da Domenico Panetta | Nov 26, 2020 | How-To
Metasploit è uno strumento di pentesting ampiamente utilizzato dagli addetti ai lavori, che rende l’hacking molto più semplice di prima, diventato uno strumento indispensabile sia per il Red che per il Blue Team, posizionandosi come strumento essenziale da utilizzare per molti attaccanti e difensori.
Ai vecchi tempi, il pentesting comportava un sacco di lavoro ripetitivo che Metasploit ora automatizza. Information gathering? Ottenere l’accesso? Mantenere la persistenza? Evadere il rilevamento? Metasploit è un ottimo strumento, e chi lavora nella sicurezza informatica, probabilmente lo ha già utilizzato.
Storia di Metasploit
H.D. Moore ha iniziato a lavorare su Metasploit rilasciando la versione 1.0, scritta in Perl, nel 2003. Il progetto è cresciuto notevolmente da allora, dagli 11 exploit originali con il progetto agli attuali 1.500, più circa 500 payload, con un passaggio a Ruby lungo la strada.
La società di sicurezza Rapid7 ha acquisito sia Metasploit che Moore nel 2009 (Moore ha lasciato il progetto nel 2016). Metasploit da allora è diventato il framework de facto per lo sviluppo degli exploit, nonostante la concorrenza di Canvas e Core Impact. Oggi è comune che i report zero day includano un modulo Metasploit come prova di concetto.
Come usare Metasploit
Durante la fase di raccolta delle informazioni (Information gathering) di un pentest, Metasploit si integra perfettamente con Nmap, la scansione SNMP e l’enumerazione delle patch di Windows, tra gli altri. C’è persino un ponte per Nessus, lo scanner di vulnerabilità di Tenable. Praticamente ogni strumento di ricognizione a cui si può pensare, si integra con Metasploit, rendendo possibile trovare la fessura nell’armatura che stai cercando.
Una volta identificato un punto debole, basterà cercare nell’ampio database di Metasploit l’exploit che aprirà quella fessura e permetterà di entrare. Ad esempio, l’exploit EternalBlue dell’NSA, rilasciato da Shadow Brokers nel 2017, è stato confezionato per Metasploit ed è un punto di riferimento affidabile quando si ha a che fare con sistemi Windows legacy privi di patch.
Metasploit abbina l’exploit a un payload utile e adatto al compito da svolgere. Poiché ciò che la maggior parte delle persone desidera è una shell, un payload adatto quando si attaccano i sistemi Windows è il sempre popolare Meterpreter, una shell interattiva in-memory-only. I sistemi Linux ottengono il proprio codice shell, a seconda dell’exploit utilizzato.
Una volta su una macchina di destinazione, il quiver di Metasploit contiene una suite completa di strumenti di post-exploitation, tra cui privilege escalation, pass the hash, packet sniffing, screen capure, keylogger e gli strumenti di pivot. È anche possibile impostare una backdoor persistente nel caso in cui la macchina in questione venga riavviata.
Ogni anno vengono aggiunte sempre più funzionalità a Metasploit, tra cui un fuzzer per identificare potenziali falle di sicurezza nei file binari, nonché un lungo elenco di moduli ausiliari troppo lungo per essere elencato qui.
Questa è solo una visione di alto livello di ciò che può fare Metasploit. Il framework è modulare e facilmente estensibile e gode di una comunità attiva. Se non fa esattamente quello che si vuole che faccia, è possibile quasi certamente modificarlo e adattarlo.
Come imparare a usare Metasploit con Kali
Sono disponibili molte risorse gratuite ed economiche per imparare Metasploit. Il miglior punto di partenza per molti è probabilmente il download e l’installazione di Kali Linux, insieme a una macchina virtuale vulnerabile (VM) per la pratica. Metasploit e Linux infatti costituiscono un connubio perfetto, sia per chi muove i primi passi, sia per chi ne fa un uso avanzato o professionale. NB Non apprendere l’utilizzo di Metasploit usandolo verso reti o infrastrutture di altre persone senza il loro permesso, è illegale.
Offensive Security, le persone che mantengono Kali e gestiscono la certificazione OSCP, offrono anche Metasploit Unleashed, un corso di formazione gratuito che in cambio chiede solo una donazione ai bambini affamati in Africa. Il libro No Starch Metasploit è anche una risorsa indispensabile che, come tutti i libri No Starch Press, viene fornito con un ebook privo di DRM.
Il progetto Metasploit offre una documentazione dettagliata e il suo canale YouTube è un’altra buona risorsa per i principianti del penetration tester.
Come ottenere Metasploit Framework
Metasploit Framework è la versione base, fornita come parte di Kali Linux (licenza BSD), offrendo solo un’interfaccia a riga di comando, oppure scaricabile gratuitamente e liberamente dal sito web di Metasploit, funziona su *nix e sistemi Windows. Il codice sorgente di Metasploit Framework è disponibile su GitHub.
Oltre al Metasploit Framework, Rapid7 produce anche Metasploit Pro, con i componenti aggiuntivi non gratuiti per pentesters che preferiscono una GUI o comodi wizards per eseguire audit di base o campagne di phishing per i propri clienti come servizio, oltre ad alcune altre interessanti funzionalità.
Rapid7 offre un confronto delle funzionalità sul suo sito web, e per chi fosse interessato ad acquistare la versione Metasploit Pro, con licenza per postazione, può farlo direttamente dal nostro Shop o contattandoci.
da Domenico Panetta | Ott 15, 2020 | Case Study
Il settore dei servizi finanziari è uno degli obiettivi di maggior valore per i criminali informatici a causa della sua enorme riserva di informazioni finanziarie e di identificazione personale (PII) e del potenziale per rapidi guadagni attraverso trasferimenti di denaro fraudolenti.
Poiché le password vengono facilmente violate, le organizzazioni di servizi finanziari non possono più fare affidamento su nome utente e password per l’autenticazione dei dipendenti su sistemi e applicazioni. È necessaria un’autenticazione più forte sotto forma di autenticazione a due fattori (2FA) o autenticazione a più fattori (MFA) per bloccare le acquisizioni di account e per aiutare a eliminare le frodi guidate da attacchi informatici.
I nomi utente e le password creano rischi per la sicurezza: Le password erano la forma di autenticazione più comunemente usata oggi, ma erano anche l’anello più debole nella sicurezza aziendale in quanto suscettibili a una serie di vettori di attacco: phishing e social engineering, password spray, brute force, credential stuffing, key logging, ecc. Le organizzazioni di servizi finanziari che si affidano alle password espongono una superficie di minaccia ampia e facile da sfruttare.
L’affaticamento delle password porta a violazioni dei dati: Gli utenti si stancano di creare nuove password per diversi servizi e cambiarle ogni pochi mesi. Molti utenti finiscono per fare affidamento su password semplici che sono facili da decifrare o riutilizzare le password su account personali e professionali, dove la violazione di un account si traduce in violazione di un altro. Lo State of Password and Authentication Security Behaviors Report 2020 ha rilevato che le persone riutilizzano le password su una media di 16 account sul posto di lavoro e gli intervistati sulla sicurezza IT riutilizzano le password su una media di 12 account sul posto di lavoro.
Gli attacchi di phishing mirano al furto di credenziali: Il phishing continua a rappresentare un enorme problema di sicurezza poiché le tecniche di attacco continuano a evolversi. Il Verizon Data Breach Investigations Report del 2019 afferma che il 32% delle violazioni riguardava il phishing e l’e-mail era il metodo di phishing di consegna principale, 96,8%, nel settore finanziario. I criminali informatici inviano messaggi di posta elettronica falsi che invitano gli utenti a reinserire le credenziali che vengono poi raccolte per l’acquisizione di account. Molti attacchi di phishing portano anche all’installazione di malware, per aiutare a perpetrare una violazione. Anche se gli utenti impostano password complesse, gli hacker possono facilmente accedervi tramite attacchi di phishing.
Non tutti gli MFA sono uguali: Esistono molti strumenti e tecniche di autenticazione avanzata per aumentare o sostituire le password. Sebbene la sostituzione delle password (passwordless) dovrebbe essere l’obiettivo finale di tutte le organizzazioni, quelle di servizi finanziari possono iniziare rafforzando la sicurezza dell’autenticazione con 2FA o MFA. Sebbene MFA sotto forma di domande di sicurezza, codici SMS e OTP siano prevalenti, questi metodi offrono poca o nessuna protezione contro furti di account, phishing, malware e attacchi man-in-the-middle. La richiesta di autenticazione basata su dispositivo mobile può anche rendere le aziende responsabili dei costi relativi alla mobilità dei dipendenti. Le chiavi di sicurezza hardware come YubiKey offrono un’alternativa moderna, sicura ed economica per proteggere gli account digitali da phishing e furti di account. È stato dimostrato che YubiKeys offre i massimi livelli di sicurezza contro le acquisizioni di account nella ricerca indipendente, prevenendo attacchi mirati, e molti dei più grandi istituti finanziari del mondo utilizzano YubiKeys per proteggere le loro informazioni, account e applicazioni più importanti.
Tassi di prevenzione delle acquisizioni di account
Vantaggi di YubiKey per MFA
Le YubiKeys possono essere utilizzate per l’autenticazione a fattore singolo, 2FA o MFA a seconda dei requisiti dell’organizzazione. Come unico fattore (passwordless), le YubiKeys possono essere utilizzate come un primo fattore di autenticazione forte, richiedendo solo il possesso della chiave e consentendo un’esperienza TAP&GO senza password. Per l’autenticazione del secondo fattore (2FA), le YubiKey vengono utilizzate come secondo fattore oltre a una combinazione di nome utente e password, le organizzazioni possono utilizzare YubiKeys per MFA che richiedono il possesso della chiave e un PIN o biometrico.
YubiKeys offre diversi vantaggi come soluzione MFA
Forte sicurezza: L’architettura aperta di YubiKey e l’ampio set di protocolli (OTP, FIDO U2F, FIDO2, PIV) consentono una rapida integrazione con i sistemi nuovi ed esistenti, supportando oltre 1.000 app out-of-the-box. Sfruttando questi moderni protocolli di autenticazione, YubiKey fornisce un’autenticazione a più fattori molto forte. Inoltre, YubiKey memorizza le credenziali di un utente in modo sicuro sull’hardware, assicurando che non possa essere esfiltrato.
Facilità di utilizzo: Le YubiKeys offrono un’esperienza utente senza intoppi. Gli utenti accedono con un solo tocco, che è 4 volte più veloce della ricezione e della digitazione di un codice consegnato tramite SMS, quindi viene sprecato meno tempo per l’accesso ai sistemi. Google ha condotto uno studio approfondito e ha scoperto che l’utilizzo di YubiKeys ha ridotto il tempo di accesso di quasi il 50% rispetto a un autenticatore mobile. A più applicazioni un utente deve accedere, più questo diventa importante.
Durevole e affidabile: Le YubiKey sono estremamente resistenti. Le chiavi non richiedono batterie e funzionano senza connessione cellulare o Internet, quindi possono essere utilizzate in qualsiasi ambiente, inclusi gli ambienti con limitazioni di Internet e dispositivi mobili. Inoltre, a differenza dei telefoni o delle app di autenticazione, non è necessario aggiornarli o effettuare l’autenticazione.
ROI forte: La configurazione MFA può essere eseguita tramite self-service e non richiede un amministratore IT. L’implementazione delle chiavi per i dipendenti è molto rapida ed economica: le chiavi possono essere inviate a una filiale o sede centrale, o anche direttamente a ciascun dipendente, inclusi i dipendenti remoti. È stato inoltre dimostrato che le YubiKeys riducono del 92% le chiamate di supporto IT relative alla reimpostazione della password, risparmiando migliaia di ore all’anno in help desk e costi di supporto.
YubiKeys per casi d’uso MFA
Rispetta le normative di conformità e i controlli di sicurezza: Il settore dei servizi finanziari è altamente regolamentato e diverse normative impongono un’autenticazione forte tra cui SOX, FIPS, GDPR, PCI e PSD2. Le organizzazioni di servizi finanziari possono soddisfare le normative di conformità e gli audit di sicurezza implementando YubiKeys per una MFA forte. YubiKey consente una forte verifica degli utenti prima di fornire l’accesso a dati sensibili e PII, mantenendo le organizzazioni di servizi finanziari conformi alle normative esistenti ed emergenti. Sono inoltre certificati FIPS 140-2 (Certificato n. 3517) Livello complessivo 2, Livello di sicurezza fisica 3.
Proteggi gli account privilegiati: Un utente privilegiato è un dipendente che dispone di livelli di autorizzazione più elevati per accedere a informazioni sensibili su clienti, società o finanziarie. La stragrande maggioranza delle violazioni della sicurezza di grandi dimensioni comporta l’uso improprio o l’escalation di credenziali privilegiate e l’accesso immediato a informazioni preziose come dati dei clienti, numeri di conto, informazioni sulla carta di credito e altro, con conseguenze paralizzanti per l’azienda. Le organizzazioni di servizi finanziari possono rafforzare la gestione degli accessi privilegiati e garantire la MFA utilizzando YubiKeys per tutti gli utenti privilegiati, inclusi amministratori di rete e database, amministratori di sicurezza e di sistema, sviluppatori di applicazioni, dipendenti di C-suite e impiegati in finanza, contabilità e risorse umane. Richiedere agli utenti con privilegi di autenticarsi con chiavi di sicurezza hardware resistenti al phishing per accedere in modo sicuro ai servizi e alle applicazioni aiuterà a fermare gli attacchi mirati e prevenire il furto di account.
Proteggi i lavoratori remoti: Gli hacker stanno approfittando dell’aumento del lavoro remoto con attacchi di phishing mirati. I progressi della tecnologia consentono ai dipendenti di lavorare ovunque, ma introducono anche una nuova serie di sfide per l’IT. Reti Wi-Fi non protette, dispositivi mobili personali non gestiti e frodi di phishing rendono facile per i criminali informatici rubare le credenziali degli utenti e difficile per i team IT gestire in modo sicuro i team dislocati geograficamente.
Le organizzazioni di servizi finanziari possono sviluppare piani di emergenza aziendale che includono la protezione della forza lavoro remota, in modo che i dipendenti possano accedere in modo sicuro ai sistemi senza introdurre nuovi rischi e vulnerabilità. L’abilitazione dell’MFA dovrebbe essere uno dei requisiti principali per una politica di lavoro da casa. Per MFA con la massima garanzia, le chiavi di sicurezza hardware come YubiKey possono essere utilizzate con i sistemi di gestione dell’accesso alle identità e i provider di identità per accedere ai computer, proteggere l’accesso VPN, aumentare l’autenticazione per i gestori di password e persino generare in modo sicuro una volta codici di accesso.
Sicurezza di autenticazione step-up per transazioni ad alto rischio e di alto valore: I dipendenti che eseguono quotidianamente transazioni ad alto rischio e valore elevato sono spesso l’obiettivo dei criminali informatici. Il phishing resistente all’MFA, lo spear phishing e la compromissione della posta elettronica aziendale (BEC) utilizzano esche di ingegneria sociale per indurre i dipendenti a cedere le credenziali del loro account, installare malware o ransomware sul proprio dispositivo o pagare una fattura falsificata ma realistica sul conto bancario del criminale. Le password sono troppo facili da indovinare, forzate, violate, compromesse o persino copiate da una nota adesiva collegata al laptop / desktop di un utente. L’accesso ai sistemi ad alto rischio può essere rafforzato richiedendo MFA forte e moderno utilizzando YubiKeys, per garantire solo l’accesso autorizzato all’account e transazioni autorizzate di alto valore.
Fornire la massima sicurezza ai dipendenti delle filiali utilizzando terminali di accesso condiviso: I dipendenti che lavorano su postazioni di lavoro condivise sono comuni nelle banche e nei call center. I cassieri si spostano da una stazione all’altra e i supervisori si spostano per autorizzare le transazioni. Gli utenti in questi ambienti sono spesso dipendenti part-time associati a un elevato turnover e un impegno minimo per l’organizzazione, aumentando la minaccia interna. I terminali e le workstation ad accesso condiviso aprono i vettori di attacco agli account amministratore tramite la registrazione delle sequenze di tasti e il pass-the-hash.
Le organizzazioni di servizi finanziari possono raddoppiare la sicurezza tra i terminali di accesso condiviso e le workstation condivise, per impedire l’accesso non autorizzato a sistemi e risorse di alto valore. L’autenticazione tramite nomi utente e password non offre un’elevata sicurezza: le password possono essere violate utilizzando la registrazione dei tasti. YubiKey offre la massima sicurezza MFA per terminali e workstation condivisi e offre un’esperienza utente semplice e senza attriti.
Proteggi le informazioni personali e finanziarie riservate nei call center: Nel 2019, Aite Group ha intervistato 25 dirigenti di 18 dei 40 principali istituti finanziari statunitensi e ha scoperto che il 61% delle frodi può essere ricondotto al contact center. Con un elevato tasso di abbandono dei dipendenti, picchi stagionali e altre dinamiche aziendali impegnative, gli ambienti dei call center necessitano di un approccio sicuro ma semplice per verificare le identità degli agenti prima di fornire l’accesso a sistemi e dati critici. I call center dei servizi finanziari possono implementare YubiKeys per fornire una maggiore sicurezza in grado di verificare in modo sicuro l’identità degli agenti del call center prima che venga loro concesso l’accesso alle PII e ad altri dati sensibili o apportare modifiche all’account di un cliente, come l’aumento di un limite di credito. Poiché i telefoni cellulari possono acquisire immagini dei clienti e dati finanziari come numeri di conto, date di scadenza delle carte e numerosi altri dettagli che potrebbero violare la privacy dei clienti, YubiKeys offre una soluzione di autenticazione molto più sicura.
Prevenire frodi, furti di account e ottenere risultati migliori: Sicurezza dell’autenticazione con YubiKey YubiKey offre un approccio moderno, altamente sicuro, facile da usare ed economico all’MFA per aiutare le organizzazioni di servizi finanziari a prevenire frodi e perdite di entrate. Fornendo solo ai dipendenti MFA autorizzati l’accesso ai dati sensibili e PII con YubiKey, le organizzazioni di servizi finanziari possono rimanere conformi alle normative esistenti ed emergenti, tra cui SOX, PSD2, PCI, FIPS e GDPR e mitigare il rischio di sicurezza informatica e le frodi legate all’acquisizione di account.
Scopri di più su come YubiKeys protegge le organizzazioni di servizi finanziari dalle minacce alla sicurezza informatica.
A proposito di Yubico
Yubico stabilisce nuovi standard globali per un accesso semplice e sicuro a computer, dispositivi mobili, server e account Internet. L’invenzione principale dell’azienda, la YubiKey, offre una forte protezione hardware, con un semplice tocco, su qualsiasi tipo di sistemi IT e servizi online. YubiHSM, il modulo di sicurezza hardware ultraportatile di Yubico, protegge i dati sensibili archiviati nei server.
Yubico è uno dei principali contributori agli standard di autenticazione aperta FIDO2, WebAuthn e FIDO Universal 2nd Factor e la tecnologia dell’azienda è implementata e amata da 9 dei 10 principali marchi Internet e da milioni di utenti in 160 paesi.
Fondata nel 2007, Yubico è una società privata, con uffici in Svezia, Regno Unito, Germania, Stati Uniti, Australia e Singapore. Per maggiori informazioni: www.yubico.com
