Wikipedia

Offensive Security

Multinazionale americana che si occupa di cybersecurity
Versione del 23 ott 2020 alle 08:49 di TommyTheBiker (discussione | contributi)

La Offensive Security (abbreviata in OffSec) è una multinazionale americana che si occupa di sicurezza informatica, test di penetrazione e forensica digitale.

Offensive Security
StatoStati Uniti (bandiera) Stati Uniti
Fondazione2006
Fondata daMati Aharoni
Settoresicurezza informatica, test di penetrazione, forensica digitale
ProdottiKali Linux
Slogan«Try Harder»
Sito webwww.offensive-security.com/

Fondata nel 2006 da Mati "muts" Aharoni[1], la OffSec è responsabile della creazione e dello sviluppo di diversi progetti open source quali il database di exploit ExploitDb e la distro Kali Linux (nota in precedenza come Backtrack).

La compagnia fornisce consulenze a svariate aziende tech di primissimo piano quali Accenture, Amazon Web Services, Microsoft e Oracle.[2] Offre inoltre corsi di formazione e certificazioni altamente specifiche per il settore della sicurezza informatica quali la KLCP (Kali Linux Certified Professional) e la OSCP (Offensive Security Certified Professional).[3]

I progetti

Kali Linux

  Lo stesso argomento in dettaglio: Kali Linux.

Kali è una distribuzione Linux basata su Debian, concepita specificatamente per esperti di sicurezza informatica. Comprende una vasta collezione di pacchetti utili per l'hacking (e il cracking) di sistemi e reti informatiche, tra cui anche dei tool per il password cracking.

Alcuni di questi pacchetti sono inclusi o installabili anche in Debian o in distro da esso derivate, ma vengono modificati ad hoc per adattarsi alle specifiche esigenze di Kali. [4]

Kali NetHunter

Si tratta di una variante di Kali, più leggera e ottimizzata per gli smartphone Android, in particolare per la famiglia Google Nexus.[5]

Come il nome lascia intuire (letteralmente: cacciatore di reti), è particolarmente indicata per il wardriving.

ExploitDb

Si tratta di un sito web[6] che funge da database di exploit, ossia strumenti per sfruttare vulnerabilità informatiche note. Contiene anche svariate proof of concept utili come spunti per condurre i test di penetrazione.

Le vulnerabilità vengono segnalate da esperti e società di sicurezza di tutto il mondo e sono liberamente consultabili. Tramite l'uso di un motore di ricerca interno è possibile restringere il campo a specifiche piattaforme e porte, nonché eseguire ricerche per parole chiave e per contributore.

Google Hacking Database

È un database di queries che sfruttano i comandi di Google, tramite le quali è possibile individuare rapidamente le vulnerabilità di un sito web.[7] Nato come progetto indipendente, è ora parte di ExploitDb.[8]

Metasploit Unleashed

La Offensive Security propone un corso gratuito sul framework Metasploit, detto Metasploit Unleashed (MSFU), concepito come punto di partenza per gli utenti che volessero intraprendere una carriera nella sicurezza informatica.

Il corso è gratuito e di libero accesso, ma viene incoraggiata una donazione liberale all'organizzazione no-profit Hackers for Charity. I proventi delle donazioni vanno a sostegno dei dei bambini meno fortunati in Africa orientale.[9]

I corsi e le certificazioni

La Offensive Security rilascia, a seguito di appositi corsi, diverse certificazioni riguardanti vari ambiti della sicurezza informatica.

Tali corsi constano non solo di una parte teorica, ma anche e soprattutto di prove pratiche di hacking "etico", ossia svolto al fine di migliorare le misure di sicurezza informatica di una azienda, anziché di causarle dei danni.[10]

Le prove vengono svolte sotto la supervisione della OffSec, di persona oppure tramite webcam e condivisione dello schermo, per assicurarsi che il candidato abbia una effettiva conoscenza pratica delle tecniche di hacking etico oggetto dell'esame.[11]

La certificazione più nota della Offensive Security è la Offensive Security Certified Professional (OSCP). A proposito di essa, nel 2019 J.M. Porup della CSO online ha dichiarato che "di recente, poche certificazioni nel settore infosec hanno sviluppato il prestigio della Offensive Security Certified Professional (OSCP)", aggiungendo che ha "la reputazione di essere una delle più difficili", in quanto richiede allo studente di hackerare un sistema di test nel corso di un complesso "esame di 24 ore".[12] Nel 2020, il professionista della cybersecurity Matt Day ha definito la OSCP una certificazione "ben nota nella comunità dei pentester, e di conseguenza ben nota ai manager che li assumono".

Altre certificazioni, con relativi corsi, comprendono[13]:

  • Kali Linux Certified Professional (KLCP), corso che attesta la conoscenza approfondita della distribuzione Kali ed è propedeutico all'ottenimento della certificazione OSCP
  • Penetration testing with Kali Linux (PWK), il corso principale riguardante nello specifico i test di penetrazione, il cui superamento comporta il conseguimento della OSCP
  • Advanced Web Attacks and Exploitation (AWAE), corso orientato alla web security
  • Offensive Security Wireless Attacks (WiFu), certificazione pensata per chi, dopo aver ottenuto la OSCP, intende specializzarsi nella sicurezza delle reti wireless

Al fine di esercitarsi per i vari corsi, la Offensive Security mette a disposizione il Playing Ground (letteralmente: "parco giochi"), ossia una serie di macchine virtuali di test appositamente studiate per lo scopo. L'accesso al Playing Ground è gratuito con limitazioni, oppure ad abbonamento.[14]

Note

  1. ^ https://fortune.com/2019/01/15/ceo-offensive-security-hackerone-lynda/
  2. ^ https://www.offensive-security.com/why-offsec/
  3. ^ https://www.offensive-security.com/courses-and-certifications/
  4. ^ https://www.kali.org/docs/policy/kali-linux-relationship-with-debian/
  5. ^ https://www.kali.org/kali-linux-nethunter/
  6. ^ https://www.exploit-db.com/
  7. ^ https://www.coretech.it/it/service/knowledge_base/Sicurezza/Google-Hacking-Database/Il-lato-oscuro-di-Google-e-il-Google-Hacking-Database.php
  8. ^ https://www.exploit-db.com/google-hacking-database
  9. ^ https://www.offensive-security.com/metasploit-unleashed/
  10. ^ https://www.quotidiano.net/economia/l-esercito-degli-hacker-etici-arruolato-da-stati-e-aziende-1.5553707
  11. ^ https://www.offensive-security.com/offsec/proctoring/
  12. ^ https://web.archive.org/web/20200327224907/https://www.csoonline.com/article/3336068/oscp-cheating-allegations-a-reminder-to-verify-hacking-skills-when-hiring.html
  13. ^ https://www.offensive-security.com/courses-and-certifications/
  14. ^ https://www.offensive-security.com/labs/individual/
Estratto da "https://it.wikipedia.org/w/index.php?title=Offensive_Security&oldid=116202044"