[ITA] Ed il primo BSides Roma è andato!

Sabato 13 Gennaio 2018 sono stato relatore, insieme ad amici e colleghi bravissimi, della prima edizione del BSides Roma con un talk dal titolo “Building an Effective Info Sharing Community“.

L’evento è stato un successo: sala piena e livello dei talk notevole – a parte il mio ovviamente 🙂

Sala piena = Agostino soddisfatto
Sala piena = Agostino soddisfatto

Prima di tutto un doveroso ringraziamento va agli organizzatori: Agostino, Simone, Francesco, Vito e Federico che con la loro passione e determinazione hanno consentito alla community di ritrovarsi e stare insieme prima di tutto “pe’ magnà” – ormai prima organizziamo le cene e poi forse gli eventi 🙂 – e poi per “gustare” parecchia sana Security. Organizzare un evento non è cosa semplice (anzi) ed a loro va un grande GRAZIE. Noi non possiamo far altro che assicurare già la nostra partecipazione per la prossima edizione, appuntamento al 12 Gennaio 2019 per #BSidesRoma19.

A proposito per avere info / date / decidere se partecipare a conferenze di InfoSec in giro per il mondo, fate un giro su ConfWatch, un effort della community avviato da Simone evilsocket Margaritelli.

Tornando al mio talk – in attesa che le slides vengano pubblicate dall’organizzazione – ve le anticipo qui di seguito (link diretto per vedere fullscreen); rispetto alla presentazione del BSides ho inserito i due video presentati

Visto che più di qualcuno me lo ha chiesto, vi informo che qui sul blog trovate una serie di articoli che dettagliano le configurazioni e le architetture descritte nel talk (a parte le ultime configurazioni del PUSH vs OpenTAXII, WIP 😉 ) così che possiate iniziare a sperimentare in autonomia quello che ho descritto. Chiaramente per qualsiasi dubbio / chiarimento /nuova idea / improvement contattatemi pure.

Concludo ribadendo quello che ho già detto ieri al termine del talk: anche Cyber Saiyan (l’associazione che ho costituito e di cui sono presidente) vuole contribuire alla community e sta lavorando per organizzare una conferenza completamente gratuita a Roma nel 2018.

Ci sono già tante idee sul tavolo e possibili sinergie con altre associazioni, perciò stay tuned e nel frattempo – in attesa dell’incontro di presentazione previsto per Febbraio – se volete supportare l’associazione, lo potete fare in tanti modi

merlos

[ITA] Cyber Saiyan: l’inizio di un’avventura

Tutto è iniziato a Gennaio 2017 quando a Milano ho conosciuto Mario Anglani, l’organizzatore di HackInBo. Quel giorno quando Mario mi ha parlato di HackInBo, incuriosito, ho deciso di avvicinarmi a questa community inviando una mia proposta di talk per l’imminente spring edition 2017.

inizio by Marco Scandella (flickr)
inizio by Marco Scandella (flickr)

Non avevo troppe speranze a dire il vero, ma la voglia di raccontare la mia esperienza, le mie idee e confrontarmi con altre persone – fino ad allora sconosciute – era grandissima.
Il mio talk fu selezionato e per me è stata un’esperienza stupenda ed indimenticabile che mi ha permesso di conoscere tantissime persone e di condividere con loro idee, problemi e soluzioni. Un “mondo” per me sconosciuto fino ad allora – lavoravo comunque nella Security operativamente da quasi 6 anni – e che mi ha immediatamente conquistato.

In questi sei mesi sono successe tantissime cose che mi hanno convinto di tentare di restituire alla community – il famoso give back – un po’ di quello che ho “preso”. E così insieme ad altri tre amici – DavideB, DavideP e Federico – abbiamo prima di tutto deciso di costituire un’associazione di promozione sociale che abbiamo chiamato Cyber Saiyan (sito web , twitter) che “persegue la promozione di iniziative di qualsiasi genere con la finalità di divulgare tematiche relative a cyber security ed ethical hacking“.

Presto organizzeremo qui a Roma un incontro per presentare l’associazione, con l’obiettivo minimo di realizzare nel 2018 un evento di sicurezza su Roma che abbia il pieno supporto della community.

Oggi per me è un nuovo inizio e spero che nel 2018 Cyber Saiyan possa regalarci delle stupende iniziative.

merlos

[ITA] BSides Roma 2018

#BSidesRoma18
#BSidesRoma18

[4/1/2018: aggiornato indirizzo location a seguito di variazione da parte dell’organizzazione]

Il 13 Gennaio 2018 si terrà a Roma, presso il Centro Congressi di via Salaria – Dipartimento di Informatica (via Salaria 113), la prima edizione del BSides Roma. Un evento organizzato dalla community e a cui avrò il piacere di contribuire in qualità di speaker.

Il tema del mio intervento è qualcosa a cui tengo molto, ovvero l’Information Sahring: “Building an Effective Info Sharing Community”.

Nel talk cercherò di ricostruire in maniera sistematica e strutturata il lavoro fatto in questi mesi e già in parte descritto qui sul blog in una serie di post.

Sono convinto che per Roma è un’occasione importante per portare un po’ di sana “ciccia” (come si dice da queste parti) sulla scena della Security romana. Da parte mia sono davvero contento di dare il mio contributo e spero che in tanti supportino questa iniziativa partecipandovi.

Qui la ricca agenda dell’evento e qui la pagina per la registrazione.

Hack a BT Low Energy (BLE) butt plug

Butt blug - Hush by Lovesense
Butt plug – Hush by Lovesense

Few weeks ago I bought a Bluetooth Low Energy (BLE) butt plug to test the (in)security of BLE protocol.

This caught my attention after researchers told us that a lot of sex toys use this protocol to allow remote control that is insecure by design.

The great Simone evilsocket Margaritelli wrote a BLE scanner called BLEAH (get it on github) and a wonderful post on how to use it to hack BLE devices. I strongly suggest you to read the post before moving on. Continue reading “Hack a BT Low Energy (BLE) butt plug”

MineMeld: threat intelligence automation – search received IoC events with Splunk [4]

This post is the fourth of a series on Threat Intelligence Automation topic.
Post 1: Architecture and Hardening of MineMeld
Post 2: Foundation: write a custom prototype and SOC integration
Post 3: Export internal IoC to the community

After having laid the foundations for building a community with the previous posts, it’s now time to make some advanced analysis of the received IoC.
In post 2 I integrated MineMeld output nodes into Splunk SOC near-real-time engine to automate SOC IoC access detection. This configuration strengthens the analysis and response capabilities of our SOC.

With this post I show you how to integrate MineMeld miners IoC events (update and withdraw of remote IoC) into Splunk engine so you can use Splunk search advanced features to have a deeper look into the IoC received from the miners.
This is also an important information for a SOC because if you have an IoC hit the first think to do is to understand where the IoC come from, if it was sent by more than one source etc

Searching for Cert-PA URL that containg PHP
Searching for Cert-PA URL that contain PHP

Continue reading “MineMeld: threat intelligence automation – search received IoC events with Splunk [4]”

MineMeld: threat intelligence automation – export internal IoC to the community [3]

This post is the third of a series on Threat Intelligence Automation topic.
Post 1: Architecture and Hardening of MineMeld
Post 2: Foundation: write a custom prototype and SOC integration
Post 4: Search received IoC events with Splunk

After building the architecture and integrating the InfoSec feeds from italian CERT-PA into MineMeld and the near-real-time SOC engine, it’s time to put another brick to build an effective community: export internal IoC to the community in a standard format so authorized parties can get it and use them as they want.

STIX/TAXII Network
STIX/TAXII Network

The ultimate goal is to build a community that can share IoC using a standard language and a transport mechanism (STIX/TAXXI) getting data from heterogeneous sources (more integration examples in next posts) and injecting data into the community network.

So let’s start with the configuration steps. Continue reading “MineMeld: threat intelligence automation – export internal IoC to the community [3]”

MineMeld: threat intelligence automation – foundation: write a custom prototype and SOC integration (Splunk) [2]

This post is the second of a series on Threat Intelligence Automation topic.
Post 1: Architecture and Hardening of MineMeld
Post 3: Export internal IoC to the community
Post 4: Search received IoC events with Splunk

Minemeld Integration
Minemeld Integration

On the first post of my threat intelligence automation jurney I wrote why I choosed MineMeld, the architecture implemented and the hardening steps. One of the goals is to connect MineMeld to heterogeneous external sources to get IoC (Indicators of Compromise) and integrate it into our i-SOC (Information Security Operation Center) near-real-time engine to get evidences of security events to be analyzed by i-SOC analysts.

In this post I show the foundation of the threat intelligence automation model: how I wrote a custom prototype to get the InfoSec feeds from italian CERT-PA (Public Administration – italian web site) and how I integrated these feeds into Splunk near-real-time engine.
I started with this integration because InfoSec has very good feeds (IP, URLs, domains) that are not just copy&paste from OSINT sources but are often updated and automatically analyzed to check that IoC are still “alive”.

This page and this page give you all the information needed to understand how MineMeld works, so RTFM before moving on 😉 Continue reading “MineMeld: threat intelligence automation – foundation: write a custom prototype and SOC integration (Splunk) [2]”