eBook - ePub
Hacking For Dummies
Kevin Beaver
This is a test
Share book
- 408 pages
- Italian
- ePUB (mobile friendly)
- Available on iOS & Android
eBook - ePub
Hacking For Dummies
Kevin Beaver
Book details
Book preview
Table of contents
Citations
About This Book
Per poter tenere testa a un hacker, bisogna pensare come un hacker. Kevin Beaver, noto esperto nel campo della sicurezza informatica, spiega che cosa motiva gli hacker e che cosa cercano nei nostri device. Ci mette a parte dei segreti del test di vulnerabilità e penetrazione, ci spiega le migliori pratiche di sicurezza e ogni altra cosa che dobbiamo conoscere per bloccare gli hacker prima che provochino problemi alla nostra organizzazione.Impariamo a proteggere i nostri server e i desktop, le applicazioni web, i dispositivi mobili o l'intera rete!
Frequently asked questions
How do I cancel my subscription?
Can/how do I download books?
At the moment all of our mobile-responsive ePub books are available to download via the app. Most of our PDFs are also available to download and we're working on making the final remaining ones downloadable now. Learn more here.
What is the difference between the pricing plans?
Both plans give you full access to the library and all of Perlego’s features. The only differences are the price and subscription period: With the annual plan you’ll save around 30% compared to 12 months on the monthly plan.
What is Perlego?
We are an online textbook subscription service, where you can get access to an entire online library for less than the price of a single book per month. With over 1 million books across 1000+ topics, we’ve got you covered! Learn more here.
Do you support text-to-speech?
Look out for the read-aloud symbol on your next book to see if you can listen to it. The read-aloud tool reads text aloud for you, highlighting the text as it is being read. You can pause it, speed it up and slow it down. Learn more here.
Is Hacking For Dummies an online PDF/ePUB?
Yes, you can access Hacking For Dummies by Kevin Beaver in PDF and/or ePUB format, as well as other popular books in Computer Science & Computer Science General. We have over one million books available in our catalogue for you to explore.
Information
1
I fondamenti del testing della sicurezza
IN QUESTA PARTE…
Scoprire gli elementi base dei test di vulnerabilità e penetrazione.
“Entrare nella testa” di un hacker per capire perché e come fa quello che fa.
Sviluppare un piano per i test della sicurezza.
Comprendere la metodologia per individuare il maggior numero possibile di vulnerabilità (nel miglior modo possibile).
Capitolo 1
Introduzione ai test di vulnerabilità e di penetrazione
IN QUESTO CAPITOLO
» Comprendere gli obiettivi di hacker e utenti malintenzionati
» Esaminare come è stato sviluppato il processo di testing della sicurezza
» Riconoscere che cosa mette a rischio i vostri sistemi
» Iniziare a utilizzare il processo per il testing della sicurezza
Questo libro parla di come sottoporre a test i vostri computer e le vostre reti, per individuare le vulnerabilità di sicurezza e “tappare” le falle che potrete scoprire, prima che i cattivi abbiano la possibilità di sfruttarle.
La terminologia di base
Tutti hanno sentito parlare di hacker e utenti malintenzionati; molti hanno anche dovuto subire le conseguenze dei loro atti criminosi. Chi sono queste persone e perché dovete conoscerle? I prossimi paragrafi presentano le informazioni fondamentali su questi attaccanti.
In questo libro, useremo la terminologia seguente.
»Hacker (o attaccanti esterni) sono quanti cercano di compromettere computer, informazioni delicate e perfino intere reti per ottenere vantaggi illeciti (di solito dall’esterno) come utenti non autorizzati. Gli hacker cercano di violare qualsiasi sistema pensino di poter compromettere. Alcuni preferiscono sistemi prestigiosi, ben protetti, ma la penetrazione in qualsiasi sistema rafforza lo status dell’attaccante nella cerchia degli hacker.
»Utenti malintenzionati (attaccanti esterni o interni) sono quanti cercano di compromettere computer e informazioni delicate dall’esterno (per esempio, client o partner di business) o dall’interno, presentandosi come utenti autorizzati e fidati. Gli utenti malintenzionati cercano di violare sistemi che pensano di poter compromettere per ottenerne vantaggi illeciti o per vendetta, perché possono avere accesso a un sistema o lo conoscono, il che dà loro un vantaggio.
Gli attaccanti malintenzionati sono, in senso generale, sia hacker sia utenti malintenzionati. Per semplicità, li chiamerò tutti hacker e specificherò hacker o utente malintenzionato solo quando dovrò distinguerli e chiarire meglio gli strumenti specifici di ciascuno, le sue tecniche e il suo modo particolare di pensare.
»Hacker etici (ovvero i buoni) manipolano i sistemi per scoprire vulnerabilità, al fine di proteggerli contro gli accessi non autorizzati, gli abusi e gli usi distorti. Ricercatori sulla sicurezza delle informazioni, consulenti e staff interno rientrano in questa categoria.
Hacker
Il termine hacker ha due significati:
»tradizionalmente, gli hacker amano “smanettare” con il software o i sistemi elettronici; si divertono a esplorare e scoprire come operano i sistemi informatici. Amano scoprire nuovi modi di utilizzo dei sistemi, sia dal punto di vista meccanico sia da quello elettronico;
»in anni recenti, il termine ha assunto un nuovo significato: hacker è qualcuno che viola i sistemi con intenti malevoli, per ottenerne un vantaggio personale. Tecnicamente, questi criminali sono cracker (criminal hacker). I cracker violano (crack) sistemi con intenti malevoli. I guadagni che cercano possono essere fama, proprietà intellettuali, profitti o anche vendetta. Modificano, cancellano e rubano informazioni critiche, ma possono anche provocare il malfunzionamento di intere reti, spesso mettendo in ginocchio persino grandi aziende ed enti pubblici.
Non voglio nemmeno iniziare ad affrontare il tema di come la cultura popolare e i media si siano appropriati della parola hack, parlando di life hacking e simili, o anche per indicare le interferenze nelle elezioni. Marketer, politici ed esperti di strategia dei media sanno che le persone comuni non hanno chiaro il significato del termine hacking, così molti di loro lo usano come preferiscono, per raggiungere i propri scopi. Non lasciatevi fuorviare.
Gli hacker buoni (white-hat) non sono felici di essere classificati nella stessa categoria dei cattivi (black-hat). (Se vi siete chiesti il perché di queste espressioni, i termini white hat e black hat derivano dai vecchi telefilm western, in cui i buoni portavano cappelli bianchi da cowboy, i cattivi invece cappelli neri.) Gli hacker gray-hat sono un po’ e un po’. In ogni caso, la maggior parte delle persone associa alla parola hacker una connotazione negativa.
Molti hacker maligni sostengono di non causare danni ma di fare quel che fanno per aiutare altri, per il bene della società. Sarà. In realtà gli hacker maligni sono furfanti elettronici ed è giusto che paghino per le conseguenze delle loro azioni.
Fate attenzione a non confondere gli hacker criminali e i ricercatori della sicurezza. I ricercatori non solo svolgono le loro operazioni a carte scoperte e sviluppano gli strumenti favolosi che utilizzeremo nel nostro lavoro, ma (di solito) hanno responsabilmente l’accortezza di rivelare quanto scoprono e di rendere pubblico il loro codice.
Utente malintenzionato
Quello di utente malintenzionato (cioè un dipendente, un collaboratore o qualche altro utente che abusi dei privilegi che gli sono stati concessi) è un termine comune nell’ambito della sicurezza e nei titoli sulle violazioni della sicurezza. Il problema non sono necessariamente operazioni di hacking da parte degli utenti sui sistemi interni, ma l’abuso, da parte degli utenti, dei privilegi di accesso che sono stati loro assegnati. Gli utenti possono rovistare in sistemi di database critici per ricavarne informazioni delicate, inviare per email informazioni confidenziali sui clienti ai concorrenti o a chiunque altro nel cloud, oppure cancellare file delicati da server a cui probabilmente non avrebbero dovuto poter accedere.
A volte un interno innocente (o non consapevole), anche senza avere cattive intenzioni, può causare problemi di sicurezza spostando, cancellando o modificando informazioni delicate. Anche la pressione di un tasto sulla tastiera può avere conseguenze disastrose nel mondo delle aziende. Pensate a tutti i ransomware che colpiscono le aziende di tutto il mondo. Basta un clic da parte di un utente disattento perché venga colpita un’intera rete.
Gli utenti malintenzionati sono spesso i nemici peggiori dei professionisti dell’IT e della sicurezza, perché sanno esattamente dove andare per trovare quello che vogliono e non hanno bisogno di essere particolarmente competenti tecnicamente per compromettere informazioni delicate. Questi utenti hanno l’accesso che serve e il management di loro si fida, spesso senza alcun sospetto.
E che dire di Edward Snowden (l’ex dipendente della National Security Agency che ha divulgato informazioni ottenute da quell’ente)? Questo è un argomento complicato. (Parleremo di motivazioni degli hacker nel Capitolo 2.) Indipendentemente da quello che pensate di Snowden, ha abusato della sua autorità e ha violato i termini di un accordo di riservatezza. Lo stesso si può dire di altri che, per qualsiasi motivo, siano messi su un piedistallo a causa della loro notorietà.
Riconoscere come gli attaccanti maligni producono hacker etici
Avete bisogno di proteggervi dalle attività degli hacker; dovete diventare competenti quanto coloro che cercano di attaccare i vostri sistemi. Un vero professionista della valutazione della sicurezza possiede le competenze, la mentalità e gli strumenti di un hacker ma è degno di fiducia. Svolge le sue azioni come test della sicurezza dei sistemi sulla base di come gli hacker pensano e agiscono.
L’hacking tecnico (ovvero il testing di vulnerabilità e penetrazione) fa leva sugli stessi strumenti, trucchi e tecniche utilizzati dagli hacker criminali, con una differenza importante: svolge le proprie attività con l’autorizzazione del soggetto bersaglio, in un contesto professionale. L’intento di questi test è scoprire le vulnerabilità, dal punto di vista di un attaccante malintenzionato, per rendere più sicuri i sistemi. I test di vulnerabilità e penetrazione fanno parte di un programma complessivo di gestione del rischio delle informazioni, che consente miglioramenti costanti alla sicurezza. I test di sicurezza possono anche verificare la validità di quanto affermano i vendor a proposito della sicurezza dei loro prodotti.
CERTIFICAZIONI PER IL SECURITY TESTING
Se conducete test di vulnerabilità e penetrazione e volete aggiungere alle vostre credenziali un’altra certificazione, potete pensare di diventare un Certified Ethical Hacker (C|EH) attraverso un programma di certificazione sponsorizzato dall’EC-Council. Vedete www.eccouncil.org per maggiori informazioni. Qualificandovi come Certified Information Systems Security Professional (CISSP), la certificazione C|EH è ben nota e apprezzata nel setto...