eBook - ePub

Hacking For Dummies

Name: Hacking For Dummies
Author: Kevin Beaver

Kevin Beaver

Condividi libro

408 pagine
Italian
ePUB (disponibile sull'app)
Disponibile su iOS e Android

eBook - ePub

Hacking For Dummies

Kevin Beaver

Dettagli del libro

Anteprima del libro

Indice dei contenuti

Citazioni

Informazioni sul libro

Per poter tenere testa a un hacker, bisogna pensare come un hacker. Kevin Beaver, noto esperto nel campo della sicurezza informatica, spiega che cosa motiva gli hacker e che cosa cercano nei nostri device. Ci mette a parte dei segreti del test di vulnerabilità e penetrazione, ci spiega le migliori pratiche di sicurezza e ogni altra cosa che dobbiamo conoscere per bloccare gli hacker prima che provochino problemi alla nostra organizzazione.Impariamo a proteggere i nostri server e i desktop, le applicazioni web, i dispositivi mobili o l'intera rete!

Domande frequenti

Come faccio ad annullare l'abbonamento?

È semplicissimo: basta accedere alla sezione Account nelle Impostazioni e cliccare su "Annulla abbonamento". Dopo la cancellazione, l'abbonamento rimarrà attivo per il periodo rimanente già pagato. Per maggiori informazioni, clicca qui

È possibile scaricare libri? Se sì, come?

Al momento è possibile scaricare tramite l'app tutti i nostri libri ePub mobile-friendly. Anche la maggior parte dei nostri PDF è scaricabile e stiamo lavorando per rendere disponibile quanto prima il download di tutti gli altri file. Per maggiori informazioni, clicca qui

Che differenza c'è tra i piani?

Entrambi i piani ti danno accesso illimitato alla libreria e a tutte le funzionalità di Perlego. Le uniche differenze sono il prezzo e il periodo di abbonamento: con il piano annuale risparmierai circa il 30% rispetto a 12 rate con quello mensile.

Cos'è Perlego?

Perlego è un servizio di abbonamento a testi accademici, che ti permette di accedere a un'intera libreria online a un prezzo inferiore rispetto a quello che pagheresti per acquistare un singolo libro al mese. Con oltre 1 milione di testi suddivisi in più di 1.000 categorie, troverai sicuramente ciò che fa per te! Per maggiori informazioni, clicca qui.

Perlego supporta la sintesi vocale?

Cerca l'icona Sintesi vocale nel prossimo libro che leggerai per verificare se è possibile riprodurre l'audio. Questo strumento permette di leggere il testo a voce alta, evidenziandolo man mano che la lettura procede. Puoi aumentare o diminuire la velocità della sintesi vocale, oppure sospendere la riproduzione. Per maggiori informazioni, clicca qui.

Hacking For Dummies è disponibile online in formato PDF/ePub?

Sì, puoi accedere a Hacking For Dummies di Kevin Beaver in formato PDF e/o ePub, così come ad altri libri molto apprezzati nelle sezioni relative a Computer Science e Computer Science General. Scopri oltre 1 milione di libri disponibili nel nostro catalogo.

Informazioni

Editore

Hoepli

Anno

2022

ISBN

9788836006922

Argomento

Computer Science

Categoria

Computer Science General

I fondamenti del testing della sicurezza

IN QUESTA PARTE…

Scoprire gli elementi base dei test di vulnerabilità e penetrazione.

“Entrare nella testa” di un hacker per capire perché e come fa quello che fa.

Sviluppare un piano per i test della sicurezza.

Comprendere la metodologia per individuare il maggior numero possibile di vulnerabilità (nel miglior modo possibile).

Capitolo 1

Introduzione ai test di vulnerabilità e di penetrazione

IN QUESTO CAPITOLO

» Comprendere gli obiettivi di hacker e utenti malintenzionati

» Esaminare come è stato sviluppato il processo di testing della sicurezza

» Riconoscere che cosa mette a rischio i vostri sistemi

» Iniziare a utilizzare il processo per il testing della sicurezza

Questo libro parla di come sottoporre a test i vostri computer e le vostre reti, per individuare le vulnerabilità di sicurezza e “tappare” le falle che potrete scoprire, prima che i cattivi abbiano la possibilità di sfruttarle.

La terminologia di base

Tutti hanno sentito parlare di hacker e utenti malintenzionati; molti hanno anche dovuto subire le conseguenze dei loro atti criminosi. Chi sono queste persone e perché dovete conoscerle? I prossimi paragrafi presentano le informazioni fondamentali su questi attaccanti.

In questo libro, useremo la terminologia seguente.

»Hacker (o attaccanti esterni) sono quanti cercano di compromettere computer, informazioni delicate e perfino intere reti per ottenere vantaggi illeciti (di solito dall’esterno) come utenti non autorizzati. Gli hacker cercano di violare qualsiasi sistema pensino di poter compromettere. Alcuni preferiscono sistemi prestigiosi, ben protetti, ma la penetrazione in qualsiasi sistema rafforza lo status dell’attaccante nella cerchia degli hacker.

»Utenti malintenzionati (attaccanti esterni o interni) sono quanti cercano di compromettere computer e informazioni delicate dall’esterno (per esempio, client o partner di business) o dall’interno, presentandosi come utenti autorizzati e fidati. Gli utenti malintenzionati cercano di violare sistemi che pensano di poter compromettere per ottenerne vantaggi illeciti o per vendetta, perché possono avere accesso a un sistema o lo conoscono, il che dà loro un vantaggio.

Gli attaccanti malintenzionati sono, in senso generale, sia hacker sia utenti malintenzionati. Per semplicità, li chiamerò tutti hacker e specificherò hacker o utente malintenzionato solo quando dovrò distinguerli e chiarire meglio gli strumenti specifici di ciascuno, le sue tecniche e il suo modo particolare di pensare.

»Hacker etici (ovvero i buoni) manipolano i sistemi per scoprire vulnerabilità, al fine di proteggerli contro gli accessi non autorizzati, gli abusi e gli usi distorti. Ricercatori sulla sicurezza delle informazioni, consulenti e staff interno rientrano in questa categoria.

Hacker

Il termine hacker ha due significati:

»tradizionalmente, gli hacker amano “smanettare” con il software o i sistemi elettronici; si divertono a esplorare e scoprire come operano i sistemi informatici. Amano scoprire nuovi modi di utilizzo dei sistemi, sia dal punto di vista meccanico sia da quello elettronico;

»in anni recenti, il termine ha assunto un nuovo significato: hacker è qualcuno che viola i sistemi con intenti malevoli, per ottenerne un vantaggio personale. Tecnicamente, questi criminali sono cracker (criminal hacker). I cracker violano (crack) sistemi con intenti malevoli. I guadagni che cercano possono essere fama, proprietà intellettuali, profitti o anche vendetta. Modificano, cancellano e rubano informazioni critiche, ma possono anche provocare il malfunzionamento di intere reti, spesso mettendo in ginocchio persino grandi aziende ed enti pubblici.

Non voglio nemmeno iniziare ad affrontare il tema di come la cultura popolare e i media si siano appropriati della parola hack, parlando di life hacking e simili, o anche per indicare le interferenze nelle elezioni. Marketer, politici ed esperti di strategia dei media sanno che le persone comuni non hanno chiaro il significato del termine hacking, così molti di loro lo usano come preferiscono, per raggiungere i propri scopi. Non lasciatevi fuorviare.

Gli hacker buoni (white-hat) non sono felici di essere classificati nella stessa categoria dei cattivi (black-hat). (Se vi siete chiesti il perché di queste espressioni, i termini white hat e black hat derivano dai vecchi telefilm western, in cui i buoni portavano cappelli bianchi da cowboy, i cattivi invece cappelli neri.) Gli hacker gray-hat sono un po’ e un po’. In ogni caso, la maggior parte delle persone associa alla parola hacker una connotazione negativa.

Molti hacker maligni sostengono di non causare danni ma di fare quel che fanno per aiutare altri, per il bene della società. Sarà. In realtà gli hacker maligni sono furfanti elettronici ed è giusto che paghino per le conseguenze delle loro azioni.

Fate attenzione a non confondere gli hacker criminali e i ricercatori della sicurezza. I ricercatori non solo svolgono le loro operazioni a carte scoperte e sviluppano gli strumenti favolosi che utilizzeremo nel nostro lavoro, ma (di solito) hanno responsabilmente l’accortezza di rivelare quanto scoprono e di rendere pubblico il loro codice.

Utente malintenzionato

Quello di utente malintenzionato (cioè un dipendente, un collaboratore o qualche altro utente che abusi dei privilegi che gli sono stati concessi) è un termine comune nell’ambito della sicurezza e nei titoli sulle violazioni della sicurezza. Il problema non sono necessariamente operazioni di hacking da parte degli utenti sui sistemi interni, ma l’abuso, da parte degli utenti, dei privilegi di accesso che sono stati loro assegnati. Gli utenti possono rovistare in sistemi di database critici per ricavarne informazioni delicate, inviare per email informazioni confidenziali sui clienti ai concorrenti o a chiunque altro nel cloud, oppure cancellare file delicati da server a cui probabilmente non avrebbero dovuto poter accedere.

A volte un interno innocente (o non consapevole), anche senza avere cattive intenzioni, può causare problemi di sicurezza spostando, cancellando o modificando informazioni delicate. Anche la pressione di un tasto sulla tastiera può avere conseguenze disastrose nel mondo delle aziende. Pensate a tutti i ransomware che colpiscono le aziende di tutto il mondo. Basta un clic da parte di un utente disattento perché venga colpita un’intera rete.

Gli utenti malintenzionati sono spesso i nemici peggiori dei professionisti dell’IT e della sicurezza, perché sanno esattamente dove andare per trovare quello che vogliono e non hanno bisogno di essere particolarmente competenti tecnicamente per compromettere informazioni delicate. Questi utenti hanno l’accesso che serve e il management di loro si fida, spesso senza alcun sospetto.

E che dire di Edward Snowden (l’ex dipendente della National Security Agency che ha divulgato informazioni ottenute da quell’ente)? Questo è un argomento complicato. (Parleremo di motivazioni degli hacker nel Capitolo 2.) Indipendentemente da quello che pensate di Snowden, ha abusato della sua autorità e ha violato i termini di un accordo di riservatezza. Lo stesso si può dire di altri che, per qualsiasi motivo, siano messi su un piedistallo a causa della loro notorietà.

Riconoscere come gli attaccanti maligni producono hacker etici

Avete bisogno di proteggervi dalle attività degli hacker; dovete diventare competenti quanto coloro che cercano di attaccare i vostri sistemi. Un vero professionista della valutazione della sicurezza possiede le competenze, la mentalità e gli strumenti di un hacker ma è degno di fiducia. Svolge le sue azioni come test della sicurezza dei sistemi sulla base di come gli hacker pensano e agiscono.

L’hacking tecnico (ovvero il testing di vulnerabilità e penetrazione) fa leva sugli stessi strumenti, trucchi e tecniche utilizzati dagli hacker criminali, con una differenza importante: svolge le proprie attività con l’autorizzazione del soggetto bersaglio, in un contesto professionale. L’intento di questi test è scoprire le vulnerabilità, dal punto di vista di un attaccante malintenzionato, per rendere più sicuri i sistemi. I test di vulnerabilità e penetrazione fanno parte di un programma complessivo di gestione del rischio delle informazioni, che consente miglioramenti costanti alla sicurezza. I test di sicurezza possono anche verificare la validità di quanto affermano i vendor a proposito della sicurezza dei loro prodotti.

CERTIFICAZIONI PER IL SECURITY TESTING

Se conducete test di vulnerabilità e penetrazione e volete aggiungere alle vostre credenziali un’altra certificazione, potete pensare di diventare un Certified Ethical Hacker (C|EH) attraverso un programma di certificazione sponsorizzato dall’EC-Council. Vedete www.eccouncil.org per maggiori informazioni. Qualificandovi come Certified Information Systems Security Professional (CISSP), la certificazione C|EH è ben nota e apprezzata nel setto...