Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

BackBox: la distro italiana per penetration test. Intervista al suo fondatore Raffaele Forte.

Massimiliano Brolli : 22 Ottobre 2021 06:37

  

Autore: Massimiliano Brolli
Data Pubblicazione: 22/10/2021

Tutti conosciamo la famosa Kali Linux, affidabile compagna nelle attività di penetration test, prodotta da Offensive Security, derivata e basata su Debian.

Ma tra le tante distribuzioni Linux create per effettuare dei penetration test, già incontrate in precedenza, c’è n’è una, la cui community è principalmente Italiana, fondata da Raffaele Forte di origini calabresi, poi trasferito a Torino circa 10 anni fa per lavorare come consulente sempre in materia di Offensive Security per note aziende internazionali.

Si tratta di BackBox, della quale vogliamo parlare oggi con Raffaele Forte.

BackBox, la distribuzione per penetration test italiana.

Si tratta di una distribuzione Linux basata su Ubuntu orientata al test di penetrazione e alla valutazione della sicurezza che fornisce un toolkit di analisi di rete e sistemi informatici. Include un set completo di strumenti necessari per l’hacking etico e i test di sicurezza dove l’obiettivo principale di BackBox è fornire un sistema alternativo, altamente personalizzabile e ben performante.

BackBox usa il light window manager Xfce ed offre un’esperienza veloce, efficace, personalizzabile e completa ed include alcuni degli strumenti Linux di analisi più utilizzati, mirando a un’ampia gamma di obiettivi, che vanno dall’analisi delle applicazioni Web all’analisi della rete, dagli stress test allo sniffing, includendo anche la valutazione della vulnerabilità, l’analisi forense e molto altro ancorar.

Parte della potenza di questa distribuzione deriva dal suo core repository Launchpad , costantemente aggiornato all’ultima versione stabile degli strumenti di hacking etico più conosciuti e utilizzati. L’integrazione e lo sviluppo di nuovi strumenti nella distribuzione segue la comunità open source, in particolare i criteri delle linee guida Debian Free Software .

La Community di BackBox e l’intervista a Raffaele Forte.

Come abbiamo detto in precedenza, la community opensource che sta dietro questo straordinario progetto e sistema operativo nasce in Italia. Si tratta di una organizzazione no-profit e se vuoi prenderne parte, non devi far altro che metterti in contatto e inviare una richiesta attraverso Telegram, con il gruppo t.me/backbox_org.

RedHotCyber ha intervistato Raffaele Forte, il fondatore di BackBox e della sua community per fargli qualche domanda, a nostro avviso molto interessanti per tutti i tester di sicurezza, o aspiranti tali, italiani.

RHC: Salve Raffaele e grazie per averci dato l’opportunità di fare questa intervista. Quali sono i punti di forza di BackBox rispetto ad altre distribuzioni per attività di Penetration testing?

Raffaele Forte: Grazie a voi per darci la possibilità di parlare del nostro progetto. Occasioni come queste garantiscono che progetti opensource abbiano maggiore visibilità e quindi crescano grazie all’interesse e ai contributi di nuovi utenti.

Il nostro punto di forza, se proprio ne devo identificare uno è sicuramente la versatilità di un sistema operativo orientato alla sicurezza informatica che si presta perfettamente ad essere utilizzato come OS per uso quotidiano. Ora ad esempio scrivo dalla mia BackBox 7 che uso praticamente per tutto (lavoro, tempo libero, ecc.).

RHC: BackBox è sviluppato da una community open source Italiana. Quali possono essere i vantaggi per un tester italiano o un bug hunter, di avere una community italiana e che genere di contributi e collaborazioni è possibile fornire?

Raffaele Forte: Ovviamente lingua e cultura, se si rimane nella stessa nazione, fanno la differenza per supporto ed eventualmente collaborazioni. E’ anche vero però che data la diffusione a livello internazionale del progetto abbiamo deciso di utilizzare la lingua inglese per ogni tipo di comunicazione. Dal sito internet, alla mail e i vari social, le nostre comunicazioni sono quasi sempre in lingua inglese. Ovvio che su contatti diretti, appurato che si parli tra connazionali, si dialoga in Italiano come è giusto e naturale che sia.

Per quanto riguarda i contributi che un utente può fornire dipende sempre dal tempo che si può dedicare al progetto e le competenze che si mettono in campo. Dal supporto tramite chat, forum, alla gestione dei social finanche allo sviluppo o gestione delle nostre infrastrutture tutto è ben accetto purché l’interesse sia reale e professionale.

RHC: esistono limiti nella versione live di BackBox rispetto all’installato, a parte la compatibilità hardware?

Raffaele Forte: La versione live è come un coltellino svizzero che è sempre comodo avere a portata di mano. Ovvio che un sistema operativo installato su pennetta usb ha delle limitazioni in termini di risorse e prestazioni, per un uso quotidiano e professionale un’installazione tradizionale è sempre consigliata. Ci sono poi scenari che necessitano di una versione live quindi direi che in base all’utilizzo che se ne vuole fare ogni opzione è valida.

RHC: quanti membri hanno aderito alla community BackBox?

Raffaele Forte: Il progetto è nato ufficialmente nel 2010, registrati ai nostri canali ci sono ormai diverse migliaia di utenti. Difficile quantificare in modo preciso. Abbiamo community locali molto attive in America Latina, Asia ed Est Europa e per assurdo nonostante l’Italia sia la nazione di origine non è ad oggi la nazione con più utenti attivi. Utilizzano la nostra distribuzione in tantissime realtà: università, aziende, polizie ed enti governativi.

RHC: contando anche la versione AWS di BackBox, da quante persone è stata utilizzata sino ad oggi la vostra soluzione di PT?

Raffaele Forte: La versione cloud di BackBox è usata per la maggior parte dei casi in ambito professionale. Consulenti o aziende che devono svolgere attività di Pentest o Vulnerability Assessment che necessitano di un sistema sempre disponibile e con risorse di un certo tipo sono i principali utilizzatori. Contare le installazioni non è così immediato ma posso assicurare che diverse decine di player internazionali ne fanno un uso quotidiano.

RHC: un messaggio per i giovani sviluppatori italiani: conviene ancora sviluppare software specifico (come il caso di BackBox) in Italia?

Raffaele Forte: Certo, fosse anche un semplice script che automatizza qualcosa di ripetitivo e noioso. E’ una buona palestra per mettere in pratica idee e dare sfogo alla propria creatività. Con il giusto impegno ed un po’ di fortuna il progetto può diventare utile anche per altri ed acquisire una certa notorietà.

RHC: BackBox può considerarsi una evoluzione di Kali Linux, quali sono gli aspetti migliorativi rispetto a questa versione?

Raffaele Forte: Assolutamente no. Non è un’evoluzione, semmai un’alternativa se si vuole un sistema operativo leggero, versatile ma allo stesso tempo robusto e completo. Il nostro primo obiettivo è stato fornire all’utente una selezione di tools sempre aggiornati ma che non siano ridondanti. Perché avere preinstallati tanti strumenti che fanno la stessa cosa e che magari non sono più mantenuti o preformano male? In BackBox ogni programma preinstallato ha un suo perché ma se si vuole installare altro l’utente è liberissimo di farlo, si può sempre attingere ai nostri repository o integrarne altri.

Altra differenza sostanziale rispetto a progetti simili è che BackBox è un progetto esclusivamente comunitario, non abbiamo alle spalle un’azienda titolare della tecnologia né un governo che ci limita o controlla.

RHC: Abbiamo sentito raccontare da Stefan Umit la storia dell’attacco al server che vi ospitava, raccontaci qualche aneddoto aggiuntivo.

Raffaele Forte: Questa storia mi fa sorridere… Risale ad un po’ di tempo fa, quasi 10 anni. Erano i primi mesi di vita del progetto e non avendo tante risorse a disposizione condividevamo un server con altri utenti. Io mi trovavo in vacanza in Lettonia ed intervenni per ripristinare il servizio da un internet cafe 🙂

Il problema non dipendeva da noi ma dal provider che offriva il servizio. Per chi non conoscesse la vicenda sul nostro blog è ancora disponibile un articolo di quel periodo a questo indirizzo: https://blog.backbox.org/2011/08/05/the-chronicle-of-an-attack/

Per farla breve nonostante la pochissima collaborazione, anzi nulla, del provider riuscimmo a ricostruire le tracce ma non avendo i log di sistema, il provider non ce li forni, impersonificammo l’attaccante trovando la stessa falla che avevano sfruttato. Non ci fermammo però li, riuscimmo ad identificare l’attaccante e arrivare sui suoi server. Alla fine conoscevamo tutto di loro, anche foto e abitudini personali…

RHC: l’Italia non fa tecnologia, ha sempre utilizzato tecnologie prodotte in altri paesi. Quanto risulta importante stimolare ed incentivare la realizzazione di tecnologie Italiane, nell’ambito del software in questo periodo storico?

Raffaele Forte: Importantissimo, abbiamo in Italia menti brillanti. Perché dipendere da altri quando si hanno le carte in regola per svilupparsi a casa le tecnologie? In realtà già tanti progetti made in Italy sono di uso quotidiano anche al di fuori dei confini nazionali ma questo non significa che non bisogna investire ancora in tecnologia. In ambito sicurezza questo potrebbe fare la differenza. Si sente sempre più parlare di attacchi informatici, di scenari di guerra in cui chi è meglio fornito fa la differenza. Ad oggi America, Russia, Cina, Israele sono tra i primi che investono in questi settori ed esportano tecnologia in tutto il mondo. Finché sono alleati il problema non si pone… O meglio pagando il giusto prezzo possiamo dotarci anche noi della loro tecnologia. Ma se un domani gli scenari dovessero cambiare?

Non sarebbe più una questione di prezzo ma di chi detiene la conoscenza.

Nel nostro piccolo cerchiamo di contribuire sviluppando sia strumenti opensource ad uso collettivo che soluzioni più orientate a professionisti del settore.

Ad esempio non tutti sanno che da un paio di anni stiamo lavorando ad uno strumento OSINT professionale progettato per notificare immediatamente al cliente data leak, data breach o potenziali minacce di vario genere. Monitoriamo qualsiasi tipo di sorgente su internet, inclusi Deepweb e Darkweb. Il tool si chiama ADEngine ed è attualmente in dotazione in alcune importanti realtà nazionali ed internazionali.

RHC: quale consiglio potresti dare ai ragazzi che ad oggi si affacciano nelle attività di ethical hacking, soprattutto in relazione alla scarsa formazione in questo ambito fornito delle scuole secondarie ed università?

Raffaele Forte: Di fare come abbiamo fatto un po tutti noi della vecchia scuola, formarsi ricercando su internet tutto ciò che si vuole approfondire. Non per forza corsi di certificazione a pagamento ci danno il necessario. Spesso il costo è troppo alto e i risultati che si possono raggiungere sono gli stessi che raggiungeresti con una ricerca approfondita su fonti gratuite. Bisogna poi sperimentare, fare tanta pratica magari in laboratori che si possono realizzare a casa propria a basso costo. L’utilizzo di macchine virtuali o strumentazione hardware che acquisti con poche decine di euro sono alla portata di tutti. Se poi da soli non si riesce esistono le varie Community e la nostra è sicuramente una di quelle a cui si può fare riferimento.

Noi di RHC ringraziamo veramente Raffaele per gli spunti di riflessione importanti che ci ha dato, soprattutto in ambito paese, dove abbiamo ancora moltissima strada da fare ed è ora veramente di cambiare marcia.

Un augurio alla community di BackBox che questo strumento di origine Italiana, possa stimolare ulteriori menti italiane a fare lo stesso, per avviare un percorso verso la produzione di tecnologie sviluppate in Italia, iniziando a dipendere meno dal partner storico di turno.

Massimiliano Brolli
Responsabile del RED Team di TIM S.p.a. e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali in Telecom Italia che vanno dal ICT Risk Management all’ingegneria del software alla docenza.