Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Dal gioco alla realtà: come gli hacker etici si allenano senza rischi in infrastrutture controllate

Redazione RHC : 4 Febbraio 2025 09:21

Gli specialisti della sicurezza informatica non sono apprezzati per le loro conoscenze teoriche, ma per la loro capacità di applicarle nella pratica. L’esercizio in questo settore è possibile solo attraverso laboratori specializzati o mentre si è già attivi nella professione. Ecco perché stanno diventando sempre più popolari giochi e simulatori che consentono di studiare la sicurezza informatica senza infrangere la legge.

La moderna sicurezza informatica si basa sull’ethical hacking, ovvero test sui sistemi per individuarne le vulnerabilità prima che un ipotetico attaccante le possa sfruttare a piacimento. Professionisti definiti white hacker, simulano attacchi sulle infrastrutture aziendali per trovare i punti deboli. Il processo richiede ampie competenze pratiche e una profonda comprensione del funzionamento dei sistemi informativi.

Le moderne piattaforme di formazione vanno ben oltre la semplice simulazione di attacchi hacker. Forniscono un ambiente completo per padroneggiare strumenti e tecniche reali. Gli utenti padroneggiano i comandi del terminale, comprendono le complessità dei sistemi operativi e dei protocolli di rete e imparano a individuare ed eliminare le vulnerabilità. Tutto questo costituisce la base per costruire una carriera nel campo della sicurezza informatica.

VulnHub: Vulnerabile By Design


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


VulnHub è una piattaforma che offre macchine virtuali vulnerabili per l’apprendimento pratico della sicurezza informatica. Questi laboratori virtuali permettono di testare tecniche di penetration testing in un ambiente sicuro e legale, senza rischi di violazione delle normative. Le macchine disponibili sono progettate per simulare scenari reali, spaziando da vulnerabilità di base a configurazioni avanzate che richiedono conoscenze approfondite di exploit, privilege escalation e sicurezza delle reti.

Le immagini possono essere eseguite con software di virtualizzazione come VirtualBox e VMware, consentendo agli utenti di interagire direttamente con i sistemi e sperimentare vari approcci per comprometterli e ottenere accessi privilegiati. La piattaforma è molto utilizzata da chi vuole affinare le proprie competenze nel penetration testing, prepararsi a certificazioni di cybersecurity o semplicemente migliorare la comprensione delle vulnerabilità e delle tecniche di attacco.

VulnHub si distingue anche per il contributo della community, che crea e condivide nuove macchine con livelli di difficoltà differenti, permettendo un apprendimento progressivo.

Grazie alla sua natura gratuita e open-source, rappresenta una risorsa preziosa sia per principianti che per esperti del settore, offrendo la possibilità di mettersi alla prova in scenari realistici senza dover investire in infrastrutture complesse.

Root Me: Allena le tue capacità di hacking

Root Me è una piattaforma online dedicata all’apprendimento pratico della sicurezza informatica attraverso sfide e ambienti di simulazione. Offre un’ampia gamma di esercizi in diverse categorie, tra cui web exploitation, reverse engineering, crittografia, forensics, steganografia e networking. Gli utenti possono cimentarsi in scenari realistici di hacking, sperimentando tecniche offensive per comprendere meglio le vulnerabilità dei sistemi informatici.

Uno dei punti di forza di Root Me è la sua accessibilità: molte sfide sono gratuite e non richiedono configurazioni avanzate, rendendolo adatto sia ai principianti che agli esperti. La piattaforma è strutturata in modo da incentivare l’apprendimento progressivo, con soluzioni condivise dalla community e un sistema di ranking che permette di confrontarsi con altri partecipanti. Oltre alle sfide individuali, Root Me ospita laboratori virtuali e macchine vulnerabili su cui testare exploit in un ambiente sicuro.

Grazie alla sua interfaccia intuitiva e alla varietà di sfide disponibili, è uno strumento ideale per chi vuole migliorare le proprie competenze nel penetration testing e nella sicurezza informatica, con un approccio pratico e diretto.

Telehack: un viaggio immersivo nell’informatica degli anni 80

Telehack ricrea l’atmosfera delle reti informatiche degli anni ’80, consentendo di toccare con mano le origini dell’Internet moderna. La piattaforma emula un terminale Telnet, riproducendo i principi delle prime reti ARPANET (Advanced Research Projects Agency Network) e MILNET (Military Network).

La piattaforma Telehack ospita 26.600 host virtuali che simulano i sistemi dell’epoca di Usenet e dei primi BBS (Bulletin Board Systems). Invece dei moderni indirizzi IP, utilizza una connessione modem ai sistemi remoti, con tutte le tipiche interferenze e interruzioni di connessione familiari agli utenti della fine degli anni ’80.

Gli archivi digitali della piattaforma contengono un’ampia raccolta di documenti e software significativi risalenti a quegli anni. Di particolare rilievo è il famoso “Manifesto Hacker” scritto nel 1986. Il suo creatore, Lloyd Blankenship (The Mentor), faceva parte del gruppo Legion of Doom, insieme al famoso hacker Mark Abene, noto con lo pseudonimo di Phiber Optik.

Per navigare nei sistemi virtuali vengono utilizzati i comandi Telnet originali. Gli utenti possono esplorare le strutture delle directory, manipolare file e programmi e lavorare con i materiali BBS. Le competenze pratiche nell’uso della riga di comando vengono rafforzate in condizioni il più possibile vicine a quelle reali.

OverTheWire: dal principiante al professionista

OverTheWire riunisce una serie di giochi educativi (wargame) che sono diventati una vera e propria scoperta per i ricercatori in erba nel campo della sicurezza. Per prima cosa, gli utenti imparano come connettersi a un server remoto tramite SSH: questa è un’abilità di base. Dopo aver stabilito la connessione, inizierai a familiarizzare con la riga di comando di Linux: come navigare nel file system, come utilizzare i comandi di base, come gestire file e directory.

Con ogni livello la difficoltà aumenta e i compiti diventano più complessi. Ora non è più necessario solo trovare i file, ma anche lavorare con dati nascosti, comprendere formati diversi e decodificare stringhe crittografate. Un capitolo a parte è dedicato al lavoro con gli archivi: come estrarre informazioni da essi, come analizzarne il contenuto, come trovare dati nascosti.

Durante la formazione, gli utenti imparano anche a utilizzare diverse utilità della riga di comando e a combinarle per risolvere problemi complessi. Questo approccio aiuta a sviluppare non solo competenze tecniche, ma anche la capacità di pensare fuori dagli schemi e di trovare soluzioni non banali ai problemi di sicurezza.

PicoCTF: Spirito competitivo nell’apprendimento

PicoCTF è una piattaforma competitiva sviluppata dal Carnegie Mellon University Institute for Cybersecurity and Privacy. A differenza dei corsi classici, qui l’allenamento si svolge secondo il formato Capture The Flag (CTF): i partecipanti competono tra loro, risolvendo problemi di varia difficoltà.

Dovrai ricercare vulnerabilità nelle applicazioni web, condurre analisi forensi di dati digitali, analizzare file binari e lavorare con vari tipi di crittografia. Un ampio blocco è dedicato al reverse engineering, ovvero all’analisi dei programmi per comprenderne i principi di funzionamento. Particolare attenzione è rivolta alla sicurezza delle reti e ai metodi di intelligence open source (OSINT).

È possibile partecipare individualmente o in squadra. Sono previsti veri e propri premi per i vincitori, ma l’elemento competitivo non è la cosa principale. PicoCTF consente a tutti di muoversi al proprio ritmo e di scegliere le direzioni che più gli interessano. I compiti sono progettati in modo tale da poter essere risolti in sequenza, aumentando gradualmente la loro complessità e approfondendo la conoscenza nell’area prescelta.

Ogni attività sulla piattaforma è un mini-scenario tratto dalla pratica reale dei pentester.

TryHackMe e HackInTheBox

Per una pratica più realistica, le piattaforme più adatte sono quelle che funzionano con macchine virtuali. I leader in questo campo sono TryHackMe oppure HackTheBox che forniscono agli utenti l’accesso a laboratori virtuali completi in cui possono apprendere l’hacking etico in tutta sicurezza.

Qui è possibile distribuire intere reti di macchine virtuali con diversi sistemi operativi e quindi cercarne le vulnerabilità. Nella maggior parte dei casi, per la formazione vengono utilizzate versioni speciali di Windows XP e del sistema Linux, che presentano deliberatamente delle falle di sicurezza in modo che gli utenti possano affinare le proprie competenze.

Gli utenti Windows spesso scelgono VirtualBox, mentre gli utenti MacBook preferiscono Parallels. Con l’aiuto di questi programmi è possibile creare una rete completa con connessioni wireless e poi provare diversi metodi per penetrare nel sistema.

Conclusioni

Il vantaggio principale di lavorare con laboratori virtuali è che non esiste un’unica soluzione corretta. Ogni compito può essere portato a termine in diversi modi, sperimentando tecniche e strumenti diversi. Questo approccio sviluppa un pensiero laterale e aiuta ad acquisire una comprensione più approfondita del funzionamento dei sistemi di sicurezza.

I laboratori virtuali sono particolarmente utili per chi intende intraprendere una carriera nei penetration test. Ti consentono di affinare le tue competenze pratiche in un ambiente sicuro in cui qualsiasi errore non diventa un problema, ma una nuova esperienza.

Gli utenti imparano a utilizzare vari strumenti di analisi, a padroneggiare le tecniche di ricerca delle vulnerabilità e a sviluppare competenze nella creazione di catene di attacco, il tutto in condizioni il più possibile vicine a quelle della vita reale.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...