Penetration Testing & Ethical Hacking Notes
35 Questions
0 Views

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

Quali sono i comandamenti dell'Ethical Hacking?

  • Mantenere la riservatezza delle informazioni sensibili ottenute durante il hacking
  • Non utilizzare mai l'hacking per fini malevoli
  • Tutte le risposte precedenti (correct)
  • Agire sempre in modo etico e legale
  • Cosa significa 'OSINT' nel contesto dell'hacking etico?

    Open Source Intelligence

    Cosa significa la sfera di sicurezza 'sicurezza fisica'?

    chiudere la porta di casa, chiudere le portiere della macchina

    Cosa include la sicurezza completa secondo il testo?

    <p>sicurezza fisica, sicurezza digitale, sicurezza umana</p> Signup and view all the answers

    Quale tipo di test simula un attaccante esterno non autorizzato che cerca di penetrare nelle difese di un sistema?

    <p>Black Box Testing</p> Signup and view all the answers

    Cosa può compromettere la sicurezza digitale secondo il testo?

    <p>Compromissione della sicurezza fisica</p> Signup and view all the answers

    Collega le seguenti distribuzioni Linux con il loro utilizzo principale:

    <p>Kali Linux = Penetration Testing Parrot Linux = Forensics BackBox Linux = Network Analysis BlackArch Linux = Exploitation</p> Signup and view all the answers

    La sicurezza umana rappresenta l'anello più forte nella protezione degli asset.

    <p>False</p> Signup and view all the answers

    Cos'è il DNS?

    <p>Il Domain Name System (DNS) è un sistema che traduce nomi di dominio in indirizzi IP.</p> Signup and view all the answers

    Qual è lo scopo della geolocalizzazione in DNSdumpster?

    <p>Identificare la posizione fisica di un server DNS</p> Signup and view all the answers

    Il comando 'traceroute' viene utilizzato per identificare i percorsi di routing verso un determinato host.

    <p>True</p> Signup and view all the answers

    Il comando ___________ viene utilizzato per scansionare le vulnerabilità di un sistema informatico.

    <p>Nessus</p> Signup and view all the answers

    Quali sono i tre criteri principali da soddisfare per garantire la sicurezza?

    <p>Sicurezza fisica, Sicurezza digitale, Sicurezza umana</p> Signup and view all the answers

    Gli attacchi fisici possono includere il furto di dati non autorizzato.

    <p>True</p> Signup and view all the answers

    Cosa si intende per 'backdoor' in termini di sicurezza informatica?

    <p>un meccanismo di persistenza dell'accesso</p> Signup and view all the answers

    Un traffico di rete maggiore del solito, senza operazioni di /_ potrebbe indicare un possibile attacco.

    <p>download/upload</p> Signup and view all the answers

    Abbina i seguenti tipi di hacker alle loro descrizioni:

    <p>Black Hat Hacker = Effettuano attività fraudolente per danneggiare asset White Hat Hacker = Operano nel rispetto delle leggi e degli accordi, contribuendo a risolvere vulnerabilità Phreaker = Si interessano allo sfruttamento del sistema telefonico</p> Signup and view all the answers

    Quali sono le motivazioni alla base di un attacco secondo l'etica dell'hacker?

    <p>Rubare dati ed eventualmente venderli a terze parti</p> Signup and view all the answers

    Cosa rappresenta l'Ethical Hacking Plan e quale dovrebbe essere il percorso seguito da un hacker etico?

    <p>L'Ethical Hacking Plan rappresenta il percorso che dovrebbe seguire un hacker per attuare un comportamento etico. Dovrebbe stabilire gli obiettivi dell'attacco, formulare un piano di attacco e selezionare il target da attaccare.</p> Signup and view all the answers

    Qual è uno degli obiettivi principali degli stati nell'hacking etico? Sviluppare una ____________.

    <p>cyberintelligence</p> Signup and view all the answers

    Qual è lo scopo del Security Audit?

    <p>Stabilire se un asset è conforme alle normative GDPR</p> Signup and view all the answers

    Cosa sono le vulnerabilità?

    <p>Le vulnerabilità sono difetti o debolezze che potrebbero essere sfruttati da un attaccante.</p> Signup and view all the answers

    Il miglior approccio per trovare vulnerabilità zero-day è tramite strumenti automatici.

    <p>False</p> Signup and view all the answers

    L'esplorazione delle vulnerabilità note di un sistema è tipicamente effettuata attraverso ________________.

    <p>Vulnerabilità Assessment</p> Signup and view all the answers

    Quali sono i principali vantaggi derivanti dalla metodologia PTES?

    <p>Copre sia aspetti tecnici che gestionali di un processo di penetration testing</p> Signup and view all the answers

    Qual è l'obiettivo della fase 7 di Reporting?

    <p>Realizzazione di un documento che tiene traccia di tutte le azioni effettuate per scoprire le vulnerabilità.</p> Signup and view all the answers

    Cosa emulano le fasi dalla 2° alla 6° del processo di penetration testing?

    <p>Il comportamento di un black hat hacker.</p> Signup and view all the answers

    Cosa valuta la metodologia OSSTM attraverso i casi di test generati?

    <p>Sicurezza dei processi</p> Signup and view all the answers

    Cosa rappresenta il valore RAV (Risk Assessment Value) Score alla fine del processo di valutazione?

    <p>Lo stato dell'asset in termini di sicurezza</p> Signup and view all the answers

    Il framework ISSAF si focalizza su due aspetti del testing: Tecnico e ______.

    <p>Manageriale</p> Signup and view all the answers

    Il framework ISSAF può essere utilizzato solo in maniera spot e non periodicamente.

    <p>False</p> Signup and view all the answers

    Abbinare i seguenti elementi alla metodologia OWASP:

    <p>OWASP Developer Guide = Consigli per uno sviluppo di codice pulito OWASP Code Review Guide = Criteri per verificare la presenza di cattive pratiche di programmazione OWASP Web Security Testing Guide 2 = Manuale per effettuare il penetration testing</p> Signup and view all the answers

    Cos'è il Penetration Testing?

    <p>Il Penetration Testing è il test di sicurezza più forte che mira a replicare ciò che farebbe un hacker cattivo per entrare in un sistema, ottenere il controllo e verificare la sicurezza.</p> Signup and view all the answers

    Qual è la differenza tra Vulnerability Assessment e Penetration Testing?

    <p>Il Vulnerability Assessment identifica solo le vulnerabilità, mentre il Penetration Testing include anche le fasi di exploitation.</p> Signup and view all the answers

    Cosa fa un hacker nel Black Box Testing? Rubare o mettere fuori uso il __________.

    <p>sistema</p> Signup and view all the answers

    Study Notes

    Fondamenti di Ethical Hacking

    • La sicurezza è divisa in tre categorie: fisica, digitale e umana
    • Esistono diversi tipi di attacchi, tra cui phishing, malware, DDoS, etc.
    • Per rilevare un attacco, è necessario monitorare le attività sospette e analizzare i log dei sistemi
    • Per proteggersi da un attacco, è importante avere una buona gestione delle password, utilizzare software di sicurezza aggiornati e effettuare backup regolari

    Storia dell'Hacking

    • L'hacking ha una storia che risale agli anni '60
    • Gli hacker possono essere divisi in "white hat" (buoni) e "black hat" (cattivi)

    Caratterizzazione degli Hacker

    • Gli hacker possono essere caratterizzati in base alle loro motivazioni, abilità e comportamenti
    • Esistono diversi tipi di hacker, tra cui script kiddie, cracker, elite hacker, etc.

    Ethical Hacking Plan

    • Un piano di ethical hacking comprende diverse fasi, tra cui la pianificazione, la raccolta di informazioni, la scansione delle porte, l'analisi delle vulnerabilità, etc.

    I dieci comandamenti dell'Ethical Hacking

    • I dieci comandamenti dell'ethical hacking sono una serie di regole etiche che gli hacker devono seguire, tra cui rispettare la proprietà intellettuale, non danneggiare i sistemi, etc.

    Tipi e metodologie di testing

    • Esistono diversi tipi di testing, tra cui security audit, vulnerability assessment, penetration testing, etc.
    • Le metodologie di testing comprendono OSSTMM, ISSAF, OWASP, PTES, etc.
    • Il penetration testing comprende diverse fasi, tra cui la raccolta di informazioni, la scansione delle porte, l'analisi delle vulnerabilità, etc.

    Target Scoping

    • Il target scoping comprende la raccolta di informazioni sul bersaglio, la definizione dei confini del test, la pianificazione del piano di testing, etc.
    • È importante definire gli obiettivi di business e identificare i rischi per il sistema

    Distribuzioni Linux per il PenTesting

    • Kali Linux è una distribuzione Linux popolare per il penetration testing
    • Kali Linux comprende diverse categorie di strumenti, tra cui information gathering, vulnerability analysis, web application analysis, etc.

    Fondamenti di Linux

    • Il file system di Linux è diviso in diverse directory, tra cui /, /bin, /boot, etc.
    • I comandi di base in Linux comprendono ls, cd, mkdir, etc.

    Information Gathering

    • L'information gathering comprende la raccolta di informazioni pubblicamente disponibili, la ricerca di informazioni di registrazione, l'analisi dei record DNS, etc.
    • Gli strumenti di information gathering comprendono OSINT, Google hacking, Shodan, etc.

    Target Discovery

    • Il target discovery comprende la scoperta delle macchine target, la scansione delle porte, l'identificazione del sistema operativo, etc.
    • Gli strumenti di target discovery comprendono nmap, arping, hping3, etc.

    Enumerating Target e Port Scanning

    • L'enumerating target comprende la scansione delle porte, la scoperta delle informazioni del sistema, etc.
    • Gli strumenti di enumerating target comprendono nmap, unicornscan, etc.

    Vulnerability Mapping

    • Il vulnerability mapping comprende la caratterizzazione delle vulnerabilità, l'analisi manuale e automatizzata delle vulnerabilità, etc.

    • Gli strumenti di vulnerability mapping comprendono Nessus, OpenVAS, etc.### Fondamenti di Ethical Hacking

    • La sicurezza comprende tre sfere: sicurezza fisica, sicurezza digitale e sicurezza umana.

    • La sicurezza fisica riguarda la protezione delle strutture e delle risorse da accessi non autorizzati.

    • La sicurezza digitale si concentra sulla protezione delle risorse e dei dati digitali.

    • La sicurezza umana si riferisce al comportamento degli esseri umani e alla loro resistenza alle minacce.

    Sicurezza fisica

    • La sicurezza fisica può essere violata attraverso l'accesso non autorizzato a strutture o edifici.
    • Tecniche di violazione della sicurezza fisica includono l'utilizzo di reti elettrificate, cancelli e sensori di movimento.
    • Gli attacchi fisici possono comprendere la distruzione di dati e apparecchiature con armi tradizionali.

    Sicurezza digitale

    • La sicurezza digitale può essere violata attraverso l'utilizzo di software malevoli, exploit e tecniche di ingegneria sociale.
    • Gli attacchi digitali possono essere divisi in tre fasi: nascondere la propria identità, raccogliere informazioni sull'asset e analizzare le vulnerabilità.
    • Gli exploit vengono utilizzati per sfruttare le vulnerabilità e ottenere l'accesso non autorizzato al sistema.

    Sicurezza umana

    • La sicurezza umana può essere violata attraverso l'ingegneria sociale e la manipolazione delle debolezze umane.
    • Tecniche di ingegneria sociale includono il phishing, il vishing e il social engineering.
    • Gli attacchi semantici utilizzano tecniche subdole per avvicinarsi ai bersagli umani e indurli in errore.

    Tipi di attacchi

    • Gli attacchi possono essere divisi in attacchi fisici, sintattici e semantici.
    • Gli attacchi mirati seguono un pattern di attacco preciso, mentre gli attacchi opportunistici si concentra sulla ricerca di vulnerabilità.### Fondamenti di Ethical Hacking
    • L'Ethical Hacking è una disciplina che si occupa di testare la sicurezza di un sistema per migliorarla e proteggerla dalle minacce.
    • Gli attacchi possono essere di diversi tipi, tra cui:
      • Attacchi mirati: vengono effettuati contro un bersaglio specifico e possono essere molto pericolosi.
      • Attacchi non mirati: vengono effettuati contro un largo numero di bersagli e possono essere meno pericolosi.

    Storia dell'Hacking

    • La prima vicenda di hacking risale al 1870, quando la Bell Telephone (oggi AT&T) assunse dei ragazzi per lavorare come operatori nelle centraline telefoniche.
    • Negli anni '50, la parola "hack" viene usata per la prima volta per caratterizzare un utilizzo non convenzionale di un sistema.
    • Negli anni '60, alcuni hacker del TMRC iniziano a interessarsi dei sistemi informatici introdotti nei campus del MIT e iniziano a pensare come potevano utilizzarli.
    • Negli anni '70, nasce la figura del phreaker, che si occupa di sfruttare il sistema telefonico per effettuare chiamate gratuite.
    • Negli anni '80, iniziano a diffondersi i primi personal computer e nasce la figura dell'ethical hacker.

    Caratterizzazione degli Hacker

    • Black Hat Hacker: persone che effettuano attività fraudolente per mettere in pericolo gli asset e possono causare gravi danni alla reputazione di un'azienda o di un'organizzazione.
    • White Hat Hacker: persone che operano nel rispetto delle leggi e degli accordi, assumendo comportamenti etici e cercando di risolvere le vulnerabilità dei sistemi.
    • Grey Hat Hacker: persone che rappresentano una categoria intermedia, che oltre a cercare vulnerabilità per renderle note e per correggerle, a volte svolgono anche attività illecite o immorali.

    Motivazioni degli Hacker

    • Ottenere l'accesso legale ed autorizzato ad un sistema per testarne la sicurezza.
    • Ottenere l'accesso illegale ad un sistema per curiosità o orgoglio.
    • Ottenere l'accesso non autorizzato a informazioni per distruggerle o manometterle a proprio vantaggio.
    • Accedere ad un asset per rubare dati ed eventualmente venderli a terze parti.

    Ethical Hacking Plan

    • Stabilire gli obiettivi dell'attacco.
    • Formulare un piano di attacco.
    • Selezionare il/i target da attaccare.
    • Ottenere l'approvazione e l'autorizzazione necessaria per effettuare i test di sicurezza.
    • Accertarsi che i responsabili dell'autorizzazione siano pienamente consapevoli delle attività di Ethical Hacking.
    • Accertarsi che le attività di Ethical Hacking non coinvolgano terze parti.
    • Determinare le componenti più critiche e vulnerabili.
    • Valutare i rischi.
    • Determinare il programma di test.
    • Acquisire conoscenza dell'asset che si va a testare.
    • Definire le azioni da intraprendere nel caso in cui vengano riscontrate vulnerabilità.
    • Definire come comunicare le vulnerabilità rilevate a chi ha commissionato l'analisi di sicurezza.
    • Definire eventualmente chi deve risolvere le vulnerabilità riscontrate.
    • Determinare i risultati/documenti finali attesi da chi ha commissionato l'analisi di sicurezza.

    Studying That Suits You

    Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

    Quiz Team

    Description

    Appunti del corso di Penetration Testing & Ethical Hacking. Fondamenti di Ethical Hacking, sicurezza, penetration testing e hacking etico.

    More Like This

    Use Quizgecko on...
    Browser
    Browser