Programma del MOCA 2012

"(Anonymous) Fraudster of the new Age", di Andrea Pompili

Perchè alla sicurezza delle telecomunicazioni dovrebbero interessare le frodi? Cosa c'entra il Viagra con le intrusioni informatiche? Quali sono i nuovi scenari e, soprattutto, come fare a contrastarli? Tra una mail di phishing e una giocata di poker, un piccolo tour su attori, obiettivi e finalità di un mondo sommerso che si occupa di far girare soldi, identità e interessi. Alle spalle di chi pensa di non doverci mai avere a che fare. - -- Fondamentalmente si ripercorre il fenomeno delle frodi dalla telefonica all?informatica: 899, 709, macchinette, phishing e spear phishing, trojan di varia natura e razza, attacchi SEO e Google Redirect Hack, fino ai problemi di riciclaggio nel mondo del gaming/gambling, chiudendo il cerchio con le sempreverdi frodi telefoniche ma effettuate attraverso sistemi informatici (ricariche SMS ecc.). Ovviamente si parlerà anche del business nero, delle motivazioni e un po? delle organizzazioni che ci sono dietro. Anche se poi alla fine mi interessa più vedere l?aspetto del come fanno, piuttosto che il perché. Tutto con casi reali, come sono stati rilevati e gestiti, quanto fruttavano, ecc. ecc. ecc.

---

"Pirati all'arrembaggio di Berlino", di lynx

Come diavolo inventarsi un partito orizzontale e come portarlo al 9% dei consensi.

---

"Hacking media", di Carlo Gubitosa

Dai leaks alla microeditoria, passando per il data journalism. Strumenti e tecnologie per smontare le notizie e guardare dentro l'informazione mainstream.

---

"Reti comunitarie", di Federico Capoano

Riuscite ad immaginare una rete senza fili libera, aperta, decentralizzata, progettata, costruita e mantenuta dai suoi stessi partecipanti? Riuscite ad immaginare un gruppo di volontari che applicano il modello del software libero alle reti di telecomunicazione? Riuscite ad immaginare una rete a cui chiunque può collegarsi e partecipare liberamente, in cui gli utenti stessi decidono democraticamente le politiche di sviluppo? Sembra una bella favola utopica, non è vero? Tuttavia il fenomeno delle Free Networks è reale e sta crescendo sempre di più in tutto il mondo: solo in Catalogna si contano più di 17.000 nodi [1]; in Grecia se ne contano più di 11.000 [2]; anche in Italia il fenomeno è in crescita, la community Ninux.org al momento conta più di 120 nodi attivi in cinque diverse città Italiane. Ma cosa sono queste reti comunitarie? Cosa significa farne parte? Che benefici possono portare alla società? Quali sono le difficoltà che si incontrano nel costruirne una? Quali sono le tecnologie utilizzate? Quali potrebbero essere i futuri sviluppi? In questo talk Federico Capoano (Ninux.org) cercherà di rispondere in modo esauriente a tutte queste domande. [1]: http://guifi.net/en/node/38392 [2]: http://wind.awmn.net/

---

"Re-breaking Wireless Protected Setup", di Leonardo Maccari e Matteo Rosi

La storia della sicurezza di Wi-Fi è costellata di fallimenti. Prima WEP, poi le prime crepe in TKIP, il brute force off-line su WPA e alla fine, nel dicembre 2011 il brute force online di WPS (Reaver). Partiremo proprio da questo bug che rende possibile craccare un PIN in poche ore con un attacco di forza bruta verso un access point configurato con PIN statico. L'attacco ovviamente può essere rallentato configurando l'AP in modo da limitare il numero di autenticazioni per minuto. Ma il diavolo si nasconde nei dettagli... analizzando il protocollo abbiamo addocchiato un nuovo attacco sul PIN che in certe condizioni permette di craccarlo senza bisogno di forza bruta, aggirando cosi' le contromisure configurate sull'AP. Inoltre, stiamo analizzando la possibilità di portare l'attacco anche in configurazioni di PIN dinamico inserito dall'utente. L'analisi di questi attacchi e le condizioni per portarli sono ancora un work-in-progress che vogliamo condividere al Moca, ma "To the best of our knolwdge" si tratterebbe di uno speed-up nuovo che trasforma la lunghezza dell'attacco con Reaver da diverse ore a pochi secondi, inoltre, inarrestabile dall'AP. Considerato che WPS è uno standard Wi-Fi alliance presente in milioni di device, pensiamo che sia interessante...

---

"Opendata", di Daniele Robotica

Opendata rappresenta la prossima frontiera del filesharing: *il DataSharing*. Grazie a questo protocollo possiamo aumentare la granularità delle informazioni di scambio, fino ad arrivare al dato grezzo. La possibilità di scambiare dati strutturati permette di elaborare ed integrare facilmente dati acquisiti da fonti diverse per creare un sistema di consapevolezza in tempo reale. OpenData azzera i costi di replicazione, diffusione, condivisione e integrazione dei dati. OpenData nasce 10 anni fa come applicazione "closed source" successivamente riscritta in versione "open source" con licenza free software per iniziativa del Partito Pirata Italiano; è attualmente operativa presso numerose aziende quali Procter&Gamble, Angelini Farmaceutica, Acea, Ospedale Casilino, Ericsson, Allianz RAS e tante altre aziende minori.

---

"Application Security for the masses", di Andrea Pompili

Con l'aumentare delle informazioni e dei servizi disponibili su Internet, è aumentato il valore e la sensibilità dei dati gestiti da applicazioni e database. Un valore che necessita livelli di protezione elevati, in un contesto complesso, eterogeneo e molte volte realizzato ad hoc. Come realizzare un layer di protezione usando tecnologie emergenti in grado di adattarsi alle applicazioni e fornire servizi di tracciamento, rilevazione attacchi e "virtual patching" senza stravolgere l'esistente. - -- Basta parlare di pentest e OWASP? il problema è: come mi difendo? Cosa devo mettere in piedi e perché lo devo fare? Quali strumenti mi offre il mercato, ma soprattutto come posso combinarli. Poi ci divertiamo con alcuni casi di attacchi o problematiche reali, su cui si cerca di capire cosa è andato storto e come si poteva gestire meglio quello che è successo?

---

"BillyIdle.de", di lynx

Workshop in edit/mash-up production.. how to make cheesy music sound cool and how to put funny vocals on top so it becomes cheesy again.

---

"Presentazione del progetto anopticon: Anopticon Stato dell'arte.", by Epto Tramaci

Anopticon è un progetto di schedatura delle telecamere di videosorveglianza negli spazi pubblici, portato avanti per mezzo della collaborazione di una community di utenti su internet. Il nome del progetto deriva dall'Anopticon di Umberto Eco, che a sua volta è l'opposto del Panopticon, il carcere immaginato dal filosofo Jeremy Bentham nel 1791. Nell'ambito del progetto al rovesciamento immaginato da Eco (fare in modo che il sorvegliante sia l'unico a poter essere visto senza vedere chi lo osserva), si aggiunge il concetto che inoltre i detenuti guardano, e dunque "sorvegliano" a loro volta, il sorvegliante. Un altro riferimento è al Grande Fratello di George Orwell. Nel concreto il progetto, attraverso la collaborazione dei propri utenti, ha raccolto la mappatura e la schedatura delle telecamere di videosorveglianza negli spazi pubblici cittadini, allo scopo di definire l'area videosorvegliata della città e di segnalare alle autorità competenti le violazioni della privacy e le telecamere illegali o non segnalate secondo la legge. Sono state mappate le telecamere delle città di Venezia, Padova, Foggia, Urbino, Solero (provincia di Alessandria), Alessandria, Pisa, Genova, Mestrino, Cassano d'Adda, Bari, vico equense e Roma ed ne è stata pubblicata in rete la mappa interattiva (Big Brother viewer). Sul sito è attivo un blog sulla videosorveglianza chiamato Anoptiblog. Il progetto si occupa inoltre della censura su siti come Facebook e Youtube e ha prodotto motori di ricerca per la censura su questi due siti (YouTube Hot Crawler, o YTHC e Facebook Hot Crawler) e analisi in tempo reale della censura, con sua mappatura (YouTube Word Counter). Ha pubblicato in rete una lista di video censurati su YouTube.

---

Why to adopt a reptile? Using Python.

A comparative analysis with the most diffused languages to underline the aspects that make the Python a language that deserves to be learned and used.

---

"GlobaLeaks, Anonymous Whistleblowing OpenSource Software", di naif, hellais e vecna

GlobaLeaks is the first Anonymous Whistleblowing OpenSource Software. In this talk we will explain how to setup a GlobaLeaks node and how to start hacking on it, our strategies, how we are moving and organizing, how you can get involved with a transparency activism activity or on technical side. We hope to get you excited about the project and join us in building the tools for future Whistleblowers and Whistleblowing organization. This talk is aimed at explaining GlobaLeaks software and share our research on the social aspect of whistle blowing and technological challenges we encountered. Hopefully by the end of it you will join us in making the tools for whistleblowers of the future! We would like to involve the hacking community in the project. The first part of the talk is about the introduction to the GlobaLeaks vision (the "big picture") overview and sharing of the result of Technological and social research. The second part of the talk is focused on the technology, by sharing the design principles of GlobaLeaks, the technological issues encountered, various hacks done and to be done on multiple software projects.

---

"Pensando Android", di Marcello Cannarsa

In questo seminario analizzeremo in generale che cos'è Android e soprattutto il linguaggio che genera i programmi Android, il Java. Si analizzerà l'evoluzione avuta da Android negli ultimi anni sui normali apparecchi elettronici, e si vedrà come viene generato un programma Android con l'uso dell'ambiente di sviluppo Eclipse e poi la successiva esportazione in Apk per Google Play Store. Verranno introdotti anche principi sull'Object Oriented e sugli oggetti di Android (es. Activity, Intent, Layout).

---

"secushare.org", di lynx

The holy grail of communications, a P2P social framework to re-invent social with privacy built-in

---

"Embedded devices' firmware reversing", di Jonas Zaddach

Today more and more devices around us have computing capabilities. Most of the time, they are sold with their firmware flashed on the device, and you never get to touch any software while you interact with the device. But an actual insight in the firmware is interesting, let it be just for fun and education, for extending the product (like the CHDK firmware for Canon Powershot cameras), or for evaluating the security of the firmware. In this talk I will give an overview over how firmware is usually loaded and executed on a device, an then explain how I use QEMU and a GDB stub to debug a hardware device with platform simulation and in-vivo to understand its internal structures faster.

---

"Beware of Hypervisor: Understanding ring -1", di Mariano `emdel` Graziano

Nowadays hypervisors have become common terms in computer security. Even though they are broadly deployed in most IT solutions, from the security perspective internals are not well documented, and most of the time they require a strong reverse engineering effort to be understood. In this talk I will give a brief introduction on VMM extensions designed by Intel, then I will move on internal mechanisms of bare metal hypervisors with a particular focus on the VMCS memory layout that controls every hypervisor functionalities.

---

"Password security: how to generate and store passwords in a secure way", di Enrico "cerin0" Zimuel

The 7th June 2012 Linkedin was hacked. More than 6 million LinkedIn passwords was compromised. The real shocking news was not the theft but the fact that the attackers were able to decrypt many of these passwords. Why it happened? The answer is simple: a bad design of the password security. The Linkedin engineers used a simple hash function (SHA-1) to protect the passwords. This technique is considered insecure from many years (it doesn't protect against dictionary attacks that are becoming more powerful every day). If you think that you are secure because you use a salt value with an hash function, you should follow this presentation. I will show you how to protect user's passwords using cryptographic algorithms such as bcrypt, scrypt and PBKDF2.

---

"Paradigmi di design, dal software libero alla permacultura", di Jaromil

Questa presentazione non verte su un progetto specifico, ma tenta di ispirare il pubblico con una metafora visionaria, analizzando e comparando gli approcci al design di sistemi e luoghi tra due discipline apparentemente molto diverse. Seguendo un approccio interdisciplinare ai paradigmi esistenti tra linguaggi diversi, ci avventureremo alla scoperta dei principi della Permacultura in relazione a quelli dello sviluppo di software Libero ed Open Source. La Permacultura e' un sistema che enfatizza l'uso di design ed informazione nell'agricoltura al fine di raggiungere una sostenibilita' permanente: si tratta di una evoluzione recente rispetto a quella dell'agricoltura industriale ed il suo contributo fondamentale nel campo del design ecologico e' quello di un set conciso di principi organizzativi applicabili su larga scala. In questa presentazione andremo alla ricerca delle relazioni tra questi principi e quelli ben visibili nello sviluppo di software libero. La presentazione e' frutto della cooperazione tra due organizzazioni Europee: URBANIA HOEVE, laboratorio di design sociale per l'urbanistica, e Dyne.org, laboratorio di sviluppo software libero.

---

"OONI, Open Observatory of Network Interference monitoring and measuring internet surveillance and censorship", di Arturo Filastò & Jacob Appelbaum

The talk will generally illustrate the problem of surveillance of the internet in particular a subset of this problem: censorship. We will show some examples of censorship that have happened recently with particular focus on Italy. We will then present OONI, the Open Observatory of Network Interference, is a global observation network which aims to collect high quality data using open methodologies, using Free and Open Source Software (FL/OSS) to share observations and open data about the various types, methods, and amounts of network tampering in the world.

---

"Ghost is in the Air(traffic)", di Andrei Costin

Air-related technologies are on the verge of tehnological upgrade and advance in approximately the same manner the mobile communication networks and smartphones were 5-10 years. As noticed in practice, these technological advances open opportunities for performance and innovation, but at the same time open great opportunity for security exploitation. In this talk and whitepaper, we will approach the ADS-B (in)security from the practical angle, presenting the feasibility and techniques of how potential attackers could play with generated/injected airtraffic and as such potentially opening new attack surfaces onto AirTrafficControl systems.

---

"Spaghetti Scotti", di Andrea Monti & Stefano Chiccarelli

Con tutti i soldi e i giuda che girano, ha ancora senso parlare di "scena"?

---

"Tor2web: Anonymous Internet Publishing via Takedown resistance TorHS exposure", di naif, hellais e vecna

Tor2web is an anonymous publishing project that aim to create a network of distributed servers over the internet that "expose" Tor Hidden Service Websites otherwise reachable only trough the Tor Darknet. Tor2web Workshop will explain the Tor2web project and get people involved, sharing the research and experience done in trying to keep the server up&running, the status of new tor2web software, work on improvements, discuss on howto Of interests for: ONG and hackers running and hacking Tor project software , anonimity and cryptoanarchism hackers We will work on Tor2web design, issues, code hacking and brainstorming on how to improve and really diffuse tor2web approach. Tor2web is now a project supported by GlobaLeaks team with precious support from Tor community Tor2web Project overview - - Bit of history - - Architecture - - Server takedown issues, how to manage it - - Blocking t2w access to content, a reasonable policy - - The software evolution and experience Tor2web 1.0 - First generation tor2web (apache/privoxy/tor hacks) - Limitations Tor2web 2.0 - dirty hacks and survival tricks between server takedown Tor2web 3.0 (because we like changing often) - New architecture (multidomain, nicknames) - Experimental Tor2web Mode of Tor - New Software design - Security and anti-takedown measures - Tor2web code hacking How to get hands on tor2web code hacking - Open issues to work on - Crowd Brainstorming on next evolution roadmap (dynamically making new github issues) - Getting engaged in expanding Tor2web network Running a Tor2web node - The network of trust issue (SSL private key handling) - Discussion on organization and the tor2web.org domain destination

---

"APAF - Anonymous Python Application Framework", di Michele Orrù - Maker

APAF is immature. Italian. Incomplete. Yet we are trying to build the first python library for anonymous web applications, exposed as Tor Hidden Service, easy to be installed and managed on multiple platforms (Windows, OSX, Debian, Android). This talk will drive you trough the use of apaf: how we thought it, its internals, the way you can easily create and expose your Tor Hidden Service interface, and how we managed different platforms. Apaf will be used by GlobaLeaks, Tor2web, CryptoCat and other anonymity projects.

---

"Cyberwars and Cyberwaterguns", di Quequero & Claudio "nex" Guarnieri

Abstract: In un'era di cybertutto e cyberniente, in cui giornalmente leggiamo di cyberintrusioni, cyberarmi e cyberstati che attaccano altri cyberstati ed ascoltiamo espertoni di cyberintelligence farci l'oroscopo del cyberspace, finalmente un po' di luce su quello che succede la' fuori, nessuno escluso.

---

"LiquidFeedback", di lynx

grassroot liquid democracy over the internet for associations, political parties, democratic companies and anywhere people have to debate and decide upon something.