La sicurezza informatica sta diventando uno degli aspetti sempre più importanti nell'uso di strumenti digitali con cui abbiamo a che fare ogni giorno.
Il relatore Andrea Draghetti ci mostrerà le cinque fasi principali di un Penetration Test:
Information Gathering
Vulnerability Assessment
Exploitation
Privilege Escalation
Maintaining Access.
Utilizzando alcuni dei software preinstallati in BackBox (il relatore fa parte della community staff del progetto) e sfruttando alcune vulnerabilità, attaccherà un Server Web basato su Ubuntu Linux
[English] BackBox Linux and Metasploit: A practical demonstration of the Shel...
BackBox Linux: Simulazione di un Penetration Test e CTF
1. BackBox Linux
Penetration Test and Security Assessment
RaspiBO - 23 Febbraio 2016
Simulazione di un Penetration Test
Andrea Draghetti
2. About Me
BackBox Team Member
Over Security Founder
Independent Security Researcher
….
3. About BackBox
BackBox è una distribuzione Free Open Source nata nel 2010 in
Italia ed è concepita per gli appassionati di Sicurezza Informatica!
Permette di effettuare Penetration Testing e Security Assessment.
È basata su Ubuntu, offre oltre 100 Tools dedicati al mondo dell’IT
Security, Mobile Analysis, ecc.
Ha un piano di rilascio previsto ogni 4 mesi e compatibile con
ecosistemi a 32 o 64Bit.
4. Look At The World
DistroWatch attesta
a BackBox la seconda
posizione della sua
categoria. È la 56° distro
Linux più scaricata
al mondo.
BackBox 4.5
ha ottenuto oltre
40mila download dal
26 Gennaio 2016
Linux User & Developer - Feb 2016
7. Penetration Test
Il penetration test è un processo di valutazione della
sicurezza di un sistema o di una rete che simula
l’attacco di un utente malintenzionato. L’analisi viene
condotta sfruttando l’intelletto umano e software
dedicati, ed ha come obiettivo quello di evidenziare le
debolezze del sistema fornendo il maggior numero di
informazioni sulle vulnerabilità che hanno permesso
l’accesso non autorizzato.
8. Simulazione di un Penetration Test
I. Information Gathering
II. Vulnerability Assessment
III. Exploitation
IV. Privilege Escalation
V. Maintaining Access
VI. Reporting.
Documento completo sulla simulazione di un Penetration Test
http://www.isticom.it/documenti/rivista/rivista2013/2013_12_129-134_simulazione_penetration_test.pdf
Standard, in fase di definizione, degli elementi fondamentali di un PenTest
http://www.pentest-standard.org
9. Lab: Capture the Flag
Capture the Flag, letteralmente “cattura la bandiera”, è una
modalità di simulazione del Penetration Testing per allenarsi e
migliorare le proprie abilità.
vulnhub.com contiene un importante archivio di macchine
virtuali preparate per effettuare penetration testing in locale.
ctftime.org raggruppa i principali eventi di CTF mondiali e i
punteggi dei partecipanti.
seeweb.it annualmente organizza una sfida di Hacking con
importanti premi in palio.