Milano, 16-17-18 maggio 2018
Corso specialistico di 3 giorni con esercitazioni
Organizzato da:
Cyber Security
Tecniche di Hacking e Penetration Testing
-DETTAGLI-
Francesco Tornieri, si occupa di sicurezza informatica e integrazione delle comunicazioni da oltre quindici anni. Ha pubblicato più di 70 articoli su riviste specializzate come Linux Journal e Hakin9. E' autore del libro "Linux. Configurarlo al meglio". È membro dell’AIPSI - Associazione Italiana Professionisti Sicurezza Informatica. E' certificatore CAcert per certificati SSL. Si è certificato in "Malicious Software and its Underground Economy" alla Royal Holloway University of London e in "Crittography" e "Offensive security wireless attack" alla Stanford University.
Ricopre la carica di cultore della materia presso l'Università Cattolica del Sacro Cuore di Milano. E' membro del ISSA (Information Systems Security Association) e ISECOM (Institute for Security and Open Methodologies).
E' specializzato nella conduzioni di Penetration Test e Vulnerabilty Assessment.
Gli orari
Gli orari del corso avranno la seguente cadenza:
1° giorno - 16 Maggio: 10:00-13:00 e 14:00-18:00
2° giorno - 17 Maggio: 09:00-13:00 e 14:00-17:00
3° giorno - 18 Maggio: 09:00-13:00 e 14:00-17:00
Variazioni al presente orario sono sempre possibili con l'accordo dei partecipanti.
Iscrizione
Per l'iscrizione al corso iscriversi con l'apposito modulo d’iscrizione on line in fondo a questa pagina.
I costi
La quota di partecipazione al corso è di 1.100 euro + IVA.
Comprende le lezioni in aula, il materiale didattico, il diploma e i servizi di cortesia.
Le Tariffe
□ Tariffa standard: Euro 1.100 + iva
□ Tariffa advanced booking (per iscrizioni pervenute entro 10 gg dall’inizio del corso): Euro 800 + iva
□ Tariffa iscrizione multipla (a partire dal secondo partecipante): Euro 700 + iva
La partecipazione è soggetta al pagamento come da condizioni e tariffe indicate. Tutti i prezzi pubblicati da CIAS si intendono IVA esclusa. L'IVA sarà applicata ai sensi di legge.
Ci dovrà pervenire tassativamente entro il giorno 15.05.2018 copia dell’avvenuto bonifico (da allegare al modulo di iscrizione), che dovrà essere appoggiato a BANCA POPOLARE DI MILANO – IBAN IT96F0558401645000000000661 a cui seguirà nostra conferma.
CIAS si riserva il diritto di annullamento dei corsi programmati. In caso di annullamento si impegna a rimborsare integralmente la quota versata per la partecipazione al corso annullato. CIAS si riserva il diritto di modificare le date o la sede dei corsi dandone semplice comunicazione al Cliente. Nessun rimborso è previsto in quest’ultimo caso.
L'esercizio del diritto di recesso unilaterale da parte del Cliente entro 15 giorni lavorativi prima della data d'inizio del corso non determina a suo carico nessuna penale. Trascorso tale termine il Cliente dovrà corrispondere ad CIAS, a titolo di penale, salvo il maggior danno, un importo equivalente al 30% del corrispettivo concordato per la partecipazione al corso, che sarà trattenuto su quanto già ricevuto.
In caso di recesso avvenuto entro 5 giorni lavorativi prima della data d'inizio del corso, il Cliente dovrà corrispondere ad CIAS l’intera quota di inscrizione che, nel caso sia già stata versata, sarà automaticamente trattenuta.
Contatti
Per qualsiasi informazione contattare la nostra segreteria inviando una e-mail a eventi@cias.it o telefonando al numero 02.376716.1.
Come raggiungerci
A Milano il corso si terrà presso gli uffici di Cias Elettronica srl in via Durando 38, palazzo C, 5° piano, in zona Milano Nord, servita dalla stazione ferroviaria TreNord Bovisa Politecnico, direttamente collegata all’aeroporto di Malpensa con il treno Malpensa Express, nonché alla stazione ferroviaria Milano Centrale (linea Gialla M3), e alla fermata di metropolitana Cadorna (linea Rossa M1). Vicina anche alla stazione metro Dergano (linea Gialla M3).
| Introduzione | |
| Non è possibile proteggere l’ambiente IT se non si riesce a inquadrarlo nella sua interezza. Avere un quadro completo del sistema significa anche e soprattutto identificarne e catalogarne le minacce a cui è esposto con assoluta precisione, onde agire per garantirne la sicurezza adottando le giuste contromisure. | |
| Agenda | |
| Penetration Testing - Introduzione: panoramica sulla Cyber Security - Penetration Test come strumento per adempiere agli obblighi previsti nel GDPR - Tipologie di Penetration Test - Metodologie, standard e aspetti normativi - Fasi di un Penetration Test -- Fase1. Footprinting -- Fase2. Scansionamento -- Fase3. Enumerazione -- Fase4. Identificazione delle vulnerabilità -- Fase5. Hacking dei sistemi -- Fase6. Produzione della reportistica
Footprinting - Gli strumenti di lavoro: -- per ricercare informazioni sull’organizzazione -- per indagare sui domini -- per recuperare informazioni sulla rete (indirizzi IP) -- per la perlustrazione della rete - Interrogazione dei DNS -- Imparare ad utilizzare gli strumenti per interrogazione dei DNS: Nslookuo, Dig -- Analizzare i record A, MX, SRV, PTR - Strumenti di tracerouting -- Tracert, e Traceroute -- Tracerouting con geolocalizzazione - Footprinting con Google: utilizzo di campi chiave di ricerca -- Utilizzo di strumenti front-end per ricerche su motori: Sitedigger -- Footprinting su gruppi di discussione - Anonimato: introduzione a TOR - The Onion Router -- TOR-Browser -- Proxychains
Esercitazione pratica: footprinting di una rete target
Scansionamento - Tipologie di scansionamento - Aspetti legali inerenti lo scansionamento di porte - TCP, UDP, SNMP scanners - Strumenti Pinger - Information Retrieval Tools - Attuare contromisureagli scansionamenti - Utilizzo di Nmap - Scanner per dispositivi mobile
Esercitazione pratica: scansionamento di una rete target
Enumerazione: principi e strumenti di utilità - Enumerazione di servizi “comuni”: FTP, TELNET, SSH, SMTP, NETBIOS, SNMP. - Ricercare le condivisioni di rete - Ricerca di account di rete - Conoscere le principali tecniche di attacco ai sistemi - Quali sono le principali tipologie di vulnerabilità sfruttabili - Ricerca di vulnerabilità inerenti i servizi rilevati nella fase di enumerazione: -- Ricerca “Manuale” -- I Vulnerability Scanner
Esercitazione pratica: ricerca di Vulnerabilità in modo manuale e mediante Vulnerability Scanner
Vettori di attacco per sistemi operativi Microsoft Windows - Le vulnerabilità più recenti - Attacchi senza autenticazione - Attacchi con autenticazione: scalata di privilegi (tecniche e tools)
Esercitazione pratica: hacking di un sistema Windows con Metasploit
Attacchi di tipo Man-In-The-Middle - Dirottamento di sessioni - Attacchi di tipo ARP Poisoning - Attacchi tipo Responder
Vettori di attacco sui Firewall - Come identificare i firewall di rete - Come sfruttare gli errori di configurazione
Hacking dei server web ed hacking delle applicazioni - Identificare la tipologia del server web target - Verificare le vulnerabilità di IIS e Apache - Individuare vulnerabilità in applicazioni ASP, PHP, JSP - Hacking mediante SQL Injection, Cross-Site Scripting, Cross-Site Request Forgery, etc
Esercitazione pratica: violazione di un sito web
Hacking di reti Wireless: le principali vulnerabilità - Strumenti per effettuare la scansione delle reti wireless - Packet Sniffer wireless, hacking di WEP, WPA e WPA2 | |
| Metodologie didattiche | |
| Il corso integra alla teoria una serie di esercitazioni dimostrative realizzate con il coinvolgimento dei partecipanti. Oltre a discutere gli aspetti di importanza teorica delle tecniche di attacco e difesa, si presenteranno alcuni ambienti di utilità mettendone in evidenza con appropriate esercitazioni i principali comandi e funzionalità. Come introduzione al corso, verrà presentato un interessante contributo riguardo l'utilizzo delle tecniche di Penetration Testing per adempiere agli obblighi previsti dal GDPR. Il materiale didattico comprende il manuale del corso che integra l’intera collezione delle diapositive mostrate con note, commenti, esempi e casi di studio a corredo. Ad ogni partecipante sarà rilasciato un attestato di partecipazione. | |
| Obiettivi | |
| In questo corso, con simulazioni ed esercitazioni pratiche, i partecipanti apprendono come difendersi adeguatamente dagli attacchi, comprendendo le tecniche di hacking utilizzate per penetrare nelle reti informatiche; potenziano il proprio livello di conoscenza per approntare adeguate barriere di sicurezza; acquisiscono dimestichezza nell’individuare i bug dei sistemi operativi e dei dispositivi di rete per i quali esistono exploit che introducono falle pericolose. | |
| Destinatari | |
| Il corso è rivolto ai responsabili della sicurezza informatica, ai manager di rete di livello Enterprise, ai System Integrator, ai Service Provider, ai Carrier. Chiunque abbia l'esigenza di acquisire una solida conoscenza sulle tecniche di penetration testing per operare nel settore della sicurezza con competenza e professionalità. | |
| Prerequisiti | |
| E’ richiesta una buona conoscenza del TCP/IP e delle reti informatiche. I partecipanti dovranno portare con sé un Laptop computer con almeno 4-6 GB di RAM, idoneo per poter essere utilizzato con l’ultima versione di VMware Player. | |
