Così fa l’hacker | Fai da te | Così entro nel tuo PC |

BUONI
CONSIGLI
I TRUCCHI
Scoviamo i bug di Windows
DEGLI ESPERTI I tool della Pentest Box sono gli stessi utilizzati dai pirati informatici per scopi illeciti: utilizziamoli,
Sempre più spesso, per quindi, solo su macchine nostre. Ecco come provarli senza fare danni.
portare a termine con
successo i loro attacchi,
i pirati informatici
utilizzano tecniche di in-
gegneria sociale per co-
struirsi un’identità falsa
ma credibile da utilizzare
per ingannare gli utenti
del Web. Social Engineer
Toolkit è lo strumento of-
ferto dalla Pentest Box a
questo scopo. SET può ef-
fettuare phishing (invio
di e-mail fraudolente a Prepariamo il bersa lio Avviamo la macchina virtuale
nome di servizi noti), ma
soprattutto generare ed
1 Come bersaglio per i nostri test di sicurezza possiamo usa-
re la distribuzione Linux Metasploitable: scarichiamola da
2 Per utilizzare la Metasplotable, scarichiamo ed installiamo
VirtualBox (www.virtualbox.org/wiki/Downloads), che è un
allegare moltissimi tipi www.winmagazine.it/link/3222 sotto forma di archivio compresso. software per gestire macchine virtuali: creiamo una Nuova mac-
di malware alle e-mail. Nel ile ZIP troveremo diversi ile corrispondenti ai dischi rigidi virtuali china Linux ed assegniamole, dopo aver decompresso il pacchet-
Anche in questo caso ci è
d’obbligo ricordare che
che useremo per creare la macchina virtuale bersaglio. to Metasploitable, il ile Metasploitable.vmdk come disco rigido.
queste sono pratiche
illegali. SET dispone
anche di un generatore
di codice infetto per
Arduino che sfrutta la
nota schedina per attac-
care i sistemi a cui viene
connessa.
VITTIME
SOTTO STRESS
La tecnica nota come
Stress Testing è una
veriica di come un
sistema reagisce a Iniziamo l’attacco Un tool adatto allo scopo
possibili sovraccarichi
dovuti a troppe richieste
3 Scelto un bersaglio da conquistare, possiamo iniziare la
nostra sessione di penetration test. Scopriamo innanzitutto
4 Per iniziare ad analizzare la conigurazione di sicurezza della
Metasploitable, usiamo Beef, un tool che sfrutta il browser
da servire. La pratica di l’IP che VirtualBox ha assegnato alla macchina virtuale Metasploi- Web per attaccare la sicurezza di un sistema bersaglio. Portiamoci
attacco che si vuole si- table: effettuiamo una scansione della rete con Zenmap mediante nella directory di Beef con cd C:\PenetrationTesting\PentestBox\
mulare è nota come DoS
o Denial of Service (let-
il comando zenmap sugli indirizzi della rete locale. bin, coniguriamolo con bundle install e avviamolo con ruby beef.
teralmente negazione
del servizio). Per causare
un DoS, gli hacker, che
controllano centinaia di
server insicuri, li utiliz-
zano per inviare migliaia
di richieste ad un singolo
bersaglio, con il risultato
di sovraccaricare il ser-
ver e di renderlo inatti-
vo. Gli stessi strumenti
possono essere utilizzati
per veriicare quanto un
nostro server sia esposto
al DoS. La Pentest Box
ofre diversi programmi
utili allo scopo tra questi La trappola è pronta! Attacco in corso
citiamo Ethercap, Wire-
shark, ma anche Burp, di
5 Puntiamo quindi il browser all’indirizzo 127.0.0.1:3000/ui/
authentication, utilizzando beef come Username e Pas-
6 A questo punto, sicuri di attaccare la macchina virtuale su cui
è in esecuzione la distribuzione Metasploitable, possiamo con-
cui abbiamo parlato in sword. Beef dispone di una serie impressionante di exploit e può tinuare la nostra sessione di penetration test e iniziare a lanciare i vari
precedenza. pubblicare anche delle pagine Web trappola, con l’intento di far ese- exploit di Beef contro la nostra “vittima”. Per farlo, è suficiente digitare
guire codice malevolo ai browser delle vittime e prenderne il controllo. il nome dell’exploit da riga di comando e confermare con Invio.

20 Win Magazine Speciali