La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

23 giugno 2016 1 Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.

PubblicatoGiacinta Pellegrini Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "23 giugno 2016 1 Analisi dei Servizi al Cittadino Stato Avanzamento Lavori."— Transcript della presentazione:

1 23 giugno 2016 1 Analisi dei Servizi al Cittadino Stato Avanzamento Lavori

2 23 giugno 2016 © 2003 Hacking Team All Rights Reserved 2 Problematiche (per ora) 1. E’ possibile impersonificare un altro paziente ed ottenere le relative informazioni a. cambiamento del parametro CF nella POST inviata alla servlet FrontController 2. Possibilità di far cambiare il medico (esistono anche altri scenari di attacco derivanti dal punto 1) 3. Potrebbe essere possibile ottenere informazioni anche se il paziente non ha dato il suo consenso a. cambiamento della variabile consenso nel menù 4. Possibile redirect verso un sito malevolo dopo l’autenticazione a. Concatenamento URL per non controllo del parametro goto

3 Dove si sta indagando… Vengono installate sul computer dell'utente i seguenti componenti: Postazione di Lavoro del Cittadino 3.0 (OcxKitCittadino.dll) Posto di Lavoro del Cittadino – Attestazione (crspdlcx.dll) Posto di Lavoro del Cittadino – Autenticazione utente (OcxCertUpdate.dll) Posto di Lavoro del Cittadino – Interprete Dati (OcxCrsInfo.dll) Tali ActiveX, unitamente alla vulnerabilità del redirect dell'autenticazione utente, potrebbero essere sfruttati da remoto, ad esempio creando un disservizio Blocco della smartcard (PIN) I possibili impatti sono in fase di identificazione e di analisi 23 giugno 2016 © 2003 Hacking Team All Rights Reserved 3

4 Principali cause Aggirabilità/mancanza del meccanismo di sicurezza per l’autorizzazione (nessuna politica di protezione nell’accesso al dato, smartcard pressoché inutilizzata) Mancanza di sicurezza a livello architetturale (controllo e protezione della sola sessione; sviluppo software da parte di gruppi separati e non comunicanti) Mancanza dei criteri di sicurezza: sicuramente nell’implementazione applicativa e nel testing, forse nella progettazione. Non aderenza a quanto previsto dalla normativa privacy (verifica delle autorizzazioni al trattamento dei dati) 23 giugno 2016 © 2003 Hacking Team All Rights Reserved 4

5 Necessità a breve termine 1. Approfondire l’analisi sulle componenti target 2. Verificare, o meglio confermare, la sfruttabilità delle vulnerabilità in ambiente di produzione 3. La fase extranet è ancora da effettuare 4. Coinvolgimento di Lombardia Informatica o di chi si ritiene più opportuno 23 giugno 2016 © 2003 Hacking Team All Rights Reserved 5

6 Studi a completamento 1. Analizzare anche le altre parti dell’applicativo 2. Completare l’analisi con gli altri servizi del portale 3. Eseguire l’analisi anche sulla parte server (Web Application Assessment) 4. Cominciare ad approntare l’idonea strategia di messa in sicurezza dell’intero ambiente a. analisi generale del modello di sicurezza esistente b. revisione dell’intero sistema applicativo c. definizione del security plan d. revisione delle procedure operative ed organizzative esistenti 23 giugno 2016 © 2003 Hacking Team All Rights Reserved 6

Scaricare ppt "23 giugno 2016 1 Analisi dei Servizi al Cittadino Stato Avanzamento Lavori."

Presentazioni simili

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
La riduzione dei privilegi in Windows

La riduzione dei privilegi in Windows
Corso aggiornamento ASUR10

Corso aggiornamento ASUR10
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.

Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Java Enterprise Edition (JEE)

Java Enterprise Edition (JEE)
Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.

Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.
Sicurezza e Policy in Active Directory

Sicurezza e Policy in Active Directory
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.

Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Seconda parte: i sistemi informativi in rete

Seconda parte: i sistemi informativi in rete
Politecnico di Milano Analisi e Valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Luca Carettoni -

Politecnico di Milano Analisi e Valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Luca Carettoni -
La vendita online b2c. PROBLEMATICHE (I) 1.Le caratteristiche del prodotto è adatto alla vendita online? 2.Il mercato in cui si opera come avviene la.

La vendita online b2c. PROBLEMATICHE (I) 1.Le caratteristiche del prodotto è adatto alla vendita online? 2.Il mercato in cui si opera come avviene la.
UNIVERSITÀ DEGLI STUDI DI BOLOGNA

UNIVERSITÀ DEGLI STUDI DI BOLOGNA
La tutela dei dati personali

La tutela dei dati personali
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi www.infocamere.it.

Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.

17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.

Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis

Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.

Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.

Presentazioni simili

Annunci Google