In questo post voglio segnalare un’ interessante articolo di Shawn Hermans sulla sicurezza, apparso qualche tempo fa su linux.com. L’ articolo e’ abbastanza semplice e porta all’ attenzione del lettore una serie di tecniche e strumenti per poter compiere un “Penetration Test”. Con ” penetration testing” Shawn intende la simulazione di un’ attacco da parte di malintezionati volto a violare la sicurezza della vostra macchina/rete.
Nell’ introduzione viene spiegato come generalmente viene portato un’ attacco di questo tipo. Ovvero il malvagio di turno munito di strumenti quali Nmap, comincia a scandagliare la vostra rete in cerca di vulnerabilità, trovato l’anello debole lo colpisce exploitandolo. Se questo tipo di azione viene fatta da un cracker son dolori, mentre se fatta dall’amministratore, diventa un’ottimo strumento per testare e mettere a punto il proprio sistema.Infatti da un’analisi di questo tipo, si possono scoprire e sistemare eventuali punti deboli.
Da qui in poi l’articolo comincia a descrivere le diverse tecniche, senza mai scendere troppo nel dettaglio, e i diversi strumenti open che possono permettere di portare a termine un “Penetration Test”. Nella prima parte si parla di Password and login cracking con una panoramica su sniffing, ARP spoofing, phishing e su tool quali Wireshark, John the Ripper e THC Hydra. La seconda parte invece e’ incentrata su l’ exploitation using buffer overflows, ovvero lo sfruttamento di quei programmi, con bachi conosciuti, che non controllano o limitano propriamente i dati d’ ingresso. Qui’ Shawn descrive principalmente un ambiente chiamato Metasploit Framework, potente ambiente di sviluppo, testing e utilizzo di exploit.
Per concludere viene segnalata una distribuzione Live dvd chiamata SecureDVD dove sono raccolte le principali distro nate per effettuare test di questo tipo, veri e propri coltellini svizzeri dei sistemisti.
A mio parere l’articolo e’ un buon punto di partenza per chi e’ interessato ad una tematica molto importante come la sicurezza.
Pubblicato da netjack 
NetJack Blog 