Dottorato di Ricerca in
Ingegneria dell'Informazione
Penetration Testing: enhancing security by actively searching for insecurities
| Code | ________ |
| Year | 2017 |
| Instructor | Pecorella (University of Florence), Chiavacci (Mediasecure S.r.l.) |
| Location | Florence |
| ECTS Credits | 1 |
Schedule
| Day | Time | Room |
| 17/02/2017 | 09:00–13:00 | 115 Santa Marta (Firenze) |
Abstract
Penetration testing è una metodologia di analisi dei sistemi informatici , siano essi apparati di rete o software applicativi, alla ricerca di vulnerabilita’ che potrebbe essere sfruttate da un attaccante esterno.
Obiettivo finale di un progetto di Penetration Testing è quello di fornire informazioni utili a risolvere gli errori individuati prima che possano essere utilizzati a fini malevoli.
Un’attività di Pentest deve essere considerata come un progetto e richiede l’utilizzo di una metodologia che aiuti il team di pentester ad eseguire i vari passi in modo corretto e controllato.
Un pentest può essere un’attività automatizzata oppure eseguita in modalità manuale; in entrambi i casi ci sono una serie di fasi che devono essere eseguite in sequenza.
La prima fase (Reconnaissance/Footprinting) , forse la piu’ importante, consiste nella ricognizione del bersaglio e nell’acquisizione del maggior numero di informazioni possibili tramite azioni spesso di tipo passivo che non comportano una diretta interazione con i sistemi del bersaglio.
La seconda fase (Vulnerability Assessment) consiste nella individuazione dei possibili punti vulnerabili nei sistemi del bersaglio. Dopo aver identificato gli eventuali punti deboli sui sistemi e’ necessario trovare se esistono modalita’ di attacco che permettono di sfruttare la vulnerabilita’individuata.
La terza fase, (Attack) consiste nel tentativo di sfruttare le vulnerabilita’ individuate e cercare di ottenere accesso ai sistemi del bersaglio. In questa fase “ottenere accesso” puo’ consistere nell’accesso ad un sistema (shell) piuttosto che accesso a dati che non dovrebbero essere pubblici.
L’ultima fase (Reporting) comporta la stesura di un report che illustri tutte le criticita’ individuate, descriva gli accessi non autorizzati effettuati e infine fornisca indicazioni su come risolvere le problematiche individuate.
Il seminario dal titolo “L'arte del PenTesting” illustra i vari aspetti sia tecnologici che metodologici legati al processo di Penetration Testing con il supporto di sessioni demo live su sistemi Kali Linux. (istruzioni)