Penetration Testing

Che cos’è

Il penetration test — o pentest — è la simulazione autorizzata di un attacco cibernetico reale contro sistemi, applicazioni, reti o persone. Dove il vulnerability assessment si ferma all’identificazione, il pentest sfrutta attivamente le vulnerabilità per dimostrare cosa un attaccante otterrebbe davvero: accesso a dati, escalation dei privilegi, movimento laterale, persistenza, esfiltrazione.

È un’attività delicata: richiede autorizzazione formale scritta, regole di ingaggio chiare, orari concordati, limiti definiti. Fuori da quei paletti non è pentest, è reato.

Cosa ottieni

• Narrativa dell’attacco — non solo elenco di CVE, ma la catena di kill reale: come sono entrato, cosa ho ottenuto, quanto tempo ho impiegato, cosa avrei potuto fare se fossi stato un avversario reale.
• Proof-of-exploit per ogni finding critico: screenshot, log, artefatti che rendono inoppugnabile la severity.
• Mapping MITRE ATT&CK — tecniche e tattiche utilizzate, per capire a quali detection eri cieco.
• Raccomandazioni di remediation graduali: quick fix per bloccare subito il sanguinamento, interventi strutturali a medio termine.
• Debrief live con IT, security e — se utile — management. Il valore del pentest sta tanto nella conversazione post quanto nel documento.
• Retest delle vulnerabilità critiche dopo la chiusura.

A chi si rivolge

• Organizzazioni che sviluppano software in proprio — un pentest pre-rilascio è molto più economico di un incident post-rilascio.
• Chi sta per ottenere una certificazione PCI-DSS (dove è obbligatorio), ISO 27001, SOC 2.
• Aziende in perimetro DORA/NIS2 che devono dimostrare resilience testing.
• Infrastrutture critiche (utility, sanità, PA, finance) dove non puoi permetterti sorprese.
• Post-incident: un pentest mirato dopo un attacco reale serve a escludere persistenze residue.

Metodologia

Lavoro sia black box (nessuna informazione pregressa, come farebbe un attaccante esterno) sia grey/white box (con accesso a codice, architettura, credenziali utente). Le fasi, modellate su PTES e NIST SP 800-115:

1. Pre-engagement — scoping, rules of engagement, autorizzazione scritta, canale di emergency contact.
2. Intelligence gathering — OSINT, DNS, footprint pubblico, fingerprint tecnologico.
3. Threat modelling — quali sono i crown jewel, quali scenari sono realistici.
4. Vulnerability analysis — mappatura delle superfici d’attacco rilevanti.
5. Exploitation — sfruttamento controllato, proof-of-concept.
6. Post-exploitation — escalation, movimento laterale, persistenza simulata, esfiltrazione di dati fittizi.
7. Reporting e debrief — narrativa, evidenze, remediation, MITRE mapping.

Durante l’attività tengo un canale comunicativo aperto: se trovo qualcosa di critico ed exploit-in-the-wild, comunico prima del report.

Perché con me

Sono ethical hacker con esperienza pluriennale su phishing, social engineering, attacchi a web application e a infrastrutture di rete. Ho analizzato casi reali — ARUBA phishing, attacchi DLINK/LINKSYS, ransomware, data breach — e parlato a SMAU e AIPSI di Ransomware Attack e DHCP Server Attack come casi di studio. Il pentest che consegno non è un elenco sterile: è un racconto che illumina le crepe reali.