Offensive Security

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca
Offensive Security
StatoBandiera degli Stati Uniti Stati Uniti
Fondazione2006
Fondata daMati Aharoni
Settoresicurezza informatica, test di penetrazione, forensica digitale
ProdottiKali Linux, OSCP
Slogan«Try Harder[1]»
Sito webwww.offensive-security.com

La Offensive Security (abbreviata in OffSec)[2] è una multinazionale americana che si occupa di sicurezza informatica, test di penetrazione e forensica digitale.

Fondata nel 2006 da Mati "muts" Aharoni[3], la OffSec è responsabile della creazione e dello sviluppo di diversi progetti open source quali il database di exploit ExploitDb e la distro Kali Linux (nota in precedenza come Backtrack). Il suo corso "Penetration Testing with Kali Linux" (PWK), che conduce all'ottenimento della certificazione "Offensive Security Certified Professional" (OSCP). I corsi offerti dalla società insegnano agli studenti come condurre test di penetrazione, valutare vulnerabilità e migliorare la sicurezza dei sistemi informatici. Questi corsi sono noti per essere particolarmente rigorosi e sfidanti, spingendo gli studenti a sviluppare competenze pratiche in sicurezza informatica.

Inoltre, Offensive Security è l'azienda dietro lo sviluppo della distribuzione Linux Kali Linux, che è una delle distribuzioni più utilizzate per il penetration testing e il test di penetrazione etico. Kali Linux fornisce una vasta gamma di strumenti e risorse per gli esperti di sicurezza informatica.

La compagnia fornisce consulenze a svariate aziende tech di primissimo piano quali Accenture, Amazon Web Services, Microsoft e Oracle.[2] Offre inoltre corsi di formazione e certificazioni altamente specifiche per il settore della sicurezza informatica quali la KLCP (Kali Linux Certified Professional) e la OSCP (Offensive Security Certified Professional).[4]

I progetti[modifica | modifica wikitesto]

Kali Linux[modifica | modifica wikitesto]

Lo stesso argomento in dettaglio: Kali Linux.

Kali è una distribuzione Linux basata su Debian, concepita specificatamente per esperti di sicurezza informatica. Comprende una vasta collezione di pacchetti utili per l'hacking (e il cracking) di sistemi e reti informatiche, tra cui anche dei tool per il password cracking.

Alcuni di questi pacchetti sono inclusi o installabili anche in Debian o in distro da esso derivate, ma vengono modificati ad hoc per adattarsi alle specifiche esigenze di Kali.[5]

Kali NetHunter[modifica | modifica wikitesto]

Si tratta di una variante di Kali, più leggera e ottimizzata per gli smartphone Android, in particolare per la famiglia Google Nexus.[6]

Come il nome lascia intuire (letteralmente: cacciatore di reti), è particolarmente indicata per il wardriving.

ExploitDb[modifica | modifica wikitesto]

Si tratta di un sito web[7] che funge da database di exploit, ossia strumenti per sfruttare vulnerabilità informatiche note. Contiene anche svariate proof of concept utili come spunti per condurre i test di penetrazione.

Le vulnerabilità vengono segnalate da esperti e società di sicurezza di tutto il mondo e sono liberamente consultabili. Tramite l'uso di un motore di ricerca interno è possibile restringere il campo a specifiche piattaforme e porte, nonché eseguire ricerche per parole chiave e per contributore.

Google Hacking Database[modifica | modifica wikitesto]

È un database di queries che sfruttano i comandi di Google, tramite le quali è possibile individuare rapidamente le vulnerabilità di un sito web.[8] Nato come progetto indipendente, è ora parte di ExploitDb.[9]

VulnHub[modifica | modifica wikitesto]

È un sito web che ospita una raccolta di macchine virtuali concepite a scopo didattico, liberamente scaricabili. Ogni macchina virtuale presenta vulnerabilità di vario tipo; l'obiettivo è prenderne il controllo (o comunque completare una serie di incarichi) sfruttando varie tecniche di hacking.[10]

Metasploit Unleashed[modifica | modifica wikitesto]

La Offensive Security propone un corso gratuito sul framework Metasploit, detto Metasploit Unleashed (MSFU), concepito come punto di partenza per gli utenti che volessero intraprendere una carriera nella sicurezza informatica.

Il corso è gratuito e di libero accesso, ma viene incoraggiata una donazione liberale all'organizzazione no-profit Hackers for Charity. I proventi delle donazioni vanno a sostegno dei bambini meno fortunati in Africa orientale.[11]

I corsi e le certificazioni[modifica | modifica wikitesto]

La Offensive Security organizza diversi corsi di formazione, a seguito dei quali è possibile ottenere diverse certificazioni riguardanti vari ambiti della sicurezza informatica. Tra di essi vi sono:

  • Penetration testing with Kali Linux (PWK), il corso principale riguardante nello specifico i test di penetrazione;
  • Offensive Security Certified Professional (OSCP), la certificazione più nota della OffSec, accessibile dopo aver completato il PWK;
  • Kali Linux Certified Professional (KLCP), corso che attesta la conoscenza approfondita della distribuzione Kali ed è propedeutico all'ottenimento della certificazione OSCP;
  • Advanced Web Attacks and Exploitation (AWAE), corso orientato alla web security;
  • Offensive Security Wireless Attacks (WiFu), certificazione pensata per chi, dopo aver ottenuto la OSCP, intende specializzarsi nella sicurezza delle reti wireless.

Tutti i corsi constano non solo di una parte teorica, ma anche e soprattutto di prove pratiche di hacking "etico", ossia svolto al fine di migliorare le misure di sicurezza informatica di una azienda, anziché di causarle dei danni.[12]

Le prove vengono svolte sotto la supervisione della OffSec, di persona oppure tramite webcam e condivisione dello schermo, per assicurarsi che il candidato abbia una effettiva conoscenza pratica delle tecniche di hacking etico oggetto dell'esame.[13]

Al fine di esercitarsi per i vari corsi, la Offensive Security mette a disposizione i Proving Grounds (letteralmente: "banco di prove"), ossia una serie di macchine virtuali di test appositamente studiate per lo scopo. L'accesso ai Proving Grounds è gratuito con limitazioni (PG Play), oppure ad abbonamento mensile (PG Practice).[14]

Note[modifica | modifica wikitesto]

  1. ^ What it means to Try Harder, su offensive-security.com. URL consultato il 24 ottobre 2020.
  2. ^ a b Why OffSec, su offensive-security.com. URL consultato il 24 ottobre 2020.
  3. ^ Exclusive: Offensive Security Names New CEO; Former No. 2 at HackerOne, Lynda, su fortune.com. URL consultato il 24 ottobre 2020.
  4. ^ Courses and certifications, su offensive-security.com. URL consultato il 24 ottobre 2020.
  5. ^ Kali Linux Relationship with Debian, su kali.org. URL consultato il 24 ottobre 2020.
  6. ^ Kali Linux NetHunter, su kali.org. URL consultato il 24 ottobre 2020.
  7. ^ ExploitDb, su exploit-db.com. URL consultato il 24 ottobre 2020.
  8. ^ Il lato oscuro di Google e il Google Hacking Database, su coretech.it. URL consultato il 24 ottobre 2020.
  9. ^ Google Hacking Database, su exploit-db.com. URL consultato il 24 ottobre 2020.
  10. ^ vulnhub.com, https://www.vulnhub.com/about/. URL consultato il 24 ottobre 2020.
  11. ^ Metasploit Unleashed, su offensive-security.com. URL consultato il 24 ottobre 2020.
  12. ^ L'esercito degli hacker etici arruolato da stati e aziende, su quotidiano.net. URL consultato il 24 ottobre 2020.
  13. ^ Offensive Security Online Exam Proctoring, su offensive-security.com. URL consultato il 23 ottobre 2020.
  14. ^ Proving Grounds Play and Practice, su offensive-security.com. URL consultato il 23 ottobre 2020.

Collegamenti esterni[modifica | modifica wikitesto]