Latest Articles

View more articles

Estate di cambiamenti, parte 1

Paolo Perego 26 lug 2016

Come avrete potuto notare, è stato un inizio d’estate in sordina per il blog. Sono stato preso nell’organizzare i miei talk per l’autunno e da un paio di progetti collaterali.

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Paolo Perego 15 giu 2016

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce neanche il perché di un core dump, che potrei farci un talk. E magari me la tengo buona per una delle prossime conferenze alle quali andrò in autunno.

Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard

Paolo Perego 14 giu 2016

Quanti di noi, possessori di uno smartphone Android non rooted, investono il proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede quando vuole essere installata?

32 Milioni di account twitter trafugati: ancora problemi con le credenziali

Paolo Perego 10 giu 2016

Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con questa dichiarazione.

Forum di bittorrent compromesso: credenziali in pericolo

Paolo Perego 9 giu 2016

Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono da considerarsi compromesse.

Aprile ed i suoi attacchi di bile

Paolo Perego 11 mag 2016

Capita una piccola pausa di riflessione. Aprile è stato un mese strano. Fisicamente ho dovuto recuperare da un infortunio in allenamento ed assieme alla forma fisica se n’è andata anche un bel po’ di energia.

Come fare un database audit con nmap

Paolo Perego 19 apr 2016

Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è un potente strumento per l’auditing di un DB.

2 anni son passati

Paolo Perego 14 apr 2016

2 anni fa nasceva il progetto Codice Insicuro. Partivamo sull’onda della vulnerabilità heartbleed e da lì abbiamo collezionato 97 post, poco meno di un post a settimana.

La sicurezza applicativa è veramente un facilitatore di flussi?

Paolo Perego 31 mar 2016

La domanda non è banale. La sicurezza applicativa, per come è fatta spesso, serve? La risposta a questa domanda, volutamente provocatoria, non è banale. Ammetto di averci pensato su un sacco, durante lo sviluppo della mia personale APPSEC Pipeline sul lavoro. Dopo un paio d’anni di riflessione, complice la lettura di questo post, non posso che rispondere dicendo:

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Paolo Perego 25 mar 2016

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

I chicchi di programmazione sicura e restyle futuro

Paolo Perego 23 mar 2016

Sono passati quasi due anni dal primo post in piena emergenza HeartBleed ed è tempo di cambiare qualcosa.

Lettera aperta a Quintarelli su SPID e Security

Paolo Perego 10 mar 2016

Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della pubblica amministrazione. Già lo scorso luglio ne parlammo quando, nelle FAQ, veniva consigliato l’uso di SSLv3 e TLS1.0 come requisito minimo per proteggere il canale trasmissivo tra Asserting party e le Relying party.

Linux Mint, la ISO intorno al buco

Paolo Perego 22 feb 2016

Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare la ISO della versione 17.3 della distribuzione, inserendo una backdoor al suo interno.

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Paolo Perego 21 feb 2016

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Come ti infetto attraverso il browser

Paolo Perego 15 feb 2016

Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato, delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.