Archive of posts with category 'post'

Dentro al Microsoft Patching Tuesday: Ottobre 2019

Eccoci qui, circa una settimana fa Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.

Dentro al Microsoft Patching Tuesday: Settembre 2019

Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....

Come offuscare un semplice shellcode - parte 1

Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....

Sessione AMA il prossimo 6 settembre

Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale Reddit ItalyInformatica.

Etica-mentre

La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...

Basic Insicuri: Creare uno template per i vostri exploit in GNOME

Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.

Diamo un'occhiata a msf-egghunter

Lo scorso febbraio, su The Armored Code ho scritto un post che parlava di msf-egghunter, lo strumento distribuito insieme a Metasploit per scrivere un egg hunter.

Patch ordinario e patch straordinario

Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non ci stiamo dotando di un processo strutturato.

Quest'estate studiamo come si fa reverse di applicazioni Win32

L’estate per me è tempo di relax, di mare, di granite al limone e di studio.

Se produci software, il problema delle licenze terze è anche tuo

Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...

Crea le tue API di telemetria con Ruby e Sinatra

Quando ho iniziato a riscrivere la versione 2.0 di dawnscanner, ho pensato di introdurre un meccanismo che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.

Cosa ho imparato costruendo processi di patch management

Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...

Ecco come scegliere una password robusta

Oggi stavo scegliendo una playlist per il lavoro ed arrivo ad un video dal titolo molto bold: Come creare una password robusta.

L'awareness fatto finora ha fallito

Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...

L'alba di un nuovo giorno

A volte cerchi un posto dove stare solo tra i solchi di bit. A volte quel posto lo hai creato tu qualche anno prima ma ne ignoravi l’esistenza.

Shellerate: un framework per generare shellcode

L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...

Alcune lezioni dal primo tentativo fallito per l'OSCE

Nell’agosto di due anni fa scrivevo un post dopo il fallimento nel primo tentativo di certificazione per OSCP.

Nuove strade e Buon Natale

E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...

Hack-back: machismo o necessità?

Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...

Come fare un vulnerability assessment con nmap: parte due

Tre anni fa scrivevo di come nmap potesse essere utilizzato come strumento di vulnerability assessment utilizzando il plugin vulscan.

Getting root: Brainpan 1

Brainpan 1 è stata la macchina più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame per l’OSCP.

IOLI Crackme 0x00

Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...

Alcune lezioni dopo il secondo tentativo, riuscito, di certificarmi OSCP

Sono passati poco più di quattro mesi da questo post e molte cose sono cambiate e moltissime altre stanno per cambiare.

L'illusione di un mercato che non c'è... ancora

A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...

Alcune lezioni dal primo tentativo fallito per l'OSCP

Sono passati alcuni mesi dall’ultimo post. E’ arrivato WannaCry, è arrivata Petya / NotPetya e i media generalisti hanno scoperto il malware e la sicurezza informatica.

Write-up non serio di una CTF domenicale

Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...

Vulnerabilità collaterali

Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...

Entropia, password e passphrase

Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...

Decifrare semplici Javascript malevoli

Compromettere un sito, può essere una cosa semplice. Compromettere un sito basato su WordPress può essere una cosa molto semplice.

Ha senso veramente fare un'analisi statica?

Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.

Erase and Rewind

Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che ora è il mio braccio armato.

EyePiramid: il Grande Fratello è tra noi

Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio, che ha interessato buona parte della classe politica italiana.

Propositi e previsioni per la sicurezza applicativa nel 2017

Anche il 2017 è alle porte e, secondo la tradizione, facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche previsione sull’anno che verrà.

Offuschiamo il bytecode Java per divertimento: prima parte

Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da disassemblare.

Racconti da codemotion

Venerdì, mentre vi ammazzavate di reload sulla pagina di Amazon per il black friday, ho fatto il mio ultimo talk, per il 2016, a Codemotion.

Questione di malloc()

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...

Un venerdì di passione fuori stagione

Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...

dawnscanner: la code review per ruby può parlare italiano?

Eccola qui la mia intervista rilasciata al sito Helpnet Security su dawnscanner.

Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...

Molto benissimo: il racconto del talk a ISACA Venice

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...

Sono tutti open con il source degli altri

Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...

Tool di code review e minority report

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...

Affrontare il rientro

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...