eLearnSecurity : Il primo corso di pentesting in italiano

30 aprile 2010 - Fonte: http://www.armandoromeo.com/
In Italia il penetration testing è sinonimo di Tiger Team. Il tiger team è sinonimo di "oh mio dio".
Nella sicurezza informatica ci sono 2 casi in cui si arriva a imprecare:
  • Non hai assunto un tiger team e quindi ti hanno bucato
  • Quel tiger team che hai assunto ti ha bucato
E' chiaro quindi che il penetration test in Italia non esiste o è una pratica nuova su cui c'è ancora molta (giustificata) diffidenza. Del resto, se vuoi fare il penetration tester e ti senti un appestato sai anche con chi prendertela

Visto che il mercato del penetration testing in Italia quasi non esiste, ho deciso di scommetterci su, lanciando anche in italia il mio progetto eLearnSecurity,...

Leggi il seguito »

Nessun commento »

Inserito in , ,

Come modificare / recuperare le password del firmware EFI di Apple con EFIPW

27 aprile 2009 - Fonte: http://www.trucchetti.com

EFIPW è un tool che può essere utilizzato per decodificare e modificare le passwords EFI di Apple utilizzando la linea di comando..

Disegnato per poter funzionare su computer Intel-based e Leopard e successivi. Molto utile per test di laboratorio e deployment (impostare la password delle macchine come un attività di post install per esempio) o penetration testing (recuperare password EFI firmware).

Testatu su:

Nessun commento »

Inserito in , , , , , , , , , , , , , , , , , ,

Backtrack 4 released!!!

6 marzo 2009 - Fonte: http://itsecblogger.blogspot.com/


Da un po’ di giorni è stata rilasciata una nuova versione di Backtrack ossia la distro linux studiata e sviluppata per penetration testing. Backtrack è oramai alla versione 4 (ancora in beta release) e rispetto alla versione 3 dobbiamo dire che c’è stato un cambiamento radicale, se fino a poco tempo fa Backtrack è stata slax-based, dalla versione 4 gli sviluppatori di questa distro hanno deciso di basarla su un'altra distribuzione...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , , , , , ,

La crisi dell’IT Security

6 febbraio 2009 - Fonte: http://www.armandoromeo.com/
O dovremmo dire la crisi che non c'è stando al report di SANS Institute e Foote partners.

I posti di lavoro nel settore dell'ICT Security sembrano essere i più sicuri secondo quanto emerso in un survey di 2,120 security executive di aziende con 10,000 - 40,000 dipendenti operanti in 16 diversi settori.

I dati emersi sono:
  • 79% degli intervistati non prevede nessun licenziamento nel 2009
  • 54% degli intervistati non prevede alcun aumento di personale
  • Solo il 3% prevede un taglio di personale
Ma la cosa più importante che salta all'occhio è la variazione di mansioni ricoperte dal personale di IT Security. C'è un graduale passaggio a competenze più "hands on" come penetration testing, ethical hackingm computer forensics e hardening...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , ,

Penetration testing di siti web – Primo stadio

26 luglio 2008 - Fonte: http://www.armandoromeo.com/
Su Hackerscenter.com, ho deciso di fare una carrellata di tools necessari per il penetration testing in ambiente web application.
Ho intenzione di fornire piccole review dei tool open source che personalmente utilizzo nel mio lavoro quotidiano, dividendoli per categoria di appartenenza e ordine sequenziale di utilizzo.
Per motivi di spazio, ho scelto solo i principali per step:
  • Information gathering (recupero di informazioni sul target)
  • Vunerability Assessment (ricognizione delle vulnerabilità presenti sul target)
  • Penetration/attacking (tool che effettivamente sfruttano le vulnerabilità)
Prima di iniziare a parlare dei tool, vorrei soffermarmi su queste categorie per permettere almeno ai principianti...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , ,

Debian and Ubuntu keys under attack

18 maggio 2008 - Fonte: http://ubuntuland.nireblog.com

rss_orange1.png

A recently disclosed vulnerability in widely used Linux distributions can be exploited by attackers to guess cryptographic keys, possibly leading to the forgery of digital signatures and theft of confidential information, a noted security researcher said Thursday.

HD Moore, best known as the exploit researcher who created the Metasploit penetration testing framework, called the vulnerability in Debian and Ubuntu systems "ugly" and said it will be a big job for administrators to find every flawed key, and then re-issue them.

...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , , , , , , , ,

BackTrack : usiamo Linux per testare la sicurezza del nostro pc!

28 febbraio 2008 - Fonte: http://acid34.blogspot.com/


La distro in questione si chiama BackTrack e ci consente di testare la sicurezza (e non solo) del nostro pc, attualmente è una versione beta ma è già abbastanza per provarla sui nostri pc.

Ecco quanto riportato sul sito ufficiale

BackTrack is the most Top rated linux live distribution focused on penetration testing. With no installation whatsoever, the analysis platform is started directly from the CD-Rom and is fully accessible within minutes.


Infatti...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , ,

Metasploit: diagnostica delle vulnerabilità  di un sistema

14 gennaio 2008 - Fonte: http://ilaria.netsons.org

Metasploit Framework, è un tool molto utile che contiene exploits, payloads, encoders, moduli ausiliari che consentono di effettuare operazioni tra cui host discovery e denial of service, pronti all’uso, per ricercare vulnerabilità  nella propria rete e lo sfruttamento delle vulnerabilità  remote.

Metasploit è utilizzato da professionisti di sicurezza per effettuare penetration testing..

Gli exploits disponibili per metasploit possono essere completamente...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , ,