Archive of posts with category 'post'
A volte, le vulnerabilità più critiche non sono evidenti. Si nascondono silenziose nel codice, apparentemente innocue. Ma un aggressore abile non cerca di abbattere i muri; cerca le chiavi dimenticate...
La programmazione difensiva è una filosofia di sviluppo che si basa su un principio semplice ma fondamentale: scrivere codice che sia robusto e sicuro anche quando opera in condizioni impreviste...
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima...
Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio
che ho affittato vicino Milano per avere un po’ più di privacy e
concentrazione.
Tra un anno, questo 2022 iniziato da una settimana sarà in archivio. La speranza è che porti con sé tante cose nuove e tanti progetti interessanti e meno cose procrastinate....
Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza
gratificante. Ok, smettiamola, torniamo seri.
Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Ho un portatile Thinkpad
Lenovo
come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE
Leap.
Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching
Tuesday di Microsoft riprende da questo mese con i dati di luglio.
Come da tradizione, siamo al post dopo il primo fallimento per la certificazione OSWE. Era successo per OSCE e ancora prima per OSCP. Lo so, lo so… ci sono mille...
Cinque mesi fa scrivevo di come volessi fare una svolta al mio 2021. Il tweet originale aveva un riferimento ad un punto 1 che riguardava il rimediare ad una situazione...
Snaitech
e l’operatore mobile
Ho. sono
state le ultime vittime in ordine di tempo di attacchi informatici o comunque
di fughe di dati.
Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...
Il 2020 è alle spalle e tra 5 giorni possiamo voltare pagina convinti che un anno nuovo possa portare tutto quello che ci è stato tolto negli ultimi 365 giorni....
Era aprile dell’anno scorso e
fallivo
il primo tentativo per prendere la certificazione
OSCE.
Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...
La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash
Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...
Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il
primo bollettino Microsoft rilasciato il 14 gennaio.
Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...
Tra poche ore il 2019 ci saluterà e con esso un lustro ed un decennio che hanno
visto esplodere la moda della sicurezza informatica.
Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.
Eccoci qui, circa una settimana
fa
Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.
Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....
Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....
Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre
sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale
Reddit ItalyInformatica.
La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...
Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le
stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.
Lo scorso febbraio, su The Armored
Code ho scritto
un post che parlava di msf-egghunter, lo strumento distribuito insieme a
Metasploit per scrivere un egg hunter.
Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non
ci stiamo dotando di un processo strutturato.
L’estate per me è tempo di relax, di mare, di granite al limone e di studio.
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
Quando ho iniziato a riscrivere la versione 2.0 di
dawnscanner, ho pensato di introdurre un meccanismo
che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.
Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...
Oggi stavo scegliendo una playlist per il lavoro ed arrivo ad un video dal
titolo molto bold: Come creare una password robusta.
Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...
A volte cerchi un posto dove stare solo tra i solchi di bit. A volte quel posto
lo hai creato tu qualche anno prima ma ne ignoravi l’esistenza.
L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...
Nell’agosto di due anni fa scrivevo un
post
dopo il fallimento nel primo tentativo di certificazione per OSCP.
E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...
Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...
Tre anni
fa scrivevo
di come nmap potesse essere utilizzato come strumento di
vulnerability assessment utilizzando il plugin
vulscan.
Brainpan 1 è stata la macchina
più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame
per
l’OSCP.
Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...
Sono passati poco più di quattro mesi da questo
post e
molte cose sono cambiate e moltissime altre stanno per cambiare.
A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...
Sono passati alcuni mesi dall’ultimo post. E’ arrivato
WannaCry, è arrivata Petya /
NotPetya
e i media generalisti hanno scoperto il malware e la sicurezza informatica.
Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...
Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...
Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...
Compromettere un sito, può essere una cosa semplice. Compromettere un sito
basato su WordPress può essere una cosa molto
semplice.
Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio,
che ha interessato buona parte della classe politica italiana.
Anche il 2017 è alle porte e, secondo la
tradizione,
facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche
previsione sull’anno che verrà.
Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è
semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da
disassemblare.
Venerdì, mentre vi ammazzavate di reload sulla pagina di
Amazon per il black friday, ho fatto il mio ultimo
talk, per il 2016, a Codemotion.
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...
Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...
Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
Non perdere neanche un post, iscriviti ora alla mailing list