Podcast
Questions and Answers
Quali sono i comandamenti dell'Ethical Hacking?
Quali sono i comandamenti dell'Ethical Hacking?
Cosa significa 'OSINT' nel contesto dell'hacking etico?
Cosa significa 'OSINT' nel contesto dell'hacking etico?
Open Source Intelligence
Cosa significa la sfera di sicurezza 'sicurezza fisica'?
Cosa significa la sfera di sicurezza 'sicurezza fisica'?
chiudere la porta di casa, chiudere le portiere della macchina
Cosa include la sicurezza completa secondo il testo?
Cosa include la sicurezza completa secondo il testo?
Signup and view all the answers
Quale tipo di test simula un attaccante esterno non autorizzato che cerca di penetrare nelle difese di un sistema?
Quale tipo di test simula un attaccante esterno non autorizzato che cerca di penetrare nelle difese di un sistema?
Signup and view all the answers
Cosa può compromettere la sicurezza digitale secondo il testo?
Cosa può compromettere la sicurezza digitale secondo il testo?
Signup and view all the answers
Collega le seguenti distribuzioni Linux con il loro utilizzo principale:
Collega le seguenti distribuzioni Linux con il loro utilizzo principale:
Signup and view all the answers
La sicurezza umana rappresenta l'anello più forte nella protezione degli asset.
La sicurezza umana rappresenta l'anello più forte nella protezione degli asset.
Signup and view all the answers
Cos'è il DNS?
Cos'è il DNS?
Signup and view all the answers
Qual è lo scopo della geolocalizzazione in DNSdumpster?
Qual è lo scopo della geolocalizzazione in DNSdumpster?
Signup and view all the answers
Il comando 'traceroute' viene utilizzato per identificare i percorsi di routing verso un determinato host.
Il comando 'traceroute' viene utilizzato per identificare i percorsi di routing verso un determinato host.
Signup and view all the answers
Il comando ___________ viene utilizzato per scansionare le vulnerabilità di un sistema informatico.
Il comando ___________ viene utilizzato per scansionare le vulnerabilità di un sistema informatico.
Signup and view all the answers
Quali sono i tre criteri principali da soddisfare per garantire la sicurezza?
Quali sono i tre criteri principali da soddisfare per garantire la sicurezza?
Signup and view all the answers
Gli attacchi fisici possono includere il furto di dati non autorizzato.
Gli attacchi fisici possono includere il furto di dati non autorizzato.
Signup and view all the answers
Cosa si intende per 'backdoor' in termini di sicurezza informatica?
Cosa si intende per 'backdoor' in termini di sicurezza informatica?
Signup and view all the answers
Un traffico di rete maggiore del solito, senza operazioni di /_ potrebbe indicare un possibile attacco.
Un traffico di rete maggiore del solito, senza operazioni di /_ potrebbe indicare un possibile attacco.
Signup and view all the answers
Abbina i seguenti tipi di hacker alle loro descrizioni:
Abbina i seguenti tipi di hacker alle loro descrizioni:
Signup and view all the answers
Quali sono le motivazioni alla base di un attacco secondo l'etica dell'hacker?
Quali sono le motivazioni alla base di un attacco secondo l'etica dell'hacker?
Signup and view all the answers
Cosa rappresenta l'Ethical Hacking Plan e quale dovrebbe essere il percorso seguito da un hacker etico?
Cosa rappresenta l'Ethical Hacking Plan e quale dovrebbe essere il percorso seguito da un hacker etico?
Signup and view all the answers
Qual è uno degli obiettivi principali degli stati nell'hacking etico? Sviluppare una ____________.
Qual è uno degli obiettivi principali degli stati nell'hacking etico? Sviluppare una ____________.
Signup and view all the answers
Qual è lo scopo del Security Audit?
Qual è lo scopo del Security Audit?
Signup and view all the answers
Cosa sono le vulnerabilità?
Cosa sono le vulnerabilità?
Signup and view all the answers
Il miglior approccio per trovare vulnerabilità zero-day è tramite strumenti automatici.
Il miglior approccio per trovare vulnerabilità zero-day è tramite strumenti automatici.
Signup and view all the answers
L'esplorazione delle vulnerabilità note di un sistema è tipicamente effettuata attraverso ________________.
L'esplorazione delle vulnerabilità note di un sistema è tipicamente effettuata attraverso ________________.
Signup and view all the answers
Quali sono i principali vantaggi derivanti dalla metodologia PTES?
Quali sono i principali vantaggi derivanti dalla metodologia PTES?
Signup and view all the answers
Qual è l'obiettivo della fase 7 di Reporting?
Qual è l'obiettivo della fase 7 di Reporting?
Signup and view all the answers
Cosa emulano le fasi dalla 2° alla 6° del processo di penetration testing?
Cosa emulano le fasi dalla 2° alla 6° del processo di penetration testing?
Signup and view all the answers
Cosa valuta la metodologia OSSTM attraverso i casi di test generati?
Cosa valuta la metodologia OSSTM attraverso i casi di test generati?
Signup and view all the answers
Cosa rappresenta il valore RAV (Risk Assessment Value) Score alla fine del processo di valutazione?
Cosa rappresenta il valore RAV (Risk Assessment Value) Score alla fine del processo di valutazione?
Signup and view all the answers
Il framework ISSAF si focalizza su due aspetti del testing: Tecnico e ______.
Il framework ISSAF si focalizza su due aspetti del testing: Tecnico e ______.
Signup and view all the answers
Il framework ISSAF può essere utilizzato solo in maniera spot e non periodicamente.
Il framework ISSAF può essere utilizzato solo in maniera spot e non periodicamente.
Signup and view all the answers
Abbinare i seguenti elementi alla metodologia OWASP:
Abbinare i seguenti elementi alla metodologia OWASP:
Signup and view all the answers
Cos'è il Penetration Testing?
Cos'è il Penetration Testing?
Signup and view all the answers
Qual è la differenza tra Vulnerability Assessment e Penetration Testing?
Qual è la differenza tra Vulnerability Assessment e Penetration Testing?
Signup and view all the answers
Cosa fa un hacker nel Black Box Testing? Rubare o mettere fuori uso il __________.
Cosa fa un hacker nel Black Box Testing? Rubare o mettere fuori uso il __________.
Signup and view all the answers
Study Notes
Fondamenti di Ethical Hacking
- La sicurezza è divisa in tre categorie: fisica, digitale e umana
- Esistono diversi tipi di attacchi, tra cui phishing, malware, DDoS, etc.
- Per rilevare un attacco, è necessario monitorare le attività sospette e analizzare i log dei sistemi
- Per proteggersi da un attacco, è importante avere una buona gestione delle password, utilizzare software di sicurezza aggiornati e effettuare backup regolari
Storia dell'Hacking
- L'hacking ha una storia che risale agli anni '60
- Gli hacker possono essere divisi in "white hat" (buoni) e "black hat" (cattivi)
Caratterizzazione degli Hacker
- Gli hacker possono essere caratterizzati in base alle loro motivazioni, abilità e comportamenti
- Esistono diversi tipi di hacker, tra cui script kiddie, cracker, elite hacker, etc.
Ethical Hacking Plan
- Un piano di ethical hacking comprende diverse fasi, tra cui la pianificazione, la raccolta di informazioni, la scansione delle porte, l'analisi delle vulnerabilità, etc.
I dieci comandamenti dell'Ethical Hacking
- I dieci comandamenti dell'ethical hacking sono una serie di regole etiche che gli hacker devono seguire, tra cui rispettare la proprietà intellettuale, non danneggiare i sistemi, etc.
Tipi e metodologie di testing
- Esistono diversi tipi di testing, tra cui security audit, vulnerability assessment, penetration testing, etc.
- Le metodologie di testing comprendono OSSTMM, ISSAF, OWASP, PTES, etc.
- Il penetration testing comprende diverse fasi, tra cui la raccolta di informazioni, la scansione delle porte, l'analisi delle vulnerabilità, etc.
Target Scoping
- Il target scoping comprende la raccolta di informazioni sul bersaglio, la definizione dei confini del test, la pianificazione del piano di testing, etc.
- È importante definire gli obiettivi di business e identificare i rischi per il sistema
Distribuzioni Linux per il PenTesting
- Kali Linux è una distribuzione Linux popolare per il penetration testing
- Kali Linux comprende diverse categorie di strumenti, tra cui information gathering, vulnerability analysis, web application analysis, etc.
Fondamenti di Linux
- Il file system di Linux è diviso in diverse directory, tra cui /, /bin, /boot, etc.
- I comandi di base in Linux comprendono ls, cd, mkdir, etc.
Information Gathering
- L'information gathering comprende la raccolta di informazioni pubblicamente disponibili, la ricerca di informazioni di registrazione, l'analisi dei record DNS, etc.
- Gli strumenti di information gathering comprendono OSINT, Google hacking, Shodan, etc.
Target Discovery
- Il target discovery comprende la scoperta delle macchine target, la scansione delle porte, l'identificazione del sistema operativo, etc.
- Gli strumenti di target discovery comprendono nmap, arping, hping3, etc.
Enumerating Target e Port Scanning
- L'enumerating target comprende la scansione delle porte, la scoperta delle informazioni del sistema, etc.
- Gli strumenti di enumerating target comprendono nmap, unicornscan, etc.
Vulnerability Mapping
-
Il vulnerability mapping comprende la caratterizzazione delle vulnerabilità, l'analisi manuale e automatizzata delle vulnerabilità, etc.
-
Gli strumenti di vulnerability mapping comprendono Nessus, OpenVAS, etc.### Fondamenti di Ethical Hacking
-
La sicurezza comprende tre sfere: sicurezza fisica, sicurezza digitale e sicurezza umana.
-
La sicurezza fisica riguarda la protezione delle strutture e delle risorse da accessi non autorizzati.
-
La sicurezza digitale si concentra sulla protezione delle risorse e dei dati digitali.
-
La sicurezza umana si riferisce al comportamento degli esseri umani e alla loro resistenza alle minacce.
Sicurezza fisica
- La sicurezza fisica può essere violata attraverso l'accesso non autorizzato a strutture o edifici.
- Tecniche di violazione della sicurezza fisica includono l'utilizzo di reti elettrificate, cancelli e sensori di movimento.
- Gli attacchi fisici possono comprendere la distruzione di dati e apparecchiature con armi tradizionali.
Sicurezza digitale
- La sicurezza digitale può essere violata attraverso l'utilizzo di software malevoli, exploit e tecniche di ingegneria sociale.
- Gli attacchi digitali possono essere divisi in tre fasi: nascondere la propria identità, raccogliere informazioni sull'asset e analizzare le vulnerabilità.
- Gli exploit vengono utilizzati per sfruttare le vulnerabilità e ottenere l'accesso non autorizzato al sistema.
Sicurezza umana
- La sicurezza umana può essere violata attraverso l'ingegneria sociale e la manipolazione delle debolezze umane.
- Tecniche di ingegneria sociale includono il phishing, il vishing e il social engineering.
- Gli attacchi semantici utilizzano tecniche subdole per avvicinarsi ai bersagli umani e indurli in errore.
Tipi di attacchi
- Gli attacchi possono essere divisi in attacchi fisici, sintattici e semantici.
- Gli attacchi mirati seguono un pattern di attacco preciso, mentre gli attacchi opportunistici si concentra sulla ricerca di vulnerabilità.### Fondamenti di Ethical Hacking
- L'Ethical Hacking è una disciplina che si occupa di testare la sicurezza di un sistema per migliorarla e proteggerla dalle minacce.
- Gli attacchi possono essere di diversi tipi, tra cui:
- Attacchi mirati: vengono effettuati contro un bersaglio specifico e possono essere molto pericolosi.
- Attacchi non mirati: vengono effettuati contro un largo numero di bersagli e possono essere meno pericolosi.
Storia dell'Hacking
- La prima vicenda di hacking risale al 1870, quando la Bell Telephone (oggi AT&T) assunse dei ragazzi per lavorare come operatori nelle centraline telefoniche.
- Negli anni '50, la parola "hack" viene usata per la prima volta per caratterizzare un utilizzo non convenzionale di un sistema.
- Negli anni '60, alcuni hacker del TMRC iniziano a interessarsi dei sistemi informatici introdotti nei campus del MIT e iniziano a pensare come potevano utilizzarli.
- Negli anni '70, nasce la figura del phreaker, che si occupa di sfruttare il sistema telefonico per effettuare chiamate gratuite.
- Negli anni '80, iniziano a diffondersi i primi personal computer e nasce la figura dell'ethical hacker.
Caratterizzazione degli Hacker
- Black Hat Hacker: persone che effettuano attività fraudolente per mettere in pericolo gli asset e possono causare gravi danni alla reputazione di un'azienda o di un'organizzazione.
- White Hat Hacker: persone che operano nel rispetto delle leggi e degli accordi, assumendo comportamenti etici e cercando di risolvere le vulnerabilità dei sistemi.
- Grey Hat Hacker: persone che rappresentano una categoria intermedia, che oltre a cercare vulnerabilità per renderle note e per correggerle, a volte svolgono anche attività illecite o immorali.
Motivazioni degli Hacker
- Ottenere l'accesso legale ed autorizzato ad un sistema per testarne la sicurezza.
- Ottenere l'accesso illegale ad un sistema per curiosità o orgoglio.
- Ottenere l'accesso non autorizzato a informazioni per distruggerle o manometterle a proprio vantaggio.
- Accedere ad un asset per rubare dati ed eventualmente venderli a terze parti.
Ethical Hacking Plan
- Stabilire gli obiettivi dell'attacco.
- Formulare un piano di attacco.
- Selezionare il/i target da attaccare.
- Ottenere l'approvazione e l'autorizzazione necessaria per effettuare i test di sicurezza.
- Accertarsi che i responsabili dell'autorizzazione siano pienamente consapevoli delle attività di Ethical Hacking.
- Accertarsi che le attività di Ethical Hacking non coinvolgano terze parti.
- Determinare le componenti più critiche e vulnerabili.
- Valutare i rischi.
- Determinare il programma di test.
- Acquisire conoscenza dell'asset che si va a testare.
- Definire le azioni da intraprendere nel caso in cui vengano riscontrate vulnerabilità.
- Definire come comunicare le vulnerabilità rilevate a chi ha commissionato l'analisi di sicurezza.
- Definire eventualmente chi deve risolvere le vulnerabilità riscontrate.
- Determinare i risultati/documenti finali attesi da chi ha commissionato l'analisi di sicurezza.
Studying That Suits You
Use AI to generate personalized quizzes and flashcards to suit your learning preferences.
Description
Appunti del corso di Penetration Testing & Ethical Hacking. Fondamenti di Ethical Hacking, sicurezza, penetration testing e hacking etico.