Lugano, 15 Giugno 2010

D’Amato Luigi

Penetration Test

Autore

Luigi D’Amato, Senior CyberSecurity Consultant e CTO di Security Lab SAGL, Luigi è docente di lungo corso dei corsi Zone-h in Italia e Svizzera, ma è anche stato l’artefice dell’introduzione del corso Wireless Hacking in Paesi quali il Giappone, Estonia, e Norvegia. Certificato CWNA, Cisco CCNA e WLAN FE. Membro ufficiale del chapter italiano dell’ Honeynet Project Alliance Research. Specializzato in Botnet Analysis, Malware Analysis Monitoring, Tracking, Intelligence, Penetration testing, Vulnerability assesment.

Facciamo chiarezza!

Possiamo trovare tantissime società che offrono servizi denominati “PenTest” , “Vulnerability Assessment” , “Vulnerability Scan”...

La differenza tra questo tipo di attività è fondamentale! Anche nella scelta della società stessa!

Cosa è un :

•  Vulnerability scan •  Vulnerability assessment •  Security audit •  Security assessment •  Penetration test

Vulnerability Scan

•  Utilizzo di strumenti automatizzati, per la ricerca di probabili servi vulnerabili sui target;

•  Si possono utilizzare software commerciali o opensource;

•  Si puo’ fare tranquillamente in casa

Vulnerability Scan : TOOL

•  Nessus (Free) •  GFI Languard (commerciale) •  Retina (Commerciale)

Vulnerability Assessment

-  Vulnerability scan, in piu’ c’è l’ interazione nel verificare le eventuali vulnerabilità identificate;

-  Spesso a fronte dei risultati viene eseguito un controllo anche a livello di infrastruttura;

-  Da una visione piu’ completa dei problemi -  Richiede personale specializzato

Security Assessment

-  Controllo generale della sicurezza di un’azienda, logica, fisica, informatica....

-  Metodologia di riferimento OSSTMM (Open Source Security Testing Methodology Manual)

-  Richiede personale specializzato

Security Audit

-  Identificare il livello di sicurezza dell’azienda, basandosi anche su checklist in riferimento anche alle policy aziendali

-  E’ sconsigliato effettuare i controlli da personale interno

Penetration Testing

-  NON è un Vulnerability Assessment!! -  Si è mirati all’estrarre determinate informazioni

sensibili, database, file etc etc... -  Pensare, comportarsi e agire come farebbe un

hacker -

Tipi di pentest -  Zero knowledge (black box): i test vengono

effettuati senza conoscere niente dell'host bersaglio;

-  Partial knowledge (grey box): vengono fornite alcune informazioni per indirizzare l'attacco verso un bersaglio preciso;

-  Full knowledge (white box): vengono fornite quasi tutte le informazioni possibili. si simula il comportamento di un "attaccante interno", ad esempio un dipendente.

Che strumenti si utilizzano?

-  Ogni strumento deve essere creato ad hoc, controllato, riga per riga!

-  Avere un archivio di exploit propri, aver testato tutto su sistemi simili;

-  Nel pentest si accede a servizi o informazioni sfruttando una vulnerabilità di un servizio o misconfigurazioni... se lo strumento è di terzi e include dentro un regalino ?? (ex. backdoor.. ed altro)

Quindi cosa scelgo ?

•  Caso 1. Azienda inconsapevole del proprio livello di sicurezza, pericoli e paura di perdita informazioni

•  Vulnerabity assessment o Security assesment

•  Caso 2. Azienda ha già effettuato un VA e/o vuole controllare l’effettiva efficacia delle proprie difese

•  - Penetration Testing

Domande