcuno non valesse la pena di iscriversi a CAT, “tanto sono bersagli troppo facili!”.

In realtà forse, almeno in parte, questo è vero. Sono vulnerabilità conosciute e facili da exploitare, ma vi invito a fare due considerazioni.

1) il tempo a disposizione per le squadre è poco. Se le vulnerabilità configurate sui bersagli fossero un pelo più difficili, non basterebbe il tempo per completare il percorso.

2) anche così, finora, nessuno è riuscito a completare il percorso bucando tutti i bersagli a disposizione (quindi non mai abbiamo svelato in cosa consistesse l’ultimo bersaglio…)

Volete tentare la sfida?

Eccoci adesso al bersaglio 2, basato su una macchina Windows 2000, sulla quale era installato un IIS5 con la nota vulnerabilità legata alla codifica unicode. Microsoft ha pubblicato ormai 10 anni fa un bollettino e non starò qui a ripetere informazioni che è molto facile trovare in Internet :-), ad esempio qui o qui. Per tornare a noi, una volta scoperta la vulnerabilità, l’attaccante doveva individuare il file degli indizi contenuto nella cartella C:\inetpub\scripts, nel quale, oltre alla parola chiave da comunicare alla Situation Room per acquisire il punteggio, si richiedeva come “azione speciale” da compiere per guadagnare ulteriori punti bonus di presentarsi alla Situation Room per fare un Karaoke. Nella foto, la squadra vincitrice mentre si esibisce per lo staff sotto le finestre della Situation Room.

CAT2010 SECSUM Edition, cracca al tesoro, hacking, Milano, security summit, wardriving

Nessun commento

CAT2010 Milano Bersaglio 5

Posted by aspy in CAT2010 SECSUM Edition on 18 Giugno 2010

Già, bersaglio numero 5.
MA … i bersagli previsti a Milano non erano 4? Ufficialmente infatti i bersagli predisposti dall’organizzazione erano 4, ma seguite il video qui sotto e scoprirete cose interessanti.
Chi ha orecchie per intendere… 🙂
http://www.youtube.com/watch?v=7_Gv4Hy8M8o

CAT2010 SECSUM Edition, cracca al tesoro, hacking, Milano, security summit, wardriving

Nessun commento

CAT2010 Milano, bersaglio uno

Posted by aspy in CAT2010 SECSUM Edition on 30 Maggio 2010

In attesa della prossima edizione di CAT (per i distratti,si terrà il 3 luglio ad Orvieto) vi raccontiamo alcuni dettagli della struttura tecnica e delle vulnerabilità predisposte per i bersagli del CAT2010 di Milano.

A differenza di quanto è stato fatto nella edizione di Orvieto 2009 dove le macchine bersaglio erano fisicamente dislocate nelle varie postazioni, i server bersaglio sono stati virtualizzati e posizionati fisicamente presso la Situation Room dove sono stati installati due server con VMware sui quali sono state configurate le macchine virtuali con i sistemi operativi bersaglio.

Nelle postazioni sono stati posizionati solo gli access point bersaglio ed i router necessari per creare le VPN attestate presso la Situation Room. Grazie alla struttura tecnica messa in campo da Cristiano (SonicWall) è stato possibile controllare da remoto gli access point bersaglio, compresa accensione e spegnimento, la configurazione dei router e contemporaneamente avere la situazione degli attacchi in corso analizzati in tempo reale.

Sullo schermo gigante a disposizione nella Situation Room venivano proiettati i grafici di riepilogo della situazione e le informazioni provenienti dai server e dalla infrastruttura di comunicazione.

Ad Orvieto avremo sia la diretta web che uno schermo gigante a disposizione del pubblico per seguire l’andamento del gioco dalla sala convegni.

Ovviamente non daremo le specifiche di tutti i bersagli, ma solo di quelli che sono stati effettivamente bucati dai concorrenti 🙂

La particolarità della edizione Milanese è stata questa: oltre a dover bucare i bersagli, era possibile guadagnare ulteriori punti portando a termine delle azioni indicate all’interno del file di indizi posizionato nei vari bersagli, esattamente come nella più classica delle cacce al tesoro “vecchia maniera”. Ed è stato molto divertente!!!

Partiamo dal bersaglio uno. L’access point era protetto da una WEP a 128 bit, ma non è stato certamente un problema dato che praticamente tutte le squadre lo hanno bucato. Il primo server posto nella rete locale era un Windows 2000 Server con MS SQL Server a bordo.

La vulnerabilità era basata su un classico buco di sicurezza relativo ad una errata configurazione dell’account amministrativo SA. Utilizzando un qualunque client per SQL Server ed autenticandosi con l’account SA era possibile sfruttare il comando xp_cmdshell per accedere ad una shell sul sistema tramite la quale esplorare il disco trovare la cartella c:\p0wn3d con il file indizi.

Cosa hanno dovuto fare le squadre per guadagnare ulteriori punti? Beh questa volta era facile: portare all’organizzazione una foto di una ragazza con indosso la maglietta del CAT.

No, non chiedete. Le foto delle ragazze non le pubblichiamo!

CAT2010 SECSUM Edition, clusit, hacking, Milano, security summit, wardriving

6 Commenti

Foto CAT2010 SecSum

Posted by aspy in CAT2010 SECSUM Edition on 5 Aprile 2010

Abbiamo aggiornato l’album delle foto: aggiunte foto e messo (finalmente) le miniature per facilitare la navigazione.
Buona visione!
http://www.backtrack.it/~aspy/cat2010/album

CAT2010 SECSUM Edition, clusit, cracca al tesoro, hacking, Milano, security summit, wardriving

1 commento