Manuel Romei
10 novembre 2023 - SESSIONE 8 | Collaborazione per la security
Sinergie in ambito cyber: responsible disclosure in Ateneo
Synergies in cyber: responsible disclosure in the University
Manuel Romei è laureato in Ingegneria dei Sistemi Informativi e diplomato in Trombone presso il Conservatorio di Parma. Dal 2021, si occupa di Cybersecurity ed è uno dei fondatori del team Capture The Flag "havce" presso l'Università degli Studi di Parma. A partire dal 2022, è istruttore del corso CyberChallenge.IT presso la sede di Parma, focalizzandosi sui temi della sicurezza del software. Nel corso del 2023, ha avviato l'attività di ricerca sulle vulnerabilità nel campo dell'Internet of Things, individuando i CVE-2023-38378 e CVE-2023-38379 sugli oscilloscopi RIGOL. Appassionato giocatore di CTF con i team havce e about:blankets. Attualmente, lavora come DevOps Engineer presso SIGHUP.
Manuel Romei holds a degree in Information Systems Engineering and is a graduate of Trombone from the Conservatory of Parma. Since 2021, he has been involved in Cybersecurity and is a co-founder of the Capture The Flag team "havce" at the University of Parma. Since 2022, he has been an instructor for the CyberChallenge.IT course at the Parma location, focusing on software security topics. In 2023, he embarked on vulnerability research in the IoT domain, discovering CVE-2023-38378 and CVE-2023-38379 on RIGOL oscilloscopes. An avid CTF player with teams havce and about:blankets. He currently works as a DevOps Engineer at SIGHUP.
ABSTRACT
L'intervento espone la genesi e l’evoluzione delle attività di collaborazione fra l’Unità Organizzativa che si occupa di Sicurezza IT in ateneo e docenti e studenti. L’attivazione di queste sinergie ha consentito di esplorare ambiti quali: ricerca CVE, scrittura di codice, ricerca di zero day, vulnerability management, honeypot e piattaforme di cyberchallenge. Segue poi l'illustrazione da parte dei due studenti che ci hanno lavorato, di un case study riguardo una vulnerabilità critica di alcuni apparati; verrà esposta la storia dell'identificazione l’estrazione del firmware e l'exploit e le successive misure di mitigazione.
The talk exposes the genesis and evolution of collaborative activities between the Organizing Unit dealing with IT Security in the university and faculty and students. The activation of these synergies allowed the exploration of areas such as: CVE research, code writing, zero-day research, vulnerability management, honeypot and cyberchallenge platforms. Then follows the illustration by the two students who worked on it, of a case study regarding a critical vulnerability of some equipment; the story of the identification the firmware extraction and exploit and the subsequent mitigation measures will be exposed.