Oggi e domani sono al Centro Congressi di Milanofiori per questa conferenza di Mondadori Informatica. Primo problema, arrivarci: la tangenziale era tutta così.
Il programma di oggi prevedeva una prima sessione in cui si è simulata una intrusione su un server web su dmz che stava dietro a un firewall. Sembra una bella impresa, ma era un server Microsoft IIS non patchato, quindi niente di particolarmente difficile. Penso anche niente di nuovo per nessuno dei presenti. Per darti un’idea, di tentativi di questo tipo su gaspartorriero.it ne conto circa una decina ogni ora.
Si simulava anche che sul server web ci fosse una “applicazione di e-commerce” e si faceva vedere l’accesso al database con l’elenco clienti e le carte di credito. Anche qui sembra una impresa della miseria, ma devi sapere: il database era di Access 2000, e non stava su un server SQL separato: spero nessuno faccia applicazioni e-commerce in questo modo!
Seconda sessione “Advanced TCP/IP” molto teorica ma molto interessante, perché il protocollo era analizzato dal punto di vista della sicurezza e perché il relatore Stefano Plantemoli è stato davvero bravo. Al massimo potrei rimproverargli di avere detto cinquecento volte la parola “bovino”.
Terza interessante sessione: “Sniffer in Action“, con qualche simpatico tool per avvelenare le tabelle ARP in una rete switchata.
Ultima sessione “Network Traffic Protection” di una pallosità delirante. Gli argomenti erano interessantissimi: crittografia, SSL, VPN, tunneling, IPSEC, ma tutti trattati a livello puramente teorico, mentre mi sarebbe davvero piaciuto molto di più assistere a una implementazione pratica (su macchine non mie).
Ancora non saprei dirti con sicurezza se ho speso bene i miei soldi, ma domani ti racconto.