Simulazione di un Penetration Test

network_security

Sommario

Viene presentata la simulazione di un attacco informatico, Penetration Testing, un metodo di valutare la sicurezza di un sistema o di una rete.
L’analisi viene condotta dalla posizione di un potenziale aggressore il quale attraverso più fasi individuerà una o più debolezze, tali vulnerabilità potranno essere sfruttare per compromettere il funzionamento del sistema.
Il Penetration Testing ha pertanto lo scopo di individuare vulnerabilità informatiche, rilevando il maggior numero di dettagli sulla vulnerabilità che permettono un accesso non autorizzato.

Abstract

Presents the simulation of a cyber attack, Penetration Testing, a method of evaluating the safety of a system or network.
The analysis is carried out from the position of a potential attacker, through multiple stages will identify one or more weaknesses, such vulnerability may be exploited to compromise the operation of the system.
The Penetration Testing therefore the aim of identifying computer vulnerabilities, noting many details on the vulnerabilities that allow unauthorized access.

Introduzione

La corsa agli armamenti è in atto, è quanto sostiene McAfee in un recente report, ma non per guerre materiali ma per attacchi informatici. La Sicurezza Informatica è ormai una priorità di tutti gli stati addirittura in alcuni casi maggiore della difesa missilistica, pertanto affronteremo in questo articolo una simulazione di un Penetration Test partendo dalle prime fasi di un attacco fino a fornire esempi pratici sulla metodologia applicata e i tools utilizzati.

L’attenzione verso la Sicurezza Informatica è cresciuta negli ultimi anni proporzionalmente alla diffusione di sistemi informatici e all’incremento della collettività nell’utilizzo dei PC. L’Hacker Etico è oggi una figura ricercata ed importante per grandi aziende o stati al fine di rilevare e sconfiggere eventuali minacce derivanti da attacchi informatici.

L’obbiettivo di un sistema protetto è di garantire l’accesso e l’integrità all’informazione ai soli utenti che ne hanno facoltà, impedendo l’accesso abusivo da parte di estranei o evitando l’alterazione delle informazioni in esso contenute.

Il Penetration Test è dunque il processo operativo in grado di valutare la sicurezza di un sistema o di una rete simulando l’attacco di un utente malintenzionato, il fine è l’ottenimento di informazioni protette o il controllo completo del sistema remoto sfruttando le proprie competenze, aiutandosi anche con software automatici. Auditor è colui che svolge tutte le attività di verifica operando con logiche medesime a quelle di un Hacker.

L’analisi intrapresa da un Auditor comprende più fasi ed ha l’obiettivo di evidenziare in un report le debolezze rilevate nella piattaforma, fornendo il maggior numero di informazioni sulle vulnerabilità sfruttate per ottenere l’accesso non autorizzato. Tutti i problemi rilevati vengono quindi presentati fornendo una stima chiara sull’attuale capacità di difesa e del livello di penetrazione raggiunto nei confronti delle vulnerabilità del sistema interne ed esterne ed eventualmente delle vulnerabilità fisiche.

L’Auditor non si fermerà ad analizzare i soli sistemi informatici ma potrà sfruttare tecniche di Ingegneria Sociale per verificare eventuali carenze formative del personale aziendale di fronte a tentativi di intrusione; questa modalità definita Hidden Mode prevede l’accordo esclusivamente con il consiglio amministrativo dell’azienda che commissiona le verifiche lasciando all’oscuro tutto il personale, compreso il settore IT dell’azienda.

Read more

Legge la mente? No, legge i Social Network!

Dave è veramente in grado di leggere la mente? No, sfrutta i Social Network per carpire le vostre informazioni!

Uno spot Belga, segnalatomi da una carissimo amico, sta recentemente spopolando in Europa perché rende l’idea di quanti nostri dati possono essere usati da estranei per fini malevoli.

Nel video, che troverete dopo il salto, vengono rappresentate anche situazioni estreme come il rilevare il proprio saldo del cc o i dati della carta di credito, ma colpisce in pieno lo spettatore trasmettendo un messaggio morale sulla privacy delle nostre informazioni.

Non dimentichiamoci però che un attacco di Social Engineering accurato può veramente fornire ad un malintenzionato tutte le informazioni che vediamo rappresentate nello spot, il continuo crescere delle attività di Phishing è un chiaro dato che sempre più spesso possiamo cascare in un tranello.

Purtroppo è anche lo stesso utente che prende con leggerezza la cautela dei propri dati personali e della propria privacy, impossibile credere che un utente soddisfatto di ricevere la sua prima Carta di Credito la pubblichi su Twitter…ma è una triste realtà! @NeedADebitCar ne è un lampante esempio, in circa 60gg ha recuperato le foto di oltre 60 carte di credito!

Lo spot contiene situazioni estreme, ma paradossalmente realistiche! Fate attenzione alla vostra privacy!

Read more

BackBox 3 – La rivoluzione è arrivata

BackBox 3 la una rivoluzione della famosa distribuzione di Penetration Testing è finalmente disponibile per il Download!

I cambiamenti principali di questa nuova versione partono dall’utilizzo di una versione Long Term Support (LTS) di Ubuntu (versione 12.04) che garantisce agli utenti 3 anni di aggiornamenti del sistema operativo e del Kernel, quest’ultimo raggiunge la versione 3.x. Molti utenti Unix hanno già apprezzato in questi mesi il nuovo Kernel in termini di stabilità e prestazioni. Non a caso BackBox 3 si avvia in minor tempo e sfrutta meno risorse, un’ottima peculiarità per tutti i software che potranno sfruttare il processore/memoria in maniera più intensa .

L’ambiente grafico si veste di nuovo grazie ad una aggiornamento di XFCE che raggiunge la versione 4.8, un nuovo tema grafico per i menu che possiamo apprezzare nell’immagine di apertura e un nuovo logo.

I software inclusi sono stati ripacchettizzati aggiornandoli alle ultime versioni con la relativa correzione di alcuni bug, tutti i pacchetti ora vengono installati in una directory dedicata (/opt/backbox/) e  il menu testuale è stato spostato in una propria directory (/menu/).

Di seguito il changelog integrale e i link per il download:

Read more