Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CRACKATO!!!
È un algoritmo vecchio e superato...
eppure il suo hack nasconde un pericolo
Dal 2002 tutto quello che gli altri non osano dirti
Linux nello
TARIFFA R.O.C. Poste Italiane S.p.A. – spedizione in abbonamento postale – MBPA/LO-NO/125/A.P./2017- ART.1 COMMA1- S /NA
smartphone
Installiamo Kali su Android...
senza bisogno di root!
Usa il battito
cardiaco come
password
Chiavi d’accesso
e impronte non bastano:
ecco un progetto che rende
inespugnabili i tuoi dati
Sfida da hacker
Capture the flag
Scova bug e vulnerabilità nelle palestre online
e batti sul tempo migliaia di esperti
zetun,genio
del carding
Le avventure di un
ragazzino divenuto
Pentesting simulare le reti
Reflected Cross Site Scripting: Con GNS3 ricreiamo in laboratorio
milionario rubando come attaccare una pagina Web il network di computer e server
carte di credito grazie a un campo di input che dobbiamo colpire o proteggere
IN EDICOLA
Scansiona il QR Code
Acquistala su www.sprea.it
anche in versione digitale
EDITORIALE
www.hackerjournal.it
In questo numero parliamo di:
Capture The Flag, Pentesting, pfSense,
Riccardo Meggiato, SHA-1, Andronix,
Encrypt Buddy, Cross Site Scripting,
attacchi offline alle password, Zetun,
previsioni per il 2020 e molto altro
L’
Italia alza le difese cyber. È quanto è emerso
da ITASEC 2020, la conferenza italiana
sulla cybersecurity organizzata dal Cini
Cybersecurity National Lab (tra gli altri).
Dalle parole di Angelo Tofalo, sottosegretario alla Difesa,
scopriamo infatti che il Ministero per cui lavora ha creato
il Comando delle operazioni in Rete (Cor) che coordinerà
le attività cyber del Ministero e di tutte le forze armate.
Sono previste ben 300 nuove assunzioni nel prossimo
futuro. Motivo in più per affinare le proprie capacità
e conoscenze con un bel Capture The Flag (CTF).
È l’argomento principale di questo numero: un CTF
CONTATTI
non è altro che una sfida di hacking in cui i partecipanti
passano di livello in livello trovando e sfruttando REDAZIONE
redazione@hackerjournal.it
vulnerabilità, decifrando codici, scrivendo script e tante
epabuqtewhqc@mailchuck.
altre cose belline e divertenti. Con la nostra guida com (BitMessage)
riuscirete a muovere i primi passi in questo fantastico ABBONAMENTI
mondo e sarete pronti ad affrontare le tantissime abbonamenti@hackerjournal.it
www.sprea.it/digital
competizioni che si trovano online (tutti i dettagli
ARRETRATI
a partire da pagina 12). E ovviamente non mancano arretrati@hackerjournal.it
gli altri punti forte classici: il nostro corso per pentester,
FACEBOOK
le curiosità della sezione Hackulture (con le previsioni www.facebook.com/
hackerjournal/
cyber per quest’anno) e un’intervista di Riccardo
Meggiato, uno dei più noti esperti di sicurezza italiani. SITO WEB
www.hackerjournal.it
ro sara
Il prossimo numile2
in edicola 0 marzo
HACKTUALITÀ
www.hackerjournal.it/abbonamenti
News
Notizie e anticipazioni dell’universo hacker...................................................................... 6
COVER STORY
Sfida da hacker: Capture the Flag!
Scova bug nelle palestre online e batti sul tempo migliaia di esperti.............. 12
FOCUS ON...
Pentesting
DVWA,
Continuiamo a studiare > 36
r
l’applicazione creata pe
in un
imparare l’hacking Web
lizzato!
pratico ambiente virtua
M IGLIO RARE
A I U
P
TA
R
C
E
I
F
A
E R I TA!
A
LA TUA RIVIST it.ly urnal
/hackerjo
ttps:// b
Vai su h questionario
anonimo
e compila il
4
Il primo manifesto hacker
“... avete mai guardato dietro agli occhi dell’hacker?
Vi siete mai chiesti cosa lo stimola, che forze
lo hanno formato, cosa può averlo forgiato?
Io sono un hacker, entra nel mio mondo...”
> 28
SICUREZZA
Firewall | Alziamo le difese, parte 2
Simuliamo una rete locale da attaccare o difendere................................................28
GSN3
HOW TO 44
HACKULTURE > 54
Zetun | La storia di giovane pirata
Un ragazzino timido di giorno, un hacker spietato di notte.................................. 54
NLETTUERE WS e
650 siti violati, cremones acker”
h
a processo: “non sono un
#HACKED Stefano Barca è accusato di introduzione abusiva
e danneggiamento a sistemi informatici, ora rischia 8 anni di carcere
Un 34enne di Cremona è accusato di aver violato i codici di oltre 650 siti Web,
tra cui anche quello del tribunale di Milano. L’imputato ha però negato il suo
coinvolgimento e ha chiarito di essere solo “un abile programmatore che non
per forza fa del male”. Stefano Barca ha ammesso, invece, di essere entrato
RED TEAM - DEVELOPMENT in una chat mondiale dedicata all’informatica e all’hackeraggio, perché
AND OPERATIONS interessato all’argomento. È nella stessa chat che un utente ha dichiarato
di aver colpito il sito del tribunale e sempre lì sono stati diffusi i link degli hack.
Lavorare nel Red Team di Dell’introduzione abusiva al sito del tribunale, l’imputato ha ammesso di averne
un’azienda è il sogno di molti parlato con un altro utente chiamato “Deadman” e racconta: “Lui si vantava
aspiranti hacker. Essere
all’interno della chat e ha pubblicato il link della violazione. Purtroppo non ho
autorizzati ad attaccare gli
utenti per cercare di fregarli cancellato le conversazioni, ma ho salvato questi link per poter riuscire a vederli
non ha prezzo! Per farlo però tutti. È come se un appassionato di falegnameria avesse salvato articoli
servono notevoli conoscenze sul tema”. Di link sul suo PC ne sono stati trovati 700. Ma non solo: sul computer
e qualcuno che sappia c’erano anche elenchi di titolari di carte di credito, codici di bancomat
guidare un team di questo e password. Tra le accuse contestate all’imputato c’è ora anche quella
tipo. Proprio per dare
di phishing. Scopriremo il suo destino al ritorno in aula, previsto per il 30 marzo.
indicazioni pratiche su come
funziona l’operativita di un
Red Team e su come gestirlo,
i due autori di questo volume
hanno deciso di raccontare
su carta la loro esperienza
sul campo. Ci sono piaciuti
in particolare gli esempi,
davvero utili per chi deve
costituire un nucleo
di hacker di questo tipo.
Questo volume, in inglese,
costa 18,74 € e lo trovi
su Amazon all’indirizzo
https://amzn.to/31w6wUr
6
NEWS
Un centro di Trend Micro:
possiamo
Cybersecurity difenderci!
Proteggi il cloud!!
per gli attacchi alla supply chain.
7
HACKTUALITÀ
Il bug di sudo
LICENZA #ADMIN Un ricercatore Apple ha scoperto
MICROSOFT
con privilegi elevati (root) nei sistemi coinvolti
C O N H A C K E R J OURNAL
A SCUOLA
#SCHOOL Ebbene sì!
Il nostro amato HJ diventa
materiale didattico
per imparare l’arte
dell’hacking!
8
ABBONATI
ABBONATI SUBITO!
SUBITO!
NEWS
33 ,90€ invece
T ITA
GARAN
80€ di 46,
RO
R R I VA ENT
TI A 8 ORE
4 Potrebbero interessarti anche:
VERSIONE
DIGITALE IN Abbonamento Il mio Oggetti
Computer Idea 39,90€ Connessi
OMAGGIO! sconto del 13% 9,90€ su www.sprea.it
Riceverò 12 numeri a soli 33,90 euro anziché 46,80 euro con lo sconto del 27%
FARHAN UL ARSH
Conspiracy to Comm AD
it Wire Fraud; Cons
Computers; Wire piracy to Gain Unau
Fraud; Unauthori thorized Access to
zed Access to Comp
uters
10
HA C K T U A L I TA À
cover story Sfida da hacker: Capture the Flag!
Scova bug nelle palestre online e batti sul tempo migliaia di esperti............................................. 12
12
sha1 è stato
Febbraio
crackato!!!
osano dirti
Dal 2002 tutto quello che gli altri non
Linux nello
postale – MBPA/LO-NO/125/A.P./2017-
Installiamo Kali su Android...
senza bisogno di root!
Usa il battito
r
Sfida da hacke
Capture the flag
Scova bug e vulnerabilit
à nelle palestre online
di esperti
e batti sul tempo migliaia
zetun,genio
del carding simulare le reti
Le avventure di un Pentesti ng ricreiamo in laboratorio
Con GNS3
ragazzino divenuto Cross Site Scripting:
Reflected
Web il network di computer e
server
milionario rubando come attaccare una pagina che dobbiamo colpire o
proteggere
grazie a un campo di input
carte di credito
06/02/20 09:49
1
001_HJ241_cover.indd
Sfida da hacker
Capture The Flag
Scova bug e vulnerabilità nelle palestre
online e batti sul tempo migliaia di esperti
A
vete mai sentito parlare di Capture di Capture The Flag; tra queste le più
The Flag? Non ci stiamo riferendo conosciute sono Jeopardy, Boot2Root
alla versione inglese del nostro e Attack/Defense. Anche se solitamente
ruba bandiera, bensì ai CTF intesi i CTF si limitano a queste tre categorie sono
come competizioni – o giochi che dir si noti alcuni casi di formati misti, come dei
voglia – che consistono nella ricerca di una Boot2Root + Jeopardy, che non rientrano
vulnerabilità presente in sistemi e software in nessuna delle categorie sopraelencate.
messi a disposizione dagli organizzatori In questo articolo cercheremo di fare
della competizione. Un CTF si può affrontare chiarezza sulle varie tipologie di CTF,
in solitaria oppure, come capita molto vi sveleremo quali sono i principali
spesso, in team. Troviamo i CTF online, portali o raccoglitori di CTF presenti
oppure durante le manifestazioni legate in Rete e vi mostreremo alcuni esempi
al mondo della sicurezza. pratici. Buona lettura!
COME SI VINCE?
Per vincere in questo gioco è necessario
trovare e sfruttare il maggior numero di Partecipare a un CTF
falle possibili, collezionando le cosiddette è il modo migliore per
flag (bandiere) nascoste all’interno del
sistema bersagliato. Alcuni degli obiettivi
apprendere concetti
consistono, invece, nella risoluzione di come reverse engineering,
puzzle logici o nella ricerca di un modo OSINT, steganografia
efficace per riuscire ad abusare di un
sistema. Esistono diverse tipologie o analisi forense
13
HACKTUALITÀ d a hacker
COVE R STO RY: Sfi d a
Le tipologie di CTF
JEOPARDY BOOT2ROOT
ATTACK/DEFENSE
I l terzo e ultimo formato convenzionale di CTF è Attack/Defense, ovvero attacco e difesa. In questi casi
si lavora principalmente a squadre, a ognuna delle quali viene assegnata una virtual machine
messa a disposizione dagli organizzatori. A differenza dei casi visti in precedenza, non si tratta solo
di trovare le vulnerabilità e attaccare, bensì bisogna difendere i servizi esposti ad attacchi presenti
sulle macchine virtuali senza comprometterne la disponibilità. A mettere in pericolo i suddetti servizi
sono proprio i team avversari, che, così facendo, innescano
un meccanismo di attacco e difesa all’interno
del quale ognuno dovrà contemporaneamente
attaccare e difendere le virtual machine presenti.
A ogni attacco o difesa portata a termine
con successo corrispondono dei punti calcolati
in base al numero di flag sottratte o conquistate
da uno specifico servizio. Alla fine del tempo
prestabilito, la squadra che ha portato
a casa più punti viene proclamata vincitrice.
Per organizzare questo tipo di eventi
è richiesta una certa preparazione e, trattandosi
di operazioni complesse, le competizioni
Attack/Defense vengono svolte offline.
14
sha1 è stato
Febbraio
crackato!!!
osano dirti
Dal 2002 tutto quello che gli altri non
Linux nello
postale – MBPA/LO-NO/125/A.P./2017-
Installiamo Kali su Android...
senza bisogno di root!
Usa il battito
r
Sfida da hacke
Capture the flag
Scova bug e vulnerabilit
à nelle palestre online
di esperti
e batti sul tempo migliaia
zetun,genio
del carding simulare le reti
Le avventure di un Pentesti ng ricreiamo in laboratorio
Con GNS3
ragazzino divenuto Cross Site Scripting:
Reflected
Web il network di computer e
server
milionario rubando come attaccare una pagina che dobbiamo colpire o
proteggere
grazie a un campo di input
carte di credito
1
001_HJ241_cover.indd
S
iete esperti di
informatica e volete
avvicinarvi al mondo
del Capture The Flag
e magari cimentarvi in qualche
challenge? Come avrete capito,
il modo migliore per farlo ISCRIZIONE
è accedere ad Hack The Box La prima
(www.hackthebox.eu). Si tratta sfida è capire
di una piattaforma online che vi come ci si
permette di testare e migliorare iscrive ad
HTB. Quale
le vostre abilità nel Penetration
sarà mai
Testing e nel mondo della
figura #1
il codice
cybersecurity. Hack The Box d’invito?
contiene numerosi CTF che
vengono aggiornati
continuamente per consentire COME CI SI REGISTRA non è così. Vediamo passo
agli utenti iscritti di affrontare Questa procedura potrebbe per passo come procedere.
nuove sfide. Alcune di queste rivelarsi più complessa Innanzitutto dovrete accedere
simulano scenari reali, mentre di quanto credete: provando al sito https://www.hackthebox.
altre sono Capture The Flag fini a registrarvi sul sito di Hack The eu/. Scorrendo l’homepage
a sé stessi, pensati per testare Box, vi verrà richiesto un codice in basso, troverete la voce
le abilità dei partecipanti. d’invito da inserire per JOIN, cliccateci sopra.
Si tratta, a tutti gli effetti, della completare la registrazione. A questo punto si aprirà
piattaforma ideale (seppur Molti, a questo punto, la schermata di login, ma come
non l’unica) per migliorare potrebbero pensare che si tratti anticipato in precedenza
le vostre abilità e mettervi di una piattaforma esclusiva, vi verrà chiesto il codice d’invito
alla prova, soprattutto se siete magari riservata ad addetti (che per ora non avete) [figura
alle prime armi e volete ai lavori o membri di comunità #1]. Cliccate con il tasto destro
avvicinarvi a questa realtà. scientifiche, ma per fortuna sulla pagina e selezionate
la voce Ispeziona Elemento.
IL PRIMO INDIZIO
La pagina di richiesta del codice
d’invito nasconde l’indirizzo di uno
script che si rivelerà molto utile...
15
HACKTUALITÀ d a hacker
COVE R STO RY: Sfi d a
Un universo in espansione
S e pensate che il Capture The Flag sia un’attività
destinata esclusivamente ad hacker intenti a
portare a casa premi e riconoscimenti, vi sbagliate.
che li vedono impegnati nella risoluzione di CTF
di vario tipo, mentre la seconda parte è dedicata
ai talk che ogni anno vengono tenuti da alcuni dei
Questa tipologia di eventi, sempre più diffusa più affermati esperti nel settore della sicurezza
a livello globale, viene utilizzata frequentemente informatica. I prossimi eventi in programma
in contesti universitari nell’ambito della ricerca; si terranno ad Amsterdam nel mese di aprile,
durante questi eventi, team appartenenti a diverse a Singapore in luglio e infine ad Abu Dhabi,
facoltà informatiche si cimentano in challenge in concomitanza con l’Expo di novembre 2020.
che li vedono competere con colleghi provenienti
da tutto il mondo. Non a caso, ogni anno, si
organizzano diverse conferenze sul tema; una
delle più importanti, che raccoglie un gran numero
di professionisti e ricercatori esperti di IT security,
è HITB Security Conference (https://conference.
hitb.org/). Nel corso della conferenza vengono
trattati e discussi principalmente argomenti
che riguardano le future minacce alla sicurezza
dei sistemi informatici mondiali. La conferenza si
divide in due tranche da due giorni ciascuna. Nella
prima parte i partecipanti si cimentano in training
16
sha1 è stato
Febbraio
crackato!!!
osano dirti
Dal 2002 tutto quello che gli altri non
Linux nello
postale – MBPA/LO-NO/125/A.P./2017-
Installiamo Kali su Android...
senza bisogno di root!
Usa il battito
r
Sfida da hacke
Capture the flag
Scova bug e vulnerabilit
à nelle palestre online
di esperti
e batti sul tempo migliaia
zetun,genio
del carding simulare le reti
Le avventure di un Pentesti ng ricreiamo in laboratorio
Con GNS3
ragazzino divenuto Cross Site Scripting:
Reflected
Web il network di computer e
server
milionario rubando come attaccare una pagina che dobbiamo colpire o
proteggere
grazie a un campo di input
carte di credito
SECONDA CONVERSIONE
06/02/20 09:49
1
001_HJ241_cover.indd
,
Let s hack!
A
ll’interno di Hack The Queste challenges a loro volta ma niente di più). Lo scopo
Box un comodo menu sono divise per categorie. di questo tipo di sessioni
ci accompagnerà è quello di violare le macchine,
nelle varie sessioni • Machines ottenerne la flag contenuta
di hacking; in particolare Qui troviamo le macchine all’interno di un file (user.txt)
saranno due le voci da bucare. Le sfide, a differenza nella cartella /home della
su cui ci concentreremo. delle challenges, non offrono macchina. La sfida si può definire
(quasi) nessun indizio (spesso completa solo quando, oltre
• Challenges un “pizzico” di aiuto è fornito questo file, si ottengono
In questa pagina troveremo dal nome della macchina stessa, i permessi di root.
le sfide “offline”, o comunque
che non richiedono – quasi figura #5
mai – interazioni con server
della rete. Si tratta spesso
di indovinelli, file zippati,
immagini o documenti
da scaricare e da elaborare
per risolvere gli enigmi.
CERCHIAMO L’ILLUMINAZIONE
La sfida che affronterete si chiama Illumination.
Per prima cosa, scaricare un banale file Zip...
HACKTUALITÀ d a hacker
COVE R STO RY: Sfi d a
18
sha1 è stato
Febbraio
crackato!!!
osano dirti
Dal 2002 tutto quello che gli altri non
Linux nello
postale – MBPA/LO-NO/125/A.P./2017-
Installiamo Kali su Android...
senza bisogno di root!
Usa il battito
r
Sfida da hacke
Capture the flag
Scova bug e vulnerabilit
à nelle palestre online
di esperti
e batti sul tempo migliaia
zetun,genio
del carding simulare le reti
Le avventure di un Pentesti ng ricreiamo in laboratorio
Con GNS3
ragazzino divenuto Cross Site Scripting:
Reflected
Web il network di computer e
server
milionario rubando come attaccare una pagina che dobbiamo colpire o
proteggere
grazie a un campo di input
carte di credito
06/02/20 09:49
VISUALIZZIAMO L’HASH
1
001_HJ241_cover.indd
MISSIONE COMPIUTA!
Scovato il token, è sufficiente copiarlo
nel campo di testo della challenge,
figura #8
indicare il livello di difficoltà secondo
noi e premere Submit.
19
SICUREZZA
Con f e s s i o n i
di un p e n t e s t e r
i, p er m es ti er e, ce rc a di superare
a ch
Come passa la giornat delle aziende?
le difese informatiche , uno dei massimi
a R ic ca rd o M eg g ia to
Lo abbiamo chiesto security
esperti italiani di cyber
INTERVISTA
C
hi non ha mai sognato
di potersi guadagnare
da vivere violando
sistemi informatici,
bucando reti aziendali
e intrufolandosi nei Wi-Fi
aziendali? Probabilmente
questo è il sogno, nemmeno
troppo segreto, di molti lettori
di Hacker Journal: poter seguire
la propria passione,
guadagnarci e non dover
correre il rischio di finire
al gabbio per essersi infilati
là dove non si poteva.
NON BASTANO GLI STRUMENTI
Abbiamo avuto modo
Kali Linux, pur non perfetta, è un’ottima soluzione per un pentester. Ma Riccardo
di parlare con qualcuno che ci avverte: “gli strumenti non sono così importanti. Bisogna sapere cosa fare”.
questo sogno lo ha realizzato,
Riccardo Meggiato. Ho imparato a programmare materiale dalle BBS (Internet era
in linguaggio binario a 9 anni, poco sviluppato) divenni vittima di
Giornalista, pentester, per un caso fortuito. Siccome ero un banale virus. Caso volle che in
esperto di sicurezza... chi è grassottello, in classe ero piuttosto quel periodo stessi testando delle
e cosa fa Riccardo Meggiato? isolato e quindi arrivavo sempre routine che si occupavano di una
Un’ottima domanda. Non saprei ultimo a scegliere un libro dalla rudimentale modalità multiplayer
definirmi, però posso dirti una biblioteca di classe. I libri “migliori” del gioco a cui stavo lavorando.
cosa: seguo tutto ciò che mi fa venivano sempre presi dagli altri, Virus, codice, architettura delle
battere il cuore. La mia fortuna quindi me ne capitò in mano uno, reti… scoccò la scintilla.
credo che risieda nel fatto impolverato e mai letto da
che il mio cuore ha sempre nessuno, che parlava del codice Quali strumenti usi quando
battuto per attività che invece altri binario con la metafora di bruchi ti occupi di pentesting?
ripudiavano: cybersecurity, digital e mele. Non avevo ancora Adotti distribuzioni come Kali
forensics, sviluppo di videogame un computer ma mi innamorai Linux (o simili) o degli
o di software per la ricerca. della possibilità di comunicare strumenti realizzati da te?
La mia carriera è iniziata molto con appena due numeri, 0 e 1. Dirò una cosa controcorrente:
presto ed è oggi diversificata. Da lì, e faccio un salto temporale nel pentesting i tool non c’entrano
notevole, mi trovai a proprio nulla. Devi avere
Come ti sei avvicinato al programmare videogame innanzitutto molto ben chiaro
mondo della cybersecurity? e quando si trattò di scaricare cosa vuoi testare. Negli ultimi
21
SICUREZZA
seguire metodologie molto
precise per non inficiare
il reperto digitale.
22
CONFESSIONI
INTERVISTA
Un hacker indiano ha sviluppato uno senza alcuna forma di protezione.
Indirizzo IP, MAC et voilà.
dei malware per smartphone più Non credo fosse un gran
evoluti che abbia visto in vita mia sistemista, a pensarci bene.
Se devo pensare a qualcuno,
eccitante come qualsiasi cosa e rinunce. E quando raggiungo un al contrario, di abile, penso a un
a cui mi dedico. Descrivere una obiettivo me ne pongo di nuovi. Gli hacker indiano che ha sviluppato
mia giornata tipo è complicato obiettivi sono tutto, nella mia vita. uno dei malware per smartphone
dato che non faccio solo il più evoluti che abbia visto
pentester, ma posso dire quali Potresti raccontarci qualche in vita mia. Solo un reverse
sono i miei personali elementi aneddoto curioso? Sei engineering lungo e tedioso
imprescindibili. Innanzitutto, incappato in qualche hacker ci permise di capire con cosa
sto attentissimo all’alimentazione. particolarmente brillante avevamo a che fare.
Questo mi consente di rimanere o, al contrario, incredibilmente
lucido in ogni momento della sprovveduto? Si parla molto di ATP: nella
giornata. Poi svolgo attività fisica Ne avrei moltissimi, ma ne scelgo tua carriera ti è capitato
ogni giorno: 45-50 minuti di uno recente. Un rapporto di avere a che fare con
palestra. Così scarico la tensione clandestino tra il manager attacchi sponsorizzati
e tengo alto il livello di endorfine, di un’azienda e una collega da governi o simili?
che contribuiscono a mantenere diventano oggetti di un maxi Negli attacchi ATP, al contrario
elevato l’ottimismo, la positività ricatto. In pratica, qualcuno di quel che si legge in giro,
e la lucidità. Dedico almeno mandava loro foto dei flirt la geolocalizzazione è davvero
un’ora, ogni giorno, a provare in ufficio (flirt spinti, diciamo), difficile da stabilire. Puntare
qualche nuova tecnica o tool. ripresi tempo addietro, e chiedeva il dito contro un paese può essere
È importante notare che quando ingenti somme per non diffondere davvero pericoloso e temo che
dico “ogni giorno” intendo sette quelle foto all’esterno. ultimamente lo si faccia troppo
giorni su sette, anche a Natale Le foto venivano inviate tramite spesso. Detto questo sì, mi è
e Ferragosto. Non perché email. Indovinate? Venivano capitato spesso di essere chiamato
sia asociale, ma perché ho degli spedite da Outlook, dal medesimo ad analizzare attacchi di questo
obiettivi da perseguire e sono ufficio. Per la precisione, tipo, ma per ovvie ragioni
obiettivi che richiedono dedizione dall’amministratore di sistema, non ne posso parlare.
23
HACKTUALITÀ
V E M O R I R E
SHA-1 DE SL po tr eb be ro es se re a rischio grazie
GnuPG, CAcert e OpenS ll ’a lg or it m o di cifratura SHA-1
op er to ne
a un nuovo baco sc
S
ecure Hash Algorithm COSA SONO LE COLLISIONI? complicata e lunga anche per gli
è un protocollo La sicurezza degli attuali elaboratori, e il fatto che a ogni
crittografico sistemi crittografici si basa hash – ogni password cifrata
sviluppato dalla NSA prevalentemente su due fattori: – corrisponda solo una parola.
nei primi anni 90 e utilizzato la complessità matematica Quando quest’ultima condizione
come standard federale negli della fattorizzazione dei non viene soddisfatta, si parla di
USA. Con il tempo si è evoluto numeri primi, un’operazione collisione hash. Praticamente,
in SHA-2 (che include quattro
varianti: SHA-224, SHA-256,
SHA-384 e SHA-512) e oggi
Google insiste per rimuovere SHA-1 dai protocolli
è ormai considerato ormai
supportati su Internet dal 2017, da quando
molto anziano. ha dimostrato le prime vulnerabilità del protocollo
Per questioni di compatibilità realizzato dalla NSA.
con i sistemi legacy, però,
non è mai stato del tutto
abbandonato e questo
rappresenta un problema
dal momento che si è rivelato
essere poco sicuro.
Il fatto che soffra di serie
vulnerabilità, in realtà, è noto
fin dal 2017, quando alcuni
ricercatori di Google
dimostrarono la prima collisione
hash, evidenziandone quindi
l’inaffidabilità, almeno sulla carta.
24
CRITTOGRAFIA
crearne una identica,
Le applicazioni che mostravano permettendo a un attaccante di
i maggiori rischi sono state patchate violare la cifratura, a partire da
per mitigare il problema, per fortuna qualsiasi input, rendendolo di
fatto utilizzabile in un numero
per decifrare un messaggio dove dimostrano come sia molto maggiore di scenari. Oltre
c’è più di una password valida. possibile velocizzare a essere molto versatile, l’attacco
Insomma, fin dal 2017 sappiamo ulteriormente i calcoli. Il metodo descritto nello studio è
che SHA1 è bacato ma se non ha chosen-prefix che hanno relativamente economico da
ottenuto lo stato di deprecated sviluppato è molto più efficace portare avanti. Basandosi sui
è per due motivi: è poco usato rispetto a quello usato prezzi di Amazon Web Service,
(come abbiamo visto, la stessa in precedenza e offre a un gli autori stimano che usando
NSA negli anni lo ha aggiornato) potenziale attaccante un’enorme l’approccio di Google, l’attacco
e, in ogni caso, l’exploit teorico flessibilità: aggiungendo dei costerebbe fra i 110.000
reso pubblico dai ricercatori era caratteri alle hash, è possibile e i 560.000 dollari, a seconda
estremamente difficile da
mettere in pratica dal punto
di vista tecnico, a causa della
potenza di calcolo richiesta.
Il cluster usato dai ricercatori
Per Google non è stato
un grande problema
per gli esperimenti
concentrare momentaneamente Trattandosi di un progetto di ricerca finanziato dall’Università, Leurent
gli sforzi della sua enrome e Peyrin non avevano cifre enormi da investire per i loro esperimenti.
infrastruttura cloud per calcolare Invece di affidarsi a risorse di calcolo come quelle offerte da AWS,
hanno scelto di appoggiarsi a gpuservercentral.com, che mette a
9 quintilioni di hash SHA-1
disposizione cluster di GPU a un prezzo molto competitivo, 5 cent (di
(9,223,372,036,854,775,808, dollaro) per ogni CUDA core. Il sistema messo in piedi era basato su
a essere precisi), ma per un 150 computer ciascuno dotato di 6 GPU. Queste ultime erano tutte
comune attaccante ci sarebbe GeForce GTO 1060, alcune da 3 GB, altre da 6 GB. A coordinare il tutto
ci pensava un master node basato su un Core i7 e due hard disk da 2
voluto un anno intero di calcoli
TB in RAID. Fatta eccezione per il master node, che doveva essere
per un cluster di 110 GPU. potente per coordinare il lavoro del cluster, tutti gli altri nodi non
Sino al momento prima della richiedevano CPU particolarmente potenti (il carico di lavoro veniva
scoperta, l’unica alternativa gestito dalle sole GPU), tanto che si è optato per economici
era un approccio brute force. processori Pentium o Celeron con due soli core.
Il costo di un simile giocattolo? I ricercatori
Per ottenere la soluzione nello hanno negoziato un prezzo di 37.800
stesso periodo di tempo, un dollari al mese e usato il cluster
anno, sarebbero state necessarie per due mesi.
12 milioni di GPU. L’approccio di
Google, insomma, è 100.000 volte
più veloce rispetto al brute force.
Niente male come passo avanti.
25
HACKTUALITÀ
di quanto tempo si vuole Il metodo per craccare SHA-1
impiegare per portarlo a termine.
Leurent e Peyrin sono riusciti è 100.000 più veloce rispetto
a replicare i risultati spendendo a un approccio brute force
circa 75.000 dollari per il noleggio
di risorse computazionali tentare di fare un downgrade GLI HACKER POTREBBERO
in cloud. Sostengono anche del protocollo in fase di attacco, APPROFITTARNE?
che ai tempi del test, l’algoritmo forzando il più debole e quindi Gli autori della ricerca sono
non fosse ancora ottimizzato applicando questo particolare consci dell’impatto che potrebbe
al meglio. Con le loro ultime attacco. Gli autori della ricerca avere la loro scoperta e in via
modifiche il costo scenderebbe hanno naturalmente avvisato precauzionale non hanno
a 45.000 dollari. La stima è che gli sviluppatori dei software pubblicato il codice sorgente
entro il 2025, un chosen-prefix potenzialmente coinvolti, che si necessario per sfruttare l’exploit,
collision attack su SHA-1 potrebbe sono già adoperati per mettere né diffuso tutti i dettagli relativi
arrivare a costare meno di 10.000 delle pezze. I programmatori di alla loro scoperta.
dollari, arrivando davvero GnuPG lo hanno aggiornato così Questo naturalmente non
alla portata di chiunque. da non accettare alcuna forma fermerà a lungo i malviventi
creata con SHA-1 a partire che, essendone a conoscenza,
QUALI APP SONO A RISCHIO? da gennaio 2020. I responsabili faranno di tutto per riuscire
SHA-1 fortunatamente non viene di CAcert e gli sviluppatori a sfruttare la vulnerabilità
più utilizzato, pur essendo di OpenSSL invece non hanno, quanto prima. La posta in gioco
ancora disponibile come metodo al momento della stesura del resto è molto elevata: chi
alternativo per dispositivi dell’articolo, una soluzione, non sogna di compromettere
o applicazioni legacy. Per citare sebbene stiano adottando una chiave crittografica
alcune app che ancora lo contromisure. I primi hanno investendo cifre tutto sommato
prevedono, troviamo GnuPG, esplicitato l’intenzione di basse (per un’organizzazione
CaCert, OpenSSL. Potrebbero abbandonare SHA-1, mentre criminale o governativa).
non essere le uniche e alcuni i secondi stanno valutando di In ogni caso, meglio non
sistemi potrebbero ancora disabilitarlo nei casi in cui la preoccuparsi troppo nonostante
basarsi su certificati SHA-1 per sicurezza è una priorità. Non sono MD5 sia da tempo fallato,
l’handshake tramite protocolli gli unici a essere affetti dal è ancora uno standard attuale,
TLS o SSH, così come potrebbero problema e l’unica soluzione, usato pochissimo e solo
essere vulnerabili alcune chiavi a detta dei ricercatori, è quella per sistemi legacy, ma per
PGP. Il problema è che, di rimuovere del tutto il supporto quanche motivo non viene
nonostante siano supportati di questo protocollo in ogni eliminato del tutto. Possiamo
di default protocolli più recenti contesto. Esattamente quello che illuderci che sarà diverso
e sicuri, un hacker potrebbe Google consiglia, ormai dal 2017. per quanto riguarda SHA-1?
Il nuovo attacco a SHA1 è 100.000 volte più veloce (ed economico) rispetto a quelli
descritto da Google tre anni orsono. Fa impressione notare che un algoritmo come
MD5, creato nel ‘91 e ancora usato, sia craccabile in 30 secondi con uno smartphone.
26
SICUREZZA
FIREWALL Alziamo le difese, parte 2
Impariamo a simulare una LAN da attaccare o difendere ............................................. 28
SECONDA
PARTE
GLOSSARIO
LAN
DI BASE Alziamo le difese un a rete locale usando
Acronimo di Local
Im pa ria m o a si m ul are
Area Network.
tool gratito
Fa riferimento a un
contesto di rete
la virtualizzazione e un pratico
N
locale. Solitamente
la rete LAN ha el precedente articolo operativo utilizzato, nel nostro caso
un proprio schema
abbiamo installato e Microsoft Windows;
di indirizzamento
IP privato.
configurato il firewall pfSense • avviare il processo di installazione;
[figura #1]. A questo punto, • Installare tutti i componenti
WAN per rendere più realistica la nostra aggiuntivi che saranno richiesti
Sta per Wide Area simulazione, effettueremo e necessari al funzionamento
Network e si riferisce l’integrazione con un software che del software, tra cui WinPCAP,
a una rete globale
ci permetterà di realizzare scenari Wireshark e Solar – Putty;
in cui lo schema di
indirizzamento IP relativamente alle architetture di rete; il • avviare GNS3.
è quello pubblico. software in questione si chiama GNS3 Se la procedura è stata effettuata
La rete WAN più nota (www.gns3.com). L’installazione non correttamente, apparirà la schermata
è Internet. è particolarmente complessa e GNS3 iniziale dello strumento [figura #2].
è liberamente
SWITCH
Il compito di questo
utilizzabile. I passi figura #1
dispositivo è di da eseguire sono:
instradare i pacchetti • accedere al sito
all’interno della ufficiale;
stessa sottorete. • effettuare
Al suo interno è la registrazione
presente una tabella
inserendo la
(CAM Table)
che contiene propria mail;
l’associazione • scaricare il file
tra MAC Address eseguibile in base
e indirizzo IP. al sistema Interfacce di rete definite all’interno del firewall pfSense
28
FIREWALL
figura #2
software proprio VirtualBox
e, dopo aver premuto il pulsante
Refresh dovrebbe apparire
il nome della VM GNS3
precedentemente importata.
Alla voce vCPU cores lasciamo
il valore 1, in quanto poco
significativo per la nostra
simulazione. Per la RAM size
Schermata iniziale di GNS3 a installazione completata. impostiamo 8048 MB, che è la
quantità di RAM che abbiamo
Per migliorare le performance Siamo quindi pronti a utilizzare destinato alla VM, clicchiamo
di GNS3 e aver la possibilità la macchina virtuale di GNS3 su next e poi su finish.
di simulare scenari più articolati, [figura #3]. Tale macchina non va La macchina virtuale si avvierà
è caldamente consigliato l’ausilio avviata direttamente tramite automaticamente, come si può
di una macchina virtuale di il pulsante “Start” di VirtualBox, verificare dall’interfaccia di VB.
supporto che è possibile installare bensì si torna su GNS3 e in
successivamente. Dato che noi particolare sul Setup Wizard – INTEGRIAMO TUTTO
effettueremo un’integrazione GNS3 VM accessibile dal menu Adesso che GNS3 è configurato
con il nostro firewall pfSense in alto a sinistra. A questo punto correttamente e la macchina
procederemo proprio in tal senso: si seleziona come virtualization virtuale di appoggio è in
• su Google digitare:
figura #3
“gns3 virtual machine”.
• si ha la possibilità di scaricare
la macchina virtuale per Oracle
Virtuabox, Vmware Workstation,
Fusion o ESXi;
• selezionare Oracle Virtualbox,
in quanto pfSense è già
in esecuzione proprio tramite
questo virtualizzatore;
• la VM sarà scaricata in un file Zip
che va decompresso;
Operazione di “import” della
• appena scaricata, basta macchina virtuale GNS3
effettuare un doppio click completata con successo.
e automaticamente si avvierà
Virtualbox e l’operazione
di “Import Virtual Appliance”;
• aumentare la quantità di RAM Cos’è GNS3?
in base alle risorse che si hanno
a disposizione lato “host”
(la macchina fisica), 8 GB (8048
È un software di simulazione
delle reti avanzato (www.gns3.
com). Uno dei suoi punti di forza
quest’ultimo all’interno dei nostri
progetti. All’interno della
documentazione ufficiale troviamo
MB) è un buon compromesso; è la possibilità di scaricare delle ottime guide in tal senso
delle immagini di dispositivi che ci permetteranno, in poco
• lasciare invariate le altre di terze parti e di poter così tempo, di essere padroni di
impostazioni e cliccare su rendere la simulazione ancora questo strumento. Utilissimo
“Import”; più efficace. Per esempio, anche per chi volesse cimentarsi
• attendere che il processo possiamo scaricare l’immagine nell’ottenimento della
arrivi a termine. di un router Cisco e inserire certificazione Cisco CCNA.
29
SICUREZZA
Configuriamo la rete di test Ethernetswitch-1 (Ethernet1).
30
FIREWALL
Regole di
un firewall
L a definizione di nuove
regole è uno degli aspetti
fondamentali nella gestione
di un firewall. Le regole, infatti,
permettono di filtrare il traffico
in entrata e in uscita all’interno
delle reti presenti.
Una regola si compone
dei seguenti elementi:
• Indirizzo IP sorgente.
figura #5 • Indirizzo IP destinatario.
• Porta.
efinizione di una nuova regola sul firewall pfSense. • Azione da eseguire.
Precisiamo che i firewall
Premiamo Invio e verifichiamo con inerente all’interfaccia attuali (Next Generation
il comando sh ip che i parametri esterna WAN. Firewall) permettono
siano stati effettivamente Definiamo una nuova regola ulteriori possibilità.
assegnati. Se tutto è a posto, che permette o meno il flow
posizioniamoci sull’icona del PC-2 (flusso) dei pacchetti di tipo ICMP
e ripetiamo l’operazione (Internet Control Message per confermare la definizione
precedente cambiando però Protocol). Ricordiamo che questi della nuova regola [figura #5].
l’indirizzo IP usato [figura #4]: pacchetti si generano tramite Ci manca un ultimo passo:
l’utilizzo del comando ping accedere nuovamente a GNS3,
ip 192.168.56.12 255.255.255.0 all’interno del sistema operativo nello specifico alla console di PC-1,
192.168.56.10 considerato. Perciò eliminiamo e digitare il comando
le ultime due regole presenti
Così facendo i due VirtualPC (Description: Default allow LAN ping 192.168.56.10
hanno un proprio indirizzo IP to any rule e Description:
privato appartenente alla Default allow LAN IPV6 to any In questo modo verifichiamo se
sottorete 192.168.56.0/24 che è la rule) utilizzando il tasto Delete, siamo in grado di effettuare con
stessa sottorete interna utilizzata posizioniamoci sul tab “LAN” (in successo il ping verso l’interfaccia
dal firewall pfSense; inoltre, quanto dobbiamo definire tale interna del FW. Se l’esito è
hanno come default gateway tipologia di regola) e clicchiamo positivo, modifichiamo la regola
l’indirizzo IP dell’interfaccia interna su Add per aggiungere una nuova: del firewall, questa volta
di quest’ultimo. • Action: Pass. specificando Action: Block.
Accediamo adesso all’interfaccia • Interface: LAN. Eseguendo nuovamente il ping,
di gestione del firewall pfSense, • Protocol: ICMP. per esempio dal PC-2, il comando
in particolare alla parte di Lasciamo il resto con i valori di non dovrebbe riuscire a inviare
definizione e gestione delle regole. default e salviamo le impostazioni i pacchetti verso il target. Abbiamo
Nel menu Firewall scegliamo premendo Save. Apparirà a così dimostrato che i due
Rules. Troviamo due tab: questo punto un nuovo pulsante VirtualPC sono sotto il controllo
• LAN che permette la gestione Apply Changes, premiamolo e l’azione del firewall pfSense.
e la segmentazione del
traffico inerente all’interfaccia
interna LAN;
• WAN che permette le gestione/
segmentazione del traffico
31
HOW TO
Kali su Android.
,
PerchE no?
Per trasformare uno smartphone o un tablet Android in uno
strumento per pentester non servono più i privilegi di root...
U
sare uno smartphone da 6 pollici siamo riusciti a gestire
IN BREVE
Android di ultima senza problemi una distro come Kali
Installiamo la distro Kali
generazione con 6 GB Linux grazie alle gesture integrate che
sul nostro smartphone
di memoria RAM permettono di usare le dita al posto
o tablet Android senza
i privilegi di root e schermo AMOLED da 6 pollici del mouse (se poi abbiamo un tablet
e oltre solo per telefonare o per e vogliamo collegarci un mouse
DIFFICOLTÀ
i social è uno spreco. Viste le sue Bluetooth tanto meglio!).
potenzialità di elaborazione,
paragonabili a quelle di un PC di fascia COSA SERVE
media, sarebbe comodo poter Per prima cosa occorrerà cercare nel
utilizzare un software di modellazione PlayStore l’app AndroNix, installarla
3D Open Source come Blender oppure e selezionare la distro che ci interessa
un ambiente di sviluppo come IntelliJ tra le otto disponibili. Siccome
IDEA. Per non parlare di tutte le app i comandi vanno inseriti in un emulatore
di hacking integrate in una distro Linux di terminale, dovremo averne uno e tra
come Kali. Tutto ciò è possibile anche i tanti il migliore resta Termux. Se,
con uno smartphone senza privilegi però, cerchiamo esperienze grafiche
di root: basterà installare AndroNix, più rilassanti, il consiglio è di installare
un emulatore di terminale e ambiente un Desktop Environment a scelta tra
Linux e un’app per il controllo remoto. Xfce, LXQt, LXDE o MATE. Una volta
configurato il sistema, potremo usare
COME FARE i classici repository e sfruttare tool
Installare una distro Linux su come Aircrack-ng o John the Ripper
un telefono Android su cui gira e Metasploit Framework
un processore di tipo ARM direttamente dallo smartphone.
(i modelli che usano quelli
con x86 dovrebbero diventare IL GRUPPO SU TELEGRAM
compatibili a breve) è tutto Per parlare con la community che cura
sommato semplice. Certo, la manutenzione dell’app Andronix,
i migliori risultati si avranno dovremo iscriverci al Gruppo AndroNix
con un tablet da 10 pollici su Telegram dove troveremo anche
e oltre, ma anche su un video e documenti relativi all’app, oltre
classico smartphone ai consigli di altri 700 appassionati.
32
ANDRONIX
Installare Kali Linux su Android
Gratis dal Play Store Il miglior emulatore
L’app AndroNix Oltre ad AndroNix
è disponibile come è necessario avere
progetto Open un emulatore
Source sul Play di terminale
Store di Google per esegue i comandi
ed è stata a oggi necessari
scaricata più all’installazione.
di 50.000 volte. Gli sviluppatori
Gli unici due dell’app consigliano
requisiti richiesti di installare Termux
sono la presenza che è uno dei più
di una versione potenti e completi
di Android dalla disponibili sul Play
5.1 in su e di un Store. Dopo averlo
chipset ARM nel installato, consigliamo
dispositivo. Oltre, di controllare
naturalmente, la presenza
a un display di di eventuali
grandi dimensioni aggiornamenti
per facilitare inserendo
il movimento il comando
#1 sul desktop. #2 pgk upgrade.
33
HOW TO
Copia e incolla Un po’ di pazienza
La procedura Una volta fatto tap
necessaria su Termux, si aprirà
all’installazione della l’app e noi dovremo
distro Kali Linux tenere premuto vicino
è semplicissima. alla riga di comando
Basterà fare tap fino a quando
su Copy e poi non comparirà la voce
su Termux, Copy/Paste/More.
dopodiché Selezionando
si aprirà Paste il comando
l’emulatore di sarà inserito
terminale (che nel automaticamente.
frattempo dovremo Noi dovremo solo
avere già installato dare Enter da tastiera
sul nostro e attendere.
dispositivo). Al termine, scriviamo
Se qualcosa non ./start-kali.sh per
dovesse esserci avviare Kali in
chiaro, in fondo modalità testuale,
alla schermata c’è dopodiché torniamo
comunque il link all’app AndroNix
#5 al video tutorial.
#6 per procedere.
, ,
Con il desktop giusto e tutto piu facile
Scegliamo un DE Serve VNC Viewer
Gli smanettoni Per visualizzare
potranno cavarsela l’ambiente grafico
con l’emulatore che abbiamo
di terminale e con installato, servirà VNC
la linea di comando. Viewer. Scarichiamolo
Volendo, però, dal Play Store,
si può installare installiamolo
un Desktop e quindi registriamoci
Environment. per poter tenere
Noi abbiamo scelto in memoria i dati
Xfce, ma ce ne sono che inseriremo.
altri tre disponibili. Potremo usare
Selezioniamo quello VNC Viewer anche
che fa per noi per collegarci
facendo tap sulla a computer remoti
sua voce, passiamo sui quali girino
di nuovo a Termux Windows, Mac
e incolliamo o Linux e per
il comando che controllarne
si è copiato il funzionamento
quando abbiamo direttamente
#7 selezionato il DE. #8 dallo smartphone.
34
ANDRONIX
Impostare VNC Scheda remota
Dopo avere Una volta inseriti
installato il DE i dati richiesti
(potrebbe essere all’interno di VNC
un’operazione Viewer, verrà creata
lunga, della durata una scheda
di più di mezz’ora, su cui dovremo fare
e richiede circa 2 GB tap per aprire
di spazio; al termine la nostra versione
scegliamo una di Kali.
password non Da qui potremo
troppo corta), scegliere il livello
dovremo collegare di resa grafica
VNC Viewer alla (se abbiamo
nostra versione di uno smartphone
Kali, esattamente non molto recente
come se fosse su sarà meglio optare
un’altra macchina. per Low) e decidere
Per farlo, basterà se vogliamo
inserire l’indirizzo che vengano
localhost:5901 aggiornati ogni volta
e il nome che i dati relativi
#9 abbiamo scelto. #10 al desktop.
35
SICUREZZA
E
ccoci tornati al penetration
test della nostra “palestra
per pentester”, costruita
sfruttando la
virtualizzazione. Da qualche figura #1
puntata abbiamo spostato
la nostra attenzione sulla
componente applicativa
del servizio Web usando Damn
Vulnerable Web Application.
Forti della piena proprietà
dell’infrastruttura testata,
abbiamo avuto la possibilità L’homepage del server Web.
di testare e sfruttare a nostro
vantaggio la vulnerabilità nota
come RCE (Remote Command dei controlli sull’input utente, di exploiting. Che si tratti di una
Execution), riuscendo a ottenere riesce a utilizzare codice lato client vulnerabilità stored o piuttosto
addirittura una shell sulla (tradizionalmente JavaScript, ma reflected, la procedura d’attacco
macchina Web Server della nostra anche altri linguaggi si prestano è tutto sommato la stessa.
palestra. In questa puntata avremo perfettamente allo scopo) per 1 L’attaccante fornisce
modo di esplorare un’altra creare un effetto malevolo di tipo all’applicazione (per esempio, nella
vulnerabilità molto diffusa permanente o temporaneo. Nel casella di testo per la ricerca di
in ambito Web, denominata primo caso, l’attacco è detto stored contenuti presente praticamente
Cross Site Scripting (XSS). XSS, mentre nel secondo (di cui ci nella totalità delle Web app) un
occuperemo in questa puntata) input malevolo, costituito da codice
VULNERABILITÀ DEL WEB è detto reflected. Entrambe le per l’esecuzione di una qualche
Si tratta di una tecnica nella quale tipologie di Cross Site Scripting, attività (per esempio, il codice
l’attaccante, facendo leva comunque, condividono – di per sé innocuo – <script
sull’assenza (o sull’inadeguatezza) le medesime cause e tecniche type=’text/javascript’>alert(‘xss’);
36
PENETRATION TEST
</script>, che si limita a visualizzare interessante vedere l’attacco dal parte sinistra della pagina;
una finestra di dialogo a video); vivo. A tal fine occorre effettuare • selezionare il livello di sicurezza
2 L’applicazione non effettua una innanzitutto il login all’applicazione, low nell’apposito menu a tendina;
sufficiente validazione dell’input selezionando il relativo link • premere il pulsante Submit per
fornito dall’attaccante, e si limita presente sull’homepage del server confermare la scelta e verificare
a usarlo così com’è, provvedendo Web [figura #1], oppure digitando che l’indicatore del livello di
alla sua esecuzione in tempo reale nella barra degli indirizzi del sicurezza dell’applicazione
(se abbiamo una vulnerabilità browser l’URL http://www. (Security Level), ben in evidenza
di tipo reflected) oppure labpentest.hj/dvwa. Verrà nell’angolo in basso a sinistra
all’inserimento permanentemente visualizzata la schermata di login: di ciascuna pagina di DVWA,
in una delle proprie pagine come visto nelle scorse puntate, si modifichi di conseguenza.
dinamiche (XSS di tipo stored); per scoprire le credenziali da
3 A questo punto, l’attaccante utilizzare è sufficiente scorrere ESAME DELLA WEB APP
dispone di un URL, relativo a una sino al fondo la pagina (username Come di consueto, prima di
pagina della Web app vittima, admin e password password). lanciarci nell’attacco è importante
in grado di eseguire il codice Una volta completata questa dedicarsi innanzitutto allo studio
malevolo iniettato: può usarlo, operazione, possiamo selezionare della Web application. La pagina
per esempio, per rubare i cookie il livello di sicurezza desiderato relativa alla vulnerabilità è
di sessione di utenti legittimi, (iniziamo con quello più semplice raggiungibile mediante il link
assumendone l’identità. da attaccare, ovvero il livello low), reflected XSS, posto nel menu
modificando l’opzione di default di navigazione visibile a sinistra
LOGIN A DVWA che invece è high. A tal fine dell’homepage di DVWA.
Piuttosto che proseguire con è necessario: Il funzionamento sembra semplice:
la descrizione teorica della • cliccare sulla voce DVWA la pagina accetta una stringa come
vulnerabilità, è senz’altro più Security nel menu posto nella input (nelle intenzioni dello
d i t e s t c o m p l e t o
Un ambiente Rete
Internet 211.100.1.2 Target
Backbone
211.100.1.1 Server
212.100.1.3 FTP
Router
212.100.1.1
210.100.1.2
212.100.1.2
Pentester Server
210.100.1.1 Web
37
SICUREZZA
figura #2 si chiama proof-of-concept:
la dimostrazione inequivocabile
della presenza di una falla e della
possibilità di sfruttarla per scopi
illeciti, ottenuta senza ricorrere
a un vettore d’attacco in grado
di danneggiare concretamente
il bersaglio. Nel nostro caso,
possiamo utilizzare come
Inserimento dell’input proof-of-concept la stringa
nella Web application. <script>alert(“prova”);</script>
che, qualora eseguita, si limita
sviluppatore, il nome di battesimo eseguibile lato client, come a visualizzare a video una finestra
dell’utente), che utilizza per JavaScript). In assenza di filtri di dialogo contenente la stringa
presentare un messaggio di saluto specifici, quindi, potrebbe essere “prova”. Per quanto possa
personalizzato. Per esempio, se sufficiente inserire il nostro sembrare strano, si tratta di una
digitiamo nella casella di testo codice malevolo nella casella minaccia tutt’altro che innocua:
la parola prova [figura #2], di testo per vederlo eseguito un esito positivo della nostra
l’applicazione ci restituisce il dal browser degli utenti… verifica si tradurrebbe nella
messaggio Hello prova [figura possibilità di poter eseguire codice
#3]. Si tratta, potenzialmente, PROVA DI FATTIBILITÀ JavaScript arbitrario nel browser
del migliore scenario possibile Per verificarlo, non ci resta che dell’utente finale, con risultati
per sferrare un attacco XSS: l’input provare a fornire all’applicazione limitati solamente dalla creatività
utente viene passato a una pagina un vettore di attacco di per sé dell’attaccante.
del sito Web, da cui viene trasferito inoffensivo, ma in grado di Procediamo quindi a inserire
al browser dell’utente per la sua confermare l’esistenza della la stringa all’interno della casella
visualizzazione e/o esecuzione vulnerabilità. Stiamo parlando, di testo [figura #4] e clicchiamo
(qualora si tratti di codice cioè, di quella che in gergo sul pulsante Submit: al posto
38
PENETRATION TEST
figura #3 si tratta dei cosiddetti cookie di
sessione, che vengono impiegati
nell’ambito del colloquio tra client
e server. Nello specifico, il processo
per tener traccia dell’identità
di un utente a seguito del login
si compone di più fasi:
1 l’utente inserisce le proprie
L’esecuzione
credenziali nella schermata di login
del proprio compito
della Web application;
da parte della
2 la Web app verifica la correttezza
Web application.
delle suddette credenziali e, in caso
positivo, consente l’accesso,
del messaggio di saluto visto Contrariamente a quanto generando un apposito cookie
in precedenza, verrà visualizzata potremmo immaginare, di sessione che d’ora in poi
una finestra di dialogo che l’associazione non avviene tramite identificherà l’utente;
presenta, per l’appunto, il testo indirizzo IP: possiamo verificarlo 3 il cookie viene trasmesso
“prova” [figura #5]. richiedendo la visualizzazione della al browser dell’utente unitamente
pagina relativa alla vulnerabilità alla prima pagina dell’area protetta;
ATTACCARE XSS attraverso un download 4 ciascuna richiesta successiva
L’AUTENTICAZIONE manager, come wget. inviata dal browser dell’utente
Una volta provata l’esistenza della Se eseguiamo il comando contiene il cookie di sessione,
vulnerabilità, non ci resta che consentendo così al server
sfruttarla per qualcosa di più # wget http://www.labpentest. di identificare l’utente stesso
interessante che un semplice hj/dvwa senza necessità di chiedere
messaggio di prova. Le funzionalità nuovamente l’inserimento
offerte da JavaScript ci offrono che, per l’appunto, richiede delle relative credenziali.
diverse opzioni; in questa sede, la visualizzazione della pagina Trattandosi di una Web app
tuttavia, opteremo per un attacco in questione, il risultato è quello realizzata in PHP, i cookie
rivolto alla sessione utente. Come rappresentato in [figura #6]. di sessione assumono il poco
visto all’inizio di questa nostra Il server Web ci restituisce fantasioso nome di PHPSESSID:
verifica, prima ancora di iniziare l’homepage di DVWA perché, è proprio questo il valore
il solo esame della Web app, evidentemente, non ha alcuna che cercheremo di visualizzare
la prima operazione che abbiamo traccia della nostra identità con il nostro attacco.
eseguito è stato il login. Solo e pertanto ci richiede di procedere
successivamente abbiamo potuto con l’autenticazione. L’ATTACCO XSS
visualizzare le pagine per la Eccoci giunti al momento
selezione del livello di sicurezza di COOKIE DI SESSIONE dell’attacco vero e proprio.
Damn Vulnerable Web Application Possiamo quindi escludere La stringa da inserire non è molto
e quelle relative alla vulnerabilità che il metodo per l’identificazione diversa da quella utilizzata in
XSS, poste all’interno dell’area dell’utente si basi sull’indirizzo IP: precedenza: come in occasione
privata dell’applicazione. Se ci ma allora, qual è la tecnica della nostra proof-of-concept,
pensiamo bene, tuttavia, dopo impiegata? La risposta è semplice: cercheremo di visualizzare una
il login iniziale non è stato più
necessario fornire le nostre Secondo una ricerca di precisesecurity.
credenziali d’accesso: ciò significa
che la Web application “ricorda”
com, quasi il 40% di tutti i cyberattacchi
la nostra identità. Ma in che modo? del 2019 sono stati di tipo XSS
39
SICUREZZA
figura #4 • il cookie security, con valore low,
evidentemente utilizzato dalla Web
app per tenere traccia dell’attuale
livello di sicurezza impostato;
• il cookie PHPSESSID, l’unico a cui
siamo realmente interessati, il cui
valore – come visto – identifica
la sessione dell’utente.
Un lettore particolarmente
diffidente potrebbe obiettare che
la mera visualizzazione dei cookie
di una sessione relativa al nostro
Il testo stesso utente non costituisce,
dell’attacco... in fin dei conti, un grande risultato.
In realtà le cose non stanno
figura #5
esattamente così: poter
visualizzare i cookie di sessione
mediante ricorso a Cross Site
Scripting costituisce il preludio
– come vedremo nella prossima
puntata – ad attacchi più
dirompenti, in grado di mettere
nelle mani di un attore ostile
la sessione di un utente
inconsapevole, e con essa tutti
… e il suo risultato! i suoi privilegi e le sue informazioni.
40
PENETRATION TEST
\
figura #7
Tre anni
Il testo dell’attacco per
ottenere i cookie
di galera
di sessione. Chiunque abusivamente
si introduce in un sistema
con wget? Come visto, nonostante basta istruire wget a trasmettere, informatico protetto da misure
la sessione stabilita attraverso unitamente alla richiesta della di sicurezza ovvero vi si
il browser, usando questo tool pagina, anche il valore corrente mantiene contro la volontà
non è stato possibile visualizzare le dei cookie security e PHPSESSID. espressa o tacita di chi ha il
pagine dell’area protetta della Web Possiamo specificare tali valori diritto di escluderlo, è punito
application. Il server, infatti, ci ha con l’argomento --header di wget: con la reclusione fino a 3 anni.
chiesto di effettuare nuovamente
il login, in quanto non ha # wget --header=“Cookie: Cosa significa questa frase, vista
“riconosciuto” l’accesso eseguito security=low; PHPSESSID= nell’ottica di un penetration
in precedenza tramite browser. d6472da785b75ab232a732a1c09e21a0” tester? La risposta è semplice:
Questo comportamento, che in http://www.labpentest.hj/dvwa per quanto buone possano
precedenza ci era apparso essere le vostre intenzioni, mai
contraddittorio, può essere richiede per l’appunto la eseguire un penetration test
spiegato alla luce delle conoscenze visualizzazione della stessa pagina (o anche solo una parte di esso)
appena acquisite: banalmente, che ci è stata negata in precedenza, su sistemi che non siano di
il server non ha “riconosciuto” con l’accortezza dell’invio del valore vostra proprietà, a meno che
la nostra identità perché wget non dei cookie di sessione. La pagina non disponiate di un apposito
ha provveduto a comunicargliela, scaricata coincide con quella vista permesso scritto da parte di tutti
non avendo trasmesso i cookie nel corso della verifica, un risultato i proprietari dell’infrastruttura
di sessione. Adesso che siamo di tutto rispetto, eppure gli attacchi da testare. Ovviamente, per
in possesso della corretta chiave XSS possono fare di più: per “permesso scritto” non stiamo
di lettura, non è difficile porre scoprirlo non vi resta che parlando certo di una semplice
rimedio a questo inconveniente: attendere il prossimo numero. mail (soluzione che qualcuno
potrebbe proporvi), ma piuttosto
Ecco i cookie di sessione: attacco riuscito! di un documento formale
(la cosiddetta manleva) in cui si
stabilisce, tra l’altro, quali siano
i sistemi da testare, che tipo
di test effettuare e i vincoli
a cui dovete attenervi. È questo
documento (e il rispetto dei
relativi termini) che differenzia
un penetration tester (ovvero
figura #8 un professionista) da un volgare
pirata informatico.
41
SICUREZZA
.1 quale gateway
nsmallinux.org/ • l’indirizzo 211.100.1
all’URL http://www.dam 210.100.1.0/24
per accedere alla rete
la palestra #4
a di nome
connessa alla rete intern
“intnet”, la seconda alla rete interna Server Web
ux
di nome “intne t1”; Sistema operativo: Lin
tuito e: eseguire
L’ambiente di test è costi Configurazione di ret
una shell
(Linux 2.4 a 32 bit);
uite i seguenti comandi da RAM: 256 MB;
da macchine virtuali eseg con i privilegi di root: Disco fisso: selezionare
l’opzione
nel e esistente”,
in modalità Live (da ISO “Usa disco fisso virtual
con estensione
so no quindi scegliere il file
nostro caso). Di seguito #ifconfig eth0 up
.100.1.2 “vmdk” posto all’ int ern o de l file
ni di #ifconfig eth0 210
riassunte le impostazio netmask 255.255.2
55. 0 compresso scarica to all’ind irizzo
ione /pr cts/
creazione e di configuraz
oje
#ifconfig eth 1 up https://sourceforge.net
virtuale: .100.1.1 metasploitable/;
per ciascuna macchina #ifconfig eth1 211
55.0 Rete: una scheda di ret
e, connessa
netmask 255.255.2
v4.ip_forward=1 ern a di no me “intnet2”;
#sysctl -w net.ip alla rete int
e: eseguire
.100.1.0/24 Configurazione di ret
#1
#route add -net 212
Pentester gw 211.100.1.2 i seguenti comandi
roo
da
t:
una shell
ux con i privilegi di
Sistema operativo: Lin
(Ubuntu a
RAM: 1024 MB;
64 bit);
#3 Router
Sistema operativo: Lin
ux
#sudo ifconfig eth
255.255.255.0
0 212.100.1.2
#5
per la macchina
re all’URL Archiviazione: come
Server FTP
(da sca rica
l’ISO di Kali Linux ezi on ando l’ISO
.ka li.o rg/ do wn loa ds/); Pentester, ma sel
https://www rica re all’URL
e, con ssa
ne di Zeroshell (da sca ux
Rete: una scheda di ret et/download/); Sistema operativo: Lin
alla rete interna di nome
“intnet”; http://www.zeroshell.n (Linux 2.4 a 32 bit );
ret e, la prima
Configurazione di ret e: eseguire Rete: tre schede di RAM: 64 MB;
e “so lo host” vboxnet0
i seguenti com and i da un a shell connessa alla ret Disco fisso: nessuno;
parametri per la macchina
con i privilegi di roo t: per l’impostazione dei Archiviazione: come
restanti
di configurazione delle Backbone;
alla rete interna e, connessa
# ifconfig eth0 210
.100.1.1/24 interfacce, la seconda Rete: una scheda di ret
t1” , la ter za alla rete “intnet2”;
# route add default gw di nome “intne alla ret e intern a di no me
no me “in tne t2” ; e: eseguire
210.100.1.2 interna di Configurazione di ret
e: dall’interfaccia
Configurazione di ret i seguenti comand i da un a shell
ibil e dal browser
Web di Zeroshell (fru ep orr e sem pre
#2
ricordando di ant
indirizzo
Backbone della macchina
http://19 2.1 68.
fisi
0.7
ca,
5, pre
all’
via i privilegi di roo t:
42
HOW TO
maker e biometria La password e il tuo battito
,
Encrypt Buddy, un hack che trasforma il tuo cuore nella chiave d’accesso...................................... 44
La password
E il tuo battito! , un hack che trasforma il tuo cuore
nella chiave d’accesso al PC o agli hard disk cifrati
G
arantire un accesso sicuro La normale password serve sempre,
IN BREVE
a servizi online, hard disk ma ad essa si aggiunge una feature
Costruiamo un sistema
cifrati o altri device non è aggiuntiva (da qui il nome Buddy)
di protezione biometrico
proprio una passeggiata. che integra un ulteriore livello
basato sul cuore
Le password vengono scoperte di protezione alle altre misure
DIFFICOLTÀ
(come si può intuire seguendo gli di sicurezza messe in campo. Il tutto
articoli che siamo facendo in merito, è pensato in modo da permettere
vedi pagina 48), i sistemi biometrici il trasporto sicuro di informazioni
non sono poi così impossibili da sensibili (da qui il nome Encrypt).
hackerare… e via dicendo. Allora, Il device si collega a una porta USB
non appena abbiamo visto uno dei ed è composto da diversi dispositivi
progetti finalisti della tappa torinese elettronici, tra cui un sensore di
del Campionato Universitario impronte digitali e un sensore di
LO SCHEMA
DEL PROGETTO Makers (https://campunimakers.it/) battito cardiaco, con un programma
I ragazzi del team abbiamo pensato che, pur essendo di decriptazione incorporato che può
Inquisicion.sh sono partiti un “embrione” di progetto, possa essere eseguito su diversi sistemi
da un Arduino e da un interessare ai nostri lettori. operativi. Esso decripta le
sensore di battito cardiaco. informazioni presenti sul computer
BIOMETRIA tramite l’impronta digitale dell’utente
Stiamo parlando (usata come token) e il battito
di Encrypt cardiaco come requisito aggiuntivo,
Buddy, un distruggendo i dati in caso di accesso
meccanismo non autorizzato. Lo scopo è disporre
pensato per di un token portatile, unico per ogni
sbloccare persona, che non permetta lo sblocco
dischi cifrati, di informazioni sensibili né tramite
casseforti o repliche delle impronte né forzando
altri device. la persona stessa.
44
MAKER E BIOMETRIA
I CAMPI DI UTILIZZO società di revisione contabile,
Il lettore si immagini il seguente
scenario: una compagnia
operazioni governative
o individui come avvocati
Team
tecnologica affida a un impiegato specializzati in brevetti, ecc… Inquisicion.sh
S
il trasporto di merci di grande copriamo chi sono i ragazzi
valore dal quartier generale MA COME FUNZIONA? del team che ha ideato
a un altro centro specializzato Ci siamo fatti spiegare il e creato questo ingegnoso hack.
in ricerca e sviluppo. funzionamento di Encrypt Buddy Adrian Sager La Ganga
La tecnologia in questione direttamente dai ragazzi Sono nato in Spagna. Fin da
è completamente nuova e che lo hanno realizzato. piccolo mi sono interessato
potrebbe dare alla compagnia «Il nostro prototipo consiste all’ottimizzazione di compiti
usando automazioni, o nel
il primato sul libero mercato. di varie parti elettroniche di mettere in pratica
Se un’azienda rivale volesse serie, le quali si sono però fantastiche idee usando
giocare sporco e cercare di rivelate inaffidabili durante algoritmi artigianali e un po’
mettere le mani su tale risorsa i test, ma che hanno funzionato d’immaginazione. Ricordo le
giornate passate con i miei amici a
non potrebbe, in quanto abbastanza bene come
giocare PvP in un server Minecraft,
il contenitore, oltre a essere compromesso per mostrare mentre io passavo tutto il tempo
bloccato in modo sicuro, la nostra idea. Inoltre, per far nella base facendo magia nera con
avrebbe bisogno che la persona funzionare il dispositivo, è stata la Redstone. Frequento il corso di
Laurea Triennale in Computer
incaricata si trovi in uno stato introdotta un’implementazione
Engineering al Politecnico di Torino.
di tranquillità. Il lettore potrebbe semplificata dell’impronta
però obiettare: “L’altra digitale come metodo di Samuel Oreste Abreu
compagnia non potrebbe autenticazione. Il circuito, Sono nato e cresciuto in
Venezuela. Il percorso in cui
estrarre le informazioni con abbastanza semplice, consiste
mi sto immergendo si basa
la forza?”. Se fosse eseguito in un sensore di battito cardiaco sulla convinzione che il
un attacco di tipo brute force, KY-039 e un Arduino che legge la ragionamento umano può
si attiverebbe il protocollo sua uscita in modo analogico essere modellato in modo
matematico e successivamente
di sicurezza andando a popolare (lettura della tensione). Il KY-039
emulato, e come tale mi si
i dati con bit casuali, rendendoli è un sensore elettronico che potrebbe chiamare accolito
così inutili. Questo dispositivo, consiste di un LED a infrarossi, o sostenitore dell’Intelligenza
inoltre, potrebbe essere usato una resistenza e un fotoresistore Artificiale Generale (AGI, vedi per
in altre aree professionali che (transistor che permette esempio https://it.wikipedia.org/
wiki/Intelligenza_artificiale_forte).
trattano dati sensibili come il passaggio di corrente in base
Frequento il corso di Laurea
a quanta luce lo colpisce)». Triennale in Computer Engineering
«Il principio di funzionamento al Politecnico di Torino.
SENSORE ECONOMICO è il seguente: il LED a infrarossi è
Jacopo Marino
Il KY-039 usato in questo prototipo alimentato e diretto esattamente Sono nato a Cuneo.
costa poco più di un euro.
contro un pezzo di plastica con Fin da piccolo ho avuto una
due terminali. Il dito dev’essere passione verso la tecnologia.
messo esattamente sotto questa Ricordo i primi tempi passati
su Internet usando un
plastica che ha, al suo interno, modem a 56K e le modifiche
un fotoresistore che, in base fatte al mio computer fisso.
a quanta luce il dito riflette, Sostenitore dell’utilizzo dei
permette un passaggio computer per migliorare la vita alle
persone e per rendere il mondo un
di corrente che porta a una
posto migliore, frequento il corso
variazione di tensione. di Laurea Triennale in Ingegneria
Il quantitativo di luce riflessa Informatica al Politecnico di Torino.
45
HOW TO
CUORE DA MAKER
Arduino è l’anima di ogni SENZA IL TOKEN
progetto elettronico creato La scheda Arduino viene
dagli artigiani digitali associata al computer tramite
collegamento USB e ha l’obiettivo
di criptare un insieme di dati.
Nel nostro caso è stata usata
la criptazione SHA256 testata
su dei file, anche se può essere
usato direttamente su una
la differenza di potenziale partizione di un hard disk.
letta alla porta analogica Il codice del prototipo risulta
è comparata con la tensione semplice ed è stato
di riferimento della scheda, implementato con il linguaggio
cambia in ottenendo come risultato di programmazione Python.
base a come un numero compreso Il token viene trasmesso dalla
il sangue fluisce tra 0 e 1023 in base alla tensione porta seriale dell’Arduino e, una
all’interno del dito». letta). Questa informazione volta ricevuto, il programma
«Nella creazione del programma deve essere elaborata e quindi presente sul computer si
per Arduino le cose cominciano diventa necessario disporre occuperà di decriptare i dati.
a diventare complesse: di un modello matematico. Per la comunicazione seriale tra
com’è risaputo, essendo I dettagli implementativi il computer e Arduino abbiamo
un microcontrollore, ogni del codice verranno omessi, usato l’estensione pyserial 3.4,
informazione che riceve ma il flusso di lavoro eseguito mentre per la crittografia è stato
dal mondo reale è interpretata è il seguente: usato il toolkit pycrypto 2.6.1.
come digitale (nel nostro caso 1 Setup iniziale di Arduino Dopo un certo numero di
(setup del monitor seriale, tentativi errati, dipendente dalla
CAMPIONATO
attivazione delle porte digitali sicurezza voluta, il programma
e analogiche, ecc…). provvede a popolare i dati con
46
MAKER E BIOMETRIA
IL CODICE CHE DECIFRA dell’omonima libreria. filename di 32 byte uguali a 0x00
Inizialmente, si importano sarà il file codificato da decriptare. si recupera il token basato
i moduli necessari (serial – per La variabile PWDSIZE è impostata sull’impronta digitale e il battito
la comunicazione via USB con al valore 32 in quanto SHA256 cardiaco, inviato da Arduino via
Arduino, time – per controllare fa uso di 256 bit, cioè 32 byte. seriale. Quindi si usa il token per
la serializzazione del codice, pwdbytes, invece, impostato con decriptare il file con decrypt(key,
crypt – per cifrare e decifrare 32 byte uguali a 0x00, è usato per filename). Se l’impronta digitale
il filesystem) e si inizia la indicare il token. Si legge l’input non è corretta oppure il battito
comunicazione con Arduino da Arduino con arduino.read: non è giusto, i dati “decrittati”
usando la funzione Serial se si trova questa sequenza non saranno leggibili.
47
HOW TO
RTE
TERZA PA
Craccare le password!
Hai un sistema GNU/Linux e pensi che nessuno ci possa entrare?
Ecco come ottenere l’accesso al sistema anche da offline!
N
IN BREVE ei numeri precedenti serrati) sono i tentativi di login
abbiamo approfondito effettuati, ma entrano in gioco anche
Continuiamo a
il tema degli attacchi di tipo fattori sui quali l’attaccante non ha
studiare le tecniche
e gli strumenti usati online alle password. alcun controllo, come la quantità, la
dagli hacker per Siamo passati dagli attacchi di forza qualità e la tipologie di contromisure
attaccare le nostre bruta a quelli del dizionario, sino agli adottate dal sistema target. Se questi
chiavi d’accesso attacchi di tipo password spray: inconvenienti sembrano eccessivi,
DIFFICOLTÀ tecniche diverse, caratterizzate da punti l’unica alternativa è quella di affidarsi
di forza e tempi d’esecuzione differenti. a un approccio completamente diverso.
Nonostante le diversità, tuttavia, i Stiamo parlando degli attacchi offline,
metodi visti condividono il medesimo che al contrario non richiedono ulteriori
denominatore: perché l’attacco possa interazioni con i sistemi target.
essere lanciato è necessaria Questo tipo di attacchi, infatti, si muove
un’interazione diretta con il bersaglio. in una dimensione completamente
differente, consentendo di superare
ATTACCHI OFFLINE la necessità di interrogare il sistema
Ciò si traduce in una certa “rumorosità”, target a ogni tentativo di login.
che può favorire il rilevamento
dell’attacco da parte della vittima. PREREQUISITI
Le probabilità che l’attività malevola L’idea alla base è alquanto semplice,
GLOSSARIO sia individuata, naturalmente, risultano sebbene la sua realizzazione risulti
DI BASE tanto più alte quanto maggiori (e più tutt’altro che banale: ogni sistema
CARATTERI
SPECIALI figura #1
Usati nelle parole
d’ordine per renderle
più difficili da craccare, Una porzione del file
sono i caratteri non /etc/passwd utilizzato
alfabetici, per esempio nei nostri esempi.
!, $, #, %, _, -.
WORDLIST
È un file di testo
contenente una
possibile password
per ogni riga. Questo
file viene impiegato
negli attacchi detti
“a dizionario”.
48
HACKING CON KALI
I FILE DELLE PASSWORD
Sì, avete capito bene: sebbene
nell’accezione comune il
Una porzione del contenitore venga visto, per lo più,
file /etc/shadow come un’entità unica, nei sistemi
utilizzato nei nostri GNU/Linux le credenziali sono
esempi.
suddivise, per motivi di sicurezza,
in due diversi file. Per la precisione:
• il file /etc/passwd, accessibile
in lettura a tutti gli utenti, contiene
figura #2
le informazioni di base su ciascun
account definito nel sistema,
separate dal carattere ; (punto e
virgola). Si tratta di informazioni di
natura tecnica e “anagrafica”, che
che adotta un meccanismo In uno scenario del genere spaziano da dettagli intimamente
di autenticazione basato su possiamo far ricorso agli attacchi connessi al funzionamento del
credenziali deve necessariamente offline per garantirci di mantenere sistema (userID, tipo di shell
conservare in un apposito l’accesso anche nel caso in cui associata, percorso della home
“contenitore” (tipicamente un file la vulnerabilità sfruttata venga directory) a quelli relativi
o, nei sistemi più complessi, un patchata, o se vogliamo recuperare all’identità personale dell’utente
database) le coppie username le password attualmente in uso (i cosiddetti campi GECOS, tra
e password assegnate agli utenti. nella speranza tutt’altro che priva i quali ricordiamo il nome
Perché, allora, non impossessarsi di fondamento – che possano completo dell’utente, il suo
di questo contenitore e provare essere adottate anche in altri numero telefonico e altri recapiti);
a “recuperare” le password sistemi della medesima rete. • il file /etc/shadow contiene invece
direttamente da lì? Si tratta di un Quali che siano i nostri scopi, le password di ciascun utente,
approccio che può riservare ottimi per effettuare un attacco offline in un particolare formato offuscato
risultati, sebbene richieda come dobbiamo innanzitutto e non invertibile che avremo modo
prerequisito l’aver stabilito – in un impossessarci di quello che di approfondire nella prossima
momento precedente l’attacco abbiamo definito il contenitore puntata. È un file accessibile
vero e proprio – una connessione delle password. Nei sistemi GNU/ in lettura e scrittura solo agli utenti
con il sistema target, attraverso Linux ciò significa accedere ai due con diritti di root, i quali tuttavia
la quale esfiltrare il “contenitore” file /etc/passwd e /etc/shadow. possono limitarsi
delle password.
In altri termini, se gli attacchi
Esercitarsi in sicurezza
online sono utilizzati, per lo più,
per ottenere il primo accesso,
quelli offline consentono di
raggiungere l’obiettivo della
persistenza in un sistema al quale
P rima di iniziare le nostre
sperimentazioni, è doverosa
un’avvertenza: quelli che stiamo
attaccante. Se volete
evitare di essere
invischiati in beghe legali (di tipo
l’attaccante abbia già l’accesso. per illustrarvi sono strumenti civile o, peggio penale!) è bene fare
che, adoperati al di fuori della esperimenti unicamente su sistemi
necessaria cornice di sicurezza, di vostra proprietà, magari facendo
ATTACCHI A SISTEMI LINUX potrebbero danneggiare ricorso a una macchina virtuale
Supponiamo, per esempio, infrastrutture in esercizio o farvi (come descritto nell’articolo
di aver ottenuto i diritti di root passare per un vero e proprio sul penetration testing).
su un sistema GNU/Linux.
49
HOW TO
figura #3
Il comando unshadow al lavoro.
e dei contesti d’uso. I valori delle
figura #4 possibili password, infatti, possono
essere recuperati da un apposito
Il risultato del dizionario (modalità wordlist),
comando
prodotti calcolando tutte le
unshadow
avviato possibili combinazioni di un certo
in figura 3. insieme di caratteri, al pari di ciò
che avviene in un attacco di forza
bruta (modalità incremental),
o ancora sfruttando le informazioni
dell’utente (username e campi
GECOS) ricavabili dal file
solamente a modificare che non a caso rientra tra gli /etc/passwd (modalità single
le password in uso, senza riuscire strumenti messi a disposizione crack). La documentazione di John
a ricavarne il valore attuale dalla distribuzione Kali Linux, che the Ripper consiglia di iniziare
(operazione resa impossibile, utilizziamo nei nostri esperimenti proprio da quest’ultima opzione,
per l’appunto, dalla tipologia quale macchina attaccante. in quanto presenta due vantaggi
di offuscamento utilizzata). Nato in ambienti UNIX, questo tool da non sottovalutare:
Per i nostri test utilizzeremo si è poi diffuso anche nei sistemi • è l’unica delle tre opzioni a
i file /etc/shadow e /etc/passwd Windows, forte di un crescente utilizzare le informazioni personali
tratti dalla macchina virtuale successo che lo ha portato di un utente per ricavare la relativa
Metasploitable2 (https:// a essere uno degli strumenti più password (quanti di voi hanno mai
sourceforge.net/projects/ utilizzati nel panorama della utilizzato come chiave d’accesso
metasploitable/), che oltre security. I motivi del suo successo il proprio nome, il proprio
a fornire un certo numero di sono probabilmente da ricercarsi username o, peggio ancora,
utenze già definite, ci garantiscono nella sua potenza e versatilità; non il proprio numero di telefono?);
di poterci esercitare senza alcun a caso questo software consente • è considerevolmente più rapida
timore delle conseguenze penali di effettuare il cracking offline delle restanti modalità, e può
previste per coloro che attaccano delle password adoperando quindi essere utilizzata per
sistemi informatici altrui, come approcci diversi, modulabili una prima “scrematura” degli
descritto nel box Esercitarsi a seconda delle esigenze account, in modo da affidare
in sicurezza.
PASSWORD CRACKER
Una volta in possesso dei due file,
la prima cosa da fare è effettuarne
una copia, che chiameremo – con
poca fantasia – shadow [figura
#1] e passwd [figura #2].
A questo punto, tutto è pronto
per il nostro attacco offline,
che effettueremo utilizzando
un tool appartenente alla classe figura #5
dei password cracker. Stiamo
parlando di John the Ripper, La modalità single crack di John the Ripper in azione.
50
HACKING CON KALI
ATTACCHI ONLINE
OBIETTIVO RAGGIUNTO!
Nel nostro specifico caso [figura
#5], il risultato è a dir poco
eccellente: il tool riesce infatti a
individuare ben quattro password,
figura #7
51
HOW TO
figura #8
“user” può costituire una scelta venire incontro a tutte le esigenze. MIGLIORARE I RISULTATI
abbastanza inflazionata – e quindi A seconda delle nostre necessità Con gli ultimi due account violati,
suscettibile di essere inclusa in un e del contesto in cui ci muoviamo, abbiamo portato a sei il nostro
dizionario – non si può certo dire possiamo utilizzare un dizionario bottino complessivo. Rimangono
lo stesso di una password come particolarmente corposo come tuttavia ancora due password
msfadmin, che peraltro costituisce quello denominato rockyou da scoprire, come ci conferma
il bottino più prezioso della nostra (accessibile, inversione compressa, lo stesso tool [figura #8]:
sessione di cracking in quanto al percorso /usr/share/wordlists/
è relativa a un account con privilegi rockyou.txt.gz) oppure uno più # john --show da_craccare.txt
di sudo, ovvero in grado di snello e mirato, come il dizionario
effettuare operazioni con privilegi adobe_top100_pass.txt. Per il Se non vogliamo accontentarci
di amministratore. nostro prossimo test utilizzeremo dei risultati conseguiti, ci sono
una via di mezzo, la wordlist due possibili strade da seguire:
MODALITÀ WORDLIST burnett_top_1024.txt, che ricorrere nuovamente alla
In una verifica di sicurezza provvediamo innanzitutto modalità wordlist, scegliendo
o, peggio, in un attacco reale, a copiare nella directory corrente stavolta un dizionario diverso
conseguire un tale risultato o magari più corposo, oppure
costituirebbe la “pietra tombale” # cp /usr/share/wordlists/ provare la modalità incremental.
dell’attività, in quanto ci metasploit/burnett_top_1024. Se quest’ultima idea dovesse
consentirebbe di prendere il pieno txt password.txt stuzzicarvi, allora sappiate che
controllo del sistema. Nel nostro dovete armarvi di parecchia
caso, però, non vogliamo A questo punto, possiamo avviare pazienza. Per un attacco di forza
accontentarci: piuttosto, proviamo John the Ripper in modalità bruta effettuato utilizzando
a vedere se la modalità wordlist wordlist, con il comando esclusivamente caratteri alfabetici,
è in grado di migliorare il bottino il comando da eseguire è:
appena acquisito. Prima di avviare #john --wordlist=password.txt
nuovamente il tool dobbiamo da_craccare.txt # john --incremental=alpha
individuare il dizionario di da_craccare.txt
potenziali password da fornire in Il risultato, [figura #7], premia
pasto a John: la distribuzione Kali i nostri sforzi: abbiamo individuato Provate a lanciarlo prima di uscire
ci mette a disposizione, nella altre due password (nello specifico, di casa, chissà che al vostro ritorno
directory /usr/share/wordlists, 123456789 e batman) associate non troviate qualche bella
numerose wordlist in grado di agli utenti sys e klog. sorpresa…
figura #9
La modalità incremental di
John the Ripper in azione.
52
hackerjournal.it
LA STOR I A D I Z E T U N
Ra g a zi gior no,
z i n o t i m i d o d
s p i e t a t o d i n o t t e
h a c ke r
N
icolas (nome in tutto il mondo (dall’Ucraina il codice in ‘Admin = 1’
di fantasia), in Rete al Brasile), è stato beccato per diventare amministratore”
sotto i nick “Theeeel” a Parigi nel 2007 per colpa afferma in un’intervista. Proprio
o “Zetun”, è stato uno di un piccolo, quasi irrilevante, nella chat del forum di CaraMail
dei più giovani hacker francesi dettaglio: è andato online incontra un utente chiamato
e sicuramente uno dei più abili con il suo vero indirizzo IP. Dadoo, che gli parla di carte
al mondo nella falsificazione di credito rubate e gli spiega come
di carte di credito. Parte UN RAGAZZO COME TANTI sfruttarle. Ne prende una e la usa
di un gruppo di hacker sparsi Nicolas nasce alla fine del 1989 per comprarne altre online.
e vive nella “banlieue” di Parigi.
I genitori sono due persone LA NASCITA DEL GRUPPO
IL MANIFESTO comuni: uno lavora negli affari, Comincia così a frequentare
l’altro è consulente scolastico. forum sul Dark Web come
HACKER Timido e introverso, si avvicina Mazafaka (dove vennero
al mondo hacker a soli sei anni, reindirizzati molti degli utenti attivi
N el numero 7 di Phrack (http://
phrack.org/issues/7/3.
html#article), la rivista underground
quando legge l’Hacker
Manifesto in un numero
in ShadowCrew dopo la sua
chiusura), Carder e MyBazaaar,
dedicata al mondo hacker, Loyd della rivista Phrack. Da quel tutti siti utilizzati da pirati di mezzo
Blankenship, conosciuto come The
momento il computer e mondo per i loro loschi traffici
Mentor, pubblica il suo breve saggio
intitolato The Hacker Manifesto l’hacking diventano le due cose (dalla vendita di carte false allo
(ribattezzato poi “La coscienza di un più importanti nella sua vita. smercio di droga). È lì che fa
hacker”). The Mentor lo pubblica amicizia con “Lord Kaisersose”,
dopo essere stato arrestato per una
L’HACK A CARAMAIL “Maksisk”, “Junkee Funkee”
cyberintrusione. È uno dei testi più
importanti della cultura digitale Gli anni passano e le sue e “Drondon”, tutti hacker più
underground, diventa uno dei più capacità migliorano a vista anziani di lui e che diventeranno
diffusi e importanti testi degli anni d’occhio. Un pomeriggio dopo suoi complici. Infatti, nel 2003,
Novanta per i giovani che scoprono la scuola riesce a bucare a 13 anni, quello delle carte
che con i computer si possono fare
CaraMail, un importante di credito rubate e falsificate
moltissime cose, non solo usare
Excel. Nel film del 2010, The Social servizio di Webmail francese, diventa un lavoro vero. Il gruppo
Network, che racconta la storia utilizzando un semplice è compatto e sparpagliato
di Mark Zuckerberg, un poster privilege escalation: “bastava nel mondo: smerciano decine
con il testo del manifesto
accedere al codice sorgente di migliaia di carte, ottenute
è appeso nella camera di Mark
nel dormitorio di Harvard. e quando arrivavi hackerando siti di e-commerce
all’autenticazione, cambiavi a cui sottraggono i dati dei clienti.
54
ZETUN
numeri e ologrammi sulle carte. è protetto come il suo, e viene
Inizia così a fabbricarle lui stesso, individuato. Errore fatale: il Secret
un’attività decisamente più Service americano, che si occupa
remunerativa. Nicolas in questo di reati valutari online, da tempo
momento guadagna 50mila euro era sulle sue tracce e ora
al mese. A sedici anni ne ha già finalmente ha un IP “vero”.
messi via più di un milione, che In pochi giorni scoprono tutto
investe nella criptovaluta E-gold, su di lui e i suoi compagni.
ma la moneta digitale scoppia A giugno, con un blitz congiunto
come una bolla e lui perde tutto. franco-americano lo arrestano.
Ma non è grave perché continua
Colpiscono soprattutto utenti a guadagnare cifre folli. SALVO PERCHÉ MINORENNE
con conti gold o platinum, Rischia 14 anni di galera per aver
sia perché ritengono più facile BECCATO DALLA MADRE falsificato oltre 28mila carte di
fregare i ricchi, sia perché non Aprendo un album di fotografie, credito e rubato circa 12,5 milioni
vogliono colpire chi è povero. la madre scopre un centinaio di euro. La sua unica fortuna?
di carte. Nicolas le butta via e le Essere ancora minorenne. Gli
SHOPPING FOLLE promette di smettere, ma mente. danno 12 mesi di riformatorio
Gli affari vanno a gonfie vele Continuerà anche dopo che e l’obbligo di pagare una sanzione
e la soffitta di casa sua diventa il dirigente della sua scuola lo di 45mila euro, con la classica
un grande magazzino: televisori convoca, pregandolo di smettere, richiesta di redimersi davanti
costosissimi, tutte le console qualsiasi cosa stia facendo, perché a un giudice. “Cosa vuol fare da
sul mercato e decine di giochi, lo stanno cercando. grande?” gli chiedono al processo.
montagne di gadget e abiti firmati. “L’hacker etico”. Entrerà in una
Ma lui vuole di più: acquista online L’ERRORE FATALE scuola d’élite, studierà ingegneria
per 500 euro un enconder A maggio del 2007, a 17 anni, informatica e andrà a lavorare
MSR206, uno strumento per è a casa della sua ragazza quando prima per il ministero della
leggere e scrivere dati sulle bande si ricorda che deve chiudere una Difesa francese e poi per società
magnetiche, insieme a un attrezzo transazione da 80mila euro. di consulenza, per le quali
che permette di incidere in rilievo Lo fa dal computer di lei, che non si occupa oggi di fare pentest.
55
HACKULTURE
TRUFF E L O W T E C H
Ecco come si freganoeb
i dilettanti del W
M
achine learning, per alcuni tipi di pagamento)
blockchain, hanno innalzato notevolmente
container. il livello tecnico richiesto a chi in maniera molto diversa,
Le tecnologie vuole penetrare un sistema. sempre che venga punito.
sono diventate sempre più Ha contribuito molto anche In mancanza di strumenti
complesse e la cybersecurity il lavoro di tutti gli hacker etici e conoscenze, quindi, come
– soprattutto grazie agli e le decine di migliaia di pentest si sono organizzati?
hacker etici – ha fatto enormi che hanno condotto,
passi in avanti. Eppure, anche rafforzando e tarando in modo RITORNO AL LOW TECH
se i metodi di difesa si sono fine i sistemi di difesa. In risposta a metodi di difesa
evoluti, i criminali continuano Risultato? Per operare in Rete sempre più sofisticati,
a fregarci e per farlo usano occorrono delle competenze la mossa più efficace è tornare
le solite, vecchie truffe. molto al di sopra di quelle agli strumenti low-tech
basiche degli script kiddies. per colpire i greggi di “utonti”
CYBERDIFESE PIÙ POTENTI che pascolano in Rete.
Secondo le indagini realizzate MA IL CRIMINE NON SI FERMA Infatti, secondo il rapporto
da una società britannica Questo non è abbastanza Consumer Payments Survey
che si occupa di sicurezza per fermare i delinquenti della società britannica
per le grandi banche, c’è di Internet. Incentivati GlobalData, la tipologia
un cambiamento evidente sicuramente dal fatto di attacco perpetrata
nella scena della tecnologia. che trafugare un database ai conti online dei loro clienti
I nuovi metodi hi-tech (sistemi da un sito mal protetto è ancora è estremamente variegata
di AI per apprendere i pattern considerato un reato meno e si tratta nella maggior parte
di spesa degli utenti e bloccare grave di una rapina in banca dei casi delle solite truffe,
le transazioni fuori dal modello, e, a seconda del paese dove cioè quelle che richiedono
oppure l’uso della blockchain viene compiuto, viene punito un coinvolgimento della
56
LOW TECH HACKING
ANCHE L’IPNOSI
ERRORI BANALI.
La sicurezza delle Tra i metodi più assurdi c’è chi
credenziali dipende usa l’ipnosi per farsi consegnare
soprattutto le credenziali di accesso oppure
dal modo per convincere gli utenti a fare
in cui vengono acquisti online. O almeno, così
conservate.
sostengono le vittime fregate
tecnologia molto limitato minaccia informatica da venditori di amuleti o altri
e che puntano tutto ma sfruttano solo la credulità porta fortuna, che in realtà
sull’ingenuità degli utenti. delle persone. Dal classico hanno acquistati dei calzini
Nigerian Scam alla truffa del riempiti di carta straccia. Altri
IL PHISHING TORNA DI MODA Tocomocho, diffusa soprattutto attacchi si basano sull’utilizzo
È il motivo per cui ingegneria in Sudamerica, che consiste nel dell’ingegneria sociale e del
sociale, phishing vecchio stile far credere alle vittime di poter pretexting: spedire SMS
e addirittura la richiesta esplicita incassare i biglietti vincenti della o email facendo finta di essere
delle credenziali di accesso alla lotteria vinti da altri. Ma ci sono l’amministratore delegato di
vittima sono tornate di moda. anche truffatori che si fingono una grande azienda che ordina
«Il paradosso dei meccanismi operatori di telefonia mobile, al “suo” direttore finanziario di
di difesa sempre più avanzati di banche, di sistemi di gestione fare con urgenza un pagamento
dei sistemi di pagamento è che dei pagamenti, e che utilizzano a una società estera
le frodi vengono effettuate con la Rete praticamente solo per
vecchi metodi low-tech», dice trovare i contatti telefonici VITTIME PER ECCELLENZA
Vlad Totia, Payments Analyst (servendosi di database Il problema, purtroppo,
di GlobalData. Ecco quindi che comprati nel Dark Web) è sempre lo stesso: non c’è
ritornano le truffe via email e per fare chiamate VoiP non alcuna blockchain che possa
che non contengono nessuna tracciabili gratuite (o quasi). bloccare la stupidità umana.
57
HACKULTURE
SICUREZZA
, SEMPRE
A
ncora il 2019 informatica, ma dimostra come HACKER DI STATO
non era giunto la psicosi per possibili truffe Non è certo una novità
al termine che già stia crescendo di giorno che sia in corso ormai da anni
in Rete circolava in giorno. Gli appassionati una guerra cibernetica tra
un’avvertimento, per molti di tecnologia avranno le principali nazioni di tutto
banale, ma tanto banale non certamente notato come il mondo. Un conflitto che sarà
è: ogni volta che si scrive una nell’ultimo anno praticamente fatalmente destinato a
data su un assegno o su un tutte le aziende del settore raggiungere il suo culmine
documento è meglio non informatico abbiano messo a novembre di quest’anno,
abbreviare l’anno con “20”, a punto dei programmi di Bug in occasione delle elezioni
ma inserire la cifra completa Bounty, cioè di ricompensa presidenziali americane. Infatti,
“2020”. Accorciando l’anno per chi individua bug o possibili il gruppo di hacker Shadow
chiunque potrebbe aggiungere hack di ogni tipo. Se questo Brokers (che secondo alcuni
due cifre e così retrodatare da una parte contribuisce ha forti legami con il governo
una fattura o una nota a stimolare la crescita della russo) ha dimostrato come
di pagamento. Si tratta ricerca e della divulgazione la NSA, National Security
chiaramente di una furbata etica, dall’altra mostra come Agency americana, utilizzi
innocente rispetto a una il timore per possibili intrusioni regolarmente tool hacker
qualsiasi notizia di pirateria sia ormai globale. ed exploit 0-day all’interno
58
2020 A RISCHIO
B
GITHUB SECURITY LA
ecurity lab.github.com/
All’URL https://s
l per la verifica
troviamo CodeQL, too
nei codici sorgente.
della presenza di VCE
d
La minacciapiùèspintini a uticlizlozareule risorse in Rete, ma saranno sicure?
re
Gli utenti vengono semp uzioni
ispensabile che le sol
Rete. Per questo è ind oS
utilizzeranno sempre di sicurezza integrino
tecnologie di DD
I criminali informatici nacce are
ud per diffondere mi nn o come obiettivo il mitig
più spesso i servizi clo Sar an no Mitigation che ha
tip o Dis tri bu ted
le vitt im e. attacc o di
e controllare da remoto sviluppo le conseguenze di un viz io
rtic ola rm en te a ris chio le piattaforme di Denial of Service ind
irizzato verso un ser
pa e di un
e GitHub, che con tin ua
rte de ll'infrastruttura di ret
Web più popolari com ta critico facente pa evo li visto
ma nie ra impetuosa e viene usa cliente. A GitHub devon
o essern e con sap
a crescere in o bizioso
da azi en de de l cal ibr piedi un progetto am
regolarmente anche che hanno messo in già
soft, NASA, Facebook rity Lab che a oggi ha
di Go og le, Ap ple , Mi cro come il GitHub Secu iliti es
i servizi cloud legittimi rilevato oltre 100 CVE
(Common Vu lne rab
e Twitter. Abusare de ar tem a).
inali di sfuggire dal rad and Exposures, cioè le
vulnerab ilità di sis
consente ai cybercrim dp oin t e de lla
zza de gli en
delle soluzioni di sicure
59
N E@ H AC KE RJ O U RN A L .i t
REDAZIO
REPLY
n la redazione insieme
Condividi i tuoi dubbi co rresti
menti su quello che vo
a nuove idee e suggeri al.it
vedere sulla rivista: re
dazione@hackerjourn
60
M S E N Z A R O O T
UNA NUOVA RO
Ho uno smartphone Pixel di Google che funziona benissimo
ma da qualche mese non riceve più il supporto da parte di
Google in quanto sono passati più di tre anni dalla sua presentazione.
Vorrei sapere se è possibile installare una ROM alternativa,
e se possibile aggiornata regolarmente, senza dovere per forza avere
i privilegi di root che metterebbero a rischio la sicurezza del device.
Gianni
Non è indispensabile avere i privilegi di root per installare una nuova
ROM sul proprio smartphone, quello che serve, invece, è lo sblocco del
bootloader che avviene da PC attraverso comandi ADB. Con alcuni dispositivi,
per motivi di sicurezza, lo sblocco del bootloader è vietato o comunque
difficile, nel caso dei Pixel di Google, invece, basta il classico comando
fastboot oem unlock. Occorre però prima consentire lo Sblocco OEM dalle
Opzioni Sviluppatore delle Impostazioni e attivare il Debug USB. Sbloccare
il bootloader provoca però la formattazione completa del dispositivo.
61
Nel prossimo IN EDICOLA IL 20 MA
RZO
numero
Boicottiamo
Mr.Amazon si e
Google Mcoap s fatto hackerare
l’attacco
L’arte diventa hack: ec
dei 99 telefoni che ing
annano Big G l iPhone!
Fuoriuscivano grandi
quantità di dati dallo
smartphone di Jeff
Bezos... e si è scoperto
Rafforzi la Web app? che era tutta colpa
La buco lo stesstaocc! hi
re gli at
di un video
Continuiamo a studia
Cross Site Scripting
HackeriafremgaonoYouTube
gli influencer
Ecco come si
Scansiona il QR Code
Acquistala su www.sprea.it
anche in versione digitale
PU BBLICITÀ
100% INDIPENDENTE! NO
T utto quello
ch e g l i a l t r i
n o n o s a n o d i r t i !
IN QUES T O N U M E R O
INTERVISTA | Confessioni di un pentester
Abbiamo scambiato quattro chiacchiere con Riccardo Meggiato, uno
degli esperti di sicurezza più noti in Italia, per capire meglio il suo lavoro