LA GUIDA PRATICA

Diventare Hacker: dal gioco alla professione, ecco gli strumenti e i consigli pratici per iniziare

Chiunque aspiri a diventare un hacker può “esercitarsi” grazie alle numerose applicazioni che permettono di emulare le tecniche di hacking. Seguendo i consigli giusti si potrà poi trasformare la propria passione in una vera e propria professione

31 Ott 2022
F
Nicolas Fasolo

Ethical Hacker & Security Researcher

Tutti, o quasi, coloro che lavorano nel mondo IT almeno una volta da bambini hanno sognato di voler diventare un hacker: per molti è rimasto un semplice gioco, per tanti è diventato una vera e propria professione.

Tutti gli altri possono, invece, valutare le proprie competenze utilizzando applicazioni che permettono di simulare le tecniche di hacking e poi, seguendo i consigli giusti, decidere di fare il grande salto trasformando la propria passione in un vero lavoro.

Hacker per gioco e per professione: gli strumenti

Gli hacker esistono da molto tempo e la definizione di “hacker” può essere utilizzata per definire personaggi nati molti anni prima dell’invenzione del calcolatore o computer.

WHITEPAPER
ZERO emissioni, traffico e incidenti: ecco i vantaggi della smart-mobility
Automotive
Sicurezza

Il primo hacker documentato della storia fu Nevil Maskelyne che riuscì ad intromettersi nella dimostrazione ufficiale del telegrafo di Guglielmo Marconi e, con un piccolo trasmettitore creato appositamente per l’evento, sfatò le promesse fatte da Marconi stesso che escludevano a priori l’intrusione di terzi nelle comunicazioni della sua creazione.

Questo evento cambiò il punto di vista di molti scienziati, e da lì in poi vennero fatte le prime considerazioni sulla sicurezza della trasmissione di dati.

Per mettere a punto quel dispositivo sono stati necessari anni di studio in quanto Nevil, prima di diventare il primo hacker della storia, era un prestigiatore che si dilettava a stupire il pubblico utilizzando tecnologie wireless per comunicare con una bambola nei suoi spettacoli.

Ma come facciamo noi, che ancora del mondo dell’hacking ne sappiamo troppo poco a stupire i nostri amici? Semplice, basta aprire il browser, digitare Hacker Typer e cliccare su uno dei primi siti proposti: questi strumenti ci permetteranno di simulare la scrittura di codice malevolo in modo semplice e intuitivo, con una grafica che ad un occhio non esperto risulterà subito come attività da “hacker”. Ne riporto alcuni dei migliori:

Hacker Typer: lo usa anche Matrix

Hacker Simulator o Hacker Typer è un’applicazione web che, alla pressione di un tasto casuale sulla tastiera, genera delle righe di codice sullo schermo (spesso colorate in verde).

Questo strumento viene spesso utilizzato nella regia di video e film per simulare l’azione di un hacker nelle scene in cui è necessario mostrare allo spettatore un po’ di “live action”.

Per esempio, lo possiamo vedere in azione in “The Matrix Reloaded” nella scena in cui l’attore deve eseguire un exploit per evadere da una sandbox: nelle riprese viene mostrato nel monitor del PC una tipica schermata verde che, alla pressione convulsa di tasti, scrive, crea finestre e all’occorrenza le chiude; il tutto emulando l’interfaccia di Nmap con il comando “nmap -v -s$ -0 10.2.2.2”.

Da simulatore hacker ad hacker professionista

Per fare questo grandissimo passo servono mediamente molti anni di studio. Il primo passo per diventare un hacker è conoscere le basi dei sistemi Windows e Linux, e già in questo primo argomento servirebbero davvero tanti libri e tante ore per avere in pugno il funzionamento di questi due ambienti e i loro rispettivi linguaggi di scripting (Batch e Bash).

Una volta diventati maestri nel muoversi attraverso il sistema con GUI e i terminali di entrambi possiamo passare al secondo requisito: la programmazione. Conoscere almeno un linguaggio di programmazione è la base per un hacker, in quanto chi aspira a questa professione dovrà essere in grado di saper leggere e comprendere tutti (o quasi) i linguaggi e nel caso dovesse scrivere script o exploit conoscere i punti di forza di ogni linguaggio disponibile.

Bene, ora che abbiamo imparato ad usare i sistemi operativi e conosciamo un linguaggio di programmazione, ci possiamo addentrare nel mondo dell’hacking. Qui si apre un altro mondo che spesso fa sentire spiazzato dalla vastità di conoscenze che si possono apprendere.

Per iniziare, una buona abitudine potrebbe essere quella di scaricare exploit da siti come Exploit DB o GitHub e testarli[1] analizzandone in seguito il codice. In questo modo potremmo in breve tempo avere una visione di come funzionano e di come scriverli.

Dove e come testare malware ed exploit

L’unico luogo sicuro (ma neanche troppo) sono le VM (Virtual Machines) configurate ad hoc per isolare l’ambiente virtuale dall’host che le ospita. Ogni hacker dovrebbe avere una serie di ambienti virtuali dove testare i propri malware così da verificarne l’efficacia e, nel caso, eseguire test con antivirus aggiornati e off-net così da evitare che gli agent AV inviino i payload alle case madri per estrapolarne firma e hashes.

Il consiglio è quello di crearsi un ambiente completamente aggiornato per provare i vari file. Ci sono due tipi di analisi su malware che si possono eseguire su un payload:

  1. Dynamic Analysis
  2. Static Analysis

Nel primo caso, Dynamic Analysis (analisi dinamica) vengono monitorare le varie azioni durante la loro esecuzione in modo da comprendere il loro comportamento e quindi anche dedurre la famiglia d’appartenenza; questo è possibile farlo con vari tool presenti gratuitamente e creati appositamente per analizzare i processi come ProcessMonitor, Process Hacker, ProcessExplorer, Fiddler, Wireshark e molti altri.

La Static Analysis (analisi statica), invece, è un metodo più avanzato che richiede un grande bagaglio di conoscenze (senza nulla togliere alla dynamic) che, però, permette di andare molto a fondo nell’analisi del payload.

Per esempio, nel caso dei binaries (.exe, .scr, .pif ecc.) sarà necessario fare un primo controllo delle stringhe con programmi come PPEE (puppy), Yara per le signatures e poi si terminerà inevitabilmente nel reversing; purtroppo, o per fortuna, certi malware sono così avanzati da non permettere l’analisi dinamica e quindi ci costringono ad utilizzare debugger come Ollydbg o IDApro.

Hacker per gioco e per professione: i consigli giusti

Per imparare l’arte dell’hacking le vie sono tante: certe volte, però, lo studio non basta. Infatti, per diventare abili e padroneggiare le diverse tecniche sono stati creati alcuni siti disponibili liberamente su Internet e a mio avviso la piattaforma che più di tutte merita menzione è HackTheBox. In questo sito web si possono guadagnare punti eseguendo exploit e trovando vulnerabilità presenti su alcuni server remoti creati appositamente per questo scopo.

Ogni tanto vengono anche inserite vulnerabilità zero-day che permettono a tutti i players di concorrere e ottenere il “First Blood”. A mio parere, chi riesce a registrarsi nella piattaforma senza guardare guide su Internet è già in grado di eseguire le prime challenges disponibili. Per gli altri, lo studio è fondamentale: nello specifico, sono richieste conoscenze di HTML, Javascript e general knowledge dei browser debugger. Per chi, invece, preferisce creare un ambiente protetto interno su cui eseguire i vari test, consiglio la macchina virtuale “metasploitable” che, abbinata ad un sistema operativo contente diversi tool utili al penetration testing, permette di essere “bucata” con un grande corredo di exploit. Alcuni sistemi operativi indicati sono: BackBox, Kali Linux e, per i più volenterosi, Ubuntu che però richiede l’installazione di tutti i tools necessari.

Clicca qui e scarica il White Paper: "Next-generation security"

 

NOTE

  1. Attenzione a testare file scaricati da Internet, ogni analisi ed esecuzione deve essere fatta in ambiente protetto come le macchine virtuali, prestando molta attenzione a come si è configurata la parte networking. Non vogliamo che ciò che stiamo analizzando ci si ritorca contro.

WHITEPAPER
Migrare l'ERP nel cloud pubblico: scopri la strada verso una maggiore sicurezza
Cloud
ERP
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5