Articoli con tag Social Engineering

BackTrack 4: Social Engineering Toolkit

2
1 anno fa
Scritto da Rocco Musolino in , , ,

Molti di voi sicuramente conosceranno il Toolkit integrato in BackTrack 4 (la hacking distro linux per pentester) che vi consente di ottenere shell remote e così via appunto sfruttando quello che viene definito il social engineering, l’ingegneria sociale. Non ci sono patch per la stupidità umana, ;) un sistema può essere sicuro al 100% ma finchè sarà pilotato da un essere umano esso può essere raggirato mirando alla persona fisica.

Video di Carlo Velletri
(is a video that explane one of the varius modes of use of SET – the “Social Engineering Toolkit”.) Come recita la descrizione del video, gustatevelo:

Le 15 Tipologie di attacco HACKER più diffuse!

1
1 anno fa
Scritto da Rocco Musolino in , , , ,

Ecco come si evolveranno le incursioni dei “Pirati Informatici” nel corso di questo 2010.
Secondo il più recente dei Data Breach investigations Report realizzato dagli esperti di sicurezza di Verizon Business questo è l’elenco dei più diffusi attacchi/reati informatici portati alle aziende nel 2009:

  • 1. Keylogging e spyware: Malware: progettato specificatamente per raccogliere,monitorare e registrare di nascosto le azioni di un utente di sistema.
  • 2. Backdoor: o comando/controllo. Strumenti progettati per funzionare in modo nascosto che forniscono accesso remoto o garantiscono il controllo (o entrambe le cose) a sistemi infettati.
  • 3. SQL injection: Tecnica d’attacco utilizzata per sfruttare il modo in cui le pagine web comunicano con i database backend.
  • 4. Abuso di accesso a sistema/privilegi. Abuso di accesso a sistema/privilegi. Abuso deliberato e dannoso di risorse, accesso o privilegi concessi dall’organizzazione ad un singolo.
  • 5. Accesso non autorizzato tramite credenziali di default. Casi in cui un intruso accede al sistema o a una periferica protetta tramite password e username standard preconfigurati (noti a molti).
  • 6. Violazione di utilizzo accettabile e altre policy. Mancato rispetto accidentale o voluto della policy di utilizzo accettabile.
  • 7. Accesso non autorizzato tramite liste di controllo degli accessi (ACL – Access control list) deboli o mal configurate. Gli intrusi possono avere accesso a risorse ed eseguire azioni non volute dalla vittima.
  • 8. Packet Sniffer: Software utilizzato per controllare e catturare i dati che attraversano la rete.
  • 9. Accesso non autorizzato tramite credenziali rubate. Casi in cui un intruso accede ad un sistema protetto o ad una periferica utilizzando credenziali valide ma rubate.
  • 10. Pretexting o Social Engeneering. Tecnica di social engeneering in cui l’intruso inventa uno scenario per ingannare la vittima al fine di farle fare una determinata azione.
  • 11. Bypass dell’autenticazione. Sistema di aggirare la normale procedura di autenticazione neccessaria per accedere ad un sistema.
  • 12. Furto fisico di risorse: Rubare fisicamente un bene.
  • 13. Attacco tramite i programmi “brute-force”. Processo automatizzato di ripetizione di combinazioni di username/password possibili fino a trovarne una corretta.
  • 14. RAM scraper: Forma piuttosto nuova di malware progettato per catturare dati da una memoria volatile (RAM) all’interno di un sistema.

    • Fonte HJ.

    Conferenza Kevin Mitnick sulla sicurezza.

    2
    3 anni fa
    Scritto da Rocco Musolino in ,

    Avevam parlato precedentemente di social engineering, per chi non ricorda cosa sia può visitare la pagina scritta appositamente; e se ricordate bene avevamo citato un certo Kevin Mitnick il vero pionere di quest’arte! oggi vi propongo una conferenza tenuta dallo stesso, in merito alla sicurezza aziendale e non solo:

    Torna all'inizio