Il ‘PenTest’ è la verifica necessaria per dimostrare che il sistema informatico soddisfi i requisiti di sicurezza dei suoi stakeholder. Il processo prevede un’analisi attiva e passiva del sistema per individuare eventuali punti deboli, difetti tecnici e vulnerabilità: queste problematiche possono derivare dalla progettazione, implementazione o gestione del sistema, e potrebbero essere sfruttate per compromettere gli obiettivi di sicurezza del sistema e quindi del business.
La finalità è evitare che un attaccante malintenzionato – esterno o interno – o una instabilità del sistema possano impattare sulla confidenzialità, integrità e disponibilità delle risorse.
I problemi di sicurezza rilevati verranno presentati al proprietario del sistema in un report, insieme a una valutazione dell’impatto, a una soluzione tecnica o, se non possibile, a un rimedio di attenuazione delle criticità.
Le attività di Ethical Hacking eseguite da ReadyGoOne emulano al 100% il comportamento di un vero hacker; in particolare vengono eseguiti i seguenti step di compromissione dei sistemi:
Questa fase ha lo scopo di raccogliere il maggior numero di informazioni sull’obiettivo che si intende attaccare senza “toccare” l’obiettivo stesso, ovvero effettuando una cosiddetta “analisi non invasiva”. In questa fase si cerca di determinare: domini, blocchi di rete e indirizzi IP dei sistemi direttamente collegati a Internet. Gli strumenti utilizzati sono: Search Engine, Whois server, Arin database, interrogazione DNS, ecc.
L’obiettivo dello scanning è ottenere una mappa più dettagliata possibile del sistema da attaccare. Ciò significa acquisire informazioni su quali indirizzi IP dei blocchi di rete trovati nella fase precedente siano effettivamente “contattabili” dall’esterno (IP discovery), quali servizi siano “attivi” (TCP/UDP port scan) e, infine, quali sistemi operativi “posseggano”. Gli strumenti utilizzati sono: interrogazioni ICMP (hping2, ecc.), scansione delle porte TCP e UDP (strobe, netcat, nmap, ecc.), fingerprint dello stack (nmap, ethercap).
Con questa fase si inizia l’”analisi invasiva”. Si effettuano, infatti, connessioni dirette ai server e “interrogazioni” esplicite. Tali attività potrebbero, a seconda della configurazione presente sui sistemi target, originare dei logs sui sistemi (tipicamente su sistemi di controllo).Attraverso l’enumerazione si vuole giungere ad identificare, sulle macchine riscontrate come raggiungibili, account validi (list user accounts), risorse condivise (list file shares) e applicazioni attive sulle porte in ascolto (identify application). Le tecniche utilizzate variano a seconda dei sistemi operativi delle macchine che vogliamo analizzare
Una volta ottenute le informazioni del punto precedente, inizia il vero e proprio attacco che ha come obiettivo riuscire a “entrare” nel sistema remoto. I metodi utilizzati anche in questo caso dipendono dal sistema operativo della macchina target, ma si basano sostanzialmente sulla ricerca di password corrispondenti agli utenti trovati (password guessing), sullo sfruttamento di errori progettuali delle applicazioni e servizi attivi sul server (buffer overflows, attacchi data driven, ecc.) o del sistema operativo stesso.
L’obiettivo di questa fase è sfruttare i risultati ottenuti nella fase precedente per ottenere il pieno controllo del sistema remoto attaccato. Ciò si ottiene, per esempio, reperendo i files presenti sul sistema che contengono le password (/etc/passwd, SAM, ecc.) e tentando di decifrare le password in essi contenute (password cracking), oppure utilizzando appositi exploits.
Se si giunge a questa fase significa che si è ottenuto il pieno controllo del sistema target. Quindi è bene valutare la configurazione del sistema stesso al fine di capire se, dove e cosa il sistema registra (logs). I sistemi di auditing saranno eventualmente disabilitati (es. con Win NT mediante auditpol). A questo punto la macchina in oggetto può diventare una “testa di ponte” per attaccare altre macchine. In tal caso saranno reperite informazioni riguardanti altri sistemi.
Prima di abbandonare il sistema “conquistato” vengono cancellati gli eventuali logs che hanno registrato la presenza clandestina ed eventualmente installati trojan o back-doors che consentano di rientrare facilmente sulla macchina in un secondo momento. Può essere utile anche installare tools nascosti quali sniffers o keyloggers al fine di catturare altre password del sistema locale o di altri sistemi ai quali utenti ignari si collegano dalla macchina controllata
Il rischio connesso alla Cybersecurity aziendale è diventata una delle preoccupazioni maggiori da parte degli stakeholders aziendali. La proliferazione di sistemi di produzione integrata (con i loro componenti Cyber Physical Systems) ha determinato l’espansione della superficie di attacco in maniera […]
Qualsiasi framework di Cybersecurity si sia deciso di adottare, la componente più debole nella catena della gestione della sicurezza è indubbiamente il fattore umano. L’effort necessario, da parte di un attaccante, per eludere i sistemi di sicurezza tecnologici (firewall, intrusion […]