luca allodi fabio massacci university of trento italy
play

Luca Allodi, Fabio Massacci University of Trento, Italy. - PowerPoint PPT Presentation

Dec 03, 2023 •324 likes •583 views

UNIVERSITY OF TRENTO SECONOMICS Luca Allodi, Fabio Massacci University of Trento, Italy. 1 UNIVERSITY OF TRENTO SECONOMICS Security Group at the University of Trento

  1. UNIVERSITY OF TRENTO SECONOMICS Luca ¡Allodi, ¡Fabio ¡Massacci ¡ University ¡of ¡Trento, ¡Italy. ¡ 1 ¡

  2. UNIVERSITY OF TRENTO SECONOMICS ¡ Security ¡Group ¡at ¡the ¡University ¡of ¡Trento ¡(Italy) ¡ ¡ Coordinates ¡many ¡M€ ¡European ¡R&D ¡Projects ¡on ¡ § CYBER ¡SECURITY ¡ § ECONOMICS ¡OF ¡IT ¡SECURITY ¡ § SECURITY ¡ENFORCEMENT ¡ § We ¡work ¡with: ¡ ▪ International ¡Airports, ¡Metropolitan ¡Transport, ¡ ▪ ¡UK/US ¡National ¡Grid, ¡SAP, ¡Symantec, ¡Atos.. ¡ ¡ More ¡details ¡at ¡ ¡ § http://securitylab.disi.unitn.it ¡ 2 ¡

  3. UNIVERSITY OF TRENTO SECONOMICS ¡ We’ll ¡often ¡use ¡ medical ¡examples ¡ to ¡clarify ¡some ¡ ideas ¡on ¡testing ¡for ¡“gravity ¡of ¡illnesses/vulns”.. ¡ ¡ … ¡and ¡Fabio’s ¡the ¡only ¡doctor ¡on ¡stage ¡ ¡ When ¡you ¡see ¡ this ¡logo ¡ it ¡means ¡Fabio ¡will ¡follow ¡ from ¡next ¡slide ¡in ¡a ¡more.. ¡“medical ¡fashion” ¡ ¡ ¡ ..So, ¡let’s ¡start ¡now ¡ 3 ¡

  4. SECONOMICS ¡ What ¡the ¡CIO ¡really ¡wants ¡to ¡know: ¡ § About ¡that ¡new ¡vulnerability ¡everybody ¡talks ¡about.. ¡ § Should ¡ I ¡ worry? ¡ ¡ Ask ¡a ¡guru.. ¡ § “Security ¡is ¡only ¡as ¡strong ¡as ¡the ¡weakest ¡link”. ¡B. ¡Schneier ¡ § “One ¡vulnerability ¡after ¡another ¡has ¡been ¡discovered ¡and ¡ exploited ¡by ¡criminals” ¡R. ¡Anderson ¡ ¡ Ask ¡NIST.. ¡ § U.S. ¡Gov. ¡Mandates ¡Security ¡Management ¡tools ¡to ¡use ¡CVSS ¡ score ¡to ¡assess ¡software ¡vulnerabilities ¡ Fix ¡all ¡HIGH ¡CVSS ¡vulnerabilities ¡or ¡die ¡ 4 ¡

  5. SECONOMICS ¡ I ¡have ¡a ¡sw ¡with ¡a ¡ ¡ I ¡see ¡double… ¡ vulnerability… ¡ ¡ Both ¡eyes ¡involved? ¡ ¡ Is ¡it ¡easy ¡to ¡access? ¡ ¡ Primary ¡gaze ¡ ¡ Is ¡it ¡high ¡impact? ¡ impacted? ¡ ¡ Your ¡CVSS ¡doctor ¡says ¡ ¡ Your ¡CVSS ¡doctor ¡says ¡ HIGH ¡ à ¡patch ¡ brain ¡surgery ¡ ü Of ¡course ¡please… ¡ ? Ehm ¡are ¡you ¡sure… ¡ CVSS ¡is ¡a ¡test ¡by ¡clinical ¡expertise, ¡how ¡informative ¡is ¡it? ¡ 5 ¡

  6. SECONOMICS • A ¡clinical ¡test ¡must ¡be ¡matched ¡to ¡the ¡risk ¡ Binocular ¡diplopia ¡ à 42% ¡recovered ¡ without ¡treatment ¡ • Binocular ¡diplopia ¡AND ¡intracranial ¡lesion ¡ à ¡0% ¡recovered ¡without ¡ • treatment ¡ ¡ Nolan ¡“Diplopia” ¡B. ¡J. ¡Ophtalm. ¡1966 ¡ • • What ¡the ¡CIO ¡would ¡like ¡to ¡know: ¡ ▪ IF ¡HIGH ¡CVSS ¡listed ¡by ¡Sec. ¡Config. ¡Manager ¡and ¡ Metasploit ¡finds ¡it ¡ à ¡fix ¡it ¡and ¡decrease ¡risk ¡by ¡+15% ¡ ¡ ▪ IF ¡fix ¡all ¡remaining ¡HIGH ¡listed ¡by ¡Sec. ¡Config. ¡Manager ¡ à ¡ changes ¡from ¡15% ¡to ¡18% ¡ ▪ à ¡Is ¡+3% ¡worth ¡the ¡extra ¡money? ¡ 6 ¡

  7. UNIVERSITY OF TRENTO SECONOMICS ¡ You ¡are ¡THE ¡Target ¡ can ¡mitigate ¡this ¡risk ¡(IDSs, ¡DLP, ¡other ¡Remediation ¡ § strategies, ¡insurance, ¡etc.) ¡ But ¡can’t ¡control ¡everything ¡ § à ¡speaking ¡of ¡“risk ¡decrease ¡by ¡X%” ¡doesn’t ¡make ¡sense ¡ § You ¡are ¡ONE ¡of ¡the ¡Targets ¡ ¡ Automated ¡exploitation, ¡phishing ¡sites ¡etc. ¡ § GOOGLE: ¡80% ¡of ¡attacks ¡are ¡of ¡this ¡nature ¡ ¡ § M. ¡Rajab ¡et ¡al., ¡Google ¡Tech ¡Report ¡2011 ¡ ▪ For ¡these ¡threats ¡ à ¡“risk ¡decrease ¡ ¡by ¡x%” ¡makes ¡sense ¡ § We ¡do ¡not ¡focus ¡on ¡Black ¡Swan ¡events ¡ ¡ à ¡We ¡focus ¡on ¡the ¡most ¡common ¡threats ¡ ¡ 7 ¡

  8. UNIVERSITY OF TRENTO SECONOMICS ¡ NATIONAL ¡VULNERABILITY ¡DATABASE: ¡NVD ¡– ¡49.624 ¡vulns ¡ § The ¡universe ¡of ¡vulnerabilities ¡ ¡ WHITE ¡MARKETS ¡OF ¡EXPLOITS: ¡EXPLOIT-­‑DB ¡– ¡8.189 ¡vulns ¡ § Proof-­‑of-­‑Concept ¡exploits ¡published ¡by ¡security ¡researchers ¡ ¡ ACTUAL ¡EXPLOITS ¡IN ¡THE ¡WILD: ¡SYM ¡– ¡1.274 ¡vulns ¡ § Symantec ¡/ ¡Kaspersky ¡Threat ¡reports ¡ § Vulnerabilities ¡actually ¡exploited ¡in ¡the ¡wild ¡ § Conservative ¡approach: ¡SYM ¡represents ¡the ¡existence ¡of ¡an ¡attack ¡ § Browser/Plugins ¡ ¡14% ¡– ¡Server ¡22% ¡– ¡App. ¡17% ¡-­‑ ¡Windows ¡13% ¡ § Other ¡OS ¡5% ¡-­‑ ¡Developer ¡5% ¡-­‑ ¡Business ¡7% ¡-­‑ ¡Unclassified ¡17% ¡ ¡ BLACK ¡MARKETS ¡FOR ¡EXPLOITS: ¡EKITS ¡– ¡114 ¡vulns ¡ § 2/3 ¡of ¡client ¡threaths ¡according ¡Google ¡(2011) ¡ § Exploit ¡advert ¡from ¡the ¡bad ¡guys ¡in ¡an ¡exploit ¡kit ¡ § 90+ ¡exploit ¡kits ¡from ¡the ¡black ¡markets ¡expanding ¡Contagio’s ¡exploit ¡pack ¡ table ¡ 8 ¡

  9. UNIVERSITY OF TRENTO SECONOMICS LOW ¡CVSS<6 ¡ 6≤MEDIUM ¡CVSS<9 ¡ HIGH ¡CVSS ¡≥ ¡9 ¡ Areas ¡are ¡proportional ¡ to ¡no. ¡of ¡vulns ¡ 9 ¡

  10. SECONOMICS LOW ¡CVSS ¡ WHAT ¡ ¡IS ¡THIS? ¡ 50% ¡of ¡attacked ¡ MEDIUM ¡CVSS ¡ vulns ¡you ¡did ¡not ¡ patch ¡ HIGH ¡CVSS ¡ WHAT ¡ARE ¡THESE ¡ RED ¡AREAS? ¡ WHAT ¡ ¡IS ¡THIS ¡ Vulns ¡you ¡may ¡ LITTLE ¡SQUARE? ¡ want ¡to ¡patch ¡but ¡ Most ¡current ¡threats ¡ probably ¡shouldn’t! ¡ to ¡end ¡users ¡ according ¡to ¡Google ¡ 10 ¡

  11. SECONOMICS ¡ Risk ¡(CVSS)= ¡ Impact ¡x ¡Likelihood ¡ § CVSS ¡Likelihood ¡= ¡ Exploitability ¡ ¡ Everything ¡is ¡ exploitable ¡ à ¡CVSS ¡ lacks ¡of ¡a ¡real ¡ measure ¡of ¡ likelihood ¡of ¡ exploitation ¡ ¡ Impact ¡is ¡the ¡only ¡ real ¡measure ¡ ¡ ..CVSS ¡is ¡not ¡ estimating ¡risk ¡ 11 ¡

  12. SECONOMICS ¡ You ¡say ¡CVSS ¡is ¡not ¡a ¡good ¡measure.. ¡But ¡you ¡ can’t ¡do ¡statistics ¡on ¡NVD!! ¡Because.. ¡ ¡ NVD ¡contains: ¡ § Lots ¡of ¡old ¡vulnerabilities! ¡ § Lots ¡of ¡entries ¡for ¡software ¡almost ¡nobody ¡uses ¡ ¡ EDB ¡contains: ¡ § Lots ¡of ¡software ¡that ¡SYM ¡does ¡not ¡monitor ¡ ▪ True: ¡EDB ¡~5500 ¡sw ¡entries ¡not ¡in ¡SYM ¡vs ¡333 ¡in ¡both ¡ ¡ … ¡So ¡we ¡need ¡something ¡more ¡precise ¡ 12 ¡

  13. SECONOMICS ¡ Do ¡smoking ¡habits ¡predict ¡cancer? ¡ § à ¡You ¡can’t ¡ask ¡people ¡to ¡start ¡smoking ¡so ¡you ¡can’t ¡run ¡a ¡ controlled ¡experiment ¡ à ¡same ¡here ¡ ¡ Case ¡controlled ¡study ¡ § Cases: ¡people ¡with ¡lung ¡cancer ¡ § Possible ¡confounding ¡variables ¡ ▪ ¡Age, ¡Sex, ¡Social ¡Status, ¡Location ¡ § Explanatory ¡variable ¡ ▪ Smoking ¡habit ¡ ¡ For ¡each ¡of ¡the ¡cases ¡select ¡another ¡person ¡with ¡the ¡ same ¡values ¡of ¡the ¡control ¡variables ¡ § Doll ¡& ¡Bradfor ¡Hill, ¡British ¡Medial ¡Journal ¡1950 ¡ 13 ¡

  14. SECONOMICS You ¡ In ¡subjects ¡ And ¡you ¡think ¡that’s ¡ Categorized ¡by… ¡ observe.. ¡ from ¡.. ¡ because ¡they: ¡ Age ¡ Smoke ¡a ¡lot ¡ • • Same ¡Hospital ¡ Lung ¡Cancer ¡ Sex ¡ Smoke ¡ • • Patients ¡ Location ¡ Don’t ¡smoke ¡ • • Confidentiality ¡ CVSS ¡is ¡HIGH ¡ • • Same ¡kind ¡of ¡ Integrity ¡ CVSS ¡is ¡LOW ¡ • • Exploitation ¡ exploitable ¡ Avail ¡ Vuln ¡is ¡in ¡EDB ¡ • • vulnerabilities ¡ Year ¡ Vuln ¡is ¡in ¡EKITS ¡ • • Affected ¡software ¡ • 14 ¡

  15. SECONOMICS ¡ Case: ¡ § CVE-­‑2010-­‑3962 ¡(use-­‑after-­‑free ¡vulnerability ¡in ¡MS ¡IE ¡6,7,8) ¡ § Year=2010 ¡ § Confidentiality ¡=C, ¡Integrity=C, ¡Availability=C ¡ § Vendor=Microsoft, ¡Software ¡= ¡ie ¡ ¡ Control: ¡select ¡1 ¡out ¡of ¡ § 5 ¡from ¡EKITS ¡ § 7 ¡from ¡EDB ¡ § 37 ¡from ¡NVD ¡ ¡ Repeat ¡for ¡all ¡1274 ¡cases ¡in ¡SYM ¡ § See ¡what ¡values ¡of ¡CVSS ¡we ¡get ¡ § See ¡how ¡many ¡times ¡we ¡get ¡back ¡in ¡SYM ¡ 15 ¡

Recommend

Privacy is Linking Permission to Purpose F.Massacci N. Zannone Presented by Fabio Massacci (DIT

Privacy is Linking Permission to Purpose F.Massacci N. Zannone Presented by Fabio Massacci (DIT

Universit degli Studi di Trento Privacy is Linking Permission to Purpose F.Massacci N. Zannone Presented by Fabio Massacci (DIT - University of Trento - www.dit.unitn.it) (Create-NET - www.create-net.it) Universit degli Studi di Trento

247 views • 21 slides
Future Internet The End of Trust as We Knew It Fabio Massacci University of Trento

Future Internet The End of Trust as We Knew It Fabio Massacci University of Trento

Future Internet The End of Trust as We Knew It Fabio Massacci University of Trento www.massacci.org 3/9/2010

368 views • 11 slides
Why Johnny cant afford Security Policies Fabio Massacci

Why Johnny cant afford Security Policies Fabio Massacci

Why Johnny cant afford Security Policies Fabio Massacci University of Trento Work partly supported by Seven Degrees of SeparaAon 1. Academic at

250 views • 9 slides
ON THE EQUIVALENCE BETWEEN GRAPHICAL AND TABULAR REPRESENTATIONS FOR SECURITY RISK ASSESSMENT

ON THE EQUIVALENCE BETWEEN GRAPHICAL AND TABULAR REPRESENTATIONS FOR SECURITY RISK ASSESSMENT

REFSQ17, Essen, Germany March 2nd, 2017 ON THE EQUIVALENCE BETWEEN GRAPHICAL AND TABULAR REPRESENTATIONS FOR SECURITY RISK ASSESSMENT Katsiaryna Labunets 1 , Fabio Massacci 1 , Federica Paci 2 1 University of Trento, Italy

482 views • 13 slides
Field Game Fabio Bagagiolo Universit degli Studi di Trento, Italy Ongoing research project

Field Game Fabio Bagagiolo Universit degli Studi di Trento, Italy Ongoing research project

An Optimal Visiting Mean Field Game Fabio Bagagiolo Universit degli Studi di Trento, Italy Ongoing research project with Adriano Festa (Torino) and Luciano Marzufero (Trento) Two-days online workshop on Mean Field Games - Les Andelys

1.07k views • 51 slides
Towards an Independent Semantics and Veri fi cation Technology for the HLPSL Speci fi cation

Towards an Independent Semantics and Veri fi cation Technology for the HLPSL Speci fi cation

Towards an Independent Semantics and Veri fi cation Technology for the HLPSL Speci fi cation Language ARSPA05 Workshop, Lisbon, 16 July 2005 Alexey Gotsman joint work with Fabio Massacci and Marco Pistore University of Trento (Italy)

430 views • 27 slides
Maintaining Privacy on Derived Objects N. Zannone a b and S. Jajodia b and F. Massacci a and D.

Maintaining Privacy on Derived Objects N. Zannone a b and S. Jajodia b and F. Massacci a and D.

Maintaining Privacy on Derived Objects N. Zannone a b and S. Jajodia b and F. Massacci a and D. Wijesekera b a Dep. of Information and Communication Technology, University of Trento b Center for Secure Information Systems, George Mason University

689 views • 24 slides
Be Conscientious, Express Your Sentiment! University of Trento Dec 3, 2013 Fabio Celli &amp;

Be Conscientious, Express Your Sentiment! University of Trento Dec 3, 2013 Fabio Celli &amp;

Fabio Celli &amp; Cristina Zaga Be Conscientious, Express Your Sentiment! University of Trento Dec 3, 2013 Fabio Celli &amp; Cristina Zaga Be Conscientious, Express Your Sentiment! University of Trento Expression in Social media gap

244 views • 6 slides
Minimal Disclosure in Hierarchical Hippocratic Databases with Delegation Nicola Zannone Dep. of

Minimal Disclosure in Hierarchical Hippocratic Databases with Delegation Nicola Zannone Dep. of

Minimal Disclosure in Hierarchical Hippocratic Databases with Delegation Nicola Zannone Dep. of Information and Communication Technology University of Trento joint work with Fabio Massacci and John Mylopoulos N. Zannone, ESORICS05

536 views • 29 slides
Reservation-Based Scheduling for IRQ Threads Luca Abeni, Nicola Manica, Luigi Palopoli

Reservation-Based Scheduling for IRQ Threads Luca Abeni, Nicola Manica, Luigi Palopoli

Reservation-Based Scheduling for IRQ Threads Luca Abeni, Nicola Manica, Luigi Palopoli luca.abeni@unitn.it, nicola.manica@gmail.com, palopoli@dit.unitn.it University of Trento, Trento - Italy Reservation-Based Scheduling for IRQ Threads

682 views • 20 slides
with Lucene Aliaksei Severyn University of Trento, Italy

with Lucene Aliaksei Severyn University of Trento, Italy

NLP and IR Building your first Search Engine with Lucene Aliaksei Severyn University of Trento, Italy April 06, 2012 1 Plan for the lab

1.18k views • 39 slides
Introduction to Recommender Systems Fabio Petroni About me Fabio Petroni Sapienza University of

Introduction to Recommender Systems Fabio Petroni About me Fabio Petroni Sapienza University of

Introduction to Recommender Systems Fabio Petroni About me Fabio Petroni Sapienza University of Rome, Italy Current position: PhD Student in Engineering in Computer Science Research Interests: data mining, machine learning, big data

896 views • 66 slides
Promotion of manual drilling in Guinea Fabio Fussi fabio.fussi@usa.net Fabio Fussi 37th WEDC

Promotion of manual drilling in Guinea Fabio Fussi fabio.fussi@usa.net Fabio Fussi 37th WEDC

F. Fussi (1) (Italy), X. Gras (2) , B. Hamidou (3) , J.Labas (5) , T. Bonomi (1) , F. Fava (1) , L. Fumagalli (1) , L. Patra (4) , A. Keita (5) , Roberto Colombo (1) (1) University of Milano Bicocca, (2) Practica Foundation, (3) SNAPE Guinea, (4)

417 views • 12 slides
Security-by-Contract: Toward a Semantics for Digital Signatures on Mobile Code* N. Dragoni, F .

Security-by-Contract: Toward a Semantics for Digital Signatures on Mobile Code* N. Dragoni, F .

Security-by-Contract: Toward a Semantics for Digital Signatures on Mobile Code* N. Dragoni, F . Massacci, K. Naliuka and I. Siahaan Department of Information and Communication Technologies University of Trento, ITALY dragoni@dit.unitn.it

841 views • 35 slides
A Load Time Policy Checker for Open Multi-Application Smart Cards Nicola Dragoni 1 Eduardo Lostal

A Load Time Policy Checker for Open Multi-Application Smart Cards Nicola Dragoni 1 Eduardo Lostal

A Load Time Policy Checker for Open Multi-Application Smart Cards Nicola Dragoni 1 Eduardo Lostal 1 Olga Gadyatskaya 2 Fabio Massacci 2 Federica Paci 2 1 Technical University of Denmark, 2 University of Trento POLICY-2011, June 6-8, 2011 Agenda

536 views • 18 slides
Boolean Functions, S-Boxes and Evolutionary Algorithms Luca Mariot luca.mariot@unimib.it De

Boolean Functions, S-Boxes and Evolutionary Algorithms Luca Mariot luca.mariot@unimib.it De

University of Milano-Bicocca Department of Informatics, Systems and Communications Boolean Functions, S-Boxes and Evolutionary Algorithms Luca Mariot luca.mariot@unimib.it De Cifris Athesis Local Seminar Trento December 16, 2019 Summary

555 views • 40 slides
Towards a Notion of Unsatisfiable Cores for LTL Viktor Schuppan 1 FBK-irst, Trento, Italy

Towards a Notion of Unsatisfiable Cores for LTL Viktor Schuppan 1 FBK-irst, Trento, Italy

Towards a Notion of Unsatisfiable Cores for LTL Viktor Schuppan 1 FBK-irst, Trento, Italy FSEN09, Kish Island, Iran, April 15, 2009 1Work partly performed while at Verimag/CNRS. Currently supported by the Provincia Autonoma di Trento

631 views • 26 slides
Supporting Software Evolution for Open Smart Cards by Security-by-Contract Olga Gadyatskaya*

Supporting Software Evolution for Open Smart Cards by Security-by-Contract Olga Gadyatskaya*

Supporting Software Evolution for Open Smart Cards by Security-by-Contract Olga Gadyatskaya* Joint work with F. Massacci*, N. Dragoni + , E. Lostal* *University of Trento (Italy) + Technical University of Denmark (Denmark) NODES Winter School,

355 views • 24 slides
An Entity Name Systems (ENS) for the [Semantic] Web Paolo Bouquet University of Trento (Italy)

An Entity Name Systems (ENS) for the [Semantic] Web Paolo Bouquet University of Trento (Italy)

An Entity Name Systems (ENS) for the [Semantic] Web Paolo Bouquet University of Trento (Italy) Coordinator of the FP7 OKKAM IP LDOW @ WWW2008 Beijing, 22 April 2008 An ordinary day on the [Semantic] Web News about the 2008 Olympics

322 views • 16 slides
PAMR-SC Calogero Raffaele &amp; Alessandr Luca University of Torino (Italy)

PAMR-SC Calogero Raffaele &amp; Alessandr Luca University of Torino (Italy)

PAMR-SC Calogero Raffaele &amp; Alessandr Luca University of Torino (Italy) raffaele.calogero@unito.it SubpopulaFon OrganizaFon Of Innate T-cells We have a collaboraFon with Prof. De Libero, Basel University, for the analysis of single

297 views • 16 slides
ResEval: A Mashup PlaDorm For Research Evalua5on Muhammad

ResEval: A Mashup PlaDorm For Research Evalua5on Muhammad

ResEval: A Mashup PlaDorm For Research Evalua5on Muhammad Imran, Florian Daniel, Fabio Casa5 &amp; Maurizio Marchese DISI, University of Trento, Italy

855 views • 23 slides
Some thoughts on safety of machine learning Fabio Roli University of Cagliari, Italy HUML

Some thoughts on safety of machine learning Fabio Roli University of Cagliari, Italy HUML

Pattern Recognition and Applications Lab Some thoughts on safety of machine learning Fabio Roli University of Cagliari, Italy HUML 2016, Venice, December 16th, 2016 Department of Electrical and Electronic Engineering The black cloud

629 views • 30 slides
Characterisation of vector-like fermions at the LHC Luca Panizzi University of Pisa, Italy

Characterisation of vector-like fermions at the LHC Luca Panizzi University of Pisa, Italy

Characterisation of vector-like fermions at the LHC Luca Panizzi University of Pisa, Italy Beyond the Higgs boson open problems The Standard Model is complete but are we happy with it? Observations Matter-antimatter Dark Matter Neutrino

1.03k views • 68 slides
Control Problems for Hyperbolic Equations Fabio ANCONA University of Bologna , Italy 12th

Control Problems for Hyperbolic Equations Fabio ANCONA University of Bologna , Italy 12th

Introduction Controllability &amp; Stabilizability Optimal control problems Pontryagin Maximum Principle for Temple systems Control Problems for Hyperbolic Equations Fabio ANCONA University of Bologna , Italy 12th International Conference on

1.63k views • 137 slides

More recommend