Ilaria Comelli
10 novembre 2023 - SESSIONE 8 | Collaborazione per la security
Sinergie in ambito cyber; responsible disclosure in Ateneo
Synergies in cyber; responsible disclosure in the University
Lavoro all'Università di Parma da 25 anni in ambito informatico, da circa un decennio mi occupo di sicurezza informatica e protezione dei dati e sono responsabile dell'Unità Organizzativa "Sicurezza IT". Ritengo molto importante occuparsi di formazione e sensibilizzazione delle persone su questi temi e valorizzare le risorse di cui l'Università dispone.
I have been working at the University of Parma for 25 years in the IT field, dealing with IT security and data protection for about a decade, and I am in charge of the "IT Security" Organizational Unit. I think it is very important to deal with training and raising people's awareness on these issues and to make the most of the resources the University has.
ABSTRACT
L'intervento espone la genesi e l’evoluzione delle attività di collaborazione fra l’Unità Organizza che si occupa di Sicurezza IT in ateneo e docenti e studenti. L’attivazione di queste sinergie ha consentito di esplorare ambiti quali: ricerca CVE, scrittura di codice, ricerca di zero day, vulnerability management, honeypot e piattaforme di cyberchallange. Segue poi l'llustrazione da parte dei due studenti che ci hanno lavorato, di un case study riguardo una vulnerabilità critica di alcuni apparati; verrà esposta la storia dell'identificazione l’estrazione del firmware e l'exploit e le successive misure di mitigazione.
The talk exposes the genesis and evolution of collaborative activities between the Organizing Unit dealing with IT Security in the university and faculty and students. The activation of these synergies allowed the exploration of areas such as: CVE research, code writing, zero-day research, vulnerability management, honeypot and cyberchallange platforms. Then follows the llustration by the two students who worked on it, of a case study regarding a critical vulnerability of some equipment; the story of the identification the firmware extraction and exploit and the subsequent mitigation measures will be exposed.