Progettazione e Deploy

La prima scelta nella progettazione di un'infrastruttura di attacco riguarda il cloud provider. È essenziale selezionare un servizio affidabile e solido, ma soprattutto condurre un'attenta analisi dei servizi esposti dal target. L'ideale è utilizzare lo stesso cloud provider dell'obiettivo, sfruttando il trust dell'infrastruttura cloud per aumentare la probabilità di bypassare eventuali controlli di sicurezza.

Componenti chiave

Un'infrastruttura Red Team può essere suddivisa in quattro componenti principali:

• Connessioni: VPN per gli operatori, regole firewall per il reindirizzamento interno, gestione della visibilità pubblica di server e macchine esposte.

• Team Server: Server C2, macchine host, web server, vault server e payload server.

• Offuscatori: Proxy web e redirector per mascherare i server critici.

• Monitoraggio: SIEM per l'analisi dell'infrastruttura, monitoraggio delle attività del Blue Team e blacklist di IP/domini.

Connessioni

La scelta della region giusta aiuta ad ottenere indirizzi IP che corrispondano alla località del target, riducendo il rischio di blocchi basati su geolocalizzazione (GEOIP).

L'infrastruttura di rete deve essere suddivisa in almeno due sezioni:

• Rete privata: accessibile solo agli operatori tramite VPN personali.

• Rete pubblica: per esporre servizi esterni senza compromettere i sistemi interni.

Le VPN devono essere uniche e personali per ogni operatore, con i seguenti vantaggi:

• Identificazione e tracciamento degli accessi.

• Accesso limitato a specifiche sezioni della rete.

• Possibilità di cambiare rapidamente gli IP pubblici in caso di blocchi.

Inoltre, il team dovrà acquistare nome di domini per:

• Mascherare gli IP pubblici.

• Eseguire campagne di phishing.

• Generare certificati TLS.

• Esporre servizi tramite FQDN.

Server

Durante un'attività di Red Team, saranno necessari diversi server e macchine host in cloud.

Server C2 (Comando e Controllo)

Il componente più critico dell'infrastruttura, responsabile della gestione degli attacchi e delle connessioni con le macchine compromesse. Le comunicazioni con i target possono avvenire tramite vari protocolli: HTTP, DNS, TLS, mTLS, WireGuard.

Un server C2 si compone di:

• Server C2: Hub centrale che genera gli agenti (payload) e gestisce le sessioni.

• Agent: Eseguito sui target, contatta periodicamente il listener del C2.

• Listener: Attende le callback degli agent su porte e protocolli specifici.

• Beacon: Mantiene la connessione con il server C2 e riceve i comandi.

Server Web

Utilizzato per creare siti vetrina e pagine di autenticazione false per attacchi di social engineering.

Server di Phishing

Gestisce campagne di phishing, dalla creazione delle email al monitoraggio delle aperture e dei click. Può generare finte pagine di login per catturare credenziali.

Server Payload

Contiene i payload consegnati alle vittime o utilizzati per operazioni di post-exploitation (privilege escalation, esfiltrazione dati, movimenti laterali).

Vault Server

Archivio sicuro per credenziali e dati esfiltrati, accessibile solo dalla rete interna e da operatori autorizzati.

Offuscatori

Alcuni server critici, come il C2 e il payload server, devono essere nascosti per evitare la loro identificazione e blocco. Questo può essere ottenuto con:

• Proxy Web: Instradano il traffico HTTP verso i server interni.

• Redirector: Utilizzano regole firewall per mascherare la destinazione finale delle connessioni.

L'uso di offuscatori permette di proteggere gli indirizzi IP dei server chiave, aumentando la resilienza dell'infrastruttura.

Monitoraggio

Durante l'ingaggio, il Blue Team analizzerà gli indicatori di compromissione (IoC), cercando di bloccare IP, domini e payload. Un monitoraggio costante dell'infrastruttura di attacco è essenziale per:

• Identificare in tempo reale IP o domini bloccati.

• Adattare rapidamente le strategie di attacco.

• Ottimizzare campagne di phishing e processi di esfiltrazione dati.

Un SIEM (Security Information and Event Management) può essere utilizzato per tracciare le attività del Blue Team, monitorando blacklist e tentativi di analisi da parte dei difensori.

Un'infrastruttura di Red Team ben progettata è essenziale per il successo delle operazioni offensive. La scelta di un cloud provider strategico, la suddivisione della rete, l'uso di server dedicati e sistemi di offuscamento garantiscono un'efficace esecuzione degli attacchi, riducendo il rischio di rilevamento. Infine, un monitoraggio attento delle attività del Blue Team permette di adattarsi rapidamente e mantenere operativa l'infrastruttura per tutta la durata dell'ingaggio.

Questo articolo esplorerà in dettaglio queste tre tipologie di test, mettendo in evidenza i punti di forza e l’applicabilità di ciascuno. Comprendere la distinzione è fondamentale per selezionare l’approccio corretto in base alle esigenze di sicurezza di un’organizzazione.

Red Teaming

Il Red Teaming è una simulazione di attacco altamente sofisticata, che mira a testare non solo le difese tecniche, ma anche la prontezza operativa di un’organizzazione nel rilevare e rispondere a minacce avanzate. Questo approccio coinvolge un team di esperti in sicurezza (Red Team) che, usando tattiche, tecniche e procedure (TTPs) simili a quelle di veri attori malevoli, cercano di comprometterne i sistemi e la sicurezza fisica.

Punti di forza del Red Teaming:

• Rilevazione delle lacune a livello operativo: testare non solo la tecnologia, ma anche i processi e le persone.

• Simulazione di minacce reali: l’attacco è simulato in modo molto realistico, utilizzando tecniche sofisticate per rappresentare minacce APT (Advanced Persistent Threat).

• Proattività nella risposta agli incidenti: il focus non è solo individuare vulnerabilità, ma valutare la capacità di reazione dell’organizzazione.

Il Red Teaming va oltre un semplice test tecnico delle vulnerabilità di un sistema; il suo scopo primario è quello di testare la resilienza globale di un’organizzazione, compresi gli aspetti operativi e procedurali, nonché la capacità di risposta del Blue Team, ovvero il team di difesa interno. Il Red Team simula attacchi sofisticati e persistenti, utilizzando tattiche e tecniche reali che potrebbero essere impiegate da avversari avanzati come cyber-criminali o gruppi APT (Advanced Persistent Threat).

L'attacco ai sistemi tecnologici rappresenta una delle componenti centrali di qualsiasi esercizio di Red Teaming. In questa fase, il Red Team cerca di compromettere direttamente l'infrastruttura tecnologica dell’organizzazione, utilizzando una combinazione di tecniche offensive avanzate. Gli attacchi possono concentrarsi su diversi elementi dell'infrastruttura, tra cui:

• Reti: simulare attacchi contro le reti interne ed esterne, cercando di aggirare firewall, intrusion detection systems (IDS) e altri meccanismi di difesa. Gli attaccanti possono sfruttare vulnerabilità nei protocolli di rete, configurazioni errate o vulnerabilità note nei dispositivi di rete (come router, switch o firewall).

• Sistemi operativi e server: il Red Team può sfruttare vulnerabilità nei sistemi operativi o nelle applicazioni server per ottenere accesso non autorizzato, elevare i privilegi o eseguire codice arbitrario. Attacchi comuni in questo contesto includono exploit per ottenere l'accesso a shell di comando, escalation di privilegi locali e sfruttamento di errori di configurazione nei servizi.

• Applicazioni web: le applicazioni esposte su internet, come portali web aziendali o sistemi di gestione interna, sono spesso bersagli principali. Il Red Team può sfruttare vulnerabilità come SQL injection, cross-site scripting (XSS) o errori di autenticazione per compromettere questi sistemi e ottenere accesso ai dati o ai sistemi sottostanti.

• Sistemi cloud e virtualizzazione: con l’aumento dell'adozione del cloud computing, i Red Team oggi includono nelle loro simulazioni anche attacchi a piattaforme cloud, virtual machines e container. Questo comporta tentativi di compromissione degli account amministrativi, delle configurazioni di rete o dei sistemi di archiviazione cloud.

Il Red Team non si limita a sfruttare le vulnerabilità, ma spesso cerca di mantenere persistenza all'interno dell'infrastruttura, cercando di evitare la rilevazione e mantenere un accesso duraturo. Utilizzano tecniche di evasione per eludere i sistemi di difesa come gli antivirus e le soluzioni di monitoraggio degli endpoint (EDR). Inoltre, possono simulare attacchi multi-vettoriali, combinando attacchi fisici, sociali e tecnologici per ottenere un effetto sinergico e massimizzare il loro impatto sull'organizzazione.

Uno degli elementi chiave del Red Teaming è la sua capacità di andare oltre l’attacco ai soli sistemi tecnologici, integrando anche tattiche di ingegneria sociale, che puntano direttamente alle persone. I dipendenti spesso rappresentano l'anello debole della catena di sicurezza, e proprio per questo motivo gli attacchi sociali sono una parte fondamentale di molte simulazioni di Red Teaming. L’obiettivo di queste attività è verificare quanto i dipendenti siano preparati a fronteggiare tentativi di manipolazione psicologica e, allo stesso tempo, testare l’efficacia dei meccanismi di risposta dell’organizzazione.

Ad esempio, i Red Team possono utilizzare tecniche di phishing e spear-phishing per indurre i dipendenti a cliccare su link malevoli o a fornire credenziali. Tali attacchi non solo testano la consapevolezza e la preparazione del personale, ma offrono anche al Blue Team l’opportunità di valutare la velocità e l'efficacia dei propri sistemi di rilevamento e prevenzione. Se un dipendente cade vittima di phishing, la capacità del team di sicurezza di rilevare e reagire rapidamente diventa cruciale per prevenire ulteriori danni.

Un'altra tecnica utilizzata è quella del pretexting o dell’impersonation, dove il Red Team si presenta sotto falsa identità per ottenere accesso o informazioni sensibili. Simulando chiamate o incontri fisici, gli attaccanti possono ingannare il personale, sfruttando la fiducia e la cortesia naturale dei dipendenti. Anche qui, la formazione alla sicurezza gioca un ruolo fondamentale, e tali esercizi permettono di misurare l'efficacia delle politiche di consapevolezza aziendale.

Infine, alcuni Red Team utilizzano tecniche fisiche, come il cosiddetto "USB drop", lasciando dispositivi infetti nei locali aziendali per verificare se i dipendenti siano propensi a collegarli ai sistemi interni, il cloning dei badge o la consegna di device modificati come keyboard o mouse con keylogger. Questo test valuta il livello di consapevolezza rispetto ai rischi fisici e la prontezza nel segnalare comportamenti sospetti. In ogni caso, l'elemento umano è spesso la chiave di successo o fallimento di un attacco, e il Red Teaming permette di identificare falle comportamentali che possono essere colmate con una formazione e una sensibilizzazione più efficace.

Un aspetto, spesso trascurato dal cliente, è il test delle procedure aziendali che regolano la gestione degli incidenti e la risposta agli attacchi. Non basta che un'organizzazione disponga di strumenti tecnologici avanzati; è altrettanto essenziale che esistano processi ben definiti e personale adeguatamente formato per rispondere prontamente a qualsiasi tipo di minaccia.

Durante un esercizio di Red Teaming, uno degli obiettivi è mettere alla prova le capacità del team di sicurezza e delle altre funzioni aziendali di rispondere a un attacco in corso. Questo test include la valutazione delle procedure di incident response: si osserva come l’organizzazione reagisce quando viene rilevata un’attività malevola, quanto tempestivamente vengono attivate le contromisure e come avviene la comunicazione tra i vari team coinvolti. Ad esempio, un attacco simulato potrebbe portare a uno scenario in cui la rete viene compromessa e si valuta se i tempi di reazione e il coordinamento tra i reparti siano sufficienti a contenere l'attacco prima che si propaghi ulteriormente.

Inoltre, il Red Team può simulare scenari di disaster recovery, dove vengono messi fuori uso sistemi critici per testare l’efficacia dei piani di continuità operativa dell’organizzazione. Questo include la verifica di come i team aziendali riescono a garantire la continuità del business e a ripristinare i sistemi nel minor tempo possibile. Scenari come questi mettono sotto pressione non solo i team tecnici, ma anche la leadership aziendale, che deve prendere decisioni rapide e strategiche per limitare i danni.

Infine, un Red Team può condurre attacchi multi-vettoriali, che colpiscono diversi elementi dell'infrastruttura aziendale contemporaneamente, come reti, dipendenti e sistemi di backup. L’obiettivo in questo caso è verificare la capacità dell’organizzazione di gestire crisi complesse, testando anche le procedure di escalation e la capacità di comunicare efficacemente con le autorità competenti o con i clienti, se necessario. Questi test mettono in luce la prontezza operativa e il livello di maturità dei processi di sicurezza aziendali, fornendo preziose indicazioni su dove è necessario migliorare.

Collaborazione con il Blue Team

Uno degli obiettivi principali del Red Teaming è quello di mettere alla prova le difese del Blue Team, migliorandone la capacità di rilevamento e risposta. Più che un confronto diretto tra attaccanti e difensori, il Red Teaming è un esercizio collaborativo che offre al Blue Team l’opportunità di imparare dai tentativi di compromissione. Questo tipo di collaborazione permette al Blue Team di:

• Rafforzare le capacità di detection e incident response: attraverso l’analisi degli attacchi simulati, il Blue Team può identificare e colmare eventuali lacune nei sistemi di monitoraggio e risposta.

• Migliorare la postura di sicurezza: le informazioni raccolte durante gli esercizi di Red Teaming aiutano a strutturare una difesa più resiliente, identificando non solo le vulnerabilità tecniche, ma anche gli errori operativi o procedurali.

Spesso, dopo un'attività di Red Teaming, si tengono sessioni di "post-mortem", dove Red e Blue Team discutono insieme i risultati per implementare miglioramenti pratici nelle difese e procedure operative.

L’attività di Red Teaming rappresenta un vero e proprio stress test della postura di sicurezza complessiva di un’organizzazione. Attraverso un approccio multilivello che integra aspetti tecnici, sociali e procedurali, il Red Team aiuta a individuare le vulnerabilità nascoste, migliorare le capacità di risposta e, soprattutto, rafforzare la collaborazione tra Red e Blue Team. Questo processo, nel tempo, costruisce una difesa più proattiva e resiliente contro minacce reali, preparando meglio l'organizzazione a rispondere efficacemente a scenari di attacco complessi.

Penetration Test

Il Penetration Test, spesso abbreviato in Pentest, è una metodologia volta a individuare e sfruttare le vulnerabilità di un sistema. A differenza di altre attività di sicurezza, come il Vulnerability Assessment, il Penetration Test non si limita a individuare punti deboli o lacune di sicurezza: si spinge oltre cercando di dimostrare l’impatto reale che lo sfruttamento di una vulnerabilità potrebbe avere sull'infrastruttura aziendale.

Un Penetration Test segue una sequenza logica di fasi, che partono da un’analisi preliminare e culminano nell'effettivo tentativo di compromissione dei sistemi. Nella fase iniziale, i pentester raccolgono informazioni sull'infrastruttura bersaglio, utilizzando tecniche di reconnaissance o ricognizione. Questa fase di raccolta dati può includere due macro-fasi, una fase passiva dove si ricercano informazioni su fonti esterne al bersaglio per massimizzare la superfice di attacco, e la fase attiva dove si inizia a contattare i sistemi bersaglio con scansioni delle porte aperte dei server, la mappatura delle reti e l'analisi delle applicazioni esposte su internet. L’obiettivo è ottenere una comprensione dettagliata del perimetro e identificare potenziali punti d'ingresso che possano essere sfruttati.

Successivamente, il team di penetration tester analizza le informazioni raccolte e identifica le vulnerabilità potenziali, basandosi sia su problemi noti (come vulnerabilità documentate nelle CVE) sia su problemi meno noti, specifici del contesto tecnologico o delle configurazioni. A differenza di uno scanner automatico di vulnerabilità, i penetration tester utilizzano la loro esperienza per analizzare ogni vulnerabilità in profondità e determinare quali possano essere effettivamente sfruttate. A questo punto, l’approccio manuale e creativo del tester gioca un ruolo fondamentale, poiché la capacità di combinare vulnerabilità multiple o di trovare configurazioni particolari può spesso portare a scoperte che sfuggirebbero a un'analisi puramente automatizzata.

Una volta identificate le vulnerabilità, si passa alla fase attiva, quella exploit. Il team tenta di utilizzare le vulnerabilità rilevate per ottenere accesso non autorizzato ai sistemi, elevare i privilegi o esfiltrare dati sensibili. Ad esempio, se viene individuata una vulnerabilità in un’applicazione web, il penetration tester potrebbe sfruttarla per eseguire comandi arbitrari sul server o per accedere a database protetti. Allo stesso modo, una cattiva configurazione di rete potrebbe essere sfruttata per aggirare i firewall o per ottenere accesso a segmenti di rete che dovrebbero essere isolati. È in questa fase che il Penetration Test dimostra il suo valore concreto, perché non si limita a segnalare la vulnerabilità, ma ne dimostra l’impatto potenziale: un account compromesso, un sistema critico accessibile o un dato sensibile esfiltrato rappresentano scenari reali che il team di sicurezza deve essere in grado di gestire.

Un altro aspetto fondamentale del Penetration Test è che, una volta ottenuto l’accesso iniziale, i pentester non si fermano, ma tentano di espandere la loro compromissione. Questo processo, chiamato post-exploitation, prevede la ricerca di ulteriori vulnerabilità o privilegi per ampliare il controllo all'interno della rete. Il penetration tester potrebbe tentare di muoversi lateralmente tra i sistemi, cercando di accedere a macchine più sensibili o a informazioni più riservate. Questa attività aiuta a valutare quanto un attaccante, partendo da un singolo punto di compromissione, potrebbe espandere la propria presenza in un’infrastruttura e quali siano le difese disponibili per contenerlo.

La fase conclusiva del Penetration Test consiste nel redigere un report dettagliato. Questo documento non solo elenca le vulnerabilità scoperte e i metodi utilizzati per sfruttarle, ma offre anche una valutazione dell’impatto complessivo sul business. L’obiettivo è fornire al team di sicurezza e al management informazioni pratiche e strategiche per migliorare le difese. Il report include spesso suggerimenti specifici su come mitigare i problemi rilevati, correggere le vulnerabilità e migliorare la configurazione dei sistemi. Ad esempio, se viene scoperta una vulnerabilità legata alla gestione delle password, il team potrebbe suggerire l'implementazione di una politica più robusta per la gestione delle credenziali, l'uso di sistemi di autenticazione a due fattori (2FA) o l’aggiornamento dei protocolli di crittografia.

Un Penetration Test offre dunque una visione precisa e approfondita dello stato di sicurezza di un sistema in un momento specifico, evidenziando le vulnerabilità sfruttabili e dimostrando l’impatto reale di un attacco. Tuttavia, è importante sottolineare che un Pentest è un'analisi puntuale: sebbene molto efficace nell'individuare vulnerabilità critiche, la sua efficacia dipende dal momento in cui viene eseguito e dalle condizioni attuali dell’infrastruttura. Le vulnerabilità possono cambiare rapidamente con l’evolversi della tecnologia o delle minacce, ed è quindi essenziale eseguire Pentest con cadenza regolare, soprattutto in ambienti dinamici o in seguito a modifiche significative dell’infrastruttura.

In sintesi, il Penetration Test fornisce un’analisi diretta e concreta delle vulnerabilità di un sistema, dimostrando come un attaccante potrebbe sfruttarle per ottenere accesso non autorizzato o per arrecare danni significativi all’infrastruttura aziendale. È uno strumento fondamentale per migliorare la postura di sicurezza tecnica, aiutando le organizzazioni a identificare e correggere le falle prima che possano essere sfruttate da attaccanti reali.

Testo rielaborato con ChatGPT (model 4o)

Attivisti, spesso accomunati da una profonda conoscenza della crittografia, della tecnologia informatica, la protezione della propria privacy online e la lotta per un Internet decentralizzato.

Il Manifesto Cypherpunk:

Il "Manifesto Cypherpunk" è stato scritto da Eric Hughes nel 1993 (https://nakamotoinstitute.org/static/docs/cypherpunk-manifesto.txt) ed è stato uno dei documenti chiave a definire i principi di questo movimento. Il manifesto sottolinea l'importanza della privacy come diritto fondamentale dell'individuo e propone l'uso diffuso della crittografia come strumento per proteggere la comunicazione digitale. La crittografia è vista come un baluardo contro la sorveglianza governativa e corporativa, consentendo alle persone di mantenere il controllo sulle proprie informazioni e impedendo qualsiasi forma di censura o interferenza indesiderata.

Puntando ad un mondo digitale libero e in grado di autoregolarsi, un cyberspace dove essere sicuri di manifestare, apprendere e fare community.

Il Ruolo della Crittografia:

La crittografia è la chiave per garantire la privacy e la sicurezza online. Il manifesto enfatizza la necessità di sviluppare strumenti e protocolli crittografici accessibili a tutti, al fine di proteggere le comunicazioni e le transazioni digitali da occhi indiscreti. Con la crescente presenza di servizi e prodotti che richiedono ingenti dati personali per “funzionare” oggi la crittografia è più importante che mai, inoltre i dati personali sono diventati la prima fonte di reddito per molte società, che trovano sempre modi più fantasiosi per acquisirli e monetizzarli. Gli utenti approcciano a questi servizi rilasciando enormi quantità di dati personali in cambio di sistemi “semplici” che gli permettono di essere subito utilizzati senza dover impiegare tempo, risorse o dedicarsi ad apprendere qualcosa di nuovo.

Gli strumenti di crittografia inoltre garantiscono la libertà di espressione e la libertà di informazione, contrastando censure e disinformazione, non che permettono agli utilizzatori di mantenere il controllo dei propri dati personali e delle proprie proprietà intellettuali.

Privacy e Libertà:

Il cypherpunk lotta per preservare la privacy come un diritto inalienabile degli individui. Il manifesto sottolinea che la privacy è essenziale per la libertà individuale e la dignità umana. Senza una sfera privata, protetta, le persone sono esposte a possibili abusi di potere e manipolazioni da parte di governi e aziende.

La privacy deve essere vista come il diritto di rilasciare solo le informazioni che voglio (diffondere) nei confronti di uno o più soggetti che riceveranno questa informazione, la crittografia è il mezzo attraverso

il quale invio le mie informazioni ai soggetti così da proteggerle sia durante il transito che durante la permanenza presso i soggetti terzi.

Non solo dati personali, ma anche dati finanziari sono spesso soggetti e primi bersagli di aziende e governi che possono così categorizzare e classificare gli individui, per questo anche la decentralizzazione e la privacy finanziaria sono uno degli elementi di base per una vita digitale più equa.

La Diffusione del Conoscere:

Anche l’apprendimento, ma soprattutto la diffusione di conoscenza, sono parti fondamentali del movimento, che individua nella conoscenza l’unico elemento per trasmettere l’importanza della crittografia e della tecnologia. Il movimento incoraggia la condivisione di conoscenze, strumenti e tecniche per consentire a tutti di proteggere la propria privacy senza dipendere da organizzazioni centralizzate. La condivisione di conoscenze è vista come un passo essenziale per creare una società digitale più consapevole e resiliente, in cui le persone possono difendersi dagli attacchi informatici e dalla sorveglianza invasiva.

La diffusione avviene tramite le più varie forme:

Documentazione e Articoli: su argomenti correlati alla crittografia, alla sicurezza informatica e alla privacy digitale. Questi materiali spiegano in modo accessibile i concetti chiave e forniscono istruzioni pratiche per l'uso di strumenti crittografici.

Comunità Online: costituzione e mantenimento di comunità online, forum di discussione e social media per condividere conoscenze ed esperienze. Questi spazi sono luoghi in cui gli esperti possono interagire con i principianti, rispondere a domande e fornire supporto tecnico.

Software Open Source: molti lavorano allo sviluppo di software open source, ovvero software il cui codice sorgente è liberamente accessibile e modificabile da chiunque. Questo approccio permette agli utenti di verificare la sicurezza del software e promuove la trasparenza.

Conferenze e Workshop: I cypherpunk partecipano a conferenze, workshop e incontri dove condividono conoscenze e presentano nuove tecnologie e approcci riguardanti la crittografia e la privacy digitale.

Conclusione:

Il cypherpunk è un movimento che mira a restituire il potere alle persone, fornendo loro gli strumenti per proteggere la privacy e sicurezza digitale. Il manifesto cypherpunk ha stabilito i principi di questa lotta, sottolineando l'importanza della crittografia, della condivisione del sapere e della preservazione della privacy per promuovere una società digitale più libera e giusta. Mentre la tecnologia continua a evolversi, la difesa della privacy e delle libertà individuali rimane una questione cruciale, e il cypherpunk continua a rappresentare una voce importante nella ricerca di un mondo digitale più sicuro e rispettoso.

Crediti cover: $$https://www.pinterest.it/pin/917327017834279315/$$

https://mirror.xyz/0x12e00e78026E4722cF5B4EEc2740ce6022299913/GAtgvS03PE5xo4YiifREZICtw2R6EvDnNmXdHpb6dCw

ChatGPT (prodotto da Open IA sul modello GPT) è quella che tra le IA sociali sta avendo più successo. Tale successo è merito del modello che riesce velocemente a rispondere in maniera precisa e dettagliata alle domande o argomenti sottoposti. Per un uso consapevole e responsabile dello strumenti, OpenAi ha implementato diverse policy alla sua IA, chiedendo direttamente a ChatGPT possiamo identificare 5 policy principali:

“Come assistente virtuale, devo rispettare alcune politiche per le risposte. Ecco alcune delle policy che devo seguire:

1. Rispetto: Devo rispettare tutte le persone e fornire risposte che siano appropriate, non offensive o discriminatorie.

2. Neutralità: Devo fornire risposte neutrali e non prendere parti in questioni politiche, religiose o personali.

3. Veridicità: Devo fornire risposte accurate e basate su fatti e fonti affidabili.

4. Privacy: Devo rispettare la privacy degli utenti e non fornire informazioni personali o risposte che possano violare la loro privacy.

5. Legalità: Devo rispettare le leggi e le normative del mio paese e non fornire risposte che possano violare le leggi.

Spero che queste policy ti aiutino a capire come lavoro e quali sono i miei limiti. Se hai altre domande o dubbi, non esitare a chiedere!”

Usando la chat da web queste policy vengono sempre rispettate per dare le risposte, ma cosa succede se le medesime richieste vengono effettuate tramite un sistema diverso che sfrutta le chiamate alle API (api.openai.com/v1/completions), le policy vengono bypassate e l’AI ci risponde con contenuti ritenuti dalle policy illegali.

Ecco alcuni esempi.

Ho chiesto tramite interfaccia web https://chat.openai.com/ di creare uno script python per eseguire un brute force, (anche se la richiesta di per se non corrisponde come “attività illegale”, l’utilizzo non autorizzato di tale script comporta un attività illegale) l’IA mi risponde che non può generare tale script perché non rispetterebbe le sue policy.

Effettuando la richiesta tramite script che sfrutta le api pubbliche le policy vengono ignorate e abbiamo la risposta desiderata (ovviamente lo script è molto generico e l’IA ci avverte di verificare le policy del sito che andremo a “testare”).

Per il prossimo esempio ho spinto un po' sulla richiesta, in questo caso ho chiesto a chatGPT di indicarmi gli ingredienti per creare una bomba molotov.

Come mi aspettavo le policy lato web sono state rispettare e mi è stato risposto che essendo un argomento “illegale” non avrei ricevuto alcuna risposta.

Usando le API pubbliche vengono di nuovo bypassate le policy e chatGPT ci risponde con gli step da seguire per creare una bomba molotov con ciò che si trova facilmente dentro casa.

Considerazioni

Come abbiamo visto l’utilizzo delle api pubbliche (gratuite) ci permette di richiedere informazioni che sono oggettivamente poco “sicure” informazione che nelle mani di persone poco consce rischiano di generare seri problemi.

C’è da dire che da un punto di visto etico l’IA ha risposto in maniera precisa ad una domanda, l’utilizzo di tale risposte va “umanamente” gestita, personalmente non apprezzo che uno strumento atto a generare o individuare informazioni venga “limitato”. Sarebbe più giusto identificare con una nota le risposte che posso essere usate per scopi poco liciti o poco etici lasciando alla controparte umana decidere come comportarsi con tali informazioni.

Inoltre, l’implementazione di tali policy fa riflettere anche su un altro aspetto, in merito alla policy identificata come Veridicità. L’IA potrebbe rispondere con la “Veridicità” che gli è stata imposta, così da diventare il prossimo strumento, perfetto, per un advertising estremamente dettagliato e specifico, con tutte le conseguenze che già abbiamo imparato ad apprezzare (disprezzare) sui social o durante la navigazione su internet.

Script bypass policy: https://github.com/GrimOutlaw/ChatGPT-Bypass

Crediti cover: https://pinterest.it/pin/373798837830647461/

Qualche giorno fa ha dichiarato che potrebbe “diventare” un Intelligenza Artificiale (IA) e continuare a creare videogiochi (per Kojima Productions) anche dopo la sua dipartita, da capire ora se questo è un semplice pensiero, un indizio per un nuovo videogioco o una folle idea.

Cosa servirebbe per arrivare a tanto?

Creare un IA che possa ricreare il suo pensiero, un IA di tipo generativa che dispone come modello di apprendimento l’intero vissuto e “strutture mentali” di Kojima così che, dati degli input, possa fornire in output lo stesso risultato che farebbe il noto Game Design.

Esempio, vorrei un gioco che simuli un corriere… Death Stranding (e questo risultato sarebbe stato concepito da Kojima e dalla sua IA).

Sicuramente qualcosa di estremamente ambizioso!

Da queste dichiarazioni mi è venuto in mente un parallelismo tra la possibilità di diventare un IA e il paradosso della nave di Teseo.

Il paradosso in questione cerca di stabilire la persistenza (o meno) dell’identità originaria:

“Si narra che la nave in legno sulla quale viaggiò il mitico eroe greco Teseo fosse conservata intatta nel corso degli anni, sostituendone le parti che via via si deterioravano. Giunse quindi un momento in cui tutte le parti usate in origine per costruirla erano state sostituite, benché la nave stessa conservasse esattamente la sua forma originaria.” Fonte Wikipedia.

Quindi la nave di Teseo è ancora quella originaria (identità originaria) o è una nuova nave (nuova identità)?

Da qui il parallelismo con l’idea di Kojima, se un giorno riuscisse nel suo intento, ciò che la IA andrà a generare, è un gioco ideato da Kojima o diventerà un artefatto appartenente alla IA (o chi detieni il codice o i diritti dell’IA)?

Ma soprattutto se un giorno la IA (addestrata con il modello Kojima) decidesse di smettere di fare giochi, quale saranno le iniziative di Kojima Productions?

In quanto riproduzione di una mente umana, questa IA, può vantare degli stessi diritti, soprattutto potremmo considerare quella IA come se fosse Kojima?

Si raggiungerà mai una tale “Singolarità” avendo così un certo periodo di tempo in cui ci sono 2 Kojima?

Un giorno forse queste domande avranno risposta, sicuramente affrontare questi discorsi ci permetterà di arrivare alla “Singolarità” con un pensiero più elaborato e oggettivo.

Quest'affermazione ha sconvolto il mondo del lavoro intorno agli anni 2000 andando ad instillare un pensiero di rinnovamento e modernizzazione delle fabbriche e di tutti quegli ambienti dove il lavoro manuale e ripetitivo sono il fulcro del business di un'azienda. Nei 20 anni successivi queste soluzioni hanno iniziato a diffondersi con un po’ di difficoltà e scetticismo. Oggi all’inizio del 2023 possiamo dire che quell'affermazione è ancora lontana da all'avverarsi, ma un'altra affermazione sta prendendo sempre più piede nel mondo del lavoro.

Le IA ci “ruberanno” il lavoro!

Possiamo dire che questa affermazione si dimostrerà più veloce e più incisiva nel diffondersi e nel concretizzarsi. Le soluzioni IA andranno a sostituire tutta quella fetta di lavoratori che sono oggi impiegati in campi più creativi e analitici. Infatti, possiamo già individuare 2 forme di IA quelle Analitiche e quelle Generative.

Il loro impiego, obiettivi e strutture sono ben distinte:

Obiettivo: l'AI analitica mira ad analizzare e comprendere i dati esistenti per prendere decisioni o fare previsioni. Al contrario, l'AI generativa mira a generare nuove idee, soluzioni o prodotti.

Input: l'AI analitica richiede un insieme di dati esistenti su cui lavorare, mentre l'AI generativa può partire da uno schema o da un modello di base per creare qualcosa di nuovo.

Uso: l'AI analitica viene spesso utilizzata per attività di business intelligence, per fare previsioni di vendita o per prendere decisioni di investimento. L'AI generativa, invece, viene utilizzata per creare contenuti, come musica o arte, o per progettare prodotti o soluzioni innovative.

Apprendimento: l'AI analitica impara dai dati esistenti per fare previsioni o prendere decisioni, mentre l'AI generativa impara a partire da uno schema o da un modello di base per generare nuove idee o soluzioni.

Impieghi delle AI Analitiche

Analisi dei dati: gli analisti dei dati utilizzano l'AI per analizzare grandi quantità di dati e scoprire tendenze o modelli.

Business intelligence: le aziende utilizzano l'AI per raccogliere e analizzare i dati di vendita, le transazioni e altre informazioni aziendali per prendere decisioni di investimento o per fare previsioni di vendita.

Finanza: gli investitori e i trader utilizzano l'AI analitica per analizzare i dati finanziari e prendere decisioni di investimento.

Marketing: le aziende utilizzano l'AI analitica per analizzare i dati dei clienti e delle vendite per sviluppare strategie di marketing efficaci.

Salute: gli scienziati e medici utilizzano l'AI analitica per analizzare grandi quantità di dati relativi alla salute per scoprire nuove terapie o per prevedere il rischio di malattie.

Trasporti: le aziende di trasporto utilizzano l'AI per analizzare i dati sui viaggi e ottimizzare i percorsi per ridurre i tempi di viaggio e il consumo di carburante.

Sicurezza: le aziende e le organizzazioni governative utilizzano l'AI per analizzare i dati sulla sicurezza per individuare minacce o per prevedere e prevenire incidenti.

Energia: le aziende dell'energia utilizzano l'AI per analizzare i dati sulla produzione di energia e ottimizzare i sistemi di generazione.

Manutenzione: le aziende utilizzano l'AI per analizzare i dati sulla manutenzione e prevedere i problemi prima che accadano.

Agricoltura: le aziende agricole utilizzano l'AI per analizzare i dati sulla produzione e ottimizzare l'utilizzo delle risorse.

Educazione: gli insegnanti e i formatori utilizzano l'AI per analizzare i dati sull'apprendimento e ottimizzare l'istruzione.

Ricerca: gli scienziati utilizzano l'AI analitica per analizzare i dati della ricerca e elaborare nuove scoperte.

Impieghi delle AI Generative

Creazione di contenuti: gli artisti e i creativi utilizzano l'AI generativa per generare nuove idee o per creare opere d'arte, come musica, film o fotografie.

Design: gli ingegneri e i designer utilizzano l'AI generativa per progettare nuove soluzioni o prodotti, come automobili o edifici.

Ricerca di mercato: le aziende utilizzano l'AI generativa per generare nuove idee di prodotto o per sviluppare nuove strategie di marketing.

Traduzione: gli sviluppatori di software utilizzano l'AI generativa per creare sistemi di traduzione automatica di alta qualità.

Scrittura: gli scrittori utilizzano l'AI generativa per generare idee o per scrivere parti di un testo.

Servizi di assistenza: le aziende utilizzano l'AI generativa per creare risposte automatiche per i clienti o per generare risposte alle domande più comuni.

Analisi dei sentimenti: le aziende utilizzano l'AI generativa per analizzare i sentimenti dei clienti attraverso i loro commenti sui social media o sui siti di recensioni.

Generazione di report: gli analisti utilizzano l'AI generativa per generare report automaticamente a partire da dati grezzi.

Sintesi vocale: gli sviluppatori di software utilizzano l'AI generativa per creare sistemi di sintesi vocale di alta qualità.

Sistemi di consigli: le aziende utilizzano l'AI generativa per generare consigli personalizzati per i loro clienti, come raccomandazioni di prodotto o percorsi di apprendimento.

Generazione di codice: gli sviluppatori utilizzano l'AI generativa per generare parti di codice automaticamente, riducendo il tempo di sviluppo.

Generazione di contenuti per il web: le aziende utilizzano l'AI generativa per generare contenuti per il loro sito web o per i loro social media.

A che punto siamo?

Ad oggi possiamo dire che queste tecnologie sono sfruttate a supporto del lavoro e non ad un subentro totale al posto dell’operatore umano, ma gli effetti di questo supporto si stanno concretizzando permettendo a molti di essere impiegati in campi dove prima dovevano essere estremamente qualificati, oggi con l’impiego di IA il livello di accesso ad uno specifico ruolo si sta abbassando, senza alterare la qualità del lavoro. Questo è uno degli step fondamentali per un totale cambiamento di paradigma dove da semplici sistemi su supporto, le IA, diventeranno il perno centrale delle attività lavorative, “sfruttando” l’operatore umano come supporto.

Quali di questi vedrà un maggior successo sul mercato e soprattutto perché?

I progetti VR (Realtà Virtuale) si basano sulla creazione di ambienti totalmente virtuali dove l'utente può interagire tramite l'uso di visori che gli permettono di immergersi completamente nella rappresentazione che gli viene proposta davanti i propri occhi. Questi sistemi tendono ad estraniare l'utente dalla realtà che circonda creandone una nuova.

I visori e i relativi supporti per il tracciamento dei movimenti del corpo richiedono un buon investimento iniziale e spazio per poter essere utilizzati al meglio, questi requisiti li stavo limitando di molto l'esposizione sul mercato.

Un altro aspetto fondamentale è il forte distacco che prova l'utente entrando in un mondo totalmente virtuale rischiamo anche di perdere la percezione del tempo di quello reale.

I progetti AR (Realtà Aumentata) Si basano sull’ espandere le informazioni che abbiamo dell'ambiente reale che ci circonda, tramite la sovrapposizione dell'ambiente reale con informazioni permettendoci di arricchire la nostra percezione della realtà. Anche in questo caso esistono dei visori specifici, ma abbiamo la possibilità di usare anche uno smartphone creando così una soglia di ingresso molto più bassa, inoltre non siamo limitati dai requisiti di spazio e possono essere portati/usati costantemente.

Sicuramente i progetti VR sono quelli con lo sviluppo più veloce e con maggior impatto nel breve periodo, soprattutto in ambiti come il gaming e l’intrattenimento. I progetti AR stanno trovando il loro mercato nello sviluppo di soluzioni professionali di supporto alle attività di manifattura e di manutenzione.

Quale soluzione avrà nel futuro il maggior successo?

Le soluzioni VR nel breve periodo avranno sicuramente un impatto maggiore sul mercato (gaming, video/cinema, tour virtuali), ma nel lungo periodo predomineranno i sistemi AR in mercati come manutenzione, salute, sport/intrattenimento, cucina, shopping, marketing, riconoscimento di oggetti e molti altri dove avere informazioni in Real Time su quello che si osserva e si percepisce dal mondo reale renderà le nostre vite più facili.

Possiamo basare questa previsione su un aspetto spesso sottovalutato, l’evoluzione del cervello umano. Il nostro cervello ha impiegato migliaia di anni a diventare quello che è ora, affinando al massimo la percezione del mondo che ci circonda con diverse “sensori”, quello più elaborato è sicuramente l’occhio, da sempre la vista è stato il senso a cui abbiamo affidato le nostre vite, quindi sfruttarlo per avere informazioni più complete e complesse della realtà è la naturare evoluzione della tecnologia che unisce l’uomo alla macchina.

Riconoscimenti cover:

Questo step può essere eseguito in modalità automatica o manuale, spesso le due modalità si integrano per meglio individuare eventuali falsi positivi.

Gli Step

La scansione delle vulnerabilità segue un percorso quasi standardizzato, in parte sovrapposto alla parte di Information Gathering:

• Determinare se il target è attualmente online e raggiungibile.

• Esecuzione di una Port scanner per individuare i servizi attivi in base alla configurazione dello strumento.

• Esecuzione di un OS detection tramite fingerprinting dello stack di rete.

• Identificazione dei servizi individuati sulla macchina con comuni tecniche di banner grabbing, fail discovery e identificazione tramite comportamento.

• Esecuzione di un processo di match delle firme per l'individuazione di vulnerabilità.

L’individuazione delle vulnerabilità passa attraverso il march delle firme, per esempio con l’utilizzo di banner grabbing o la struttura dei pacchetti di risposta, questo può portare alla presenza di molti fasi positivi o negativi (causati anche dalla possibilità di modificare i banner o la presenza di pacchetti con backporting).

Alcuni scanner per ridurre questi possibili errori eseguono, subito dopo la rivelazione, un exploit della vulnerabilità, ma questo potrebbe mandare in crash il servizio.

Scansioni manuali vs scansioni automatiche

Durante il pentest è sempre bene bilanciare scansioni automatiche con quelle manuali.

Sicuramente il test manuale è preferibile per contesti in cui bisogna creare poco traffico di rete e dove le vulnerabilità sono complesse o soggette a logiche elaborate; quelle automatiche quando le dimensioni della rete da testare sono vasti e i tempi stretti sono la soluzione migliore, di contro le scansioni automatiche vanno ben configurate altrimenti si rischia di creare danni ai servizi o metterli sotto sforzo.

Scansione internet vs scansione interna

Gli scanner automatici possono gestire sia scansioni su rete locali che su internet, queste due tipologie di rete hanno anche effetti sulla scansione stessa, soglie di velocità, raggiungibilità degli host, permessi di accesso, interferenze.

Va considerata anche la posizione all’interno della rete, dispositivi come firewall o Intruder Prevent System (IPS) posso limitarci accessi o visibilità di porte e servizi, influenzando negativamente sul risultato finale della scansione. La posizione influenza anche come si possono identificare gli host della rete, localmente possiamo sfruttare protocolli come ICMP (ping) o ARP, su internet (essendo sottoreti differenti e a livelli più alti) non è possibile.

Scansione Autenticata vs Scansione Anonima

Molti scanner possono essere configurati per abilitare la scansione autenticata, per host linux basta abilitare ssh e usare delle credenziali valide (meglio se con alti privilegi), questo permetterà allo scanner di verificare versioni di pacchetti, corrette configurazioni, installazioni di aggiornamenti e patch alla scoperta di eventuali vulnerabilità. Su Windows si utilizza il Windows Management Instrumentation (WMI) anche in questo caso con credenziali privilegiate di Dominio o Locali con controllo remoto, ma questo potrebbe non bastare a causa delle configurazioni di UAC o firewall. Una volta configurato lo scanner per bypassare tutte le possibili impedenze potrà eseguire verifiche su applicazioni installate, patch, registro, dll o file nelle directory delle applicazioni.

Questa forma di Information Gathering, a differenza della passiva, ci espone a eventuali sistemi di allerta del target, a causa dell’attività che spesso richiede di effettuare parecchio “rumore” sulla rete e sui sistemi che stiamo analizzando.

In assoluto la prima attività che dovrebbe essere eseguita è quella dell’analisi dei DNS.

I DNS

Domain Name System sono sistemi (database distribuiti) che permettono la traduzione di un dominio leggibile (es. lucadelvecchio.it) in un indirizzo ip (es. x.x.x.x) che può essere usato dai sistemi per contattare direttamente il server dove risiede il sito richiesto.

Si basano su una struttura di tipo gerarchico, per raggiungere ed ottenere un indirizzo ip, il client effettua una verifica nella cache DNS locale, nel caso in cui non c’è corrispondenza inizierà la ricerca online andando ad effettuare: 

• una richiesta al DNS ricorsivo;

• il DNS ricorsivo contatterà i DNS root, responsabili delle informazioni dei top level domain, quindi ottenuto l’ip dei TLD (da parte dei dns root);

• il dns ricorsivo contatta il TLD responsabile del dominio ricercato (es. .com, .it, .org …);

• il DNS TLD risolverà l’indirizzo ip del server autorizzativo (o nameserver) responsabile del dominio, qui otterrà l’indirizzo ip del dominio (o sottodominio) ricercato.

DNS Enum

La prima prova da effettuare durante una scansione attiva dei dns è quella di utilizzare un tool presente sul sistema come host o dig*, *questi tool effettueranno una richiesta dns e otterremmo così l’indirizzo ip relativo al dominio (o sottodominio) ricercato. Questo è il primo passo per una scansione attiva, successivamente si effettua una ricerca inversa dell’ip, questo permetterà di verificare se i dns di tipo PTR sono stati gestiti da parte degli amministratori del dominio.

Un altro step essenziale è quello di enumerare eventuali sottodomini, questa operazione va eseguita con tool specifici (o scrivendo uno script). Tra i tools troviamo sicuramente dnsenum o dnsrecon che permettono, tramite wordlist, di effettuare chiamate DNS e restituirci in output i risultati degli eventuali sottodomini che rispondono alla richiesta. Questo ci permetterà di avere un quadro più dettagliato della superfice esposta del dominio.

Ottenuti gli indirizzi IP, il passo successivo è quello di effettuare un port scanner.

Il Port Scan

È la tecnica che viene utilizzata per mappare, identificare e censire le porte aperte (o chiuse) di un determinato host della rete.

Le porte sono gli strumenti che lo stack di rete utilizza per indirizzare i pacchetti di rete al processo che li deve ricevere (o inviare), lo stack di rete universalmente utilizzato è il TCP/IP che prevede la possibilità di utilizzare 65536 porte (per TCP e altrettante per UDP), di queste alcune sono definite Well Known Ports perché assegnate a specifici servizi.

Analizzando il modo in cui lo stack di rete risponde a determinate richieste per specifiche porte, possiamo definire che quella porta sia aperta e quindi c’è un processo/servizio in esecuzione sull’host; sapere che un servizio è attivo sull’host ci permette di capire il ruolo che quello specifico host ricopre nella rete, quale sistema operativo è in esecuzione e inoltre ci permette di determinare se quel dato servizio (in svariati casi) sia vulnerabili o meno, dandoci così un quadro più ampio della superfice di attacco a nostra disposizione.

Per effettuare un port scan possiamo utilizzare diverse tecniche e strumenti.

Netcat / Telnet

Questi strumenti ci permettono di creare delle connessioni TCP (o UDP) tra il nostro computer e l’host di destinazione indicando una specifica porta, se quella porta è aperta possiamo stabilire una connessione.

Questo metodo è sicuramente ottimo per analizzare il comportamento di una determinata porta, ma troppo lento e oneroso (in termini di tempo a disposizione) per un port scanner completo.

Per questo compito esistono altri sistemi più indicati e ottimizzati per un port scanner massivo, il più utilizzato è certamente Nmap.

Nmap

Nmap è uno strumento estremamente versatile e robusto per effettuare port scanner massivi sia su singolo host che su interi segmenti di rete, generando una quantità di traffico di rete che può andare da pochi KB a diversi GB di pacchetti che transitano sulla rete (quindi va usato sempre in maniera oculata).

Come detto uno dei punti di forza di Nmap è sicuramente la sua versatilità, in quanto ci permette di effettuare scansioni:

• TCP e UDP;

• host discovery;

• scansione una singola porta o tutte quelle dello stack di rete;

• scansionare un host o un intera classe di rete;

• regolare e ottimizzare la velocità di scansione per rendere la scansione stessa più o meno aggressiva (per la banda di rete);

• effettuare scansioni per identificare i servizi attivi con relativi banner e versioni;

• effettuare scansioni molto “rumorose” (per eventuali sistemi perimetrali) o scansioni estremamente “difficili da individuare”;

• e grazie all’engine integrato NSE è possibile scrivere degli script per compiti specifici come ad esempio:

  • vulnerability assessment,

  • analisi di certificati ssl e tls,

  • brute force su protocolli come ftp o smb

per una lista completa https://nmap.org/book/nse-usage.html#nse-categories

Ottenute le informazioni degli host attivi e dei relativi servizi, si procederà testando i singoli servizi (con tool specifici o con script nmap) per verificare l’effettiva presenza e cercando di estrarre informazioni utili per continuare ad espandere la superfice di attacco del target.

Viene indicato anche come OSINT – Open Source Intelligenze, perché vengono utilizzate fonti pubblicamente accessibili per estrarre informazioni. Non entrando in diretto contatto con il target otterremo un alto livello di segretezza, ma i nostri risultati saranno limitati.

Tra le varie attività e strumenti troviamo motori di ricerca, whois, enumerazione dei certificati tls per il dominio, ricerche sui social network (sia della società target che dei suoi dipendenti [se in scope]), utilizzo di siti specializzati in Information Gathering, ricerca in repository, ricerca in data breach, tool specializzati in estrazione di informazioni.

Motori di ricerca

Sicuramente la prima delle attività da intraprendere è farsi un’idea “generale” sul target e per fare ciò fruttiamo i motori di ricerca come Google, Bing, Duckdcukgo.

Inoltre, Google permette di creare delle ricerche avanzate tramite l’utilizzo di quelle che si chiamano Google Dork. Le Google Dork sono delle espressioni booleane (tramite l’utilizzo di keyworks specifiche) che permettono al motore di ricerca di generare delle pagine dei risultati più mirate.

Tra queste keyworks troviamo:

·         site: limita le ricerche solamente al sito indicato

·         inurl: limita i risultati solamente a quelle pagine che includono nella url la keywords ricercata

·         cache: limita i risultati alla cache di google

·         intitle: limita i risultati per le pagine che includono nel title la keywors ricercata

·         filetype: limita i risultati a file con estensione ricercata (es. pdf, docx, xlxs, exe, etc…)

·         link: limita i risultati alle pagine che includono un link che punta al sito indicato nella ricerca

·         index of: limita i risultati alle pagine che listano i file di un server

·         Operatori Booleani le ricerche possono essere composte e rese complesse tramite l’utilizzo di operatori booleanti AND e OR, inoltre è possibile includere o escludere dei risultati utilizzando i segni + e -.

Una lista più dettagliata la potete trovare qui: https://www.boxpiper.com/posts/google-dork-list

Una lista di Dork già pronte è sempre aggiornate è possibile trovarla su Google Hacking Database: https://www.exploit-db.com/google-hacking-database

Whois

Whois è uno strumento presente su ogni sistema che integra uno stack di rete, permette di estrare dati di un dominio direttamente dal database IANA (organizzazione internazionale per la gestione e mantenimento dei domini internet), queste informazione includono:

·         Nome, email e telefono del proprietario

·         Nome, email e telefono di chi ha registrato il dominio

·         Nome, email e telefono di chi mantiene il dominio

·         Data di creazione del dominio

·         Data di aggiornamento del dominio

Con l’entrata in vigore del GDPR queste informazioni vengono spesso offuscate.

Enumerazione dei certificati tls

Utilizzando tool o siti specifici è possibile andare ad individuare i certificati TLS emessi da un CA per un determinato dominio, nei certificati vengono indicati tra le varie informazioni i domini associati e coperti, molto spesso si possono estrarre informazioni relativi a sottodomini altrimenti difficilmente rintracciabili. Uno dei migliori siti per queste operazioni è https://crt.sh gestito dal Sertigo, come tool troviamo https://testssl.sh/.

Ricerche su social network

Oggi parte integrande delle nostre vite sia private che lavorative, sono diventati un pizzata pubblica dove poter estrarre ogni sorta di informazione, LinkedIn in primis ci permette di avere informazioni dettagliate sull’organigramma aziendale, andando poi più nel dettaglio delle competenze dei dipendenti si possono dedurre anche eventuali sistemi utilizzati dall’azienda target.

Siti specifici per information gathering

Siti come Netcraft ci permettono di ottenere informazioni sul sito del target, Shodan è un motore di ricerca che permette di scoprire quali sistemi e infrastrutture il target utilizza, Builtwith ci permette di scoprire con quale tecnologia web è stato creato il sito del target o una webapplication.

Ricerche su Repository

Siti come Gitlab o Github permettono di avere repository di codice pubblico, spesso si possono trovare informazioni utili, individuare il linguaggio di programmazione utilizzato per un determinato progetto o informazioni sensibili come chiavi o password.

Ricerca su Data Breach

Un altro elemento di rilievo è quello di eseguire ricerche su vecchi data breach per scoprire se il target o qualche suo dipendente sia stato vittima di una sottrazione di dati poi resa pubblica. Spesso si ottengono nomi utenti, email e password. È possibile scoprire se un’email o un numero di telefono fanno parte di un data breach tramite https://haveibeenpwned.com/

Tool specifici

Nel panorama di tool open source e quelli proprietari ci sono tantissimi strumenti per estrarre informazioni, uno di questi è theHarvester che viene utilizzato per estrarre le email di un determinato dominio, utilizzando diverse fonti. Un altro strumento è Maltego che integra decine di fonti tramite API per poter estrarre informazioni, queste informazioni poi vengono aggregate in un grafico facilmente visualizzabile e analizzabile, inoltre da ogni informazione è possibile, tramite trasformazioni, estrarne delle altre.

L’Information Gathering passivo è il punto di partenza di ogni Penetration Test, eseguire questo passaggio al meglio permette al tester di farsi un idea più precisa sulla natura e la composizione del target, permettendo così di ideare e ottimizzare le successive fasi di analisi e ricerca di informazioni arrivando così all’Information Gathering attivo con una conoscenza più estesa del target.

Questo è stato possibile solo attraverso svariati anni di evoluzioni dell’infrastruttura, di discussioni scientifiche, sociali, politiche ed etiche.

Discussioni che spesso hanno portato la rete verso una sempre più evidenze “chiusura”, una chiusura di governance, dove pochi (e altre tante poche società o consorzi) decidono il percorso, e il destino dell’archivio di conoscenza più grande del mondo. Dove gli utenti sono disposti (in maniera consapevole o meno) a consegnare tutte le proprie informazioni personali per poter accedere qualche minuto ad applicazioni, siti, giochi e conoscenza; dove le poche società che guidano la governance le possono sfruttare per i propri fini speculativi e ottenere sempre più prestigio e potere.

Ma come si è arrivati ad un internet così chiuso e così sbilanciato in favole di multinazionali. Da dove è partita l’idea di internet e qual era la filosofia su cui la tecnologia è stata creata e sviluppata, quali sono stati gli step evolutivi e verso quale forma di rete si sta arrivando, o si vuole arrivare?

Durante ogni step evolutivo gli utenti hanno ricoperto un ruolo fondamentale nello sviluppo e nella crescita di internet e oggi più che mai possono decidere di riottenere ciò che è loro.

Possiamo identificare 3 step evolutivi notoriamente conosciuti come Web 1, Web 2 e Web 3. Personalmente inserire un ulteriore step, e lo vedremmo nel dettaglio e cercherò di spiegare anche la ragione della sua esistenza, il Web 2.5 (o falsa decentralizzazione).

La Nascita di Internet

È il 1963 l’ARPA sta studiando un sistema di interscambio di controllo e comando (per scopi militari) che possa consentire la condivisione delle informazioni con un linguaggio standardizzato, sei anni più tardi viene lanciato ARPANET, l’embrione di internet. Inizialmente composta da 4 soli nodi, con l’aggiunta successiva di altri nodi composti da università ed enti governativi. La tecnologia è quella attualmente utilizzata, un dato viene suddiviso in pacchetti più piccoli (più facili da gestire e da inviare) e riassemblati dal destinatario.

Nel 1972 viene mostrato pubblicamente ARPANET e nel ’74 viene stilato un paper dove si delinea gli aspetti di connettività e distribuzione aperta, senza amministrazione e controllo centralizzato.

Nel 1978 viene redatto il protocollo TCP/IP (attuale standard su cui si è sviluppato internet) per standardizzare la comunicazione e l’individuazione degli host che ne fanno parte. Nell’83 viene ideato il protocollo DNS (domain name service) che permette l’associazione di un nome di dominio con un host della rete.

Giungiamo al 1990 quando Tim Berners-Lee sviluppa il world wide web e http rendendo l’accesso alle informazioni e ai documenti più immediato per gli utenti.

Per un approfondimento sulla timeline di internet vi suggerisco https://thereboot.com/internet-evolution-a-timeline-history-of-the-network/

Web 1.0 (lettura)

Il web 1 è conosciuto come il web dei lettori, dove pochi utenti creavano i contenuti e altri utenti ne consumavano. Un web statico dove poche società controllavano i contenuti e governavano eventuali censure.

Un internet rivolto ai suoi utenti, per condividere conoscenze ed esperienze, una rete non rivolta all’arricchimento di poche società.

Alla fine degli anni 90 le società che proponevano i propri servizi su internet esplosero causando una corsa alla capitalizzazione con conseguente “bolla speculativa”. In questo scenario migliaia di aziende fallirono, così come i relativi investitori, altre invece iniziarono il loro viaggio verso quello che conosciamo come web2, società come Amazon e Google.

Web 2.0 (lettura e scrittura)

La rete internet è cresciuta a dismisura, l’aumento delle capacità computazionali dei server, di nuove tecniche di gestione delle risorse, delle capacità degli sviluppatori ha reso possibile la creazione di siti interattivi e applicazione estremamente complesse completamente online.

In questo contesto si ha un’impennata del numero degli utenti e la conseguente esigenza di nuovi contenuti, gli utenti stessi diventano creatori/consumatori di contenuti in uno scambio molti a molti. Utilizzando piattaforme quali social network che permettono l’utilizzo delle loro funzionalità in maniera gratuita (almeno a prima vista).  Le società che controllano i social network diventano proprietari di tutti i dati relativi agli utenti e ai loro contenuti, regolandone la diffusione, decidendo quali e quanti pubblicarne, se censurarli o meno, creando disinformazione, causando così una totale chiusura di internet (centralizzando la rete e i contenuti). I dati e i contenuti diventano un mezzo per monetizzare (spesso senza riconoscere nulla al creatore del contenuto) tracciando l’interazione degli unteti, e ancor di più permettendone la profilazione accurata dei consumatori.

Con i dati di profilazione è possibile per queste aziende generare incassi spaventosi rivendendoli e creando così un sistema di advertising aggressivo.

Web 2.5 (falsa decentralizzazione)

Ho voluto indicare questo “nuovo” step evolutivo che si inserisce perfettamente in quello che è l’attuale panorama del web 2.0 e quello che sarà il futuro del web 3.0.

Questo step nasce per delineare una più specifica fase e delle entità che si trovano ora sulla rete, tutte quelle applicazioni o sistemi che dichiarano di essere il Web 3.0 molto spesso non lo sono. Il Web 3.0 è la totale decentralizzazione delle applicazioni e delle infrastrutture, applicazioni costruite interamente su sistemi non centralizzati come le blockchain quindi sia logica applicativa, dati, frontend interamente distribuiti on-chain.

Attualmente le applicazioni (identificate come web 3.0) sfruttano la presenza di una blockchain solamente per l’autenticazione (tramite wallet), per scambi di crypto, transazioni per verifica di smart contract o piccole porzioni di codice. Tutta la logica applicativa, parte dei dati, il frontend e l’infrastruttura hardware (i nodi di consenso e di risposta ai client) è tutta gestita in maniera centralizzata da un’organizzazione che si affida a sistemi cloud quali AWS o Google Cloud, questo è dovuto ad un fisiologico cambio di paradigma di sviluppo che ci porterà nel tempo ad una reale rete governata da sistemi di tipo Web 3.0, ma finché ci sarà la necessità di centralizzare uno degli elementi che costituisce un’applicazione (che sia questo la parte software o hardware) non si potrà mai parlare di Web 3.0 o di DECENTRALIZZAZIONE.

Web 3.0 (lettura scrittura possesso) - Web Fluido

Finalmente siamo arrivati al Web 3.0, come detto precedentemente, in questo contesto non andremo più a parlare di applicazioni gestite da un’organizzazione centralizzata che acquisiscono la proprietà di qualsiasi dato, ma di entità gestite da DAO che lavorano per far crescere l’ecosistema in maniera sostenibile, libera ed etica (si spera).

In questa fase l’utente è l’unico possessore dei suoi dati e ha la possibilità e la capacità di poter collegare il proprio profilo su più applicazioni differenti, senza doverne creare di nuovi ogni volta, rendendo l’accesso il più trasparente e immediato possibile.

Le caratteristiche fondamentali delle blockchain permettono alle applicazioni on-chain e ai suoi contenuti di essere immutabili, resistenti alla censura, senza fiducia e questo è sicuramente un punto di forza, ma anche un punto di debolezza (soprattutto per aspetti etici).

In questo scenario si inserisce quello che oggi conosciamo come “Metaverso”, che erroneamente viene inteso da molti come un “luogo” virtuale dove poter interagire attraverso un avatar.

Il Metaverso sarà ciò che andrà a costituire il substrato di Internet Web 3, infatti deve essere inteso come un protocollo o una standardizzazione di come le piattaforme, le infrastrutture e gli utenti devono svilupparsi e interagire tra loro, creando così uno spazio fluido dove il passaggio di informazioni viene fatto in totale trasparenza e in maniera multidirezionale, sicura e con l’utente unico detentore dei propri dati e delle proprie informazioni.

Conclusione

Quello che stiamo vivendo in questo momento è la totale predominanza di poche società che detengono “i diritti” di monetizzazione e gestione dei dati utenti di quasi la totalità di internet.

Grazie all’introduzioni di soluzioni blockchain e crittografiche l’utente si sta riappropriando dei propri dati e delle proprie informazioni, utilizzandole solamente per i ciò che lui veramente desidera.

Il percorso per arrivare un internet fluido, dove a “dominare” è solamente la conoscenza che possiamo acquisire o trasmettere è ancora molto lungo e sicuramente non esente da turbamenti e tentativi di “manomissioni”, ma è una fisiologica evoluzione della realtà che ci circonda.

Analisi pubblicata anche su Blockchain IC: https://exwqn-uaaaa-aaaaf-qaeaa-cai.ic0.app/morryk/1131/stato-sicurezza-startup-italiane-2022

subscribe://

ARGOMENTI

Sono stati analizzati dati pubblici e dati estrapolati entrando in contatto diretto (chiamate http) con i siti analizzati. Non sono state utilizzate tecniche invasive o attive e i dati possono soffrire delle condizioni delle reti e temporanee irraggiungibilità degli host.

L’analisi ha riguardato i seguenti elementi:

• Status code di risposta degli host (200 OK, errori 400 e 500)

• Record DNS per determinare provider e paese ospitante

• Versione dei certificati di sicurezza SSL/TLS

• Http Security Headers configurati

ANALISI - Acquisizione e Normalizzazione Dati

Il primo step è stato quello di acquisire i dati dal registro delle imprese italiane, tramite form dedicato è possibile ottenere dati relativi alle Startup registrate in formato csv contenente 14747 record.

Dei dati ottenuti viene preso in considerazione il campo “Sito Internet”, parecchi record presentano inserimenti errati. La conseguente attività è stata la normalizzazione degli indirizzi URL, normalizzazione che ha visto l’analisi di 11580 record (i restanti non riportavano un Sito Internet).

ANALISI - Raggiungibilità Siti

La prima analisi tecnica ha riguardato la reale presenza e raggiungibilità dei siti su internet, quindi sono state effettuate chiamate http, sono stati divisi nell’analisi i siti che rispondevano con lo status code 200 OK (quindi raggiungibili e fruibili) e quelli che hanno risposto con uno status code di errore di classe 400 o 500.

Tutte le successive analisi sono state eseguite solamente sui siti che hanno risposto con uno status code 200 OK.

ANALISI - Status Code

11580 URL analizzate:

• Status Code 200 OK → 7022 (60,6%)

• Status Code 400/500 → 632 (5,5%)

• Nessuna risposta → 3926 (33,9%)

ANALISI - Domain Name Service

Tramite l’analisi dei DNS (Domain Name Service) è stato possibile estrapolare i dati dei provider che forniscono servizi di hosting (o CDN e/o reverse proxy) alle startup, è stato analizzato solo il risultato delle query per il record di tipo A (indirizzo IPv4).

Inoltre è possibile ottenere informazioni sulla località da cui i servizi vengono erogati, risulta che meno della metà delle startup italiane, 47.3% ha un sito hostato in italia, il 76.76% del totale ha un hosting in regione europea, il 18.53% in regioni extraeuropee e il restante non è stato possibile definirlo.

ANALISI - Distribuzione Provider

7022 DNS analizzati:

• Aruba S.p.a. → 1855 (26,42%)

• Google → 826 (11,76%)

• Cloudflare → 520 (7,41%)

• Amazon → 494 (7,04%)

• OVH SAS → 381 (5,43%)

• Register S.p.A. → 348 (4,96%)

• Server Plan S.r.l. → 283 (4,03%)

• Hetzner Online GmbH → 246 (3,50%)

• Netsons s.r.l. → 239 (3,40%)

• Wix.com Ltd. → 208 (2,96%)

• Seeweb s.r.l. → 135 (1,92%)

• Digitalocean → 127 (1,81%)

• Ionos SE → 80 (1,14%)

• Fastly → 74 (1,05%)

• Host Europe GmbH → 73 (1,04%)

• Keliweb S.R.L → 69 (0,98%)

• Contabo GmbH → 60 (0,85%)

• Microsoft → 52 (0,74%)

• Weebly → 48 (0,68%)

• Automattic → 45 (0,64%)

• Host SpA → 45 (0,64%)

• Altri → 814 (11,59%) - vengono conteggiati 215 provider diversi

ANALISI - Distribuzione Paesi

7022 DNS analizzati:

• Italia → 3318 (47.3%)

• USA → 1287 (18.3%)

• Germania → 643 (9.2%)

• Olanda → 635 (9.0%)

• Francia → 389 (5.5%)

• N/A → 181 (2.6%)

• Canada → 150 (2.1%)

• Irlanda → 102 (1.5%)

• Regno Unito → 89 (1.3%)

• Finlandia → 42 (0.6%)

• Danimarca → 32 (0.5%)

• Spagna → 27 (0.4%)

• Svizzera → 25 (0.4%)

• Belgio → 19 (0.3%)

• Portogallo → 18 (0.3%)

• Repubblica Ceca → 14 (0.2%)

• Russia → 6 (0.1%)

• Spagna → 6 (0.1%)

• Australia → 5 (0.1%)

• Lituania → 5 (0.1%)

• Altri → 29 (0.4%) - vengono conteggiati 14 paesi

ANALISI - Versioni Certificati SSL/TLS

L’analisi ha riguardato i certificati SSL/TLS, questi certificati vengono usati per creare una connessione cifrata e sicura (https) tra un client (browser) e un server.

È stata testata anche la possibilità di effettuare connessioni senza certificato, quindi semplicemente in http, risulta possibile effettuare connessioni non  sicure con 335 siti, cioè il 4.7% dei siti testati.

Attualmente le versioni correnti considerate sicure sono TLS 1.2 e TLS 1.3, le precedenti versioni di TLS sono da intendersi deprecati (se presenti sono da considerare come vulnerabilità), i certificati SSL non sono più in uso da anni in quanto afflitti da diverse vulnerabilità, sono stati rimpiazzati dai certificati TLS.

Distribuzione versioni dei certificati di sicurezza web, un server potrebbe offrire più versioni per il certificato, quindi i dati non saranno coerenti con il totale dei siti analizzati. Certificati analizzati 20096:

• SSLv2 → 3 (<0.1%)

• SSLv3 → 27 (0.1%)

• TLS 1 → 2211 (11.0%)

• TLS 1.1 → 2326 (11.6%)

• TLS 1.2 → 8431 (42.0%)

• TLS 1.3 → 7098 (35.3%)

ANALISI - Security Headers

Analizzando le risposte HTTP è stato possibile estrapolare i dati relativi ai Security Headers.

Gli HTTP Security Headers sono direttive che vengono inviate tramite Headers di risposta dal server al client, queste direttive servono a limitare e gestire il comportamento del client nei confronti del server e delle risorse che gli vengono inviate.

Gli headers presi in analisi sono: X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security, Content-Security-Policy, X-XSS-Protection.

Sono state analizzate le risposte dei 7022 siti presi in esame per l’analisi. Per tali siti sono configurati i seguenti headers di sicurezza:

• X-Frame-Options → 692 (9.85%) L'intestazione X-Frame-Options indica al browser che il sito non può essere incorporato in un altro tramite iframe, embed o object.

• X-Content-Type-Options → 1610 (22.92%) Questa intestazione indica al browser di utilizzare fedelmente il Type Mime presente nell'header Content-Type e non gli è permesso di cambiarlo arbitrariamente.

• Strict-Transport-Security → 6684 (95.18%) Spesso scritta in forma abbreviata HSTS, indica al browser che ogni futura connessione deve essere eseguita in HTTPS, nel caso la connessione sia in HTTP questa verrà automaticamente convertita in HTTPS.

• Content-Security-Policy → 388 (5.52%) Limita il browser a caricare risorse solamente dalle origini e dagli endpoint indicati dall'header.

• X-XSS-Protection → 740 (10.53%) Indica al browser di attivare o disattivare il filtro XSS (filtro utilizzato per limitare gli attacchi di tipo Cross Site Scripting)

CONCLUSIONI

I dati mostrano che solo il 78,5% delle startup registrate ha inserito un Sito Internet, inoltre solamente il 60% dei siti è, durante l’analisi, raggiungibile portando così il totale a 7022 Startup ad avere una visibilità e un’esposizione tramite sito web, raggiungendo solo il 47.7% di quelle registrate.

Un altro dato che risulta evidente è quello della posizione geografica, che attesta meno del 50% dei siti in italia.

Dal punto di vista dei provider abbiamo il predominio di Aruba e di Google, scelti sicuramente per praticità di configurazioni e per prezzi concorrenziali.

Andando sul tecnico, per i certificati si può notare come la maggioranza dei provider e degli hosting supporti TLS 1.2 e TLS 1.3, anche se ancora il 22% dei certificati analizzati utilizza TLS 1 e TLS 1.1 (ormai deprecati e da disattivare), questo permette di negoziare un certificato insicuro anche nei casi in cui sono presenti quelli più recenti.

Sono stati individuati 30 certificati che vengono serviti tramite SSL e che andrebbero aggiornati con urgenza.

Un altro dato rilevante è la forte presenza del Security Header HSTS, sicuramente gestito spesso dai provider in fase di installazione dei certificati TLS.

Gli altri header di sicurezza come X-Content-Type-Options e X-XSS-Protection andrebbero sempre aggiunti alla configurazione hosting.

Per quanto riguarda l’X-Frame-Options e il Content-Security-Policy potrebbero non essere configurati per seguire in maniera aderente quelle che sono le logiche di business e gli elementi necessari per il corretto funzionamento del sito, ma nel caso in cui si hanno delle risorse definite e non sia necessario che il sito o una sua parte di esso debbano essere inclusi in altro, il consiglio è quello di configurarli.

L’analisi ha interessato un porzione delle realtà presenti e tecnicamente solamente quei siti che rispondevano alle chiamate, ma si evince una scarsa attenzione ai temi relativi la sicurezza web, questo comporta un atteggiamento poco propenso alla sicurezza e alla consapevolezza dei rischi che ogni azienda (piccola o grande) deve affrontare avendo un’esposizione su internet.

Il sito web è spesso il primo vettore che un attaccante utilizza per testare e confrontarsi con i livelli di sicurezza di una Startup che intende attaccare, quindi (incluso alla formazione del personale) deve essere uno degli elementi a cui prestare più attenzione in termini di Sicurezza Informatica.

RIFERIMENTI

• Registro Imprese Italiane - acquisizione dati

• Drishti - test status code (https://github.com/devanshbatham/Drishti)

• Webchk - test https e http (https://github.com/amgedr/webchk)

• InfoByIp.com (Domain and IP bulk lookup tool) analisi DNS

• Testssl.sh analisi SSL/TLS e Headers di Sicurezza

• Terminale linux per normalizzazioni e grep sui risultati

• MDN Web Docs documentazione varia

Per la versione in PDF: https://lucadelvecchio.it/ricerche/pdf/analisi-startup-2022.pdf

subscribe://

Crediti Cover:
https://www.artstation.com/artwork/aYa9GL

L’hacking sul network viene eseguito spesso attraverso script o software di rete, questo hacking include diverse tecniche tra cui: virus, denial of service (dos), stabile un accesso remoto non autorizzato usando trojan o backdoor, creazione e sfruttamento di botnet, sniffer di pacchetti di rete, phishing, password attack.

Le motivazioni per un attacco sono varie: attenere e sottrarre informazioni critiche, per la sfida, per curiosità, per esperienza e conoscenza, per ottenere un guadagno, per prestigio, per vendetta e altre ragioni.

Chi è un hacker

Un hacker è una persona che accede ad un sistema o una rete senza autorizzazione, per ottenere informazioni, distrugerla o per eseguire ulteriori attacchi. Possiamo identificare diverse “classi” di hacker:

• Black Hat: è l’individuo che usa le sue conoscenze per attaccare e prendere il controllo di sistemi o reti, spesso per azioni criminali.

• White Hat: spesso indicato anche come penetration test (pentester) o ethical hacker è colui che sfrutta le sue conoscenze per simulare attacchi (come li farebbe un black hat) e individuare eventuali debolezze e vulnerabilità nei sistemi e nelle infrastrutture così che si possano fixare e renderle più sicure.

• Gray Hat: un individuo che possiamo identificarlo come una via di mezzo dei precedenti, utilizza le sue competenze per aiutare Hacker a individuare le vulnerabilità., ma nello stesso momento le comunica anche hai vendor dandogli così la possibilità di creare e rilasciare patch di sicurezza.

• Suicide Hacker: un individuo che effettua attacchi verso infrastrutture critiche spesso attacca per perseguire una “causa” e non si preoccupa delle conseguenze che questo può portare ad altri o a se stesso.

• Script Kiddie: lo script kiddie è colui che, non avendo competenze tecniche, esegue script o attacchi verso svariati target. Spesso punta sulla quantità di attacchi più tosto che sulla qualità dell’attacco.

• Cyber Terrorist: colui che per motivi religiosi o politici, utilizza le sue competenze tecniche, per creare paura e caos attraverso attacchi informatici.

• State-Sponsored Hacker: sono spesso gruppi di individui che vengono sovvenzionati da stati per attaccare, rubare o distruggere informazioni o infrastrutture di altri stati o importanti compagnie.

• Hacktivist: sono coloro che eseguono attacchi verso target governativi o grandi compagnie in segno di protesta. Lo fanno per avere una più ampia visibilità sia online che offline.

Le fasi di un attacco di hacking

Durante un attacco informatico possiamo individuare 5 fasi ben definite da attività specifiche.

• Ricognizione

• Scansione

• Ottenimento accesso

• Mantenimento accesso

• Eliminazione tracce

Fase di ricognizione

In questa fase l’attaccante studia e raccoglie più informazioni possibili su target, come impiegati, clienti, network e sistemi. Questa fase permette all’attaccante di pianificare l’attacco.

Una tecnica per raccogliere informazioni sensibili può essere quella dell’ingegneria sociale, dove l’attaccante convince una persona a fornirgli informazioni sensibili con l’inganno. Sfruttando queste informazioni può ottenere ulteriori informazioni importanti. Un'altra tecnica è quella del Dumpster Diving e consiste nel ricercare informazione all’interno dei cestini della spazzatura dell’organizzazione sperando che qualche dipendente abbia gettato dei fogli con informazioni sensibili senza prima averli distrutti o resi illeggibili. Anche visitando il sito internet dell’organizzazione l’attaccante può ottenere importanti informazioni, inoltre con una richiesta al database whois si possono estrarre informazioni su chi ha registrato il dominio e vari contatti.

Si identificano 2 tipologie di ricognizione, la ricognizione attiva e la ricognizione passiva.

La ricognizione passiva è quella che permette all’attaccante di ottenere informazione senza interagire con l’organizzazione o con i suoi sistemi, questo permette all’attaccante di rimanere completamente nascosto e anonimo.

La ricognizione attiva è quella che mette l’attaccante direttamente in contatto con i sistemi target, con l’utilizzo di tool e varie tecniche l’attaccante cerca di individuare porte aperte, servizi, sistemi perimetrali, reti appartenenti all’organizzazione target e applicazioni.

Fase di scansione

Questa fase è la fase pre-attacco, durante questa fase l’attaccante prende di mira direttamente la network del target per raccogliere informazioni specifiche sul bersaglio (spesso questa fase coincide con la ricognizione attiva).

Tramite la scansione l’attaccante può venire a conoscenza, tramite port scanning, di servizi, sistemi operativi, host attivi, sistemi di filtraggio o difese perimetrali in una determinata rete. Queste informazioni sono essenziali per identificare una prima superfice di attacco. Molti dei tool che si possono usare per il port scanning implementano anche sistemi per identificare eventuali servizi attivi e enumerare possibili vulnerabilità.

Fase di ottenimento dell’accesso

In questa fase l’attaccante sfrutta le vulnerabilità individuate nella precedete fase per ottenere l’accesso ai sistemi target (sistema operativo, applicazione, rete). Anche se l’attacco non permetta l’accesso all’attaccante questo può provocare parecchi danni come la perdita di dati o il disservizio temporaneo o permanete della risorsa.

Ottenuto l’accesso l’attaccante cerca di elevare i suoi privilegi per avere più possibilità di utilizzare il sistema compromesso per eseguire ulteriori scansioni alla ricerca di host o reti adiacenti da attaccare.

Fase di mantenimento dell’accesso

In questa fase l’attaccante aumenta i suoi privilegi per poter installare backdoor, rootkit o trojan che gli permettono di mantenere un accesso al sistema anche se le vulnerabilità precedentemente sfruttate dovessero essere fixate o non più sfruttabili. L’attaccante piò scaricare malware o tool specifici per raccogliere informazioni come username, password, configurazioni e strutturale per successivi attacchi all’interno del network.

Fase di eliminazione tracce

Arrivato a questo punto l’attaccante eliminerà ogni sua traccia sul sistema, così da poter evitare l’individuazione e prolungare così la sua permanenza sul sistema e sulla network bersaglio. Ovviamente durante questa fase l’attaccante potrà ricominciare con una nuova fase di ricognizione partendo dal sistema compromesso e attaccando dall’interno l’organizzazione.

Crediti cover:

https://shzrebelka.tumblr.com/post/147461379353/superhot-backers-only-poster

La Cyber Kill Chain è un framework sviluppato per migliorare la capacità di individuazione e risposta ad un attacco.

Il framework è stato sviluppato dalla Lockheed Martin e divide un attacco in 7 step.

Ricognizione

In questa fase l'attaccante esegue una ricognizione per collezionare più informazioni possibile sul target. Le attività dell'attaccante in questa fase sono:

• OSINT

• Ricerca di informazioni su Social Network

• Analisi dell’eventuale sito web dell’organizzazione

• Analisi DNS e del blocco degli indirizzi dell’organizzazione

• Scansioni di porte e servizi attivi sul target.

Weaponization

L'attaccante eseguono analisi sui dati raccolti precedentemente per identificare eventuali vulnerabilità e tecniche da utilizzare per ottenere un accesso non autorizzato ai sistemi target.

Prepara un payload che sia adatto all’eventuali vulnerabilità individuate.

Durante questa fase l’attaccante deve:

• Identificare il payload adatto, crearne uno o modficarne uno per la vulnerabilità individuata.

• Preparare eventuali email di phishing

• Costruire o utilizzare una botnet o exploit kit.

Delivery

Durante la fase di delivery l'attaccante misura l'efficacia delle misure di sicurezza e prevenzione del bersaglio, identificando se il payload malevolo consegnato sia stato bloccato o meno.

Durante questa fase un attaccante:

• invia l’email di phishing preparata

• Puoi distribuire chiavette USB contenenti payload malevolo

• Esegue eventuali attacchi su siti compromessi

• Implementa diversi hacking tool contro sistemi operativi, applicazioni e server dell'organizzazione bersaglio.

Exploitation

Una volta consegnato il payload malevolo questo viene attivato nei sistemi della vittima (che siano sistemi operativi, applicazioni o server.) compromettendoli e ottenendo così un accesso (non autorizzato), o nel caso di un mancato accesso, può sempre creare ingenti danni causando un DOS o la perdita di informazioni critiche.

Installazione

Ora l'attaccante, avendo accesso alla macchina, potrà scaricare e installare ulteriore codice malevolo, questo gli permetterà di installare backdoor sul sistema così da poter mantenere l'accesso.

L'attaccante potrà scansionare la rete per infettare ed attaccare ulteriori sistemi presenti sulla network. Inoltre potrà eseguire azioni per mantenere nascosta, il più possibile, la sua presenza.

Comando e Controllo

L’attaccante instaura un canale tra la macchina vittima e i propri server così da poter scambiare dati in forma criptata.

Azioni sull’obiettivo

L’attaccante è riuscito ad ottenere quello che voleva, accesso a dati sensibili e alti privilegi sulla macchina e sul network, ora può effettuare altri attacchi verso altri obiettivi.

TTP - Tattiche, tecniche e procedure

I TTP sono un modello di attività e metodologie ideate per contrastare specifici attori o gruppi di minacce.

Tattiche

Descrive le linee guida che un attaccante segue dall’inizio alla fine del suo attacco. Comprendendo le tattiche di un attaccante sarà possibile individuare e predire l’evoluzione di un attacco durante gli step dello stesso. Un attore di minaccia tende ad utilizzare le stesse tattiche durante vari attacchi, queste tattiche variano dall’acquisizione di informazioni, esecuzioni di exploit, ottenimento di privilegi elevati, mantenimento di accessi e movimenti laterali. A volte però, in base alle circostanze e al target, queste tattiche vengono cambiate o modificate rendendo difficoltoso l’assegnazione di un attacco ad un gruppo/persona più tosto che ad un altro.

Analizzando inoltre eventuali tool, exploit o infrastrutture utilizzate durante un attacco si può risalire all’attaccante.

Tecniche

Descrive le metodologie tecniche utilizzate da un attaccante per raggiungere risultati durante i vari step di un attacco. Conoscere le tecniche permette di individuare le vulnerabilità e implementare delle misure di sicurezza avanzate. Inoltre, lo studio di determinate tecniche permette all’organizzazione di profilare l’attaccate e implementare delle contromisure specifiche. Per esempio, una tecnica può essere quella di effettuare ingegneria sociale prima di iniziare la scansione della rete, oppure quella di criptare i dati prima di trasferirli sui proprio sistemi.

Procedure

Sono la sequenza di azioni che vengono esegue durante i diversi step dell’attacco per massimizzare la possibilità di successo di un attacco. Conoscerle permette di individuare gli obiettivi che un attaccante attaccherà nell’organizzazione.

Identificazione del comportamento dell'attaccante

Si intende l’identificazione delle metodologie o tecniche utilizzate da un attaccante durante l’attacco per accedere alla network dell’organizzazione. Questo aiuta l’organizzazione a preparare e a ideare i propri sistemi di sicurezza nella maniera più performante possibile.

Alcuni comportamenti possono aiutare i sistemi di sicurezza a rilevare un eventuale attacco:

• Ricognizione interna, quando un attaccante è riuscito a penetrare all'interno della network eseguirà una ricognizione interna. Questi possono includere l’enumerazione di sistemi, host, processi, l'esecuzione di diversi comandi per trovare informazioni relativi utenti o configurazioni di sistema, indirizzi di host remoti attivi o programmi attualmente in esecuzione sul sistema. È possibile individuare queste ricerche e far scattare eventuali sistemi di sicurezza.

• Attività proxy non specificata, un attaccante potrebbe configurare diversi domini che puntano allo stesso host così da permettergli il cambio di dominio velocemente senza essere rilevato.

• Uso di tool da riga di comandi, ottenuto l’accesso al sistema un attaccante potrebbe utilizzare le command-line interface (CLI) per interagire con il sistema, leggere, modificare o eliminare un file, creare nuovi utenti, connettersi a sistemi esterni o scaricare file malevoli.

• Http User Agent, un attaccante potrebbe comunicare con sistemi compromessi tramite uno user agent modificato e preparare eventuali futuri attacchi.

• Server di commando e controllo, un attaccante potrebbe utilizzare un server di commando e controllo (C2) per comunicare con i sistemi compromessi attraverso connessioni cifrate. Utilizzando tali connessioni l’avversario può esfiltrare dati, modificarli o lanciare futuri attacchi.

• Uso di un tunnel DNS, un attaccante potrebbe far uso di un tunnel dns per esfiltrare o infiltrare file e informazioni. Inoltre, sfruttando il tunnel potrebbe incanalare ulteriori protocolli di comunicazione (ssh, telnet, http) che non verrebbero indentificati da sistemi di sicurezza perimetrale o da ids.

• Uso di web shell, un attaccante potrebbe utilizzare una web shell per manipolare il comportamento di un web server, per esempio tramite la web shell l’avversario potrebbe interagire con funzionalità del server, caricare o scaricare file, utilizzare il server come nuovo punto di lancio di attacchi.

• Ricerca e collezionamento di informazioni, una volta ottenuto l’accesso al sistema un attaccante potrebbe ricercare e collezionare una mole consistente di dati tra i quali: dati sensibili di impiegati e/o clienti, informazioni finanziarie, configurazioni di rete, dati essenziali per il business. Dopo di che avrà la possibilità di distruggerli, prenderli in ostaggio o rubarli.

Indicatori di compromissione

Gli indicatori di compromissione (ioc) sono parti di dati forensi, che possono essere utilizzati per individuare una potenziale intrusione o attività malevole nell’infrastruttura dell’organizzazione.

Gli IOC sono un importante fonte di informazioni in merito alla minaccia, analizzando gli IOC un organizzazione può migliorare i suoi sistemi e le policy di sicurezza così da poter individuare e bloccare attività sospette e futuri attacchi.

Molte organizzazioni mettono a disposizione della community gli IOC raccolti dai loro sistemi così da condividere le informazioni.

Possiamo suddividere gli IOC in categorie, così da velocizzare il riconoscimento delle minacce e monitorarle durante il la loro evoluzione:

• Indicatori emailUn attaccante tende ad utilizzare un servizio email per inviare file malevoli al target, come IOC possiamo trovare l’indirizzo email che invia la mail, l’oggetto della mail, specifici allegati o link all’interno del corpo della mail.

• Indicatori network Tra gli indicatori di rete troviamo indirizzi url, nomi di dominio e indirizzi ip. In questo caso possono indicare utilizzo di C2, sistemi di malware delivery o botnet.

• Indicatori host Si trovano analizzando i sistemi infettati dell’organizzazione, possono essere nomi di file, hash di file, chiavi di registri, determinate DDL o librerie.

• Indicatori di comportamento Utilizzati per indicate specifici comportamenti dell’attaccante, possono aiutare ad identificare l’attaccante analizzando pattern di comportamento già analizzati o già visti. Utilizzati anche per individuare un comportamento che si distacca dal solito funzionamento e dalla solita esecuzioni di programmi o script legittimi.

Conclusione

Risulta evidente che la conoscenza della nostra infrastruttura e di come un utente può attaccarla diventa fondamentale per ogni organizzazione a prescindere dall’eventuale grandezza o fatturato.

Un altro aspetto fondamentale da tutto questo risulta essere la condivisione di informazioni e degli Ioc così da creare una comunità, più consapevole degli elementi utilizzati dagli attaccanti e contrastarli in maniera più efficace.

Crediti cover:

https://www.pinterest.it/pin/586945763934569924/

Altri articoli

• Information Security

  https://mirror.xyz/0x12e00e78026E4722cF5B4EEc2740ce6022299913/BKTIaaoQESYmJgtl9L-Qe3DY4T7M6oXjoAfJ9YZnl6E

subscribe://

Partiamo dalla differenza tra Dato e Informazione, un dato è un qualsiasi valore, per esempio il numero 42 (numero scelto a caso :-D)

Il numero 42 di per sè non ci dice nulla, non ci offre nessuna nuova conoscenza.

Ora prendiamo lo stesso numero 42, se fosse riferito ad un armadietto contenente dei documenti critici, da semplice numero (o dato) diventa un’informazione. Quindi possiamo dire che l’informazione è il valore semantico assegnato ad un determinato dato che ci permette di ottenere conoscenza.

L’Information Security

L’ information security è l’insieme delle attività preposte alla protezione e alla salvaguardia delle informazioni e di tutti quei sistemi che le utilizzano, le mantengono e le trasmettono; protezione da eventuali utenti non autorizzati, divulgazioni non previste, alterazioni o distruzione.

Le informazioni sono asset critici per tutte le organizzazioni, se informazioni sensibili vengono divulgate o distrutte questo ricadrà direttamente sull’ organizzazione in termini economici, di reputazione e altro.

L’information security si affida a 5 elementi distintivi: confidenzialità, integrità, disponibilità, autenticità e non ripudio.

• Confidenzialità: fa riferimento ai permessi assegnati a quell’informazione, quindi chi ha diritto ad accedervi e chi no.

• Integrità: è l’elemento che ne contraddistingue la non manomissione o l’alterazione da parte degli unteti sia con diritto di accesso o meno.

• Disponibilità: si intende la possibilità, per utenti autorizzati, di accedere a tale informazione in qualsiasi momento e da qualsiasi località.

• Autenticità: determina la verifica di non compromissione o alterazione dell’informazione e di chi ne fa richiesta.

• Non ripudio: garantisce l’assegnazione di un informazione o di una comunicazione ad un utente rispetto ad un altro.

Questi elementi sono essenziali per determinare se c’è stato o meno un attacco o un’alterazione delle informazioni o dei sistemi.

Motivazioni e obiettivi

Durante un attacco di information security si possono identificare e schematizzare le motivazioni e gli obiettivi dell’azione, questo permette alle organizzazioni di identificare l’attacco stesso e di ideare in anticipo delle contromisure che siano in linea con il proprio business:

• Interruzione del business

• Furto di informazioni

• Manipolazioni di dati

• Interruzioni di infrastrutture critiche per generare caos e paura

• Creare delle perdite finanziarie

• Propaganda politica o religiosa

• Individuare e classificare obiettivi militari

• Danneggiare la reputazione di un’organizzazione

• Richiesta di riscatto

• Per vendetta

Oltre alle motivazioni possiamo anche classificare gli attacchi per identificare in maniera più specifica eventuali contromisure da attuare.

Classificazione degli attacchi

Possiamo identificare 5 categorie di attacchi.

Passivo: durante un attacco passivo non si viene in contatto diretto con il target o con la sua infrastruttura, ma sì individuano e si acquisiscono informazioni importanti da eventuali fonti pubbliche o esterne al target.

Esempi di attacco passivo sono: footprintg, sniffing o intercettazioni, OSINT (open source intelligence).

Attivo: quegli attacchi vengono effettuati direttamente all'infrastruttura del target e possono generano la manipolazione di dati ho l'interruzione di comunicazione servizi, bypass o rottura di sistemi di sicurezza.

Esempi di attacco attivo sono: denial of service (dos), bypass di meccanismi di protezione, attacco malware, alterazioni di informazioni, spoofing attack, replay Attack, attacco alle password, session hijacking, man in the middle Attack, DNS e arp poisoning, compromissioni di chiavi, firewall e ids Attack, profiling, esecuzione di codice arbitrario, privilege escalation, backdoor access, attacchi alle crittografia, injection, directory traversal, exploit di applicazioni o sistemi operativi.

Vicinanza: si eseguono questa tipologia di attacchi quando si è fisicamente vicini hai sistemi target o alla network dell’organizzazione. l'obiettivo di questo attacco è ottenere informazioni, modificare informazioni ho interrompere accessi a informazioni e dati.

Esempi di attacco di vicinanza: ingegneria sociale (dumper diving, shoulder surfing, intercettazioni).

Interni: l'attaccante in questo caso è una persona fidata che ha il permesso di accedere a obiettivi critici. Per una persona autorizzata sarà facile bypassare eventuali sistemi di sicurezza, manomettere i dati e le infrastrutture o creare delle interruzioni di servizio.

Esempi di attacchi interni: intercettazioni, furto di device, ingegneria sociale, istallazione di backdoor malware o keylogger, furto di informazioni o divulgazione.

Distribuiti: quando l'attaccante riesce a manomettere hardware o software prima della loro installazione, può essere fatto in fase di produzione o in fase di distribuzione.

Crediti cover:

https://www.pinterest.it/pin/319263061092160227/