Articoli

Book_Penetration_Testing_with_BackBox

Stefan Umit Uygur (Aka Ostendali) ha recentemente pubblicato un libro sulla nostra distribuzione Italiana di Penetration Testing, BackBox! Il libro scritto in Inglese è possibile scaricarlo in versione eBook oppure in versione cartacea sul sito internet di PacktPub a 11,89euro per la versione digitale o 21,89euro per la versione cartacea.

Per i più curiosi è possibile visualizzare un estratto del primo capitolo in formato PDF, di seguito vi riporto in Inglese i principali punti discussi sul libro:

  • Perform reconnaissance and collect information about an unknown system
  • Perform vulnerability scanning, management, and assessment, as well as understand false positives
  • Understand how SQL injection attacks work and find injectable pages on a web server
  • Sniff the network to capture sensitive data and learn different methods of privilege escalation
  • Maintain permanent access on a target server once access is initially granted
  • Use exploitation tools like Metasploit to exploit the reported vulnerabilities
  • Learn how to document and generate reports from the entire auditing process

Buona Lettura!

Hacking Web - Sicurezza nel groviglio della Rete

Solo quindici anni fa il Web era semplice e poco importante, la sua progressione dall’oscurità alla diffusione ubiquitaria è stata incredibilmente rapida. Non è perciò difficile immaginare come mai le moderne applicazioni web siano state costruite su un intreccio di tecnologie accatastate una accanto all’altra. Tuttavia ogni filo di questo intricato groviglio, dalla struttura delle URL alle richieste HTTP, ha sottili ma importanti conseguenze per la sicurezza. In questo libro Michal Zalewski non si limita a fare il solito elenco delle falle di sicurezza note, ma analizza in profondità come funziona l’ecosistema del Web, mostrando come fare leva sulle sue caratteristiche e svelando le insidie che si nascondono nell’ombra. Si inizia dall’esame dei browser e si procede fino all’analisi degli aspetti legati alla sicurezza di specifiche tecnologie tra cui CSS, JavaScript fino a HTML5. Il testo è un viaggio nelle pieghe della Rete, un prezioso alleato per il lettore che desidera approfondimenti completi, ma grazie a suggerimenti e schede riassuntive può essere apprezzato anche da chi cerca rapide risposte ai problemi.

In una frase

Abbiamo combinato un bel caos, ed è giunta l’ora del ravvedimento. Con questo spirito, il libro cerca di fare un passo in avanti verso una situazione di normalità, ed è forse la prima pubblicazione a presentare un’analisi sistematica ed esauriente dello stato attuale delle cose nel campo della sicurezza delle applicazioni web. Nel fare questo, intende fare luce sull’unicità delle sfide che tutti noi – ingegneri della sicurezza, sviluppatori web e utenti – dobbiamo affrontare ogni giorno.

– Michal Zalewski

Argomenti in breve

  • La sicurezza, nel mondo delle applicazioni web
  • L’ecosistema del Web: URL, HTTP, HTML, CSS
  • Anatomia, complessità e particolarità degli URL
  • Analisi del funzionamento di script lato browser
  • Non solo documenti HTML: testo, immagini, audio, video e dialetti XML
  • Comportamento e pericoli dei plug-in
  • Controllo di applicazioni maligne: le regole della stessa origine
  • Meccanismi di riconoscimento del contenuto
  • Logiche e comportamenti di script ostili
  • Gestione di permessi e password
  • Dietro l’angolo: vulnerabilità web comuni

Anteprime

Scarica gratuitamente:

Oppure acquistalo sul sito della Feltrinelli a 35euro.

L’autore

Michal Zalewski, cacciatore di bug, è un esperto di sicurezza informatica e architetture di rete di fama internazionale. Noto per aver messo in luce centinaia di importanti falle di sicurezza, spesso compare nelle classifiche dei professionisti più influenti del settore. Apprezzato divulgatore e autore di numerosi saggi di ricerca, i lettori di Apogeo lo hanno conosciuto per Il rumore dell’hacking.

Marsilio Editori, in collaborazione con il Festival Internazionale del Giornalismo di Perugia (25-29 aprile 2012), distribuisce gratuitamente Il giornalista Hacker. Piccola guida per un uso sicuro e consapevole della tecnologia di Giovanni Ziccardi, un agile volumetto in cui l’autore descrive e spiega alcuni trucchi da hacker che possono rivelarsi di grande utilità per chi esercita oggi una professione delicata e costantemente a rischio per quanto riguarda la sicurezza informatica come quella del giornalista. La guida può essere utile anche ad avvocati, blogger, attivisti ecc.

«Di certo, il senso delle regole elementari che seguono non è quello di voler far diventare chiunque “hacker in un’ora”» scrive Ziccardi nella prefazione che è possibile leggere interamente sul sito del Festival. «Il percorso verso l’hacking è lungo, tormentato, fatto di tante prove e curiosità, di tentativi, di errori. Però è pur vero che tutti possono essere un po’ hacker nella vita quotidiana, ossia possono cercare di superare quel velo di normalità cui le tecnologie di oggi ci abituano e spingersi, anche solo per curiosità, verso strumenti che possano portare benefici immediati anche nella vita informatica di tutti i giorni e, soprattutto, nelle professioni più delicate.»

Potete scaricare l’eBook Gratuito cliccando qui in formato PDF oppure è disponibile in formato epub in tutti gli store che distribuiscono gli ebook Marsilio per esempio Amazon Kindle Store.

I computer influenzano gran parte delle nostre vite: governano le nostre comunicazioni, le nostre automobili, le nostre attività commerciali, i nostri rapporti con lo stato, il nostro tempo libero. Online abbiamo i conti bancari, facciamo acquisti, diamo appuntamenti, studiamo e lavoriamo. Viviamo in una società digitale globalizzata che offre enormi vantaggi, ma nasconde anche pericolose insidie. Ogni volta che accendiamo un computer, apriamo una mail, digitiamo il pin del nostro bancomat o strisciamo la nostra carta di credito rischiamo che ci vengano sottratti identità, informazioni, segreti e soldi. Ogni anno il settore pubblico e quello privato perdono enormi somme di denaro a causa di un nuovo tipo di reato, il “cyber-crime“, e di un nuovo tipo di criminale, il “cracker“, come è chiamato l’hacker disonesto. Invisibile, spesso molto intelligente, questo pirata informatico è un delinquente tecnologicamente evoluto che si arricchisce rubando codici di accesso di conti correnti online, numeri di carta di credito, eludendo o forzando i sistemi di sicurezza. Negli ultimi anni però questi truffatori attivi in rete non lavorano più da soli, si sono organizzati come vere e proprie mafie tradizionali, con la differenza che non smerciano droga o armi, ma dati personali di singoli o di società, segreti industriali, password o codici. E proprio come per un’efficiente attività commerciale questa malavita informatica ha creato dei siti web dove scambiarsi dati e informazioni. Misha Glenny, autore del bestseller internazionale McMafia, ricostruisce la mappa di un labirinto illegale in formato digitale, difficilissimo da decodificare per i non iniziati. Seguendo le orme digitali lasciate dai primi siti illeciti, CarderPlanet e Shadowcrew, l’autore s’imbatte in DarkMarket, il più prestigioso “criminal website”, e ne ricostruisce la storia, che si snoda tra Germania e Ucraina, Turchia e Gran Bretagna. Glenny rintraccia e intervista i protagonisti (i truffatori online, i fanatici di computer, i poliziotti della rete, gli esperti di sicurezza e le vittime) e ci regala un appassionante reportage in cui si intrecciano politica, economia e storia. Per farci scoprire che dietro a quello che sembra l’innocente schermo del nostro computer si nasconde una galassia inquietante, terreno di una battaglia criminale non meno violenta e pericolosa di quella tradizionale.

È possibile acquistare il libro sul sito ufficiale di Bol.it in versione cartacea o eBook.

Il 25 Gennaio 2012 uscirà in tutte le librerie il nuovo Thriller “L’ultimo Hacker di Giovanni Ziccardi, un appassionante e originale giallo che esplora i lati oscuri del mondo delle nuove tecnologie.

Negli anni novanta, Alessandro Correnti era Deus, uno degli hacker più famosi e rispettati al mondo, poi era diventato un intransigente difensore delle libertà civili nel ciberspazio per un’importante gruppo di attivisti. Ora è un avvocato quarantenne un po’ nerd che ha aperto un piccolo studio di diritto penale in centro a Milano. È single, guida una strana motocicletta australiana che pare uscita da una guerra nucleare e conduce una vita piuttosto riservata. La quiete tanto agognata è però destinata a durare poco. Un piovoso autunno milanese lo vede coinvolto in un delicato caso di pedopornografia e in una questione di tratta di cuccioli di cani dall’Est Europa che lo porteranno a confrontarsi con il mondo della criminalità organizzata e con malviventi senza scrupoli. Nel frattempo, il suo vecchio mentore atterra a Milano per rivelare misteriose informazioni su un progetto per il controllo tecnologico delle persone. Alex si troverà a dover attraversare in motocicletta l’Italia, da Milano a Matera, dalle Murge al Carso, in una lotta non solo contro il tempo ma anche contro la capacità di controllo e l’invasività delle nuove tecnologie. E in questo viaggio tornerà, pian piano, l’hacker che era: anonimo, spietato e geniale.

È possibile acquistare il libro in versione cartacea o eBook sul sito dell’Editore Marsilio oppure visionare ulteriori dettagli sul sito dell’autore.

Apogeo ho presentato lo scorso Settembre un nuovo libro “Il manuale della Crittografia” scritto dai tre esperti di Sicurezza Informatica e Crittografia Niels Ferguson, Bruce Schneier, Tadayoshi Kohno.

La crittografia regola i meccanismi per cifrare e quindi decifrare dati, rendendoli così sicuri e protetti da occhi indiscreti: una necessità vitale nel mondo delle informazioni.

Questo libro è un’introduzione definitiva ed esaustiva a tutti i settori della crittografia, scritto partendo dal presupposto che sapere come sono disegnati i protocolli crittografici non vuol dire saper applicare la crittografia in maniera efficace. Per questo bisogna imparare a pensare come un crittografo.

Ecco lo scopo del libro: guidare il lettore in un affascinante percorso di apprendimento della teoria dei protocolli crittografici fino alla loro applicazione pratica.

Gli autori, tra i massimi esperti della materia, vi mostreranno le tecniche per cifrare file, software e qualsiasi tipo di dato, trattando argomenti come i cifrari a blocchi, le funzioni di hash, gli aspetti relativi all’implementazione e molto altro.

Gli esempi e gli esercizi consentono di affinare la professionalità e comprendere meglio le sfaccettature di questo mondo fatto di codici e chiavi.

Argomenti in breve

  • Introduzione alla crittografia
  • Anatomia dei protocolli crittografici
  • Analisi degli elementi deboli di un sistema
  • Interfacce tra i sistemi cifrati e l’ambiente circostante
  • Valutazione della sicurezza di un canale
  • Cifrari a blocchi, funzioni di hash, codici di autenticazione
  • Protocolli di negoziazione e gestione della chiave
  • Algoritmi di Diffie-Hellman e RSA
  • Teoria e pratica delle PKI
  • Implementazione di soluzioni crittografiche

Il manuale è disponibile sia in versione Cartacea che eBook ad un costo rispettivamente di 35euro e 23,99euro.

Riccardo Meggiato ha recentetemente pubblicato grazie ad Apogeo il suo libro “Piccolo manuale della sicurezza informatica” dedicato ai principianti del mondo Informatico nel quale vengono illustrate le principali nozioni di Sicurezza Informatica con l’intento di prevenire, con poche e semplici mosse, i problemi più comuni e guida il lettore con linguaggio semplice e diretto alla soluzione delle situazioni critiche, aiutandoli a tirarsi fuori dai guai. Perché la sicurezza informatica non è qualcosa di astratto e lontano, ma un insieme di pratiche quotidiane che ci semplificano la vita.

Argomenti in breve

  • Backup sempre e ovunque
  • Ripristino e recupero dei dati
  • In prima linea: imparare a usare firewall e antivirus
  • Evitare spam, phishing, malware e altri pericoli
  • Scegliere, utilizzare e ricordare la password perfetta
  • Protezione in Rete: difendere browser e posta elettronica
  • Soluzioni per Windows e Mac (e smartphone)

Il libro disponibile dallo scorso 9 Agosto 2011 può essere acquistato sul sito della Feltrinelli in versione eBook a 4,99€ mentre  la versione cartacea sarà disponibile dal 7 Settembre 2011 a 7,90€.

Metasploit Framework rende la scoperta e lo sfruttamento delle vulnerabilità in maniera rapida e relativamente indolore. Metasploit è usato dai professionisti della sicurezza in tutto il mondo, ma è uno strumento di difficile comprensione a chi lo utilizza per la prima volta. Metasploit: La guida del penetration tester vi insegna come sfruttare questa utility ed interagire con la vivace comunità di Metasploit.

Una volta che avete appreso le basi per effettuare i test di penetrazione, imparerai a sfruttare il Framework, le interfacce e il sistema modulare per lanciare attacchi simulati. Potrai imparare tecniche avanzate di penetration testing, inclusa la ricognizione della rete, l’enumerazione, client-side, attacchi wireless, e attacchi mirati di social-engineering.

Nel dettaglio imparerete a:

  • Trovare e Sfruttare sistemi mal configurati o senza patch;
  • Effettuare ricognizione e trovare preziose informazioni del vostro obbiettivo;
  • Bypassare antivirus o controlli di sicurezza;
  • Interagire con Nmap, Nexpose e Nessu;
  • Utilizzare Meterpreter per lanciare attacchi all’interno della rete;
  • Utilizzare i plug-in di terze parti;
  • Realizzare e scrivere i propri plug-in.

Se il vostro obiettivo è quello di proteggere la propria infrastruttura di rete o effettuare un test su una rete altrui, Metasploit: La guida del penetration tester farà al vostro caso.

Il libro è suddiviso nei seguenti capitoli:

  • Capitolo 1: Le basi del Penetration Testing;
  • Capitolo 2: Nozioni di base su Metasploit;
  • Capitolo 3: Raccolta di informazioni;
  • Capitolo 4: Scansione delle vulnerabilità;
  • Capitolo 5: La gioia degli Exploit;
  • Capitolo 6: Meterpreter;
  • Capitolo 7: Evitare il rilevamento;
  • Capitolo 8: Client-side Attacks;
  • Capitolo 9: Moduli Metasploit ausiliari;
  • Capitolo 10: The Social-Engineer Toolkit;
  • Capitolo 11: Fast-Track;
  • Capitolo 12: Karmetasploit;
  • Capitolo 13: Costruire un proprio modulo;
  • Capitolo 14: Creazione di un exploit;
  • Capitolo 15: Exploits Porting al Metasploit Framework;
  • Capitolo 16: Meterpreter Scripting;
  • Capitolo 17: Penetration Test simulato.

È possibile acquistare il libro in versione eBook a $39,95 oppure la versione cartacea a $49,95 sul sito di Nostarch oppure su Amazon, vi ricordo che il trattato è in lingua Inglese.

Indagini Digitali è un libro che vi abbiamo recensito lo scorso Giugno 2010 ma da pochi giorni è stato aggiornato recependo ulteriori dettagli e chiarimenti sulle procedure da eseguire.

Non è il solito libro di computer o digital forensics per tutti, ma è rivolto agli operatori del settore, ai formatori, come insieme di linee guida e procedure da seguire durante l’individuazione, l’acquisizione, l’analisi ed il reporting.

Il libro scritto da Nanni Bassetti è disponibile in versione eBook ad € 3,50 oppure in edizione cartacea a 11,50€.