Articoli

Book_Penetration_Testing_with_BackBox

Stefan Umit Uygur (Aka Ostendali) ha recentemente pubblicato un libro sulla nostra distribuzione Italiana di Penetration Testing, BackBox! Il libro scritto in Inglese è possibile scaricarlo in versione eBook oppure in versione cartacea sul sito internet di PacktPub a 11,89euro per la versione digitale o 21,89euro per la versione cartacea.

Per i più curiosi è possibile visualizzare un estratto del primo capitolo in formato PDF, di seguito vi riporto in Inglese i principali punti discussi sul libro:

  • Perform reconnaissance and collect information about an unknown system
  • Perform vulnerability scanning, management, and assessment, as well as understand false positives
  • Understand how SQL injection attacks work and find injectable pages on a web server
  • Sniff the network to capture sensitive data and learn different methods of privilege escalation
  • Maintain permanent access on a target server once access is initially granted
  • Use exploitation tools like Metasploit to exploit the reported vulnerabilities
  • Learn how to document and generate reports from the entire auditing process

Buona Lettura!

I computer influenzano gran parte delle nostre vite: governano le nostre comunicazioni, le nostre automobili, le nostre attività commerciali, i nostri rapporti con lo stato, il nostro tempo libero. Online abbiamo i conti bancari, facciamo acquisti, diamo appuntamenti, studiamo e lavoriamo. Viviamo in una società digitale globalizzata che offre enormi vantaggi, ma nasconde anche pericolose insidie. Ogni volta che accendiamo un computer, apriamo una mail, digitiamo il pin del nostro bancomat o strisciamo la nostra carta di credito rischiamo che ci vengano sottratti identità, informazioni, segreti e soldi. Ogni anno il settore pubblico e quello privato perdono enormi somme di denaro a causa di un nuovo tipo di reato, il “cyber-crime“, e di un nuovo tipo di criminale, il “cracker“, come è chiamato l’hacker disonesto. Invisibile, spesso molto intelligente, questo pirata informatico è un delinquente tecnologicamente evoluto che si arricchisce rubando codici di accesso di conti correnti online, numeri di carta di credito, eludendo o forzando i sistemi di sicurezza. Negli ultimi anni però questi truffatori attivi in rete non lavorano più da soli, si sono organizzati come vere e proprie mafie tradizionali, con la differenza che non smerciano droga o armi, ma dati personali di singoli o di società, segreti industriali, password o codici. E proprio come per un’efficiente attività commerciale questa malavita informatica ha creato dei siti web dove scambiarsi dati e informazioni. Misha Glenny, autore del bestseller internazionale McMafia, ricostruisce la mappa di un labirinto illegale in formato digitale, difficilissimo da decodificare per i non iniziati. Seguendo le orme digitali lasciate dai primi siti illeciti, CarderPlanet e Shadowcrew, l’autore s’imbatte in DarkMarket, il più prestigioso “criminal website”, e ne ricostruisce la storia, che si snoda tra Germania e Ucraina, Turchia e Gran Bretagna. Glenny rintraccia e intervista i protagonisti (i truffatori online, i fanatici di computer, i poliziotti della rete, gli esperti di sicurezza e le vittime) e ci regala un appassionante reportage in cui si intrecciano politica, economia e storia. Per farci scoprire che dietro a quello che sembra l’innocente schermo del nostro computer si nasconde una galassia inquietante, terreno di una battaglia criminale non meno violenta e pericolosa di quella tradizionale.

È possibile acquistare il libro sul sito ufficiale di Bol.it in versione cartacea o eBook.

Il 25 Gennaio 2012 uscirà in tutte le librerie il nuovo Thriller “L’ultimo Hacker di Giovanni Ziccardi, un appassionante e originale giallo che esplora i lati oscuri del mondo delle nuove tecnologie.

Negli anni novanta, Alessandro Correnti era Deus, uno degli hacker più famosi e rispettati al mondo, poi era diventato un intransigente difensore delle libertà civili nel ciberspazio per un’importante gruppo di attivisti. Ora è un avvocato quarantenne un po’ nerd che ha aperto un piccolo studio di diritto penale in centro a Milano. È single, guida una strana motocicletta australiana che pare uscita da una guerra nucleare e conduce una vita piuttosto riservata. La quiete tanto agognata è però destinata a durare poco. Un piovoso autunno milanese lo vede coinvolto in un delicato caso di pedopornografia e in una questione di tratta di cuccioli di cani dall’Est Europa che lo porteranno a confrontarsi con il mondo della criminalità organizzata e con malviventi senza scrupoli. Nel frattempo, il suo vecchio mentore atterra a Milano per rivelare misteriose informazioni su un progetto per il controllo tecnologico delle persone. Alex si troverà a dover attraversare in motocicletta l’Italia, da Milano a Matera, dalle Murge al Carso, in una lotta non solo contro il tempo ma anche contro la capacità di controllo e l’invasività delle nuove tecnologie. E in questo viaggio tornerà, pian piano, l’hacker che era: anonimo, spietato e geniale.

È possibile acquistare il libro in versione cartacea o eBook sul sito dell’Editore Marsilio oppure visionare ulteriori dettagli sul sito dell’autore.

Apogeo ho presentato lo scorso Settembre un nuovo libro “Il manuale della Crittografia” scritto dai tre esperti di Sicurezza Informatica e Crittografia Niels Ferguson, Bruce Schneier, Tadayoshi Kohno.

La crittografia regola i meccanismi per cifrare e quindi decifrare dati, rendendoli così sicuri e protetti da occhi indiscreti: una necessità vitale nel mondo delle informazioni.

Questo libro è un’introduzione definitiva ed esaustiva a tutti i settori della crittografia, scritto partendo dal presupposto che sapere come sono disegnati i protocolli crittografici non vuol dire saper applicare la crittografia in maniera efficace. Per questo bisogna imparare a pensare come un crittografo.

Ecco lo scopo del libro: guidare il lettore in un affascinante percorso di apprendimento della teoria dei protocolli crittografici fino alla loro applicazione pratica.

Gli autori, tra i massimi esperti della materia, vi mostreranno le tecniche per cifrare file, software e qualsiasi tipo di dato, trattando argomenti come i cifrari a blocchi, le funzioni di hash, gli aspetti relativi all’implementazione e molto altro.

Gli esempi e gli esercizi consentono di affinare la professionalità e comprendere meglio le sfaccettature di questo mondo fatto di codici e chiavi.

Argomenti in breve

  • Introduzione alla crittografia
  • Anatomia dei protocolli crittografici
  • Analisi degli elementi deboli di un sistema
  • Interfacce tra i sistemi cifrati e l’ambiente circostante
  • Valutazione della sicurezza di un canale
  • Cifrari a blocchi, funzioni di hash, codici di autenticazione
  • Protocolli di negoziazione e gestione della chiave
  • Algoritmi di Diffie-Hellman e RSA
  • Teoria e pratica delle PKI
  • Implementazione di soluzioni crittografiche

Il manuale è disponibile sia in versione Cartacea che eBook ad un costo rispettivamente di 35euro e 23,99euro.

Riccardo Meggiato ha recentetemente pubblicato grazie ad Apogeo il suo libro “Piccolo manuale della sicurezza informatica” dedicato ai principianti del mondo Informatico nel quale vengono illustrate le principali nozioni di Sicurezza Informatica con l’intento di prevenire, con poche e semplici mosse, i problemi più comuni e guida il lettore con linguaggio semplice e diretto alla soluzione delle situazioni critiche, aiutandoli a tirarsi fuori dai guai. Perché la sicurezza informatica non è qualcosa di astratto e lontano, ma un insieme di pratiche quotidiane che ci semplificano la vita.

Argomenti in breve

  • Backup sempre e ovunque
  • Ripristino e recupero dei dati
  • In prima linea: imparare a usare firewall e antivirus
  • Evitare spam, phishing, malware e altri pericoli
  • Scegliere, utilizzare e ricordare la password perfetta
  • Protezione in Rete: difendere browser e posta elettronica
  • Soluzioni per Windows e Mac (e smartphone)

Il libro disponibile dallo scorso 9 Agosto 2011 può essere acquistato sul sito della Feltrinelli in versione eBook a 4,99€ mentre  la versione cartacea sarà disponibile dal 7 Settembre 2011 a 7,90€.

Metasploit Framework rende la scoperta e lo sfruttamento delle vulnerabilità in maniera rapida e relativamente indolore. Metasploit è usato dai professionisti della sicurezza in tutto il mondo, ma è uno strumento di difficile comprensione a chi lo utilizza per la prima volta. Metasploit: La guida del penetration tester vi insegna come sfruttare questa utility ed interagire con la vivace comunità di Metasploit.

Una volta che avete appreso le basi per effettuare i test di penetrazione, imparerai a sfruttare il Framework, le interfacce e il sistema modulare per lanciare attacchi simulati. Potrai imparare tecniche avanzate di penetration testing, inclusa la ricognizione della rete, l’enumerazione, client-side, attacchi wireless, e attacchi mirati di social-engineering.

Nel dettaglio imparerete a:

  • Trovare e Sfruttare sistemi mal configurati o senza patch;
  • Effettuare ricognizione e trovare preziose informazioni del vostro obbiettivo;
  • Bypassare antivirus o controlli di sicurezza;
  • Interagire con Nmap, Nexpose e Nessu;
  • Utilizzare Meterpreter per lanciare attacchi all’interno della rete;
  • Utilizzare i plug-in di terze parti;
  • Realizzare e scrivere i propri plug-in.

Se il vostro obiettivo è quello di proteggere la propria infrastruttura di rete o effettuare un test su una rete altrui, Metasploit: La guida del penetration tester farà al vostro caso.

Il libro è suddiviso nei seguenti capitoli:

  • Capitolo 1: Le basi del Penetration Testing;
  • Capitolo 2: Nozioni di base su Metasploit;
  • Capitolo 3: Raccolta di informazioni;
  • Capitolo 4: Scansione delle vulnerabilità;
  • Capitolo 5: La gioia degli Exploit;
  • Capitolo 6: Meterpreter;
  • Capitolo 7: Evitare il rilevamento;
  • Capitolo 8: Client-side Attacks;
  • Capitolo 9: Moduli Metasploit ausiliari;
  • Capitolo 10: The Social-Engineer Toolkit;
  • Capitolo 11: Fast-Track;
  • Capitolo 12: Karmetasploit;
  • Capitolo 13: Costruire un proprio modulo;
  • Capitolo 14: Creazione di un exploit;
  • Capitolo 15: Exploits Porting al Metasploit Framework;
  • Capitolo 16: Meterpreter Scripting;
  • Capitolo 17: Penetration Test simulato.

È possibile acquistare il libro in versione eBook a $39,95 oppure la versione cartacea a $49,95 sul sito di Nostarch oppure su Amazon, vi ricordo che il trattato è in lingua Inglese.

Indagini Digitali è un libro che vi abbiamo recensito lo scorso Giugno 2010 ma da pochi giorni è stato aggiornato recependo ulteriori dettagli e chiarimenti sulle procedure da eseguire.

Non è il solito libro di computer o digital forensics per tutti, ma è rivolto agli operatori del settore, ai formatori, come insieme di linee guida e procedure da seguire durante l’individuazione, l’acquisizione, l’analisi ed il reporting.

Il libro scritto da Nanni Bassetti è disponibile in versione eBook ad € 3,50 oppure in edizione cartacea a 11,50€.

Giovedì durante il meeting di “Computer forensics e investigazioni digitali” tenutosi a Milano ho particolarmente gradito ricevere il recentissimo libro del Professore Ziccardi uscito lunedì 7 Febbraio 2011 nella migliori librerie Italiane.

Il libro “Hacker – Il Richiamo della Libertà” parla delle migliaia di dissenti digitali attivi ogni giorno in tutto il mondo che rischiano la vita per opporsi a forme di governo liberticide e a politiche votate al controllo dei comportamenti dei cittadini.  Dediti allo sviluppo di tecniche per aggirare divieti e per nascondere, cifrare, rendere anonime e svelare informazioni, sono costantemente sorvegliati da gruppi di potere. Muniti di telefoni cellulari, macchine fotografiche, telecamere e computer portatili, trasmettono in tempo reale gli orrori della società. Si attivano per eliminare filtri; si battono per squarciare veli di omertà e per eludere sistemi di censura; rifiutano l’idea di segreto nelle questioni d’interesse pubblico e la consacrano nell’ambito del loro privato; mirano a erodere monopoli mediatici e a smentire false verità di Stato. Allestiscono siti web che pubblicano documenti riservati o aggiornano blog al solo fine di rendere il loro (e il nostro) mondo più trasparente e più libero. Sviluppano codice informatico di grande complessità e affinano le loro competenze con in mente un unico scopo: opporsi.

Maggiori informazioni del libro possono essere reperite sul sito dell’editore o su quello dell’autore.

Ho recentemente visto in libreria questo libro nella sua versione aggiornata del 2010 e sinceramente mi ha fatto sorridere.

Nonostante un titolo veramente aggressivo che fa pensare sicuramente  ad argomenti complessi, come ormai ci siamo abituati nel mondo della Sicurezza Informatica internazionale, mi sono trovato davanti ad un libro easy forse mirato ad un vero principiante che ha voglia di “proteggere” la sua distro di Windows (perchè linux era già troppo avanti) ma non sa da che parte iniziare.

Insomma…personalmente avrei attribuito al libro un titolo differente…ma ormai è li sugli scaffali 😛 per cui scopriamo di cosa si parla:

  • Come proteggere Windows XP e Windows Vista dagli attacchi dei pirati informatici
  • Come configurare un firewall per tenere alla larga i pirati informatici
  • Come prevenire e alla peggio curare virus, trojan, spyware e dialer
  • Come navigare su Internet e ricevere e-mail in piena sicurezza
  • Come evitare di cascare nelle truffe on-line e acquistare con sicurezza su Internet

Il libro è disponibile in vendita cartacea, magari si poteva pensare già ad un eBook, su FAG oppure IBS.

Hacking VoIP Protocols, Attacks, and Countermeasures
di Himanshu Dwivedi è un libro di No Starch Press, incentrato sulla sicurezza e sulle modalità di attacco della tecnologia Voice over IP (VoIP). L’autore è un ricercatore ed esperto di sicurezza informatica, che ha scritto un testo conciso e scorrevole, pieno di riferimenti e di tutorial ben dettagliati e illustrati. Tanti sono gli strumenti utilizzati in tutto il libro e vale la pena citarne alcuni. Per l’infrastruttura da attaccare sono stati utilizzati, a seconda delle necessità, Asterisk, X-Lite, Ekiga, iaxComm. Per il lato dell’attaccante i prodotti usati per Linux sono stati Backtrack (versione2), Wireshark, Cain & Abel e tanti altri, nonché molti script e tool, creati dall’autore, da suoi collaboratori e colleghi, liberamente scaricabili.

Il libro è diviso in tre parti: la prima, “VoIP Protocols”, è la più corposa e tratta dei vari attacchi che si possono eseguire sui protocolli utilizzati nel VoIP; la seconda parte, “VoIP security Threats”, sviluppa la sicurezza delle infrastrutture VoIP più utilizzate; infine la terza parte, “Assess and secure VoIP”, approfondisce le possibili contromisure da adottare.

A onor del vero, gli attacchi illustrati dall’autore sono quelli soliti visti nel dettaglio per i vari protocolli: hijacking, sniffing, spoofing, man in the middle, eavesdropping, Denial of Service (DoS). Tuttavia ciascuna tipologia di attacco è sviluppata con cura e dettaglio, sia nella spiegazione teorica (per ogni protocollo viene fatto un piccolo breviario delle funzionalità), sia in quella pratica, con tutti i passaggi per simulare un attacco a utenti in situazioni reali.

Dopo un capitolo introduttivo sui perché della tecnologia VoIP, i capitoli successivi, costituenti la prima parte del libro, studiano sommariamente i vari protocolli per poi vedere i diversi attacchi. Il secondo capitolo, “Signaling: Sip Security”, analizza gli attacchi al protocollo SIP, dalla fase di registrazione, alla instaurazione di chiamata, simulando attacchi per rubare la password, sostituirsi al proxy o register, oppure creando un DoS forzando la chiusura della chiamata.

Altro protocollo di segnalazione analizzato è l’H.323 nel capitolo successivo, “Signaling: H.323 Security”. In questo caso vengono visualizzate le stesse tecniche per questo protocollo. Il quarto capitolo, “Media: RTP Security”, si occupa del protocollo di trasporto RTP e delle possibili implicazioni sulla sicurezza. Oltre alle solite tecniche vengono anche illustrati e simulati due tipi di intercettazioni (attiva e passiva), una modalità di audio insertion e varie modalità di DoS.
La carrellata dei protocolli finisce con il protocollo proprietario IAX nel capitolo “Signaling and media: IAX Security”, dove l’autore espleta tutti gli attacchi visti finora sotto la luce del protocollo preferito dalla comunità di Asterisk.

Con la seconda parte si analizzano i possibili attacchi di sicurezza informatica generici, ovvero quelli che colpiscono le infrastrutture di rete anche prescindendo dal VoIP. Il sesto capitolo, “Attacking VoIP Infrastructure”, studia possibili sniffing e vulnerability discovery su piattaforme di rete fondamentalmente basate su callmanager Cisco e Avaya, utilizzando strumenti noti quali Wireshark, Nmap e Nessus.

Il capitolo più lungo e interessante, peraltro scaricabile gratuitamente, è il settimo, “Unconventional VoIP Security Theats”, in cui l’autore dettaglia e spiega i fenomeni meno noti, ma altamente pericolosi del VoIP phishing, delle chiamate gratuite, dello spoofing ai danni del chiamante, della chiamata rediretta e dello Spam over Internet Telephony (SPIT). Questo capitolo è particolarmente utile a chi si occupa di VoIP in ambito professionale.

Non poteva mancare ovviamente un capitolo dedicato ai pericoli delle soluzioni VoIP domestiche: prendendo ad esempio l’offerta commerciale di Vonage, l’autore mostra tutti i pericoli che possono colpire una infrastruttura fatta in casa o anche per una SOHO. Inoltre vengono presi in considerazione vari tipi di attacchi (soprattutto intercettazioni) quando si utilizzano strumenti quali Messenger, chat jabber-based e Skype senza le dovute precauzioni e criptazioni di messaggi.

L’ultima parte, molto breve, discute della messa in sicurezza della tecnologia VoIP. Il tutto è contenuto nel capitolo 9, “Securing VoIP”, nel quale vengono mostrati come aumentare la sicurezza nei vari protocolli con l’utilizzo di SSL/TLS e l’utilizzo di firewall di nuova generazione, concepiti per convivere con questa tecnologia (e soprattutto con il SIP).

L’ultimo capitolo, “Auditing VoIP for security best practices” è solo una lunga tabella nata dall’esperienza dell’autore nel valutare quanto un’infrastruttura VoIP sia sicura.

Fonte