Latest Articles

View more articles

Propositi e previsioni per la sicurezza applicativa nel 2017

Paolo Perego 28 dic 2016

Anche il 2017 è alle porte e, secondo la tradizione, facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche previsione sull’anno che verrà.

Offuschiamo il bytecode Java per divertimento: prima parte

Paolo Perego 1 dic 2016

Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da disassemblare.

Racconti da codemotion

Paolo Perego 29 nov 2016

Venerdì, mentre vi ammazzavate di reload sulla pagina di Amazon per il black friday, ho fatto il mio ultimo talk, per il 2016, a Codemotion.

Questione di malloc()

Paolo Perego 29 ott 2016

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o Sicurezza Cibernetica, chiamatela come vi pare.

Un venerdì di passione fuori stagione

Paolo Perego 24 ott 2016

Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web è già risorto

dawnscanner: la code review per ruby può parlare italiano?

Paolo Perego 13 ott 2016

Eccola qui la mia intervista rilasciata al sito Helpnet Security su dawnscanner.

Lo skill shortage e l'olio di palma

Paolo Perego 6 ott 2016

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il prodotto, ma il fatto che sia senza olio di palma.

Molto benissimo: il racconto del talk a ISACA Venice

Paolo Perego 28 set 2016

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device connessi abbiano lanciato il più grande DDoS fin qui registrato contro il popolare blog Krebs on Security.

Sono tutti open con il source degli altri

Paolo Perego 8 set 2016

Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano che il codice sia lì, a portata di tutti.

Tool di code review e minority report

Paolo Perego 5 set 2016

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo tattile che Tom Cruise usa in Minority Report.

Affrontare il rientro

Paolo Perego 29 ago 2016

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto al rientro. Torniamo a proteggere il codice un quarto di byte alla volta.

Le cose che uno sviluppatore deve sapere su penetration test e code review

Paolo Perego 24 ago 2016

Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere facilmente inquinata se qualcosa viene toccato o modificato. Una volta inquinata, la scena del crimine non è più in grado di permetterci di risalire alla dinamica degli accadimenti, non facilmente almeno.

3 cose che devi avere per partire con una application security pipeline

Paolo Perego 28 lug 2016

Non so se vi siete accorti che quella della sicurezza applicativa è una battaglia persa in partenza se continuiamo ad approcciarla come stiamo facendo negli ultimi anni.

Estate di cambiamenti, parte 1

Paolo Perego 26 lug 2016

Come avrete potuto notare, è stato un inizio d’estate in sordina per il blog. Sono stato preso nell’organizzare i miei talk per l’autunno e da un paio di progetti collaterali.

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Paolo Perego 15 giu 2016

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce neanche il perché di un core dump, che potrei farci un talk. E magari me la tengo buona per una delle prossime conferenze alle quali andrò in autunno.