CyberSecurity 1337

No MetaSploit Framework? Ahi ahi ahi.... Metasploit Framework (MSF) è un insieme di applicazioni che permettono, scegliendo l'exploit e il payload che più ci piace, di effettuare un penetration test su uno o più nodi di una rete. Selezionare però l'exploit giusto, avendo cura di fare un'analisi del sistema oggetto del nostro interesse, e poi il payload opportuno, definendo sostanzialmente il tipo di attacco, potrebbe non essere così facile e soprattutto è molto ripetitivo e noioso. E allora? Quelli di MSF hanno deciso di semplificarci la vita implementato delle feature molto interessanti che permettono di automatizzare il processo. In sostanza da MSF, utilizzando un DB relazionale come strato di persistenza e tramite NMAP o NESSUS , possiamo eseguire la scansione di una rete, individuare le eventuali vulnerabilità e lasciare che MSF applichi gli opportuni exploit e payload, restituendoci se possibile delle belle shell. E ora vediamo come configurare il tutto su una Ubuntu...

Se fossi in te gli darei un'occhiata.

Attacco del dizionario? Nooooooo ..... meglio Google. Un ricercatore di Cambridge ha scoperto questo trucchetto che ha del geniale... Le applicazioni Web spesso utilizzano le funzioni hash MD5 o SHA1 per evitare di codificare i campi passati nelle URL e quindi gestire caratteri particolari non permessi appunto in una URL. Google naturalmente indicizza tutto quello che c'è sul Web! Possiamo quindi, con una semplice ricerchina dell'hash della password, scoprire se qualche applicazione Web utilizza lo stesso hash per un suo campo. Ravanando infatti nei risultati della ricerca (sempre che ce ne siano) potremmo risalire magari al campo che è stato passato alla funzione hash. Questo ripropone il problema di sicurezza di salvare solo l'hash (MD5 o SHA1) delle password senza utilizzare il cosiddetto " salt ". Con il salt sono praticamente inefficaci gli attacchi del dizionario perché si aumenta la complessità computazionale dell'operazione di confronto con il diziona...

Quante volte avete letto metodologie per l'analisi e la gestione del rischio? Spesso ci si perde in questa giungla di sigle, acronimi, concetti e alla fine si perde l'essenza di cosa è veramente il rischio e come gestirlo. Analizzare il rischio connesso con un'attività, non vuol dire unicamente aprire un libro, scegliere la metodologia che più ci piace ed applicare pedissequamente tutti e soli i passi contemplati in essa. In realtà in ogni momento della nostra vita analizziamo i rischi connessi alle diverse attività in cui siamo coinvolti e cerchiamo di gestirli nel modo più opportuno . Cerco di spiegarmi con un esempio: Poniamo il caso di dover attraversare una strada. Che cosa facciamo? Guardiamo alla nostra sinistra per vedere se sopraggiungono macchine. Nel caso sopraggiungano, valutiamo la distanza che intercorre tra noi e la/le macchina/e, per capire se sia o meno "rischioso" attraversare la strada. Se decidiamo di sì, valutiamo allora la velocità della ma...

Certo non si sentiva la mancanza di un nuovo blog! Specialmente nel campo della sicurezza informatica. Ma io insisto e lo pubblico ugualmente ;-) Quindi benvenuti a tutti su questo nuovo blog, dove pubblicherò prevalentemente idee, concetti, considerazioni, opinioni sulla sicurezza informatica dal punto di vista di un geek. Qualche digressione su altri argomenti ogni tanto me la concederete però!