23 giugno 2016 1 Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
La riduzione dei privilegi in Windows
Corso aggiornamento ASUR10
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Java Enterprise Edition (JEE)
Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.
Sicurezza e Policy in Active Directory
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Seconda parte: i sistemi informativi in rete
Politecnico di Milano Analisi e Valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Luca Carettoni -
La vendita online b2c. PROBLEMATICHE (I) 1.Le caratteristiche del prodotto è adatto alla vendita online? 2.Il mercato in cui si opera come avviene la.
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
La tutela dei dati personali
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
Introduzione alla sicurezza informatica
Per un funzionamento corretto del servizio NIS Web vi preghiamo di seguire le indicazioni di seguito riportate: 1)Non avere installata la barra di Google.
Norman Security Suite Sicurezza premium facile da usare.
I-Memo è un prodotto completamente nuovo progettato per risolvere i seguenti problemi: Memorizzare password e codici molto complessi, senza il problema.
INTEGRAZIONE, RILASCIO
U.O.C.di Cardiologia e UTIC
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
SERVIZIO EDI – Primo Accesso
Progetto RETE SME ALESSANDRO PASSONI
Slide 1 Un browser migliore Passa a Firefox – il modo più veloce, sicuro e intelligente per navigare sul Web.
Progetto Ingegneria del Software
ECDL per TUTTI con I Simpson Azzurra & Silvia.
Un sistema integrato per la gestione della rete commerciale 1 Web Sign è unapplicazione sviluppata da Sior che permette di apporre una firma remota, digitale.
Protocolli e architetture per WIS. Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di.
IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
ASP.NET – Autenticazione e Sicurezza basata sui ruoli
CUC Centro Unico di Contatto.
Certificati e VPN.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
Mobile Agent and Enterprise Architecture Integration Il Gestore di Librerie e Servizi Lambertini Riccardo.
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
21 gennaio Sirti S.p.A. VA/PT di: 3 reti pubbliche (indirizzi selezionati)‏ 3 reti private (indirizzi selezionati)‏ 7 (6) applicazioni web.
Sicurezza e attacchi informatici
Eprogram informatica V anno.
30 agosto Progetto Quarantena Gateway Security Appliance.
Cloud SIA V anno.
TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA.
1 Prof. Stefano Bistarelli Dipartimento di Scienze e-government: oggi.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Seat 2007 Vulnerability Assessment. Background  Start-up Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI e DINT,
Analisi di sicurezza della postazione PIC operativa
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
9 marzo Monitoraggio e controllo Il contesto normativo.
TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.
SARA Assicurazioni Proposta di VA. Esigenze e requisiti  Esigenze:  Affrontare la sicurezza in maniera più organica e pianificata  Definire e seguire.
TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.
04/06/2016Francesco Serafini INDICO Corso Nazionale Novembre 2007.
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
WS INFN-CCR GARR, Napoli, Federazioni di identità per supportare le esigenze della ricerca.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Risultati analisi VA/PT Lisit 2008
Transcript della presentazione:

23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori

23 giugno 2016 © 2003 Hacking Team All Rights Reserved 2 Problematiche (per ora) 1. E’ possibile impersonificare un altro paziente ed ottenere le relative informazioni a. cambiamento del parametro CF nella POST inviata alla servlet FrontController 2. Possibilità di far cambiare il medico (esistono anche altri scenari di attacco derivanti dal punto 1) 3. Potrebbe essere possibile ottenere informazioni anche se il paziente non ha dato il suo consenso a. cambiamento della variabile consenso nel menù 4. Possibile redirect verso un sito malevolo dopo l’autenticazione a. Concatenamento URL per non controllo del parametro goto

Dove si sta indagando… Vengono installate sul computer dell'utente i seguenti componenti: Postazione di Lavoro del Cittadino 3.0 (OcxKitCittadino.dll) Posto di Lavoro del Cittadino – Attestazione (crspdlcx.dll) Posto di Lavoro del Cittadino – Autenticazione utente (OcxCertUpdate.dll) Posto di Lavoro del Cittadino – Interprete Dati (OcxCrsInfo.dll) Tali ActiveX, unitamente alla vulnerabilità del redirect dell'autenticazione utente, potrebbero essere sfruttati da remoto, ad esempio creando un disservizio Blocco della smartcard (PIN) I possibili impatti sono in fase di identificazione e di analisi 23 giugno 2016 © 2003 Hacking Team All Rights Reserved 3

Principali cause Aggirabilità/mancanza del meccanismo di sicurezza per l’autorizzazione (nessuna politica di protezione nell’accesso al dato, smartcard pressoché inutilizzata) Mancanza di sicurezza a livello architetturale (controllo e protezione della sola sessione; sviluppo software da parte di gruppi separati e non comunicanti) Mancanza dei criteri di sicurezza: sicuramente nell’implementazione applicativa e nel testing, forse nella progettazione. Non aderenza a quanto previsto dalla normativa privacy (verifica delle autorizzazioni al trattamento dei dati) 23 giugno 2016 © 2003 Hacking Team All Rights Reserved 4

Necessità a breve termine 1. Approfondire l’analisi sulle componenti target 2. Verificare, o meglio confermare, la sfruttabilità delle vulnerabilità in ambiente di produzione 3. La fase extranet è ancora da effettuare 4. Coinvolgimento di Lombardia Informatica o di chi si ritiene più opportuno 23 giugno 2016 © 2003 Hacking Team All Rights Reserved 5

Studi a completamento 1. Analizzare anche le altre parti dell’applicativo 2. Completare l’analisi con gli altri servizi del portale 3. Eseguire l’analisi anche sulla parte server (Web Application Assessment) 4. Cominciare ad approntare l’idonea strategia di messa in sicurezza dell’intero ambiente a. analisi generale del modello di sicurezza esistente b. revisione dell’intero sistema applicativo c. definizione del security plan d. revisione delle procedure operative ed organizzative esistenti 23 giugno 2016 © 2003 Hacking Team All Rights Reserved 6