FAQ. Cybersecurity

Cosa si intende per penetration test?

Un penetration test è uno stress test dei sistemi e delle reti informatiche svolto da un cosiddetto ethical hacker, regolarmente incaricato dai titolari dell’infrastruttura di analizzarne ed evidenziarne le criticità, le falle e le debolezze così da poterle rinforzare, aumentando quindi il grado di sicurezza dell’infrastruttura stessa.

Cosa si intende per penetration test?


Questo test viene condotto in diverse fasi, simulando l’attacco informatico di un potenziale utente malintenzionato, al fine di fornire al cliente il maggior numero di informazioni possibili riguardanti le vulnerabilità dei loro server, dimostrando come è stato possibile effettuare un accesso non autorizzato.


I risultati di questo test forniscono un dettagliato resoconto, delle capacità difensive del sistema e del livello di penetrazione utilizzato durante la prova, incentrato sulle vulnerabilità interne ed esterne al sistema e sulla sicurezza fisica.

L’avvento della sicurezza informatica arrivò negli anni 60, difatti a detta degli studiosi "Il 1960 ha segnato il vero inizio dell'era della sicurezza informatica."

Difatti nel giugno del 1965, svariati esperti di sicurezza informatica del paese tennero una delle prime importanti conferenze sui sistemi di sicurezza, il System Development Corporation (SDC).

Alla Spring 1967 Joint Computer Conference, molti specialisti del computer si riuniscono di nuovo per discutere della sicurezza dei sistemi informatici.

Durante questa conferenza, gli esperti di sicurezza informatica Willis Ware, Harold Petersen, Rein Tern, Bernard Peters della National Security Agency (NSA) e tutta la RAND Corporation utilizzano il termine "penetrazione" al fine di definire un attacco contro un sistema informatico.

Questa problematica venne considerata ed analizzata anche in un importante rapporto organizzato dal Dipartimento della Difesa statunitense (DoD) alla fine del 1967, dove la task force diede conferma della minaccia alla sicurezza che rappresentava la computer penetration.

Al fine di individuare le debolezze del sistema, il governo federale e dei suoi finanziatori cominciarono ad organizzare squadre di “violatori”, denominate tiger teams, per usare la computer penetration come test della sicurezza dei sistemi.

Infatti, a detta di studiosi come Jeffrey R. Yost del Charles Babbage Institute sia la RAND Corporation che la SDC avevano "svolto alcuni dei primi studi di penetrazione provando ad infiltrarsi nei sistemi time-sharing al fine di testare la loro vulnerabilità ".

Una particolare menzione va a James P. Anderson, probabilmente il principale esperto di computer durante quegli anni, che ha lavorato per NSA, RAND, e altre agenzie governative per studiare la sicurezza dei sistemi informatici.

La sua società privata fu assunta all’inizio del 1971, dalla U.S. Air Force con lo scopo di analizzare la sicurezza del suo sistema di time-sharing al Pentagono.

Durante i suoi studi, Anderson ha individuato una serie di fondamentali fattori coinvolti nella computer penetration.

Anderson riuscì a delineare un generico attacco tramite una sequenza di passi: trovare una vulnerabilità sfruttabile, progettare un attacco intorno ad essa, testare l'attacco, impadronirsi di una linea in uso, eseguire l'attacco e sfruttare ingresso per recupero delle informazioni.

Negli anni successivi, la computer penetration come strumento per la valutazione della sicurezza è diventata più raffinata e sofisticata.

Generalmente il professionista che svolge questa mansione è denominato penetration tester o ethical hacker, dato che le modalità di aggressione al sistema del cliente sono le stesse di quelle utilizzate dagli hackers.

Esistono diverse modalità per effettuare i suddetti penetration test, che sono suddivise in Black Box, White Box e Grey Box.

Ciò che differenzia queste modalità è il tipo di conoscenza pregressa del sistema che è necessario avere per effettuare l’operazione, difatti i test Black Box non presuppongono alcuna conoscenza dell’infrastruttura oggetto di analisi, dunque i professionisti dovranno determinare i servizi e l’architettura dei sistemi prima del test.

Nella modalità White Box, invece, le specifiche dell’infrastruttura in esame sono fornite precedentemente ed attentamente esaminate, queste informazioni dettagliate comprendono spesso liste di indirizzi IP presenti nella rete, codice sorgente delle applicazioni e schemi di rete.

Successivamente al test, l’attività viene conclusa tramite lo sviluppo di due differenti report, uno di analisi sommaria dedicato al management, contenente all’interno un’analisi dell'impatto di rischio di quanto riscontrato e tempistiche per l'azione di rientro o mitigazione delle problematiche riscontrate.

Il secondo report è quello tecnico, contenente informazioni riguardanti l’analisi dettagliata delle problematiche e la soluzione tecnica.

Le differenti certificazioni personali che è possibile reperire nell’ambito del penetration test, sono rilasciate da specifici enti volte a garantire le dovute caratteristiche tecniche, l’affidabilità dei propri operatori, nonché la metodologia che renderà il test applicabile e misurabile nel tempo.

Alcuni di questi sono:

eCPPT - eLearnSecurity Certified Professional Penetration Tester " Professional v3 in Italiano - Patrocinata da AIPSI, Associazione Italiana Professionisti della Sicurezza Informatica (AIPSI),

ISECOM - OSSTMM Professional Security Tester (OPST),

International Council of E-Commerce Consultants - Certified Ethical Hacker (CEH),

Offensive Security - Offensive Security Certified Professional (OSCP).

La IACRB (Information Assurance Certification Review Board) eroga certificazioni per penetration tester nota come Certified Penetration Tester (CPT).

Il CPT richiede che il profilo che si candida a tale figura, superi un test di esame scritto ed un esame pratico, richiedendo al candidato di eseguire pen test su un server a campione.

Esistono un vasto numero di strumenti per eseguire test di vulnerabilità, pen-test, etc. sia a mezzo di software liberi che “proprietari”.

Alcuni dei più famosi sistemi operativi orientati al pen test sono:

Kali Linux basato sulla distribuzione Debian GNU/Linux

Parrot Security OS basato su Debian

Pentoo basato su Gentoo Linux

BackBox basato su Ubuntu

WHAX basato su Slackware

Inoltre, sono numerosissimi i sistemi operativi che presentano vulnerabilità molto note, talvolta in corso di correzione. Questi sono fra i primi ad usufruire di tali servizi per “testare” le nuove correzioni apportate all’infrastruttura od all’applicativo.


Damn Vulnerable Linux (DVL)

OWASP Web Testing Environment (WTW)

Metasploit Project

Logo Metasploit

 

Software frameworks Penetration Test

Core Impact

Immunity Canvas

INFRA Security scanner

Metasploit

Nmap

SQLmap

W3af

Slowloris

Burp suite

OWASP ZAP

Sei un esperto, uno studioso o sei interessato alla materia?

Compila il form, puoi proporre un contributo al nostro articolo, oppure presentarci eventuali domande, richieste di approfondimento, nonché personali aspetti di interesse che vorresti né diventassero integrazione.

Ovviamente non rispondiamo ad ogni messaggio, tuttavia li leggiamo tutti con molta attenzione.

Alcuni infatti, richiedono private considerazioni, altri daranno vita alla composizione di apposite, e opportunamente anonimizzate, domande frequenti che pubblicheremo sul sito, i restanti, invece, oltre a poter costituire “oggetto” di apposite prospettive di indagine e verifica, potranno suggerire argomenti di futura trattazione dei nostri articoli.

Grazie per l’eventuale contributo

Buon lavoro a tutti.
Italiana Investigatori Network

Rilascio il consenso *
(GDPR 2016/679 UE)

Investigazioni aziendali
Investigazioni aziendali

Un sistema aziendale è paragonabile ad un orologio che, composto da un numero di ingranaggi proporzionale alla complessità del progetto e degli automatismi, basa la sua efficacia sulla perfetta combinazione dei movimenti di ogni componente.

Scopri di più
Investigazioni personali coniugali e familiari
Investigazioni personali coniugali e familiari

L’ambito familiare, nell'aspettativa delle persone, è desiderio di poter coltivare un “giardino segreto” per la propria esistenza. La cornice e la sede delle emozioni più alte, l’amore di una vita, i figli nati da tale amore, i propri genitori, i propri cari.

Scopri di più
Investigazioni per controllo dipendenti
Investigazioni per controllo dipendenti

Il valore superiore intorno al quale verte tutto il settore delle investigazioni sui dipendenti, si incentra su una dimensione a tutto tondo dei concetti di fiducia e fiduciarietà.

Scopri di più
Indagini di corporate governance
Indagini di corporate governance

Servizi disegnati a salvaguardia degli stakeholders, dei soci e dei loro soggetti di riferimento all’interno dell’organizzazione, a garanzia del consiglio di amministrazione e del board dirigenziale o del suo management.

Scopri di più
Indagini particolari
Indagini particolari

Il novero delle indagini che hanno elementi "peculiari" tali, da non rientrare in nessuno degli ambiti “caratterizzati”, oppure che hanno profili di multidisciplinarietà che ne consentirebbero una trattazione sovrapposta fra diverse aree.

Scopri di più
Investigazioni per studi legali
Investigazioni per studi legali

In tutte le fattispecie nelle quali si rende necessaria l’acquisizione di prove, finalizzate a far valere o tutelare un diritto in sede giudiziale, entra in gioco l’attività dell’investigatore privato, il cui campo d’azione, prima limitato alle sole controversie civilistiche in senso ampio, si è ampliato alla procedura penale.

Scopri di più
Indagini settoriali e industriali
Indagini settoriali e industriali

In questa categoria, si è pensato di rivisitare analiticamente tutto l’elenco dei macro-settori di attività economica, per segnalare quegli ambiti nei quali il ruolo dell’investigatore privato può sviluppare una serie di rilevanti sinergie.

Scopri di più
Servizi di sicurezza aziendale e personale
Servizi di sicurezza aziendale e personale

L’attività che contraddistingue tale disciplina è lo studio, lo sviluppo, l’attuazione di strategie, politiche, piani di emergenza tesi alla prevenzione, contrasto e soluzione di eventi dolosi o colposi, progettati per provocare danno a persone, risorse materiali e immateriali, organizzative ed umane dell’azienda.

Scopri di più
Investigazioni commerciali patrimoniali e finanziarie
Investigazioni commerciali patrimoniali e finanziarie

Seguendo il portato dell’antico detto popolare “dimmi con chi vai e ti dirò chi sei”, è opportuno approfondire tutti gli aspetti relativi ad attuali, o potenziali futuri, interlocutori.

Scopri di più
Due diligence e Audit
Due diligence e Audit

Originariamente nata con la precisa caratteristica di essere uno strumento di controllo e validazione di dati esistenti, è stata successivamente affiancata da un’attività previsionale e programmatica, tesa a delineare con affidabile precisione quelli che, tecnicamente, sono stati definiti: “best and worst case scenario”.

Scopri di più
Investigazioni per recupero crediti
Investigazioni per recupero crediti

Molte agenzie investigative hanno scelto di applicarsi, anche con tecnologie e know-how propri, al mondo dei crediti di difficile recuperabilità. Fenomeno i cui volumi si sono accresciuti in un momento che registra una delle crisi economico-finanziarie più gravi di tutti i tempi.

Scopri di più
Indagini su frodi assicurative
Indagini su frodi assicurative

Le frodi assicurative, a volte, assumono l’articolazione propria di una trama cinematografica in cui si muovono diversi attori, come falsi testimoni, o avvocati e medici di scarso spessore deontologico, oppure altri esponenti attivi nella filiera della liquidazione del sinistro che ricoprono un ruolo per orchestrare azioni illecite a danno delle assicurazioni.

Scopri di più
Bonifiche Ambientali, Tecnologiche e Digitali
Bonifiche Ambientali, Tecnologiche e Digitali

Sempre più spesso, il compito dell’agenzia investigativa è quello di verificare, nei più svariati contesti di vita personale, personalissima, lavorativa e professionale, che la piena libertà di espressione, pensiero ed azione di un individuo (persona fisica, azienda, etc.) sia totalmente esente dai rischi di “intercettazione”.

Scopri di più
Investigazioni digitali
Investigazioni digitali

I reati più classici, come ad esempio la rapina, si sono affinati in chiave tecnologica, mantenendone, tuttavia, la stessa odiosità ed afflittività. Diventa ininfluente trovarci di fronte ad un malintenzionato, mascherato e travisato, che ci punta una pistola oppure ad un hacker che “saccheggia” i dati della nostra carta di credito per sottrarre fondi di nostra piena ed esclusiva proprietà.

Scopri di più
Indagini tecniche e scienze forensi
Indagini tecniche e scienze forensi

Le moderne investigazioni forensi trattano dell’applicazione di tecniche e metodologie scientifiche a tutto il sistema delle investigazioni di carattere giudiziario, onde consentire l’accertamento di un reato, il suo autore, il nesso eziologico tra condotta e reato, nonché tutte le condizioni di contorno che caratterizzano ogni “unicum” costituito da una fattispecie.

Scopri di più
Cybersecurity
Cybersecurity

La varietà degli attacchi informatici è caleidoscopica. Spazia dalla vulnerabilità “0Day”, allo “Spear Phishing”, al “Malware Fineless” residente solo sulla memoria RAM, al “Ransomware”, ad attacchi DDoS (Distributed Denial of Service), alle tecniche “Man In The Mail” e “Man In The Middle”.

Scopri di più