Per noi i diritti sui contenuti sono una cosa seria. Se sospetti che questo contenuto sia tuo, rivendicalo qui.
Formati disponibili
Scarica in formato PDF, TXT o leggi online su Scribd
Sei sulla pagina 1/ 24
Benvenuti in questo libro di hacking!
In questo lungo e intenso percorso tratteremo, soprattutto a livello pratico,
numerosi argomenti riguardanti la sicurezza e gli attacchi informatici, facendo prove di port scanning, penetration testing, exploiting, brute forcing etc. - Se dopo aver terminato la lettura di questo libro riuscissi a scrivere una recensione su Amazon.it mi faresti un grande piacere perché come sai molte persone acquistano i libri basandosi solo sulle recensioni e visto che questo libro è nuovo non ci sono molte recensioni. Grazie Qualunque esperto di sicurezza informatica che si rispetti sa che l’ambiente prediletto per l’ambito dell’hacking è sicuramente Linux, quindi per cominciare la serie proponiamo una guida su come installare la BackBox distro su macchina virtuale. Per chi non lo sapesse una macchina virtuale è un software che emula completamente una macchina fisica attraverso un processo di virtualizzazione hardware: in pratica una VM (virtual machine) consente di creare un computer all’interno di un altro computer, e con qualunque sistema operativo. In questo caso, tra la miriade di distribuzioni su base Linux presenti in rete, abbiamo scelto proprio BackBox poiché, essendo pensata per attività di penetration testing, dispone già della maggior parte dei tools che andremo ad utilizzare nella serie e in più è stata sviluppata da un team di italiani! Questo libro è frutto di un grande lavoro e sacrificio, tutti i diritti sono riservati all’autore, è vietata la pubblicazione di questo libro anche se fosse modificato. È vietata la manipolazione di questo libro. ATTENZIONE: Questo libro è stato scritto a solo scopo informativo per entrare nel mondo dell’Hacking, le procedure eseguite in questo libro sono da fare solo sui propri dispositivi!!!
Questa non vuole essere una pubblicità ma se sei interessato e vuoi
iscriverti al mio canale Youtube dove pubblico video sulla tecnologia vai su Youtube e cerca VeryiTech, ti aspetto! INDICE: Benvenuti in questo libro di hacking! CAPITOLO 1: INSTALLAZIONE PROGRAMMI E CONFIGURAZIONE VM Capitolo 2: PORT SCANNING E WEB SCANNING Capitolo 3: DENIAL OF SERVICE Capitolo 4: PASSWORD CRACKING E BRUTE FORCE ATTACK Capitolo 5: VPN E TOR Capitolo 6: SQL INJECTION Capitolo 7: SET - SOCIAL ENGINEERING TOOLKIT Capitolo 8: HACKING USANDO UNO SMARTPHONE ANDROID Capitolo 9: DIVENTARE ADMIN SU WINDOWS IN 3 MINUTI Capitolo 10: Google Dorking - Prendere possesso delle telecamere di sorveglianza Capitolo 11: SHODAN - COME TI RUBANO LE FOTO PERSONALI Capitolo 12: FLUXION - WIFI CRACCATE E COME DIFENDERSI Capitolo 13: TV-B-GONE CON ARDUINO Capitolo 14: MALTEGO Capitolo 15: AIRCRACK E RETI WEP Capitolo 16: COME CREARE APPLICAZIONI INFETTE Capitolo 17: ESP DEAUTHER Capitolo 18: EXPLOIT Capitolo 19: MIMIKATZ Capitolo 20: MITM Capitolo 21: POISON TAP Capitolo 22: RUBBER DUCKY Capitolo 23: XSS E COME DIFENDERSI INTRODUZIONE: ETHICAL HACKING In questo capitolo introduttivo cercherò di spiegarti come agisce un “ethical hacker”, quali sono le motivazioni e qual’è la sua metodologia di lavoro. Sebbene questo capitolo ti possa sembrare troppo teorico, è invece rilevante per assimilare alcuni concetti che verranno poi ripresi successivamente e che ti serviranno sempre quando avrai a che fare con l’hacking e l’informatica. La figura dell’ethical hacker negli ultimi anni è cresciuta notevolmente, in proporzione all’attenzione mediatica rivolta alle tematiche di sicurezza informatica. Oltre a questo, i molteplici e recenti attacchi alle infrastrutture informatiche delle aziende, hanno incrementato la consapevolezza, e la paura, degli addetti ai lavori rispetto proprio a tali tematiche. Per tutti questi motivi, si è quindi venuta a delineare una nuova figura professionale, un professionista fortemente specializzato in sicurezza informatica che ha il compito di testare, verificare e migliorare la solidità, in termini di sicurezza, di una certa realtà; ti anticipo che questa realtà può essere estesa a qualsiasi ambito e non limitata solo a quelli particolari o specifici: che si parli di un’azienda agricola, una multinazionale farmaceutica o un’industria manifatturiera, questo non fa alcuna differenza. Tutti hanno l’esigenza di proteggere adeguatamente la propria infrastruttura. In questo capitolo teorico farò riferimento alla metodologia del penetration testing, e probabilmente ti stai già chiedendo di cosa si tratti. Lo vedremo nel dettaglio successivamente, per adesso posso dirti che rappresenta l’insieme di tutte le procedure necessarie per eseguire un test di sicurezza all’interno di certe realtà. Si procede, infatti, sempre nello stesso modo ma attenzione, ciò non implica una rigidità di pensiero: si può sempre decidere di discostarci dallo standard. L’importante è farlo con una consapevolezza acquisita solo con l’esperienza e col tempo passato ad approfondire determinate tematiche. Mi sembra adesso doveroso dirti due parole sul perché tale figura professionale venga definita ethical hacker oppure, in italiano, hacker etico; proprio quest’ultima parola, “etico”, ci aiuta a definire il contesto, o meglio, il modo con cui esso opera. Agisce eticamente contro chi, utilizzando gli stessi strumenti e le stesse metodologie, opera in maniera malevola. Questa è la differenza più rilevante. L’ethical hacker, inoltre, compie il suo lavoro solo quando quest’ultimo viene commissionato da un cliente e solo a quest’ultimo comunicherà tutti i risultati raggiunti e le evidenze emerse. Facciamo un’ulteriore distinzione: l’ethical hacker è una figura distinta da quella del “security engineer”. Quest’ultimo, infatti, è più orientato alla messa in protezione di un’infrastruttura di rete e nello specifico si occupa, tra le altre cose, della parte di difesa perimetrale (firewall, IDS,IPS,ecc); l’ethical hacker ha una specializzazione verticale nell’effettuare penetration test all’interno di un contesto specifico. Ovviamente possiamo affermare che, su determinati aspetti, le due figure possono entrare in relazione tra loro e scambiarsi competenze. L’ethical hacker non agisce mai di sua iniziativa ma rispettando ed eseguendo le azioni secondo l’ingaggio che il cliente ha commissionato. Inoltre, è molto importante discutere e definire bene lo “scope” del penetration test ovvero quali sono gli elementi di una certa infrastruttura di rete sui quali dovremo agire e che non dovremo mai oltrepassare. Innanzitutto, le conoscenze relative alle reti informatiche: non si può pensare di proteggere o attaccare una rete se prima non si conosce il suo funzionamento, perlomeno nei concetti di base. Secondo, dovrai studiare e comprendere almeno un linguaggio di programmazione. Personalmente ti suggerisco il Python: semplice da imparare e molto potente, ma sono ben accetti anche altri linguaggi, come il C o il Java. I costrutti di base sono sempre gli stessi. Mi raccomando l’HTML non è un linguaggio di programmazione! Questi due aspetti sono indispensabili. Senza di essi non puoi iniziare a posizionare e fissare i mattoncini necessari ad edificare l’opera finale. CAPITOLO 1: INSTALLAZIONE PROGRAMMI E CONFIGURAZIONE VM
Innanzitutto bisogna scaricare i seguenti files:
Oracle VM VirtualBox BackBox Metasploitable (ci servirà in futuro) Metasploitable è una macchina virtuale Linux colma di vulnerabilità, creata appositamente per effettuare attività di security e attack testing: in pratica si tratta della nostra vittima, la cavia perfetta! Noi però non ci accontentiamo solo di una vittima Linux, ma (più avanti) avremo anche una vittima Windows, precisamente un sistema Windows XP che installeremo sempre su VM; quindi, per darvi un’idea, nel corso dei capitoli avremo il seguente scenario: STEP 1: INSTALLARE VirtualBox Innanzitutto bisogna installare VirtualBox che effettivamente è il software con cui creeremo le nostre macchine virtuali.
L’installazione è semplicissima: andate sul sito ufficiale di VirtualBox che
vi lascio qui. Fate click su Download ed eseguite l’installer seguendo la procedura qui sotto: Iniziamo l'installazione avviando, con un doppio-click, il file eseguibile VirtualBox-X.Y.ZZ-KKKKKK-Win.exe (dove X.Y.ZZ-KKKKKK rappresentano la versione scaricata di VirtualBox). Ricordatevi di installare l’ultima versione del software per avere tutte le ultime funzionalità aggiuntive. All'avvio, il programma mostrerà alcune schermate per guidarti nell'installazione. Cliccare su Next, per proseguire.
In questa schermata viene data l'opportunità di selezionare le funzionalità
desiderate. In realtà sono già tutte impostate per default. Cliccare Next, per proseguire.
Qui possiamo scegliere alcune utilità che l'installer provvederà ad impostare
per noi. Anche in questa schermata tutte le opzioni sono già impostate di default e possiamo cambiarle a nostro piacimento. Cliccare Next, per proseguire. Questa schermata ci avvisa che durante l'installazione di VirtualBox verrà effettuato un reset delle interfacce di rete, pertanto per qualche secondo durante l'installazione l'accesso alla rete non sarà disponibile. Infatti, verrà installata una nuova interfaccia di rete virtuale, necessaria per permettere alle macchine Guest di accedere in modo trasparente alla rete fisica. Cliccare Next, per proseguire.
Tutto è pronto per la vera e propria installazione. Cliccare Next, per
proseguire. In questa schermata ci verrà mostrata la consueta barra di progresso dell'effettiva installazione del programma.
Questa schermata ci informa che il software di installazione sta installando
un dispositivo virtuale per consentire alle interfacce fisiche USB della macchina Host (macchina fisica) di essere trasferite alle macchine Guest (macchine virtuali). Cliccare Installa per proseguire. Questa schermata ci informa che il software di installazione sta installando un nuovo dispositivo (virtuale) di rete che potrà essere gestito della macchina Host (macchina fisica) e di essere utilizzato dalle macchine Guest (macchine virtuali) per accedere alla rete fisica. Cliccare Installa per proseguire.
Questa schermata ci informa che il software di installazione sta installando
un dispositivo virtuale per consentire alle interfacce fisiche di rete della macchina Host (macchina fisica) di essere utilizzate dalle macchine Guest (macchine virtuali). In realtà si tratta dell'installazione della interfaccia di rete virtuale per poter consentire alle macchine virtuali che verranno successivamente installate, di potersi interfacciare e scambiarsi informazioni tra loro su una LAN completamente isolata dal mondo esterno. Cliccare Installa per proseguire. Fine dell'installazione! L'installazione di VirtualBox è finalmente terminata con successo.
Ecco come appare la prima schermata di VirtualBox .
STEP 2 Creiamo la nostra macchina BackBox. Da VirtualBox clicchiamo su “Nuova” e impostiamo i seguenti settaggi:
Nome: è indifferente, noi la chiameremo “BackBox”.
Tipo: Linux, Ubuntu (64-bit) Dimensione della memoria: è la quantità di memoria RAM che volete assegnare alla macchina; per Linux è sufficiente anche solo 1GB. Disco fisso: selezioniamo “crea subito un disco fisso virtuale”; si tratta di un HD simulato su cui andremo ad installare il sistema operativo. Nella finestra seguente diamo un nome al disco, come tipo lasciamo “VDI”, e “Allocato dinamicamente”. Attenzione! Come è scritto anche nella finestra, alla macchina non sarà allocato immediatamente tutto lo spazio disponibile: l’hard disk simulato è dinamico e quindi occuperà progressivamente più spazio a seconda dei file o applicazioni contenuti nella macchina. STEP 3 Terminata l’installazione della macchina, continuiamo a sistemare i settaggi su “Impostazioni”: 1) Dalla scheda SISTEMA. Processore è il numero di core da assegnare alla macchina; impostiamo 2 Spuntiamo anche “Abilita PAE/NX”. 2) Dalla scheda SCHERMO. Aumentiamo leggermente la quantità di memoria video in modo che sia almeno un po’ più dignitosa rispetto a quella assegnata di default. 3) Dalla scheda RETE. Spuntiamo “Abilita scheda di rete” connessa a “Scheda con bridge”. Poi da “Avanzate” modifichiamo la Modalità promiscua con “Permetti tutto”. 4) Dalla scheda ARCHIVIAZIONE. Scegliamo il disco virtuale che abbiamo scaricato in precedenza.
In questo modo è come se avessimo inserito nel lettore ottica della
macchina un CD contenente l’installer di BackBox. A questo punto, cliccando su OK, saremo pronti per fare il primo boot sulla nostra prima macchina virtuale; quindi clicchiamo su “Avvia”. Una volta avviata la BackBox troverete sul desktop il collegamento: Install BackBox Linux; si tratta del “cd” che abbiamo inserito nel lettore ottico, quindi facciamo partire l’installazione del sistema operativo: è tutto semplicissimo, anche in questo caso basta seguire la procedura guidata, selezionare la lingua italiana e altre impostazioni. Al termine dell’installazione bisogna riavviare la macchina e autorizzare gli aggiornamenti. Abbiamo fatto il nostro primo, fondamentale passo verso il mondo dell'hacking e della sicurezza informatica: promettiamo che al termine di questo percorso vi girerete e vi accorgerete di aver fatto una lunga strada, insieme! Capitolo 2: PORT SCANNING E WEB SCANNING Prima di sferrare un qualunque attacco informatico o di effettuare attività di pentesting, il malintenzionato deve condurre una fase di information gathering (dall’inglese “raccolta di informazioni") nei riguardi della vittima: se vuoi colpire efficacemente un nemico, allora prima devi conoscerlo! Due degli step fondamentali della suddetta fase sono sicuramente il port e il web scanning che consistono nello scansionare le porte della macchina/server vittima al fine di individuarne le vulnerabilità, compresi i servizi attivi e altre informazioni sensibili. Come annunciato nello scorso articolo, effettueremo i test di scanning sulla Metasploitable,che sarà la nostra vittima, quindi, se non l’avete già fatto scaricate l’immagine virtuale da qui. Il procedimento per installare questa macchina su VirtualBox è ancora più semplice ed immediato di quello della BackBox: riassumiamo velocemente i passaggi da fare. STEP 1 Da VirtualBox clicchiamo su “Nuova” e impostiamo i seguenti settaggi: Nome: è indifferente, noi la chiameremo “Metasploitable”. Tipo: Linux, Ubuntu (64-bit) Dimensione della memoria: è la quantità di memoria RAM che volete assegnare alla macchina; per Linux è sufficiente anche solo 1GB. Disco fisso: selezioniamo “Usa un file di disco fisso virtuale esistente” e scegliamo il file <Metasploitable.vmdk> precedentemente scaricato. Poi clicchiamo su “Crea”. STEP 2 Resta un ultimo, veloce passo da fare: selezionate la macchina appena creata e poi andate su “Impostazioni”. Dalla scheda RETE spuntiamo “Abilita scheda di rete” e poi “Scheda con bridge” Fine dell'estratto di questo libro Kindle. Ti è piaciuto l'estratto? Compra ora o scopri i dettagli su questo libro nel Kindle Store