Penetration Test: 7 tool per la sicurezza dei tuoi dati

Il penetration test evidenza lacune sul patching dei sistemi, disattenzioni e scarsa cultura sulla sicurezza

[Aggiornamento articolo Aprile 2017] Per verificare se un sistema informatico è afflitto da una vulnerabilità nota pubblicamente, utilizzando software automatici ed eseguendo uno scan, vengono registrate tutte quelle informazioni rilasciate in fase di connessione che non richiedono autenticazione, come ad esempio il nome del programma in ascolto, il numero di versione, ecc. Questi dati, vengono successivamente utilizzati per eseguire una ricerca all’interno di un “database delle vulnerabilità”, costantemente aggiornato dalla software house che sviluppa l’applicazione usata in fase di test.

Tale operazione di Penetration Test, detta anche “Security Assessment“, può generare una serie di “falsi positivi”, poichè differenti programmi possono dare origine a risultati diversi, per via del loro database, in base alle opzioni utilizzate eseguendo lo scan e perchè applicando una patch di sicurezza, non sempre viene aggiornata la versione del servizio sottoposto al controllo e le informazioni fornite all’utilizzatore.

Tutto ciò, evidenzia l’importanza di un “penetration test”, che riproduce un attacco nella maniera più reale possibile e mette alla luce tutte quelle che sono le vere insicurezze di cui è affetto un sistema.

Il consiglio è quello di mettere in atto strategie di vigilanza attiva, di riprodurre le azioni portate da hacker rivedendo insieme all’IT le tracce lasciate dall’attività allo scopo di formare un team specializzato in grado di rievocare il concetto di esame e di verifica. Anche se nessuna azienda nel corso della sua carriera avrà a che fare con personaggi come ad esempio Kevin Mitnick, non bisogna mai sottovalutare la possibilità di attacco; una delle cose più pericolose di un hacker è infatti la motivazione, anche solamente per mettere alla prova, ancora una volta, le proprie capacità. A tal riguardo abbiamo selezionato alcuni tool ideali per effettuare dei penetration test.

Penetration Test

Metasploit

Framework open source caratterizzato da strumenti che forniscono informazioni sulle vulnerabilità nei sistemi operativi e nelle applicazioni e semplificano le operazioni di penetration testing. Solitamente vengono rilasciati nuovi aggiornamenti su GitHub e Bitbucket.

Nessus Vulnerability Scanner

Software di scansione di tutti i tipi di vulnerabilità. Tra i più diffusi al mondo utilizzato da oltre 75 mila organizzazioni di tutto il mondo. Nessus è costituito da “nessusd", il demone, che effettua la scansione, e da “nessus", il client, il quale fornisce all’utente i risultati della scansione. Sostanzialmente rileva le vulnerabilità presenti suggerendo le possibili soluzioni creando report dettagliati di facile analisi.

Nmap

Software open source creato per effettuare port scanning. E’ in grado di ipotizzare quale sistema operativo sia utilizzato dal computer bersaglio.

Burp Suite

Piattaforma ideale per l’esecuzione di test di sicurezza delle applicazioni web. I suoi strumenti supportano l’intero processo di test: dalla mappatura all’analisi di superficie di attacco di una domanda iniziale, fino alla ricerca e sfruttare le vulnerabilità di sicurezza.

OWASP ZAP (Zed Attack Proxy)

Tool open source di vulnerability assessment in grado di effettuare scansioni ed analisi approfondite su applicazioni web.

SQL map

Strumento utilizzato per la verifica e l’exploitation delle vulnerabilità di tipo SQL Injenction. Considerato da molti come il software migliore in circolazione, tra i suoi punti di forza ci sono sicuramente il motore interno di rilevamento di vulnerabilità e il supporto a MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase e SAP MaxDB.

Kali Linux

Distribuzione basata su Debian GNU/Linux che offre agli utenti l’accesso a tool per la sicurezza, che vanno dal port scanning al cracker, già preinstallati e pronti per essere utilizzati fin da subito.

2 commenti a Penetration Test: 7 tool per la sicurezza dei tuoi dati

  1. […] Il penetration testing evidenza lacune sul patching dei sistemi, disattenzioni e scarsa cultura sulla sicurezza. Nel link 7 tool per la sicurezza dei dati.  […]

  2. […] è strutturato in una serie di strumenti che consentono all’utente di eseguire diversi Penetration Test e attacchi di vario […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Accedi

Registrati | Password dimenticata?