Esperienze di penetration testing con sistemi operativi Linux e Windows

La presente tesi si interessa allo studio dell’attività di penetration testing. Dopo un’introduzione alla sicurezza informatica, al suo impatto nella società attuale, ai metodi di attacco e prevenzione ed agli strumenti software utilizzati, sono descritti tre penetration test svolti su delle macchine virtuali messe a disposizione dal servizio Hack The Box. Esso propone macchine strutturate come sfide Capture The Flag (CTF), dove bisogna trovare delle bandiere (flag), cioè delle stringhe alfanumeriche che attestano un certo livello di compromissione del sistema, chiamate user flag e root flag. In particolare, l’ultima bandiera certifica la compromissione totale del sistema. In questa tesi, per ciascun penetration test effettuato, sono spiegate in dettaglio le fasi principali: information gathering, exploitation ed infine post-exploitation. Le prime due macchine sono basate sul sistema operativo Linux, mentre l’ultima su Windows. È stato possibile sperimentare il processo di compromissione di un sito web relativo a modelli d’Intelligenza Artificiale, dei servizi Backrest, Grafana e di un ambiente Active Directory, applicando metodi comuni di attacco per ottenere le due bandiere. Infine, vengono proposte alcune considerazioni finali sulle lezioni apprese dai penetration test svolti.