In questo libro, esploreremo i concetti di base dei penetration test, inclusi i loro obiettivi, le fasi coinvolte e le tipologie di test. Discuteremo anche l'importanza di identificare i processi critici dell'organizzazione e valutare i rischi associati. Prenderemo in considerazione le migliori pratiche per prepararsi adeguatamente ai penetration test, tra cui l'identificazione dei sistemi e delle applicazioni da testare, la raccolta di informazioni e la pianificazione delle attività.
Nella prima parte del libro ti mostrerò le attività da un punto di vista dell’attaccante e ci sarà quindi una descrizione generica delle fasi di un penetration test: ti descriverò alcune tecniche e strumenti utilizzati dai professionisti, ma non dimenticare mai che non sarà la Sacra Bibbia. Voglio essere sincero fin da subito: molti argomenti sono sviluppati con qualche esempio, ma solo l’approfondimento personale ti permetterà di padroneggiare una tecnica o uno strumento di hacking. Saranno molti i paragrafi in cui ti inviterò a leggere il manuale di un comando o a cercare su internet qualche informazione aggiuntiva. Google, e oggi l’Intelligenza Artificiale, sono i tuoi migliori amici sia quando studi che quando stai performando un PT. Nessuno è in grado infatti di ricordare ogni comando di ogni strumento possibile.
Nella seconda parte mi focalizzerò invece sul punto di vista del difensore: descriverò quindi tutte quelle attività e buone pratiche che un Blue Team dovrà effettuare prima e dopo un PT.
La cosa che però dovrai sempre ricordare è che:
“Da un grande potere derivano grandi responsabilità” [Ben Parker].
Un ethical hacker non è un criminale. Mette la sua conoscenza al servizio del prossimo. Dovrai avere un grande senso di disciplina e rispetto nei confronti dei tuoi clienti, mantenere i loro segreti al sicuro evitando di metterli a rischio dopo la tua interazione. Così come in generale non dovrai usare le tecniche descritte in questa piccola guida per ottenere un tuo tornaconto personale in maniera non autorizzata, ovvero per compiere atti illegali.
Ma forse anche questo è il bello di questo lavoro. Stare dal lato luminoso della Forza, aiutando il prossimo ad essere più resiliente contro la minaccia cyber.