HackerHood, come sai, è un gruppo hacker che si basa per il momento su contributi volontari prima di avviare il nostro prossimo modello di business.
L’obiettivo è per prima cosa dare il buon esempio, quindi migliorando la sicurezza informatica delle aziende e dei vendor di prodotto emettendo CVE e responsible disclosure. Questo ci servirà per dirottare i ragazzi e le persone che ci seguono (e i follower di Red Hot Cyber) sui contenuti realizzati per far appassionare i giovani all’ethical hacking e successivamente avviare dei percorsi freemium.
La passione in questo momento è al centro di HackerHood. Tienilo presente.
Senza passione questo gruppo al momento non può esistere, pertanto chi non è interessato a dare un contributo “pro bono”, non ha senso che rimanga al suo interno.
Cosa dobbiamo fare
Al momento HackerHood ha tre principali obiettivi e ha necessità che ogni membro definisca il suo ruolo scegliendo tra:
- Attivita’ di ricerca
- Malware analysis (programma “Nopay ransomware”)
- Bug hunting
- Redazione articoli tecnici e tutorial
- Attività culturali e formazione
- Area scuole
- Area conferenze
- Area eventi
- Attività di sviluppo
- Area gaming 3d
- Area piattaforma web
- Area security software
Di seguito potrai comprendere meglio cosa ci si aspetta da ogni membro del gruppo e da ogni Ricercatore e da ogni Redattore.
Ricercatore: attività di ricerca delle vulnerabilità non documentate (CVE)
Per attività di ricerca si intende l’emissione di nuove CVE su qualsiasi prodotto di valenza worldwide. Nel caso trovate un bug su un qualche prodotto, potete preparare il “report di disclosure” come da template HackerHood che trovate a questo link: https://docs.google.com/document/d/10whV2zZTiLofBcm0D3LuygAYwuzweIMx/edit
Una volta preparato, potete inviare la mail al vendor del prodotto, utilizzando il seguente testo email: https://docs.google.com/document/d/1ch-CjMTBSdVKnCyAd6BX2CYigZiW6-0m/edit tramite la casella di posta hackerhood.rhc@gmail.com alla quale siete stati abilitati. In caso non siete stati abilitati chiedete a Fernando Curzi o a Massimiliano Brolli.
Ricercatore: attività di analisi delle vulnerabilità nei programmi di responsible disclosure
Per attività di ricerca su programmi di responsible disclosure, si intende la segnalazione dei bug ad aziende italiane che hanno programmi di responsible disclosure attivi. Le aziende che al momento hanno programmi attivi le trovate a questo link: https://docs.google.com/document/d/1gx7BBrS51EseZWNaxrxVh863IlyuwUwHhYYoXO-zp0Y/edit
Una volta rilevato un bug, preparate il rreport di disclosure utilizzando il seguente template che trovate qua: https://docs.google.com/document/d/10whV2zZTiLofBcm0D3LuygAYwuzweIMx/edit
Inviate quindi una mail all’azienda utilizzando la casella di posta hackerhood.rhc@gmail.com alla quale siete stati abilitati. In caso non siete stati abilitati chiedete a Fernando Curzi o a Massimiliano Brolli.
Pertanto se la sera non avete nulla da fare, potete procedere a rilevare vulnerabilità su questi siti, seguendo le loro policy di responsible disclosure.L’attività ovviamente è meno complessa che una attività di bug-hunting.
Tutte le CVE e le vulnerabilità segnalate alle aziende italiane, una volta concluso l’iter di convalida verranno pubblicate nella sezione bug-hunting di hackerhood https://hackerhood.redhotcyber.com/bug-hunting/ oltre alla pubblicazione su tutto il circuito di Red Hot Cyber (50.000 follower a target sulla sicurezza informatica e 500.000 visualizzazioni mensili del blog).
Redattore: attività di redazione degli articoli per le sezioni di e-learning
Per attività di redazione degli articoli, al momento dobbiamo partire, pertanto stiamo puntando a redigere articoli sui seguenti filoni:
- Kiddy Labs (concetti base)
- Attività di penetration test
Pertanto vorremmo inserire accanto ad ogni argomento un nominativo di una persona che lo curi e produca contenuti e che stimoli le altre persone del gruppo a produrre contenuti. Pertanto se sei interessato a prendere parte alla realizzazione dei contenuti e a curarne la sezione, fatti avanti.
Puoi avere altre informazioni su questa sezione accedendo al seguente link: https://docs.google.com/spreadsheets/d/104XCfZglkvx-XolreDY4frBY1NQl6X2H_db6rvw_fAg/edit#gid=0
Come siamo strutturati
Al momento sono presenti 4 gruppi Whatsapp.
Il primo denominato “HackerHood (Candidature)”, contiene le persone che hanno joinato al progetto, ma che ancora non hanno collaborato attivamente o non hanno dimostrato interesse per il progetto.
Il secondo “HackerHood (root)” è il gruppo dove sono presenti le persone che stanno dimostrando interesse per HackerHood e hanno iniziato a produrre contenuti, ricerche, analisi o condiviso i propri progetti con il team, nonché proposte e iniziative fattive di come organizzare il gruppo.
Il terzo gruppo Hackerhood (game-meta) è il gruppo di sviluppo e programmazione dove si riuniscono persone con skill di sviluppo software e web, con spiccate doti di creatività e problem solving, si discute e si condividono informazioni nelle tre aree di sviluppo:
1) game formativo 3d e metaverso,
2) piattaforma web,
3) produzione e debug di software per IT security.
Per accedere in questo gruppo sono necessarie skill di sviluppo software in C e python o sviluppo web app con relativa conoscenza di linguaggi e framework per il web come js,HTML,CSS.. e di back end come PHP,Java.., conoscenza di CMS, inoltre per l’area gaming sono necessarie ulteriori skill di sviluppatore unreal ⅘ e conoscenza del relativo framework in c++.
Il quarto gruppo Hackerhood (Nopay ransomware) è la nuova area di ricerca per le attività di supporto alle aziende colpite da attacchi ransomware. Un team di esperti pentester, debugger e programmatori con skill raffinate in vari linguaggi di basso livello come Assembly e piu’ in generale c, python, Ruby, perl, crittografia e reverse engineering, con una spiccata propensione all’utilizzo di tool di debugging per ispezionare e analizzare il codice sorgente dei malware, sono riuniti in questo gruppo per studiare nuovi modelli aggiornati di ransomware che le aziende ci passano ed eventualmente cercare metodi per la ricerca nel codice sorgente delle chiavi di decifratura necessarie ai sistemi che sono stati bloccati dal software dannoso evitando nel contempo di fare cadere le aziende al riscatto in bitcoin da parte delle organizzazioni criminali. In questo gruppo inoltre si discuterà di attività di sviluppo di tool per il pentesting, responsible dislosure, bug hunting e cve, quest’ultime qualora riconosciute dell’ente o dalla società ( responsible dislosure) che le riconosce al ricercatore, verranno in parte riconosciute anche al team di hackerhood attraverso la sponsorizzazione sui nostri canali(
come da regolamento letto sopra).
L’ultima Area scuole, per queste attività sono richieste skill di public speach, organizzazione ed esposizione degli argomenti da trattare in tema di sicurezza informatica, networking ed ethical hacking. I nostri collaboratori faranno delle presenze all’interno delle scuole, rilasceranno volantini e opuscoli, faranno interventi in conferenze e parteciperanno ad eventi sotto il logo e divisa (polo) di hackerhood, pubblicizzando oltretutto le attività e i progetti in corso.
La richiesta per proseguire con l’iter di accesso potete farla scrivendo ad hackerhood.rhc@gmail.com questo codice ‘hackerhood00’ con il vostro nome e cognome, vi verrà inviata la mail.