Tag heartbleed

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Heartbleed - parte 2: chiacchierata da pub ma tecnica questa volta

Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...

Heartbleed - parte 1: la chiacchiera da pub

Per il primo post di codiceinsicuro invece del classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi, eccomi dentro il vortice dell’heartbleed bug.

Tag cve-2014-0160

Heartbleed - parte 2: chiacchierata da pub ma tecnica questa volta

Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...

Heartbleed - parte 1: la chiacchiera da pub

Per il primo post di codiceinsicuro invece del classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi, eccomi dentro il vortice dell’heartbleed bug.

Tag vulnerabilità

Vulnerabilità collaterali

Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...

Rubygems vulnerabile a DNS Hijack

Quattro giorni fa è passata nella mailing list ruby-security-ann la segnalazione di una vulnerabilità corretta in rubygems più di un mese fa.

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

Heartbleed - parte 2: chiacchierata da pub ma tecnica questa volta

Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...

Heartbleed - parte 1: la chiacchiera da pub

Per il primo post di codiceinsicuro invece del classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi, eccomi dentro il vortice dell’heartbleed bug.

Tag ssl

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Heartbleed - parte 2: chiacchierata da pub ma tecnica questa volta

Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...

Heartbleed - parte 1: la chiacchiera da pub

Per il primo post di codiceinsicuro invece del classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi, eccomi dentro il vortice dell’heartbleed bug.

Tag openssl

Generare una chiave RSA che funzioni con Nexpose

Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...

Heartbleed - parte 2: chiacchierata da pub ma tecnica questa volta

Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...

Heartbleed - parte 1: la chiacchiera da pub

Per il primo post di codiceinsicuro invece del classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi, eccomi dentro il vortice dell’heartbleed bug.

Tag opensource

Cosa fa un security engineer in SUSE?

Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...

Sono tutti open con il source degli altri – reprise

La community deve essere una parte attiva nel ciclo di vita di un progetto opensource e tu che stai leggendo questo post, devi fare qualcosa nel tuo piccolo. Inizia anche...

E se la soluzione al problema dell’antivirus fosse avere il codice open?

Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.

open vs close: qual è il software più sicuro?

Una settimana fa su LinkedIN, chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.

Come fare un vulnerability assessment con nmap: parte due

Tre anni fa scrivevo di come nmap potesse essere utilizzato come strumento di vulnerability assessment utilizzando il plugin vulscan.

Vulnerabilità collaterali

Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...

Ha senso veramente fare un'analisi statica?

Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.

Sono tutti open con il source degli altri

Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...

Linux Mint, la ISO intorno al buco

Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...

Quando l'opale non è più trasparente

Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...

Come fare un vulnerability Assessment con nmap

Diciamolo subito, se il nostro scopo è quello di implementare un processo di Vulnerability Management e ci serve tenere sotto scansione centinaia o migliaia di server organizzati per produzione, test...

Usare Apple è veramente contrario all'etica?

Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Heartbleed - parte 2: chiacchierata da pub ma tecnica questa volta

Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...

Heartbleed - parte 1: la chiacchiera da pub

Per il primo post di codiceinsicuro invece del classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi, eccomi dentro il vortice dell’heartbleed bug.

Tag simple-life

Heartbleed - parte 2: chiacchierata da pub ma tecnica questa volta

Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...

Heartbleed - parte 1: la chiacchiera da pub

Per il primo post di codiceinsicuro invece del classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi, eccomi dentro il vortice dell’heartbleed bug.

Tag chiacchiere-da-pub

Heartbleed - parte 2: chiacchierata da pub ma tecnica questa volta

Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...

Heartbleed - parte 1: la chiacchiera da pub

Per il primo post di codiceinsicuro invece del classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi, eccomi dentro il vortice dell’heartbleed bug.

Tag exploit

Dentro al Microsoft Patching Tuesday: Luglio 2021

Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching Tuesday di Microsoft riprende da questo mese con i dati di luglio.

Dentro al Microsoft Patching Tuesday: Gennaio 2020

Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il primo bollettino Microsoft rilasciato il 14 gennaio.

Dentro al Microsoft Patching Tuesday: Dicembre 2019

Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.

Dentro al Microsoft Patching Tuesday: Ottobre 2019

Eccoci qui, circa una settimana fa Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.

Dentro al Microsoft Patching Tuesday: Settembre 2019

Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....

Come offuscare un semplice shellcode - parte 1

Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....

Basic Insicuri: Creare uno template per i vostri exploit in GNOME

Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.

Diamo un'occhiata a msf-egghunter

Lo scorso febbraio, su The Armored Code ho scritto un post che parlava di msf-egghunter, lo strumento distribuito insieme a Metasploit per scrivere un egg hunter.

Esplua': riflessioni sul Check Point security tour 2015

Oggi, sono stato alla prima tappa del Check Point security tour 2015, un evento organizzato da Check Point per parlare di prodotti, vision, casi di studio.

MS15-034: IIS denial of service con una sola richiesta HTTP

L’altro ieri era il martedì delle patch di security in Microsoft e come ogni mese sono usciti bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.

Tesoro, si è rotto il blog

Premesse e piccoli aggiornamenti

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Heartbleed - parte 2: chiacchierata da pub ma tecnica questa volta

Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...

Tag awareness

Nuova iniziativa: Cybercoach corner

Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...

L'awareness fatto finora ha fallito

Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...

Molto benissimo: il racconto del talk a ISACA Venice

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...

Your web application seen from the hell's kitchen

Quando ho risposto al call for paper per il RubyDay ho voluto che il mio intervento avesse un titolo interessante. “Almeno il titolo”, mi sono detto.

Domenica d'Agosto, che caldo fa

Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...

Se tolleri questo il tuo sito potrebbe essere il prossimo

Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...

Chi li paga poi i danni?

Nelle grandi società, in campo IT siamo indietro almeno di una decade (in media). Poi ci sono soggetti che per la loro forma mentis sono ancora fermi ancora a come...

Grazie Internet of Things

L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...

Spiega la sicurezza informatica al marketing

Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...

La sicurezza applicativa è il nuovo off-topic?

Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...

Date una linea guida al ragazzo

Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la seguente:

Scopriamo insieme la superficie d'attacco

Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito...

Tag superficie d'attacco

Scopriamo insieme la superficie d'attacco

Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito...

Tag codice

Scopriamo insieme la superficie d'attacco

Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito...

Tag os-x

L'upgrade di Mavericks e il format bug di Safari

Quello che non conosci potrebbe ucciderti

Tag apple

open vs close: qual è il software più sicuro?

Una settimana fa su LinkedIN, chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

L'upgrade di Mavericks e il format bug di Safari

Quello che non conosci potrebbe ucciderti

Tag format-bug

L'upgrade di Mavericks e il format bug di Safari

Quello che non conosci potrebbe ucciderti

Tag snprintf

L'upgrade di Mavericks e il format bug di Safari

Quello che non conosci potrebbe ucciderti

Tag anni 90

L'upgrade di Mavericks e il format bug di Safari

Quello che non conosci potrebbe ucciderti

Tag mavericks

L'upgrade di Mavericks e il format bug di Safari

Quello che non conosci potrebbe ucciderti

Tag safari

L'upgrade di Mavericks e il format bug di Safari

Quello che non conosci potrebbe ucciderti

Tag cve-2014-1315

L'upgrade di Mavericks e il format bug di Safari

Quello che non conosci potrebbe ucciderti

Tag sicurezza

Di pipeline, processi ed automazione

In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag banfa

EyePiramid: il Grande Fratello è tra noi

Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio, che ha interessato buona parte della classe politica italiana.

Le web agency sono il nuovo cavallo di troia?

Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Game, set e partita

Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

Premetto, io non sono uno sviluppatore

Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...

Storie di Anonimi, Campioni e password in chiaro

Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei siti dell’Expo 2015.

Grazie Internet of Things

L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag media

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag interviste

SSDLC, alla ricerca del processo perduto

Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag carrier

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag ddos

Un venerdì di passione fuori stagione

Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag sicurezza perimetrale

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag chiacchiere

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag sha7

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag daje

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag owasp

Getting Root: Railsgoat

Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....

Tool di code review e minority report

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...

Alla ricerca dell'ESAPI perduta

Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...

La mia formazione: 3-4-3 o 4-3-1-2

Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Creiamo una stringa di caratteri casuali con Owasp ESAPI e Java

Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag owasp italy

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag owasp day

L'ItaGLia è sicura. Posso già chiudere il blog

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

Tag h4f

Creiamo una stringa di caratteri casuali con Owasp ESAPI e Java

Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...

Recuperare informazioni via SNMP (con ruby)

Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...

Tag snmp

Recuperare informazioni via SNMP (con ruby)

Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...

Tag ruby

Crea le tue API di telemetria con Ruby e Sinatra

Quando ho iniziato a riscrivere la versione 2.0 di dawnscanner, ho pensato di introdurre un meccanismo che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.

dawnscanner: la code review per ruby può parlare italiano?

Eccola qui la mia intervista rilasciata al sito Helpnet Security su dawnscanner.

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

La lentezza di una barra 16

Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...

Cerchiamo un host in Nexpose con Ruby

Nexpose è un prodotto commerciale per il vulnerability management, sviluppato da Rapid7, gli stessi dietro a Metasploit tanto per intenderci.

bettercap: rimettiamo al centro l'attaccante

Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica ma all’italiano piace essere in mezzo alle discussioni.

Asphyxia #1: ma RCS installa immagini pedopornografiche?

L’attacco ad Hacking Team ha lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non addetti ai lavori.

Rubygems vulnerabile a DNS Hijack

Quattro giorni fa è passata nella mailing list ruby-security-ann la segnalazione di una vulnerabilità corretta in rubygems più di un mese fa.

Costruiamo un sistema di autenticazione con Sinatra e Warden - Parte 3

Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2

Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1

Facendo penetration test applicativi da un po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla maschera di login.

Testiamo in automatico le password dei nostri utenti

Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...

Difendiamo i nostri utenti con i secure headers

In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano dall’esserlo, due cose succederebbero oggi:

Recuperare informazioni via SNMP (con ruby)

Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...

Tag information gathering

Recuperare informazioni via SNMP (con ruby)

Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...

Tag nmap

Come fare un vulnerability assessment con nmap: parte due

Tre anni fa scrivevo di come nmap potesse essere utilizzato come strumento di vulnerability assessment utilizzando il plugin vulscan.

Come fare un database audit con nmap

Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è...

Domenica d'Agosto, che caldo fa

Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...

Come fare un vulnerability Assessment con nmap

Diciamolo subito, se il nostro scopo è quello di implementare un processo di Vulnerability Management e ci serve tenere sotto scansione centinaia o migliaia di server organizzati per produzione, test...

Recuperare informazioni via SNMP (con ruby)

Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...

Tag port scan

Recuperare informazioni via SNMP (con ruby)

Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...

Tag owasp esapi

Alla ricerca dell'ESAPI perduta

Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...

Creiamo una stringa di caratteri casuali con Owasp ESAPI e Java

Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...

Tag java

Se produci software, il problema delle licenze terze è anche tuo

Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...

Offuschiamo il bytecode Java per divertimento: prima parte

Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da disassemblare.

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

Alla ricerca dell'ESAPI perduta

Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...

Dal file APK al codice sorgente in poche semplici mosse

Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...

Come salvare la password dei propri utenti e vivere sereni un data breach

Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che possono mitigare parzialmente un’intrusione nel nostro backend.

Creiamo una stringa di caratteri casuali con Owasp ESAPI e Java

Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...

Tag numero casuale

Creiamo una stringa di caratteri casuali con Owasp ESAPI e Java

Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...

Tag pseudorandom

Creiamo una stringa di caratteri casuali con Owasp ESAPI e Java

Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...

Tag choosy

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag meditazione

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag sangue di giuda

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag senior

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag junior

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag mettersi in gioco

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag imparare

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag blog

L'alba di un nuovo giorno

A volte cerchi un posto dove stare solo tra i solchi di bit. A volte quel posto lo hai creato tu qualche anno prima ma ne ignoravi l’esistenza.

Estate di cambiamenti, parte 1

Come avrete potuto notare, è stato un inizio d’estate in sordina per il blog. Sono stato preso nell’organizzare i miei talk per l’autunno e da un paio di progetti collaterali....

2 anni son passati

2 anni fa nasceva il progetto Codice Insicuro. Partivamo sull’onda della vulnerabilità heartbleed e da lì abbiamo collezionato 97 post, poco meno di un post a settimana.

I chicchi di programmazione sicura e restyle futuro

Sono passati quasi due anni dal primo post in piena emergenza HeartBleed ed è tempo di cambiare qualcosa.

Bicchieri di acqua e menta

E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette...

Domenica d'Agosto, che caldo fa

Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...

WordPress 4.2 rilasciato e vulnerabile a stored XSS

L’ultima versione stabile di WordPress, la 4.2 è disponibile da pochi giorni ed è già vulnerabile ad un cross site scripting di tipo stored.

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...

Tesoro, si è rotto il blog

Premesse e piccoli aggiornamenti

Come usare questo blog

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag twitter

32 Milioni di account twitter trafugati: ancora problemi con le credenziali

Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con questa dichiarazione.

Difendiamo i nostri utenti con i secure headers

In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano dall’esserlo, due cose succederebbero oggi:

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag antani

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

Ricordami perché lo faccio: non è un lavoro per tutti

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...

Tag startup

Erase and Rewind

Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che ora è il mio braccio armato.

Piovono scimmiette

Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...

La non cultura dell'ASAP

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Se paghi noccioline attirerai scimmie: storie job posting nell'era delle startup

Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...

Tag briatore

Se paghi noccioline attirerai scimmie: storie job posting nell'era delle startup

Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...

Tag pizzeria

Se paghi noccioline attirerai scimmie: storie job posting nell'era delle startup

Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...

Tag kebab

Se paghi noccioline attirerai scimmie: storie job posting nell'era delle startup

Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...

Tag job posting

Se paghi noccioline attirerai scimmie: storie job posting nell'era delle startup

Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...

Tag crisi

Se paghi noccioline attirerai scimmie: storie job posting nell'era delle startup

Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...

Tag stipendio

Se paghi noccioline attirerai scimmie: storie job posting nell'era delle startup

Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...

Tag qualità

Se paghi noccioline attirerai scimmie: storie job posting nell'era delle startup

Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...

Tag codice insicuro

Come usare questo blog

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...

Tag post

Come usare questo blog

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...

Tag categorie

Come usare questo blog

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...

Tag sicurina

Come usare questo blog

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...

Tag pick'n'chich

Come usare questo blog

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...

Tag doctor is in

Come usare questo blog

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...

Tag angolo del libro

Come usare questo blog

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...

Tag amazon

Se produci software, il problema delle licenze terze è anche tuo

Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...

Come usare questo blog

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...

Tag code review

Cosa fa un security engineer in SUSE?

Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...

Facciamo behavior-driven development con il C

Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...

Alcune lezioni dal primo tentativo fallito per l'OSWE

Come da tradizione, siamo al post dopo il primo fallimento per la certificazione OSWE. Era successo per OSCE e ancora prima per OSCP. Lo so, lo so… ci sono mille...

La code review è ancora sexy?

Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...

Vulnerabilità collaterali

Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...

Ha senso veramente fare un'analisi statica?

Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.

Questione di malloc()

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...

dawnscanner: la code review per ruby può parlare italiano?

Eccola qui la mia intervista rilasciata al sito Helpnet Security su dawnscanner.

Tool di code review e minority report

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...

Le cose che uno sviluppatore deve sapere su penetration test e code review

Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...

Asphyxia #1: ma RCS installa immagini pedopornografiche?

L’attacco ad Hacking Team ha lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non addetti ai lavori.

Premetto, io non sono uno sviluppatore

Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...

Automattic compra Woocommerce e WordPress diventa adulto

Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...

Esercizio di code review in PHP: un semplice blogging engine

Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare...

I tool di code review: croce o delizia?

Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa,...

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Automatizzare, automatizzare e automatizzare. Quando non puoi fare tutto tu

E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...

Tag svn

Automatizzare, automatizzare e automatizzare. Quando non puoi fare tutto tu

E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...

Tag metriche

Automatizzare, automatizzare e automatizzare. Quando non puoi fare tutto tu

E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...

Tag complessità ciclomatica

Automatizzare, automatizzare e automatizzare. Quando non puoi fare tutto tu

E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...

Tag automatismi

Automatizzare, automatizzare e automatizzare. Quando non puoi fare tutto tu

E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...

Tag linee guida

Date una linea guida al ragazzo

Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la seguente:

Tag test

Date una linea guida al ragazzo

Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la seguente:

Tag documentazione

Date una linea guida al ragazzo

Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la seguente:

Tag bcrypt

Costruiamo un sistema di autenticazione con Sinatra e Warden - Parte 3

Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2

Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1

Facendo penetration test applicativi da un po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla maschera di login.

Come salvare la password dei propri utenti e vivere sereni un data breach

Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che possono mitigare parzialmente un’intrusione nel nostro backend.

Tag sha512

Come salvare la password dei propri utenti e vivere sereni un data breach

Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che possono mitigare parzialmente un’intrusione nel nostro backend.

Tag sha256

Password vs Passphrase: la cracking challenge

Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?

Come salvare la password dei propri utenti e vivere sereni un data breach

Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che possono mitigare parzialmente un’intrusione nel nostro backend.

Tag password

Password vs Passphrase: la cracking challenge

Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?

Non mettete regole troppo complesse alle vostre password

Perché non usare una frase al posto di una password? Lasciamoci alle spalle regole di complessità obsolete e abbracciamo l'usabilità con un occhio di riguardo alla sicurezza.

Ecco come scegliere una password robusta

Oggi stavo scegliendo una playlist per il lavoro ed arrivo ad un video dal titolo molto bold: Come creare una password robusta.

Entropia, password e passphrase

Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...

32 Milioni di account twitter trafugati: ancora problemi con le credenziali

Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con questa dichiarazione.

LastPass security breach e le tue password nel cloud

2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...

Testiamo in automatico le password dei nostri utenti

Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...

Come salvare la password dei propri utenti e vivere sereni un data breach

Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che possono mitigare parzialmente un’intrusione nel nostro backend.

Tag secure headers

Difendiamo i nostri utenti con i secure headers

In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano dall’esserlo, due cose succederebbero oggi:

Tag csp

Difendiamo i nostri utenti con i secure headers

In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano dall’esserlo, due cose succederebbero oggi:

Tag hsts

Difendiamo i nostri utenti con i secure headers

In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano dall’esserlo, due cose succederebbero oggi:

Tag x-frame

Difendiamo i nostri utenti con i secure headers

In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano dall’esserlo, due cose succederebbero oggi:

Tag x-xss

Difendiamo i nostri utenti con i secure headers

In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano dall’esserlo, due cose succederebbero oggi:

Tag x-content-type

Difendiamo i nostri utenti con i secure headers

In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano dall’esserlo, due cose succederebbero oggi:

Tag CVE-2014-4671

La sicurezza invisibile: abusing jsonp e la risposta della community rails

Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...

Tag miki

La sicurezza invisibile: abusing jsonp e la risposta della community rails

Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...

Tag jsonp

La sicurezza invisibile: abusing jsonp e la risposta della community rails

Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...

Tag callback

La sicurezza invisibile: abusing jsonp e la risposta della community rails

Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...

Tag encoding

Shellerate: un framework per generare shellcode

L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...

La sicurezza invisibile: abusing jsonp e la risposta della community rails

Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...

Tag swf

La sicurezza invisibile: abusing jsonp e la risposta della community rails

Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...

Tag flash

La sicurezza invisibile: abusing jsonp e la risposta della community rails

Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...

Tag ruby on rails

dawnscanner: la code review per ruby può parlare italiano?

Eccola qui la mia intervista rilasciata al sito Helpnet Security su dawnscanner.

La sicurezza invisibile: abusing jsonp e la risposta della community rails

Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...

Tag bloglovin

Codiceinsicuro su bloglovin

Bloglovin, è una directory di blog dove puoi trovare un sacco di cose. Per aumentare un po’ di traction ho deciso di iscrivere CodiceInsicuro anche qui. Quindi, da oggi puoi...

Tag traction

Codiceinsicuro su bloglovin

Bloglovin, è una directory di blog dove puoi trovare un sacco di cose. Per aumentare un po’ di traction ho deciso di iscrivere CodiceInsicuro anche qui. Quindi, da oggi puoi...

Tag ASAP

La non cultura dell'ASAP

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Tag release early release often

La non cultura dell'ASAP

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Tag big corporate

La non cultura dell'ASAP

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Tag subito

La non cultura dell'ASAP

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Tag produzione

La non cultura dell'ASAP

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Tag bug

Netcrash: tensione ai contorni della nuvola

Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...

La non cultura dell'ASAP

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Tag dilbert

La non cultura dell'ASAP

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Tag cubicolo

La non cultura dell'ASAP

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Tag ssdl

SSDLC, alla ricerca del processo perduto

Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...

Tag sviluppo sicuro

Alla ricerca dell'ESAPI perduta

Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...

SSDLC, alla ricerca del processo perduto

Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...

Tag sviluppo

Racconti da codemotion

Venerdì, mentre vi ammazzavate di reload sulla pagina di Amazon per il black friday, ho fatto il mio ultimo talk, per il 2016, a Codemotion.

SSDLC, alla ricerca del processo perduto

Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...

Tag processo

SSDLC, alla ricerca del processo perduto

Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...

Tag programmatore

SSDLC, alla ricerca del processo perduto

Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...

Tag team

Non abbiate paura

Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante ti salta alla gola, ignorando appunto, il significato della parola a loro appena rivolta.

SSDLC, alla ricerca del processo perduto

Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...

Tag codice sicuro

I chicchi di programmazione sicura e restyle futuro

Sono passati quasi due anni dal primo post in piena emergenza HeartBleed ed è tempo di cambiare qualcosa.

SSDLC, alla ricerca del processo perduto

Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...

Tag pensieri

L'estate sta finendo e un anno inizierà

Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...

Tag estate

Etica-mentre

La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...

Affrontare il rientro

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...

Bicchieri di acqua e menta

E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette...

Domenica d'Agosto, che caldo fa

Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...

L'estate sta finendo e un anno inizierà

Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...

Tag settembre

L'estate sta finendo e un anno inizierà

Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...

Tag progetti

Erase and Rewind

Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che ora è il mio braccio armato.

L'estate sta finendo e un anno inizierà

Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...

Tag voglia di fare

L'estate sta finendo e un anno inizierà

Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...

Tag conferenze

Affrontare il rientro

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...

La sicurezza applicativa è il nuovo off-topic?

Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...

Tag itaGLia

La sicurezza applicativa è il nuovo off-topic?

Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...

Tag sviluppatori

Le cose che uno sviluppatore deve sapere su penetration test e code review

Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...

Non abbiate paura

Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante ti salta alla gola, ignorando appunto, il significato della parola a loro appena rivolta.

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...

La sicurezza applicativa è il nuovo off-topic?

Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...

Tag off-topic

Erase and Rewind

Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che ora è il mio braccio armato.

La sicurezza applicativa è il nuovo off-topic?

Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...

Tag asap

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag owasp core ruleset

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag waf

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag mod_security

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag apache

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag nginx

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag hardening

Se tolleri questo il tuo sito potrebbe essere il prossimo

Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag linux

open vs close: qual è il software più sicuro?

Una settimana fa su LinkedIN, chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.

Biometria, openSUSE Leap e Lenovo Thinkpad: rivolviamo i problemi

Ho un portatile Thinkpad Lenovo come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE Leap.

Linux Mint, la ISO intorno al buco

Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...

Usare Apple è veramente contrario all'etica?

Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag unix

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag patch

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag security advisories

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag security management

L'ASAP parte da solide fondamenta ed una lucente armatura

Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...

Tag xss

WordPress 4.2 rilasciato e vulnerabile a stored XSS

L’ultima versione stabile di WordPress, la 4.2 è disponibile da pochi giorni ed è già vulnerabile ad un cross site scripting di tipo stored.

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

Tag validare l'input

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

Tag sanitizzare l'input

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

Tag filtro

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

Tag caratteri illegati

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

Tag confindustria

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

Tag ibm

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

Tag media company

I cross site scripting. Non sono tornati, sono sempre stati qui

Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...

Tag bash

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Tag shellshock

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Tag cve-2014-6271

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Tag cve-2014-6277

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Tag cve-2014-7169

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Tag cve-2014-7186

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Tag cve-2014-7187

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Shellshock capitolo 1. La prova pratica che le code review servono

Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...

Tag automatizzare

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Tag application security

L'illusione di un mercato che non c'è... ancora

A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...

Le web agency sono il nuovo cavallo di troia?

Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Tag expect

Shellshock, automatizziamo il test

Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di come può propagarsi.

Tag billOfRights

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...

Tag legge

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...

Tag boldrini

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...

Tag carta dei diritti

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...

Tag privacy

Digital Spamionship

Dei Digital Champions ho un’opinione molto netta riassunto in questo post dove si parlava dei due presunti Anon, membri dell’associazione Digital Champions che fa capo alla figura istituzionale del Digital...

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...

Tag diritto all'oblio

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...

Tag neutralità della rete

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...

Tag man in the middle

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Tag cve-2014-3566

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Tag tls

Ladri di biciclette: HTTPS bicycle attack

Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura avrebbe garantito, tra l’altro, la riservatezza del dato in transito.

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Tag google

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Tag sslv3

Se tolleri questo il tuo sito potrebbe essere il prossimo

Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Tag beast

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Tag poodlebleed

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Tag poodlebleed.com

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Tag ciphersurfer

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...

Tag c

GCC, analisi statica e warning mancanti

Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima...

Facciamo behavior-driven development con il C

Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Tag bad programming habits

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Tag variabili globali

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Tag codice non mantenuto

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...

Tag wordpress

Automattic compra Woocommerce e WordPress diventa adulto

Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...

WordPress 4.2 rilasciato e vulnerabile a stored XSS

L’ultima versione stabile di WordPress, la 4.2 è disponibile da pochi giorni ed è già vulnerabile ad un cross site scripting di tipo stored.

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...

Tesoro, si è rotto il blog

Premesse e piccoli aggiornamenti

Tag wordstress

WordPress 4.2 rilasciato e vulnerabile a stored XSS

L’ultima versione stabile di WordPress, la 4.2 è disponibile da pochi giorni ed è già vulnerabile ad un cross site scripting di tipo stored.

Tesoro, si è rotto il blog

Premesse e piccoli aggiornamenti

Tag dos

Tesoro, si è rotto il blog

Premesse e piccoli aggiornamenti

Tag CVE-2014-9034

Tesoro, si è rotto il blog

Premesse e piccoli aggiornamenti

Tag malware

Decifrare semplici Javascript malevoli

Compromettere un sito, può essere una cosa semplice. Compromettere un sito basato su WordPress può essere una cosa molto semplice.

EyePiramid: il Grande Fratello è tra noi

Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio, che ha interessato buona parte della classe politica italiana.

Come ti infetto attraverso il browser

Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato, delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.

Mac OS X è davvero uno UNIX di serie B?

Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...

Una nuova ondata di ransomware

Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...

Esplua': riflessioni sul Check Point security tour 2015

Oggi, sono stato alla prima tappa del Check Point security tour 2015, un evento organizzato da Check Point per parlare di prodotti, vision, casi di studio.

La sicurezza ora è Cyber

Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...

Paga i tuoi debiti. Storie di malware del giovedì

Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456.

Tag phishing

Paga i tuoi debiti. Storie di malware del giovedì

Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456.

Tag allegati da non aprire mai

Paga i tuoi debiti. Storie di malware del giovedì

Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456.

Tag recensione

Netcrash: tensione ai contorni della nuvola

Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...

Tag cloud

Se tolleri questo il tuo sito potrebbe essere il prossimo

Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...

LastPass security breach e le tue password nel cloud

2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...

Netcrash: tensione ai contorni della nuvola

Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...

Tag cloud computing

Netcrash: tensione ai contorni della nuvola

Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...

Tag frisco

Netcrash: tensione ai contorni della nuvola

Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...

Tag hacker

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Netcrash: tensione ai contorni della nuvola

Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...

Tag romanzo

Netcrash: tensione ai contorni della nuvola

Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...

Tag disastro

Netcrash: tensione ai contorni della nuvola

Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...

Tag quotare il proprio lavoro

Quanto costa un pentest?

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security?

Tag lavoro

Il mio primo anno in SUSE

Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio che ho affittato vicino Milano per avere un po’ più di privacy e concentrazione.

L'illusione di un mercato che non c'è... ancora

A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...

Piovono scimmiette

Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...

Game, set e partita

Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...

Quanto costa un pentest?

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security?

Tag penetration test

Alcune lezioni dopo il secondo tentativo, riuscito, di certificarmi OSCP

Sono passati poco più di quattro mesi da questo post e molte cose sono cambiate e moltissime altre stanno per cambiare.

Le cose che uno sviluppatore deve sapere su penetration test e code review

Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

Cos'è un penetration test applicativo web?

Questo post non è rivolto a chi è nel campo della sicurezza applicativa. Magari se sei un pre sales dacci comunque una lettura, se ne sentono troppe di bestiate in...

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...

Quanto costa un pentest?

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security?

Tag pentest

Le mie wordlist preferite

Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...

Alcune lezioni dal primo tentativo fallito per l'OSCE

Nell’agosto di due anni fa scrivevo un post dopo il fallimento nel primo tentativo di certificazione per OSCP.

Alcune lezioni dal primo tentativo fallito per l'OSCP

Sono passati alcuni mesi dall’ultimo post. E’ arrivato WannaCry, è arrivata Petya / NotPetya e i media generalisti hanno scoperto il malware e la sicurezza informatica.

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Quanto costa un pentest?

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security?

Tag cliente

Quanto costa un pentest?

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security?

Tag committente

Quanto costa un pentest?

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security?

Tag scimmiette

Quanto costa un pentest?

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security?

Tag propositi

Propositi e previsioni per la sicurezza applicativa nel 2017

Anche il 2017 è alle porte e, secondo la tradizione, facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche previsione sull’anno che verrà.

Propositi e previsioni per la sicurezza applicativa nel 2016

Manca poco ormai alla fine del 2015 e, come l’anno scorso, è arrivato il momento di fare qualche bilancio sull’anno passato e qualche previsione su quello che verrà.

Propositi e previsioni per la sicurezza applicativa nel 2015

Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...

Tag anno nuovo

Propositi e previsioni per la sicurezza applicativa nel 2017

Anche il 2017 è alle porte e, secondo la tradizione, facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche previsione sull’anno che verrà.

Propositi e previsioni per la sicurezza applicativa nel 2016

Manca poco ormai alla fine del 2015 e, come l’anno scorso, è arrivato il momento di fare qualche bilancio sull’anno passato e qualche previsione su quello che verrà.

Propositi e previsioni per la sicurezza applicativa nel 2015

Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...

Tag sicurezza applicativa

Propositi e previsioni per la sicurezza applicativa nel 2017

Anche il 2017 è alle porte e, secondo la tradizione, facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche previsione sull’anno che verrà.

Come ti infetto attraverso il browser

Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato, delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.

Propositi e previsioni per la sicurezza applicativa nel 2016

Manca poco ormai alla fine del 2015 e, come l’anno scorso, è arrivato il momento di fare qualche bilancio sull’anno passato e qualche previsione su quello che verrà.

Your web application seen from the hell's kitchen

Quando ho risposto al call for paper per il RubyDay ho voluto che il mio intervento avesse un titolo interessante. “Almeno il titolo”, mi sono detto.

Premetto, io non sono uno sviluppatore

Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...

I pirati della sicurezza applicativa

Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di essere al timone dell’Arcadia, la nave di Capitan Harlock.

Chi li paga poi i danni?

Nelle grandi società, in campo IT siamo indietro almeno di una decade (in media). Poi ci sono soggetti che per la loro forma mentis sono ancora fermi ancora a come...

Grazie Internet of Things

L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...

Propositi e previsioni per la sicurezza applicativa nel 2015

Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...

Tag previsioni

Propositi e previsioni per la sicurezza applicativa nel 2017

Anche il 2017 è alle porte e, secondo la tradizione, facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche previsione sull’anno che verrà.

Propositi e previsioni per la sicurezza applicativa nel 2016

Manca poco ormai alla fine del 2015 e, come l’anno scorso, è arrivato il momento di fare qualche bilancio sull’anno passato e qualche previsione su quello che verrà.

Propositi e previsioni per la sicurezza applicativa nel 2015

Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...

Tag duemilaquindici

Propositi e previsioni per la sicurezza applicativa nel 2016

Manca poco ormai alla fine del 2015 e, come l’anno scorso, è arrivato il momento di fare qualche bilancio sull’anno passato e qualche previsione su quello che verrà.

Propositi e previsioni per la sicurezza applicativa nel 2015

Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...

Tag disclosure

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Tag libertà

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Tag censura

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Tag responsabilità

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Tag flussi aziendali

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Tag hacking

Il mio primo anno in SUSE

Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio che ho affittato vicino Milano per avere un po’ più di privacy e concentrazione.

Hack-back: machismo o necessità?

Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Mr.Robot

Ho appena finito di vedere la decima ed ultima puntata di Mr.Robot, la serie TV su hacking e società di cui tutti al di là dell’oceano stanno parlando, per ora...

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Tag metropolitana

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...

Tag responsible disclosure

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...

Tag php

Automattic compra Woocommerce e WordPress diventa adulto

Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...

WordPress 4.2 rilasciato e vulnerabile a stored XSS

L’ultima versione stabile di WordPress, la 4.2 è disponibile da pochi giorni ed è già vulnerabile ad un cross site scripting di tipo stored.

Esercizio di code review in PHP: un semplice blogging engine

Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare...

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...

Tag cve-2015-1383

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...

Tag owasp italia

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...

Tag talk

L'awareness fatto finora ha fallito

Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...

Racconti da codemotion

Venerdì, mentre vi ammazzavate di reload sulla pagina di Amazon per il black friday, ho fatto il mio ultimo talk, per il 2016, a Codemotion.

Questione di malloc()

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...

Molto benissimo: il racconto del talk a ISACA Venice

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...

Affrontare il rientro

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...

Your web application seen from the hell's kitchen

Quando ho risposto al call for paper per il RubyDay ho voluto che il mio intervento avesse un titolo interessante. “Almeno il titolo”, mi sono detto.

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...

Tag fill the gap

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...

Tag wapt

Write-up non serio di una CTF domenicale

Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...

Cos'è un penetration test applicativo web?

Questo post non è rivolto a chi è nel campo della sicurezza applicativa. Magari se sei un pre sales dacci comunque una lettura, se ne sentono troppe di bestiate in...

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...

Tag whitebox

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...

Tag plugin

Automattic compra Woocommerce e WordPress diventa adulto

Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...

Tag temi

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...

Tag sast

Ha senso veramente fare un'analisi statica?

Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.

I tool di code review: croce o delizia?

Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa,...

Tag findbugs

I tool di code review: croce o delizia?

Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa,...

Tag /dev/brain

I tool di code review: croce o delizia?

Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa,...

Tag ldap

Costruiamo un sistema di autenticazione con Sinatra e Warden - Parte 3

Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2

Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1

Facendo penetration test applicativi da un po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla maschera di login.

Testiamo in automatico le password dei nostri utenti

Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...

Tag active directory

Testiamo in automatico le password dei nostri utenti

Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...

Tag password policy

Testiamo in automatico le password dei nostri utenti

Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...

Tag owasp top 10

Esercizio di code review in PHP: un semplice blogging engine

Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare...

Tag life

Esercizio di code review in PHP: un semplice blogging engine

Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare...

Tag marketing

Etica-mentre

La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...

Lo hai bucato perché è un server di test

Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...

Spiega la sicurezza informatica al marketing

Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...

Tag rischi

Spiega la sicurezza informatica al marketing

Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...

Tag attacchi

Spiega la sicurezza informatica al marketing

Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...

Tag probabilità di accadimento

Spiega la sicurezza informatica al marketing

Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...

Tag cavalieri di sventura

Spiega la sicurezza informatica al marketing

Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...

Tag sinatra

Crea le tue API di telemetria con Ruby e Sinatra

Quando ho iniziato a riscrivere la versione 2.0 di dawnscanner, ho pensato di introdurre un meccanismo che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.

dawnscanner: la code review per ruby può parlare italiano?

Eccola qui la mia intervista rilasciata al sito Helpnet Security su dawnscanner.

Costruiamo un sistema di autenticazione con Sinatra e Warden - Parte 3

Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2

Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1

Facendo penetration test applicativi da un po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla maschera di login.

Tag warden

Costruiamo un sistema di autenticazione con Sinatra e Warden - Parte 3

Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2

Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1

Facendo penetration test applicativi da un po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla maschera di login.

Tag web app

Costruiamo un sistema di autenticazione con Sinatra e Warden - Parte 3

Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2

Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1

Facendo penetration test applicativi da un po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla maschera di login.

Tag talk_rd2015

Costruiamo un sistema di autenticazione con Sinatra e Warden - Parte 3

Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2

Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1

Facendo penetration test applicativi da un po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla maschera di login.

Tag iis

MS15-034: IIS denial of service con una sola richiesta HTTP

L’altro ieri era il martedì delle patch di security in Microsoft e come ogni mese sono usciti bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.

Tag patching tuesday

Dentro al Microsoft Patching Tuesday: Luglio 2021

Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching Tuesday di Microsoft riprende da questo mese con i dati di luglio.

Dentro al Microsoft Patching Tuesday: Gennaio 2020

Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il primo bollettino Microsoft rilasciato il 14 gennaio.

Dentro al Microsoft Patching Tuesday: Dicembre 2019

Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.

Dentro al Microsoft Patching Tuesday: Ottobre 2019

Eccoci qui, circa una settimana fa Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.

Dentro al Microsoft Patching Tuesday: Settembre 2019

Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....

MS15-034: IIS denial of service con una sola richiesta HTTP

L’altro ieri era il martedì delle patch di security in Microsoft e come ogni mese sono usciti bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.

Tag denial of service

MS15-034: IIS denial of service con una sola richiesta HTTP

L’altro ieri era il martedì delle patch di security in Microsoft e come ogni mese sono usciti bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.

Tag http

bettercap: rimettiamo al centro l'attaccante

Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica ma all’italiano piace essere in mezzo alle discussioni.

MS15-034: IIS denial of service con una sola richiesta HTTP

L’altro ieri era il martedì delle patch di security in Microsoft e come ogni mese sono usciti bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.

Tag ms15-034

MS15-034: IIS denial of service con una sola richiesta HTTP

L’altro ieri era il martedì delle patch di security in Microsoft e come ogni mese sono usciti bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.

Tag cve-2015-1635

MS15-034: IIS denial of service con una sola richiesta HTTP

L’altro ieri era il martedì delle patch di security in Microsoft e come ogni mese sono usciti bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.

Tag iot

Un venerdì di passione fuori stagione

Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...

Grazie Internet of Things

L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...

Tag cross site scripting

WordPress 4.2 rilasciato e vulnerabile a stored XSS

L’ultima versione stabile di WordPress, la 4.2 è disponibile da pochi giorni ed è già vulnerabile ad un cross site scripting di tipo stored.

Tag input validation

WordPress 4.2 rilasciato e vulnerabile a stored XSS

L’ultima versione stabile di WordPress, la 4.2 è disponibile da pochi giorni ed è già vulnerabile ad un cross site scripting di tipo stored.

Tag project management

Ho, Snaitech e quella sensibilità che ancora manca

Snaitech e l’operatore mobile Ho. sono state le ultime vittime in ordine di tempo di attacchi informatici o comunque di fughe di dati.

Chi li paga poi i danni?

Nelle grandi società, in campo IT siamo indietro almeno di una decade (in media). Poi ci sono soggetti che per la loro forma mentis sono ancora fermi ancora a come...

Tag gantt

Chi li paga poi i danni?

Nelle grandi società, in campo IT siamo indietro almeno di una decade (in media). Poi ci sono soggetti che per la loro forma mentis sono ancora fermi ancora a come...

Tag jolly roger

I pirati della sicurezza applicativa

Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di essere al timone dell’Arcadia, la nave di Capitan Harlock.

Tag arcadia

I pirati della sicurezza applicativa

Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di essere al timone dell’Arcadia, la nave di Capitan Harlock.

Tag no banfa

I pirati della sicurezza applicativa

Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di essere al timone dell’Arcadia, la nave di Capitan Harlock.

Tag no code no party

I pirati della sicurezza applicativa

Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di essere al timone dell’Arcadia, la nave di Capitan Harlock.

Tag stand by wordpress

Automattic compra Woocommerce e WordPress diventa adulto

Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...

Tag ecommerce

Automattic compra Woocommerce e WordPress diventa adulto

Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...

Tag woocommerce

Automattic compra Woocommerce e WordPress diventa adulto

Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...

Tag automattic

Automattic compra Woocommerce e WordPress diventa adulto

Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...

Tag internet

Lo hai bucato perché è un server di test

Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...

Automattic compra Woocommerce e WordPress diventa adulto

Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...

Tag anonymous

HackingTeam e la storia del figlio del calzolaio

Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...

Storie di Anonimi, Campioni e password in chiaro

Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei siti dell’Expo 2015.

Tag digital champions

Storie di Anonimi, Campioni e password in chiaro

Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei siti dell’Expo 2015.

Tag PA

Storie di Anonimi, Campioni e password in chiaro

Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei siti dell’Expo 2015.

Tag expo

Storie di Anonimi, Campioni e password in chiaro

Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei siti dell’Expo 2015.

Tag siti governativi

Storie di Anonimi, Campioni e password in chiaro

Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei siti dell’Expo 2015.

Tag password in chiaro

Storie di Anonimi, Campioni e password in chiaro

Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei siti dell’Expo 2015.

Tag codice sorgente

Il tuo .git su Internet? No, no, no!

E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...

Dal file APK al codice sorgente in poche semplici mosse

Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...

Tag android

Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard

Quanti di noi, possessori di uno smartphone Android non rooted, investono il proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede quando vuole essere installata?

Dal file APK al codice sorgente in poche semplici mosse

Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...

Tag apk

Dal file APK al codice sorgente in poche semplici mosse

Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...

Tag classes.dex

Dal file APK al codice sorgente in poche semplici mosse

Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...

Tag dalvik

Dal file APK al codice sorgente in poche semplici mosse

Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...

Tag jvm

Dal file APK al codice sorgente in poche semplici mosse

Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...

Tag virtual machine

Dal file APK al codice sorgente in poche semplici mosse

Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...

Tag etica

Etica-mentre

La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Usare Apple è veramente contrario all'etica?

Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...

Tag baruffe chioggiotte

Usare Apple è veramente contrario all'etica?

Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...

Tag compilo il kernel = sono figo

Usare Apple è veramente contrario all'etica?

Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...

Tag sicurezza cibernetica

La sicurezza ora è Cyber

Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...

Tag nuovi modi di fare business

La sicurezza ora è Cyber

Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...

Tag ict security

La sicurezza ora è Cyber

Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...

Tag cyber war

La sicurezza ora è Cyber

Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...

Tag cyber warefare

La sicurezza ora è Cyber

Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...

Tag cyber sha7

La sicurezza ora è Cyber

Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...

Tag cyber parco

La sicurezza ora è Cyber

Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...

Tag sicurezza informatica

Di pipeline, processi ed automazione

In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...

LastPass security breach e le tue password nel cloud

2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...

Tag password manager

LastPass security breach e le tue password nel cloud

2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...

Tag attacco informatico

HackingTeam e la storia del figlio del calzolaio

Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...

LastPass security breach e le tue password nel cloud

2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...

Tag consulente splendente

Premetto, io non sono uno sviluppatore

Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...

Tag digital agency

Lo hai bucato perché è un server di test

Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...

Tag agenzia digitale

Lo hai bucato perché è un server di test

Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...

Tag pubblicità

Lo hai bucato perché è un server di test

Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...

Tag server di test

Lo hai bucato perché è un server di test

Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...

Tag ignoranti digitali

Lo hai bucato perché è un server di test

Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...

Tag social

Sessione AMA il prossimo 6 settembre

Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale Reddit ItalyInformatica.

Lo hai bucato perché è un server di test

Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...

Tag yo yo

Lo hai bucato perché è un server di test

Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...

Tag cve-2015-3900

Rubygems vulnerabile a DNS Hijack

Quattro giorni fa è passata nella mailing list ruby-security-ann la segnalazione di una vulnerabilità corretta in rubygems più di un mese fa.

Tag cve-2015-4020

Rubygems vulnerabile a DNS Hijack

Quattro giorni fa è passata nella mailing list ruby-security-ann la segnalazione di una vulnerabilità corretta in rubygems più di un mese fa.

Tag dns hijack

Rubygems vulnerabile a DNS Hijack

Quattro giorni fa è passata nella mailing list ruby-security-ann la segnalazione di una vulnerabilità corretta in rubygems più di un mese fa.

Tag rubygems

Rubygems vulnerabile a DNS Hijack

Quattro giorni fa è passata nella mailing list ruby-security-ann la segnalazione di una vulnerabilità corretta in rubygems più di un mese fa.

Tag web

Rubygems vulnerabile a DNS Hijack

Quattro giorni fa è passata nella mailing list ruby-security-ann la segnalazione di una vulnerabilità corretta in rubygems più di un mese fa.

Tag attaccanti

Se tolleri questo il tuo sito potrebbe essere il prossimo

Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...

Tag guardia e ladri

Se tolleri questo il tuo sito potrebbe essere il prossimo

Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...

Tag password banali

HackingTeam e la storia del figlio del calzolaio

Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...

Tag spionaggio

HackingTeam e la storia del figlio del calzolaio

Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...

Tag rcs

HackingTeam e la storia del figlio del calzolaio

Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...

Tag sudan

HackingTeam e la storia del figlio del calzolaio

Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...

Tag apt

Esplua': riflessioni sul Check Point security tour 2015

Oggi, sono stato alla prima tappa del Check Point security tour 2015, un evento organizzato da Check Point per parlare di prodotti, vision, casi di studio.

HackingTeam e la storia del figlio del calzolaio

Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...

Tag hacking team

Domenica d'Agosto, che caldo fa

Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

Tag specialisti improvvisati

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

Tag esperti

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

Tag aranzulla

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

Tag forsensica

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

Tag magistratura

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

Tag pm

L'attacco ad hacking team e la scena forcaiola italiana

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....

Tag Asphyxia

Asphyxia #1: ma RCS installa immagini pedopornografiche?

L’attacco ad Hacking Team ha lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non addetti ai lavori.

Tag Hacking Team

Asphyxia #1: ma RCS installa immagini pedopornografiche?

L’attacco ad Hacking Team ha lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non addetti ai lavori.

Tag RCS

Asphyxia #1: ma RCS installa immagini pedopornografiche?

L’attacco ad Hacking Team ha lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non addetti ai lavori.

Tag evidenze

Asphyxia #1: ma RCS installa immagini pedopornografiche?

L’attacco ad Hacking Team ha lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non addetti ai lavori.

Tag pedo pornografia

Asphyxia #1: ma RCS installa immagini pedopornografiche?

L’attacco ad Hacking Team ha lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non addetti ai lavori.

Tag università

Molto benissimo: il racconto del talk a ISACA Venice

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...

La mia formazione: 3-4-3 o 4-3-1-2

Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...

Tag certificazioni

La mia formazione: 3-4-3 o 4-3-1-2

Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...

Tag spippolare

La mia formazione: 3-4-3 o 4-3-1-2

Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...

Tag formazione

La mia formazione: 3-4-3 o 4-3-1-2

Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...

Tag studio

La mia formazione: 3-4-3 o 4-3-1-2

Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...

Tag vulnerability assessment

Generare una chiave RSA che funzioni con Nexpose

Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...

Patch ordinario e patch straordinario

Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non ci stiamo dotando di un processo strutturato.

Cosa ho imparato costruendo processi di patch management

Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...

Come fare un vulnerability assessment con nmap: parte due

Tre anni fa scrivevo di come nmap potesse essere utilizzato come strumento di vulnerability assessment utilizzando il plugin vulscan.

Credenziali amministrative in tempo di crisi

Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...

Cerchiamo un host in Nexpose con Ruby

Nexpose è un prodotto commerciale per il vulnerability management, sviluppato da Rapid7, gli stessi dietro a Metasploit tanto per intenderci.

Domenica d'Agosto, che caldo fa

Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...

Come fare un vulnerability Assessment con nmap

Diciamolo subito, se il nostro scopo è quello di implementare un processo di Vulnerability Management e ci serve tenere sotto scansione centinaia o migliaia di server organizzati per produzione, test...

Tag bettercap

bettercap: rimettiamo al centro l'attaccante

Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica ma all’italiano piace essere in mezzo alle discussioni.

Tag mitm

bettercap: rimettiamo al centro l'attaccante

Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica ma all’italiano piace essere in mezzo alle discussioni.

Tag parser

bettercap: rimettiamo al centro l'attaccante

Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica ma all’italiano piace essere in mezzo alle discussioni.

Tag credenziali

32 Milioni di account twitter trafugati: ancora problemi con le credenziali

Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con questa dichiarazione.

Forum di bittorrent compromesso: credenziali in pericolo

Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...

Credenziali amministrative in tempo di crisi

Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...

bettercap: rimettiamo al centro l'attaccante

Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica ma all’italiano piace essere in mezzo alle discussioni.

Tag ftp

bettercap: rimettiamo al centro l'attaccante

Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica ma all’italiano piace essere in mezzo alle discussioni.

Tag ssl 3.0

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

Tag tls 1.0

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

Tag spid

Lettera aperta a Quintarelli su SPID e Security

Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

Tag agid

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

Tag governo

E se la soluzione al problema dell’antivirus fosse avere il codice open?

Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

Tag cifratura

Una nuova ondata di ransomware

Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

Tag poodle

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale, ha annunciato la partenza del progetto SPID, il Sistema Pubblico per la gestione dell’Identità Digitale.

Tag agosto

Bicchieri di acqua e menta

E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette...

Domenica d'Agosto, che caldo fa

Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...

Tag rubyday

Your web application seen from the hell's kitchen

Quando ho risposto al call for paper per il RubyDay ho voluto che il mio intervento avesse un titolo interessante. “Almeno il titolo”, mi sono detto.

Tag gente losca

Your web application seen from the hell's kitchen

Quando ho risposto al call for paper per il RubyDay ho voluto che il mio intervento avesse un titolo interessante. “Almeno il titolo”, mi sono detto.

Tag recruiter

Game, set e partita

Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...

Tag mercato del lavoro

L'illusione di un mercato che non c'è... ancora

A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...

Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...

Game, set e partita

Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...

Tag estero

Game, set e partita

Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...

Tag itaglia

Piovono scimmiette

Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...

Game, set e partita

Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...

Tag peracottai

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Game, set e partita

Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...

Tag rant

Game, set e partita

Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...

Tag mr. robot

Mr.Robot

Ho appena finito di vedere la decima ed ultima puntata di Mr.Robot, la serie TV su hacking e società di cui tutti al di là dell’oceano stanno parlando, per ora...

Tag società

Mr.Robot

Ho appena finito di vedere la decima ed ultima puntata di Mr.Robot, la serie TV su hacking e società di cui tutti al di là dell’oceano stanno parlando, per ora...

Tag serie tv

Mr.Robot

Ho appena finito di vedere la decima ed ultima puntata di Mr.Robot, la serie TV su hacking e società di cui tutti al di là dell’oceano stanno parlando, per ora...

Tag ethical hacking

Etica-mentre

La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Tag fuffa

L'awareness fatto finora ha fallito

Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...

Hack-back: machismo o necessità?

Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...

Piovono scimmiette

Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Tag bizniz

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Tag ict

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Tag manager

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Tag uber manager

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Tag gente di un certo calibro

L'hacking è etico? E riempire l'ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...

Tag nexpose

Generare una chiave RSA che funzioni con Nexpose

Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...

Patch ordinario e patch straordinario

Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non ci stiamo dotando di un processo strutturato.

Cosa ho imparato costruendo processi di patch management

Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...

Credenziali amministrative in tempo di crisi

Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...

La lentezza di una barra 16

Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...

Cerchiamo un host in Nexpose con Ruby

Nexpose è un prodotto commerciale per il vulnerability management, sviluppato da Rapid7, gli stessi dietro a Metasploit tanto per intenderci.

Tag rapid7

Cerchiamo un host in Nexpose con Ruby

Nexpose è un prodotto commerciale per il vulnerability management, sviluppato da Rapid7, gli stessi dietro a Metasploit tanto per intenderci.

Tag vulnerability management

Generare una chiave RSA che funzioni con Nexpose

Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...

Cerchiamo un host in Nexpose con Ruby

Nexpose è un prodotto commerciale per il vulnerability management, sviluppato da Rapid7, gli stessi dietro a Metasploit tanto per intenderci.

Tag scripting

Cerchiamo un host in Nexpose con Ruby

Nexpose è un prodotto commerciale per il vulnerability management, sviluppato da Rapid7, gli stessi dietro a Metasploit tanto per intenderci.

Tag script

Cerchiamo un host in Nexpose con Ruby

Nexpose è un prodotto commerciale per il vulnerability management, sviluppato da Rapid7, gli stessi dietro a Metasploit tanto per intenderci.

Tag web agency

Le web agency sono il nuovo cavallo di troia?

Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...

Tag outsourcing

Le web agency sono il nuovo cavallo di troia?

Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...

Tag security

Patch ordinario e patch straordinario

Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non ci stiamo dotando di un processo strutturato.

Cosa ho imparato costruendo processi di patch management

Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...

Mac OS X è davvero uno UNIX di serie B?

Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...

Le web agency sono il nuovo cavallo di troia?

Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...

Tag policy

Lettera aperta a Quintarelli su SPID e Security

Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...

Le web agency sono il nuovo cavallo di troia?

Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...

Tag stipendi

Piovono scimmiette

Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...

Tag stage

Piovono scimmiette

Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...

Tag host discovery

La lentezza di una barra 16

Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...

Tag reti

La lentezza di una barra 16

Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...

Tag firewall

La lentezza di una barra 16

Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...

Tag vendor

Se produci software, il problema delle licenze terze è anche tuo

Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...

Esplua': riflessioni sul Check Point security tour 2015

Oggi, sono stato alla prima tappa del Check Point security tour 2015, un evento organizzato da Check Point per parlare di prodotti, vision, casi di studio.

Tag evento

Esplua': riflessioni sul Check Point security tour 2015

Oggi, sono stato alla prima tappa del Check Point security tour 2015, un evento organizzato da Check Point per parlare di prodotti, vision, casi di studio.

Tag poca banfa

Esplua': riflessioni sul Check Point security tour 2015

Oggi, sono stato alla prima tappa del Check Point security tour 2015, un evento organizzato da Check Point per parlare di prodotti, vision, casi di studio.

Tag threat prevention

Esplua': riflessioni sul Check Point security tour 2015

Oggi, sono stato alla prima tappa del Check Point security tour 2015, un evento organizzato da Check Point per parlare di prodotti, vision, casi di studio.

Tag digital champion

Digital Spamionship

Dei Digital Champions ho un’opinione molto netta riassunto in questo post dove si parlava dei due presunti Anon, membri dell’associazione Digital Champions che fa capo alla figura istituzionale del Digital...

Tag spam

Digital Spamionship

Dei Digital Champions ho un’opinione molto netta riassunto in questo post dove si parlava dei due presunti Anon, membri dell’associazione Digital Champions che fa capo alla figura istituzionale del Digital...

Tag git

Il tuo .git su Internet? No, no, no!

E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...

Tag google dork

Il tuo .git su Internet? No, no, no!

E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...

Tag perdita di informazioni

Il tuo .git su Internet? No, no, no!

E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...

Tag source code disclosure

Il tuo .git su Internet? No, no, no!

E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...

Tag floss

Quando l'opale non è più trasparente

Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...

Tag politically correctness

Quando l'opale non è più trasparente

Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...

Tag opal

Quando l'opale non è più trasparente

Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...

Tag community

Quando l'opale non è più trasparente

Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...

Tag libertà di parola

Quando l'opale non è più trasparente

Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...

Tag pipeline

Molto benissimo: il racconto del talk a ISACA Venice

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...

Affrontare il rientro

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...

Le cose che uno sviluppatore deve sapere su penetration test e code review

Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...

Di pipeline, processi ed automazione

In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...

Tag automazione

Di pipeline, processi ed automazione

In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...

Tag processi

3 cose che devi avere per partire con una application security pipeline

Non so se vi siete accorti che quella della sicurezza applicativa è una battaglia persa in partenza se continuiamo ad approcciarla come stiamo facendo negli ultimi anni.

Di pipeline, processi ed automazione

In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...

Tag sviluppo agile

Di pipeline, processi ed automazione

In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...

Tag sviluppo acdc

Di pipeline, processi ed automazione

In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...

Tag https

Ladri di biciclette: HTTPS bicycle attack

Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura avrebbe garantito, tra l’altro, la riservatezza del dato in transito.

Tag stream cipher

Ladri di biciclette: HTTPS bicycle attack

Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura avrebbe garantito, tra l’altro, la riservatezza del dato in transito.

Tag information disclosure

Ladri di biciclette: HTTPS bicycle attack

Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura avrebbe garantito, tra l’altro, la riservatezza del dato in transito.

Tag https bicycle

Ladri di biciclette: HTTPS bicycle attack

Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura avrebbe garantito, tra l’altro, la riservatezza del dato in transito.

Tag bycycle attack

Ladri di biciclette: HTTPS bicycle attack

Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura avrebbe garantito, tra l’altro, la riservatezza del dato in transito.

Tag appsec

Affrontare il rientro

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...

Le cose che uno sviluppatore deve sapere su penetration test e code review

Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...

Mac OS X è davvero uno UNIX di serie B?

Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...

Non abbiate paura

Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante ti salta alla gola, ignorando appunto, il significato della parola a loro appena rivolta.

Tag conflitti

Non abbiate paura

Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante ti salta alla gola, ignorando appunto, il significato della parola a loro appena rivolta.

Tag sistemisti

Non abbiate paura

Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante ti salta alla gola, ignorando appunto, il significato della parola a loro appena rivolta.

Tag devops

Non abbiate paura

Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante ti salta alla gola, ignorando appunto, il significato della parola a loro appena rivolta.

Tag cys4

Tra conflitti di interesse e 007: addio meritocrazia

Disclaimer: questo post è polemico. O meglio, è intriso di un mix di polemica, disillusione, rant.

Tag renzi

Tra conflitti di interesse e 007: addio meritocrazia

Disclaimer: questo post è polemico. O meglio, è intriso di un mix di polemica, disillusione, rant.

Tag cyber security

L'awareness fatto finora ha fallito

Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...

Tra conflitti di interesse e 007: addio meritocrazia

Disclaimer: questo post è polemico. O meglio, è intriso di un mix di polemica, disillusione, rant.

Tag meritocrazia

Tra conflitti di interesse e 007: addio meritocrazia

Disclaimer: questo post è polemico. O meglio, è intriso di un mix di polemica, disillusione, rant.

Tag conflitto di interessi

Tra conflitti di interesse e 007: addio meritocrazia

Disclaimer: questo post è polemico. O meglio, è intriso di un mix di polemica, disillusione, rant.

Tag politica

Tra conflitti di interesse e 007: addio meritocrazia

Disclaimer: questo post è polemico. O meglio, è intriso di un mix di polemica, disillusione, rant.

Tag root

Credenziali amministrative in tempo di crisi

Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...

Tag administrator

Credenziali amministrative in tempo di crisi

Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...

Tag login

Credenziali amministrative in tempo di crisi

Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...

Tag permessi

Credenziali amministrative in tempo di crisi

Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...

Tag cryptolocker

Una nuova ondata di ransomware

Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...

Tag allegati

Una nuova ondata di ransomware

Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...

Tag virus

E se la soluzione al problema dell’antivirus fosse avere il codice open?

Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.

Una nuova ondata di ransomware

Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...

Tag ransomware

Come ti infetto attraverso il browser

Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato, delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.

Una nuova ondata di ransomware

Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...

Tag cbtlocker

Una nuova ondata di ransomware

Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...

Tag kernel

Mac OS X è davvero uno UNIX di serie B?

Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...

Tag protezione

La sicurezza applicativa è veramente un facilitatore di flussi?

La domanda non è banale. La sicurezza applicativa, per come è fatta spesso, serve? La risposta a questa domanda, volutamente provocatoria, non è banale. Ammetto di averci pensato su un...

Mac OS X è davvero uno UNIX di serie B?

Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...

Tag kernel extension

Mac OS X è davvero uno UNIX di serie B?

Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...

Tag gatekeep

Mac OS X è davvero uno UNIX di serie B?

Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...

Tag firma digitale

Mac OS X è davvero uno UNIX di serie B?

Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...

Tag hackosx

Mac OS X è davvero uno UNIX di serie B?

Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...

Tag secure library

Alla ricerca dell'ESAPI perduta

Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...

Tag ssdlc

open vs close: qual è il software più sicuro?

Una settimana fa su LinkedIN, chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.

La sicurezza applicativa è veramente un facilitatore di flussi?

La domanda non è banale. La sicurezza applicativa, per come è fatta spesso, serve? La risposta a questa domanda, volutamente provocatoria, non è banale. Ammetto di averci pensato su un...

Alla ricerca dell'ESAPI perduta

Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...

Tag coverity

Alla ricerca dell'ESAPI perduta

Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...

Tag esapi

Alla ricerca dell'ESAPI perduta

Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...

Tag api

3 cose che devi avere per partire con una application security pipeline

Non so se vi siete accorti che quella della sicurezza applicativa è una battaglia persa in partenza se continuiamo ad approcciarla come stiamo facendo negli ultimi anni.

Alla ricerca dell'ESAPI perduta

Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...

Tag mac os x

Mac OS X sotto il cofano: il system integrity protection

Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS X se io ora vi dicessi “SIP”.

Tag sip

Mac OS X sotto il cofano: il system integrity protection

Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS X se io ora vi dicessi “SIP”.

Tag system integrity protection

Mac OS X sotto il cofano: il system integrity protection

Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS X se io ora vi dicessi “SIP”.

Tag tampering

Mac OS X sotto il cofano: il system integrity protection

Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS X se io ora vi dicessi “SIP”.

Tag mac

Mac OS X sotto il cofano: il system integrity protection

Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS X se io ora vi dicessi “SIP”.

Tag segregation of duties

Mac OS X sotto il cofano: il system integrity protection

Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS X se io ora vi dicessi “SIP”.

Tag browser

Come ti infetto attraverso il browser

Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato, delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.

Tag javascript

Decifrare semplici Javascript malevoli

Compromettere un sito, può essere una cosa semplice. Compromettere un sito basato su WordPress può essere una cosa molto semplice.

Come ti infetto attraverso il browser

Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato, delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.

Tag js

Come ti infetto attraverso il browser

Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato, delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.

Tag complotto

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Tag csi

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Tag snowden

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Tag fbi

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Tag s.bernardino

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Tag ios

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Tag secure enclave

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Tag rsa

Apple, gli hacker, l'FBI e l'insana cultura del complotto

Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere dentro un film di achers, dove veniamo spiati e dove siamo pedine inconsapevoli di qualche cospirazione internazionale.

Tag linux mint

Linux Mint, la ISO intorno al buco

Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...

Tag backdoor

Linux Mint, la ISO intorno al buco

Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...

Tag vulnerability warning

Linux Mint, la ISO intorno al buco

Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...

Tag identità digitale

Lettera aperta a Quintarelli su SPID e Security

Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...

Tag single sign on

Lettera aperta a Quintarelli su SPID e Security

Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...

Tag otp

Lettera aperta a Quintarelli su SPID e Security

Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...

Tag programmazione sicura

I chicchi di programmazione sicura e restyle futuro

Sono passati quasi due anni dal primo post in piena emergenza HeartBleed ed è tempo di cambiare qualcosa.

Tag safe coding

I chicchi di programmazione sicura e restyle futuro

Sono passati quasi due anni dal primo post in piena emergenza HeartBleed ed è tempo di cambiare qualcosa.

Tag codiceinsicuro

Estate di cambiamenti, parte 1

Come avrete potuto notare, è stato un inizio d’estate in sordina per il blog. Sono stato preso nell’organizzare i miei talk per l’autunno e da un paio di progetti collaterali....

2 anni son passati

2 anni fa nasceva il progetto Codice Insicuro. Partivamo sull’onda della vulnerabilità heartbleed e da lì abbiamo collezionato 97 post, poco meno di un post a settimana.

I chicchi di programmazione sicura e restyle futuro

Sono passati quasi due anni dal primo post in piena emergenza HeartBleed ed è tempo di cambiare qualcosa.

Tag saggezza

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

Tag verità scesa dal cielo

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

Tag programmazione

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

Tag python

Basic Insicuri: Creare uno template per i vostri exploit in GNOME

Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.

Shellerate: un framework per generare shellcode

L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

Tag perl

Qual è il linguaggio giusto per i penetration test: la risposta definitiva

Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a garantirti l’efficacia nell’arte del penetration test.

Tag asset

La sicurezza applicativa è veramente un facilitatore di flussi?

La domanda non è banale. La sicurezza applicativa, per come è fatta spesso, serve? La risposta a questa domanda, volutamente provocatoria, non è banale. Ammetto di averci pensato su un...

Tag web properties

La sicurezza applicativa è veramente un facilitatore di flussi?

La domanda non è banale. La sicurezza applicativa, per come è fatta spesso, serve? La risposta a questa domanda, volutamente provocatoria, non è banale. Ammetto di averci pensato su un...

Tag database audit

Come fare un database audit con nmap

Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è...

Tag mysql

Come fare un database audit con nmap

Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è...

Tag cis

Come fare un database audit con nmap

Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è...

Tag italia

Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...

Aprile ed i suoi attacchi di bile

Capita una piccola pausa di riflessione. Aprile è stato un mese strano. Fisicamente ho dovuto recuperare da un infortunio in allenamento ed assieme alla forma fisica se n’è andata anche...

Tag merito

Aprile ed i suoi attacchi di bile

Capita una piccola pausa di riflessione. Aprile è stato un mese strano. Fisicamente ho dovuto recuperare da un infortunio in allenamento ed assieme alla forma fisica se n’è andata anche...

Tag energia

Aprile ed i suoi attacchi di bile

Capita una piccola pausa di riflessione. Aprile è stato un mese strano. Fisicamente ho dovuto recuperare da un infortunio in allenamento ed assieme alla forma fisica se n’è andata anche...

Tag bittorrent

Forum di bittorrent compromesso: credenziali in pericolo

Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...

Tag forum

Forum di bittorrent compromesso: credenziali in pericolo

Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...

Tag attacco

32 Milioni di account twitter trafugati: ancora problemi con le credenziali

Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con questa dichiarazione.

Forum di bittorrent compromesso: credenziali in pericolo

Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...

Tag troy hunt

Forum di bittorrent compromesso: credenziali in pericolo

Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...

Tag tastiera

Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard

Quanti di noi, possessori di uno smartphone Android non rooted, investono il proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede quando vuole essere installata?

Tag spyware

Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard

Quanti di noi, possessori di uno smartphone Android non rooted, investono il proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede quando vuole essere installata?

Tag cina

Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard

Quanti di noi, possessori di uno smartphone Android non rooted, investono il proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede quando vuole essere installata?

Tag smartphone

Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard

Quanti di noi, possessori di uno smartphone Android non rooted, investono il proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede quando vuole essere installata?

Tag vulnerability assessmentent

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...

Tag dbms

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...

Tag improper error handling

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...

Tag misconfigured host

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...

Tag CVE

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...

Tag sistema operativo

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...

Tag server

Le 3 cose più brutte che si trovano dopo anni di vulnerability assessment

Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...

Estate di cambiamenti, parte 1

Come avrete potuto notare, è stato un inizio d’estate in sordina per il blog. Sono stato preso nell’organizzare i miei talk per l’autunno e da un paio di progetti collaterali....

Tag appsec pipe

3 cose che devi avere per partire con una application security pipeline

Non so se vi siete accorti che quella della sicurezza applicativa è una battaglia persa in partenza se continuiamo ad approcciarla come stiamo facendo negli ultimi anni.

Tag tools

3 cose che devi avere per partire con una application security pipeline

Non so se vi siete accorti che quella della sicurezza applicativa è una battaglia persa in partenza se continuiamo ad approcciarla come stiamo facendo negli ultimi anni.

Tag dawnscanner

Crea le tue API di telemetria con Ruby e Sinatra

Quando ho iniziato a riscrivere la versione 2.0 di dawnscanner, ho pensato di introdurre un meccanismo che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.

Ha senso veramente fare un'analisi statica?

Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.

Tool di code review e minority report

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...

Affrontare il rientro

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...

Tag rientro

Affrontare il rientro

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...

Tag vacanze

Affrontare il rientro

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...

Tag owasp orizon

Tool di code review e minority report

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...

Tag tool

Shellerate: un framework per generare shellcode

L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...

Tool di code review e minority report

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...

Tag minority report

Tool di code review e minority report

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...

Tag dinis cruz

Tool di code review e minority report

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...

Tag ricordi

Tool di code review e minority report

Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...

Tag comunità

Sono tutti open con il source degli altri

Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...

Tag impegno

Sono tutti open con il source degli altri

Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...

Tag volontariato

Sono tutti open con il source degli altri

Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...

Tag europa

Molto benissimo: il racconto del talk a ISACA Venice

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...

Tag venezia

Molto benissimo: il racconto del talk a ISACA Venice

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...

Tag ca' foscari

Molto benissimo: il racconto del talk a ISACA Venice

Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...

Tag skill shortage

Hey, sono io: Paolo! (e non sono un junior)

La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash

Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...

Tag cybersecurity

Di antivirus, etica e rischi pindarici

Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...

Nuova iniziativa: Cybercoach corner

Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...

Hack-back: machismo o necessità?

Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...

Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...

Tag remunerazioni

Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...

Tag skill

Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...

Tag ambizioni

Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...

Tag carriera

Lo skill shortage e l'olio di palma

Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...

Tag padrino

dawnscanner: la code review per ruby può parlare italiano?

Eccola qui la mia intervista rilasciata al sito Helpnet Security su dawnscanner.

Tag hanami

dawnscanner: la code review per ruby può parlare italiano?

Eccola qui la mia intervista rilasciata al sito Helpnet Security su dawnscanner.

Tag mvc

Crea le tue API di telemetria con Ruby e Sinatra

Quando ho iniziato a riscrivere la versione 2.0 di dawnscanner, ho pensato di introdurre un meccanismo che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.

dawnscanner: la code review per ruby può parlare italiano?

Eccola qui la mia intervista rilasciata al sito Helpnet Security su dawnscanner.

Tag dirty cow

Un venerdì di passione fuori stagione

Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...

Tag linux kernel

Un venerdì di passione fuori stagione

Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...

Tag dns

Un venerdì di passione fuori stagione

Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...

Tag malloc

Questione di malloc()

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...

Tag hackinbo

Write-up non serio di una CTF domenicale

Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...

Questione di malloc()

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...

Tag fun

Hey, sono io: Paolo! (e non sono un junior)

La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash

Questione di malloc()

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...

Tag buffer overflow

GCC, analisi statica e warning mancanti

Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima...

Questione di malloc()

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...

Tag memory leak

Questione di malloc()

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...

Tag command injection

Questione di malloc()

Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...

Tag codemotion

Racconti da codemotion

Venerdì, mentre vi ammazzavate di reload sulla pagina di Amazon per il black friday, ho fatto il mio ultimo talk, per il 2016, a Codemotion.

Tag bot

Racconti da codemotion

Venerdì, mentre vi ammazzavate di reload sulla pagina di Amazon per il black friday, ho fatto il mio ultimo talk, per il 2016, a Codemotion.

Tag go

Racconti da codemotion

Venerdì, mentre vi ammazzavate di reload sulla pagina di Amazon per il black friday, ho fatto il mio ultimo talk, per il 2016, a Codemotion.

Tag passione

Racconti da codemotion

Venerdì, mentre vi ammazzavate di reload sulla pagina di Amazon per il black friday, ho fatto il mio ultimo talk, per il 2016, a Codemotion.

Tag code obfuscation

Come offuscare un semplice shellcode - parte 1

Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....

Offuschiamo il bytecode Java per divertimento: prima parte

Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da disassemblare.

Tag bytecode

Offuschiamo il bytecode Java per divertimento: prima parte

Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da disassemblare.

Tag javassist

Offuschiamo il bytecode Java per divertimento: prima parte

Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da disassemblare.

Tag duemilasedici

Propositi e previsioni per la sicurezza applicativa nel 2017

Anche il 2017 è alle porte e, secondo la tradizione, facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche previsione sull’anno che verrà.

Tag eyepiramid

EyePiramid: il Grande Fratello è tra noi

Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio, che ha interessato buona parte della classe politica italiana.

Tag spear phishing

EyePiramid: il Grande Fratello è tra noi

Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio, che ha interessato buona parte della classe politica italiana.

Tag phretor

EyePiramid: il Grande Fratello è tra noi

Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio, che ha interessato buona parte della classe politica italiana.

Tag lk

EyePiramid: il Grande Fratello è tra noi

Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio, che ha interessato buona parte della classe politica italiana.

Tag introspezione

Erase and Rewind

Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che ora è il mio braccio armato.

Tag vita

Erase and Rewind

Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che ora è il mio braccio armato.

Tag bitcoin

Erase and Rewind

Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che ora è il mio braccio armato.

Tag ripartire

Erase and Rewind

Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che ora è il mio braccio armato.

Tag 40anni

Erase and Rewind

Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che ora è il mio braccio armato.

Tag evilcode

Decifrare semplici Javascript malevoli

Compromettere un sito, può essere una cosa semplice. Compromettere un sito basato su WordPress può essere una cosa molto semplice.

Tag entropia

Entropia, password e passphrase

Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...

Tag shannon

Entropia, password e passphrase

Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...

Tag complessità della password

Entropia, password e passphrase

Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...

Tag passphrase

Password vs Passphrase: la cracking challenge

Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?

Ecco come scegliere una password robusta

Oggi stavo scegliendo una playlist per il lavoro ed arrivo ad un video dal titolo molto bold: Come creare una password robusta.

Entropia, password e passphrase

Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...

Tag librerie

Vulnerabilità collaterali

Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...

Tag dipendenze

Vulnerabilità collaterali

Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...

Tag ctf

Write-up non serio di una CTF domenicale

Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...

Tag mentalist

Write-up non serio di una CTF domenicale

Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...

Tag hacktive security

Write-up non serio di una CTF domenicale

Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...

Tag paolo stagno

Write-up non serio di una CTF domenicale

Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...

Tag oscp

Getting root: symfonos: 5

Riprendono gli studi per OSCE e riparte anche la serie getting-root con symfonos: 5, una macchina pubblicata il mese scorso sul portale VulnHub.

Come offuscare un semplice shellcode - parte 1

Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....

Getting root: unknowndevice64: 1

nknowndevice64 è una macchina boot2root che su VulnHub viene descritta come di media difficoltà, forse per la parte che riguarda l’analisi steganografica di un’immagine.

Getting root: Brainpan 1

Brainpan 1 è stata la macchina più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame per l’OSCP.

Alcune lezioni dopo il secondo tentativo, riuscito, di certificarmi OSCP

Sono passati poco più di quattro mesi da questo post e molte cose sono cambiate e moltissime altre stanno per cambiare.

Getting Root: Railsgoat

Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....

Getting Root: Sedna

Dopo il terzo livello di Kioptrix ho alzato un attimo il tiro ed ho scaricato Sedna, una macchina preparata per il CTF di HackFest 2016.

Getting Root: Kioptrix livello 3

Siamo al terzo livello delle macchine della serie Kioptrix. Anche questa macchina non presenta difficoltà degne di nota e credo sarà l’ultima macchina semplice prima dell’OSCP.

Getting Root: Kioptrix livello 2

Il secondo livello di Kioptrix non presenta particolari difficoltà. Fa parte di quelle macchine che sto usando per ricostruire l’autostima in vista della prossima OSCP.

Getting Root: Kioptrix livello 1

Questa è la prima puntata di ‘Getting Root’, una serie di tutorial che mostrano come compromettere macchine preparate ad hoc, per testare la parte di sicurezza offensiva e prepararmi al...

Alcune lezioni dal primo tentativo fallito per l'OSCP

Sono passati alcuni mesi dall’ultimo post. E’ arrivato WannaCry, è arrivata Petya / NotPetya e i media generalisti hanno scoperto il malware e la sicurezza informatica.

Tag offensive security

Alcune lezioni dal primo tentativo fallito per l'OSWE

Come da tradizione, siamo al post dopo il primo fallimento per la certificazione OSWE. Era successo per OSCE e ancora prima per OSCP. Lo so, lo so… ci sono mille...

Quest'estate studiamo come si fa reverse di applicazioni Win32

L’estate per me è tempo di relax, di mare, di granite al limone e di studio.

Alcune lezioni dal primo tentativo fallito per l'OSCE

Nell’agosto di due anni fa scrivevo un post dopo il fallimento nel primo tentativo di certificazione per OSCP.

Nuove strade e Buon Natale

E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...

Alcune lezioni dopo il secondo tentativo, riuscito, di certificarmi OSCP

Sono passati poco più di quattro mesi da questo post e molte cose sono cambiate e moltissime altre stanno per cambiare.

Alcune lezioni dal primo tentativo fallito per l'OSCP

Sono passati alcuni mesi dall’ultimo post. E’ arrivato WannaCry, è arrivata Petya / NotPetya e i media generalisti hanno scoperto il malware e la sicurezza informatica.

Tag walkthrough

Getting root: Brainpan 1

Brainpan 1 è stata la macchina più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame per l’OSCP.

Getting Root: Railsgoat

Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....

Getting Root: Sedna

Dopo il terzo livello di Kioptrix ho alzato un attimo il tiro ed ho scaricato Sedna, una macchina preparata per il CTF di HackFest 2016.

Getting Root: Kioptrix livello 3

Siamo al terzo livello delle macchine della serie Kioptrix. Anche questa macchina non presenta difficoltà degne di nota e credo sarà l’ultima macchina semplice prima dell’OSCP.

Getting Root: Kioptrix livello 2

Il secondo livello di Kioptrix non presenta particolari difficoltà. Fa parte di quelle macchine che sto usando per ricostruire l’autostima in vista della prossima OSCP.

Getting Root: Kioptrix livello 1

Questa è la prima puntata di ‘Getting Root’, una serie di tutorial che mostrano come compromettere macchine preparate ad hoc, per testare la parte di sicurezza offensiva e prepararmi al...

Tag kioptrix

Getting Root: Kioptrix livello 3

Siamo al terzo livello delle macchine della serie Kioptrix. Anche questa macchina non presenta difficoltà degne di nota e credo sarà l’ultima macchina semplice prima dell’OSCP.

Getting Root: Kioptrix livello 2

Il secondo livello di Kioptrix non presenta particolari difficoltà. Fa parte di quelle macchine che sto usando per ricostruire l’autostima in vista della prossima OSCP.

Getting Root: Kioptrix livello 1

Questa è la prima puntata di ‘Getting Root’, una serie di tutorial che mostrano come compromettere macchine preparate ad hoc, per testare la parte di sicurezza offensiva e prepararmi al...

Tag getting-root

Getting root: Brainpan 1

Brainpan 1 è stata la macchina più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame per l’OSCP.

Getting Root: Railsgoat

Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....

Getting Root: Sedna

Dopo il terzo livello di Kioptrix ho alzato un attimo il tiro ed ho scaricato Sedna, una macchina preparata per il CTF di HackFest 2016.

Getting Root: Kioptrix livello 3

Siamo al terzo livello delle macchine della serie Kioptrix. Anche questa macchina non presenta difficoltà degne di nota e credo sarà l’ultima macchina semplice prima dell’OSCP.

Getting Root: Kioptrix livello 2

Il secondo livello di Kioptrix non presenta particolari difficoltà. Fa parte di quelle macchine che sto usando per ricostruire l’autostima in vista della prossima OSCP.

Getting Root: Kioptrix livello 1

Questa è la prima puntata di ‘Getting Root’, una serie di tutorial che mostrano come compromettere macchine preparate ad hoc, per testare la parte di sicurezza offensiva e prepararmi al...

Tag hackfest 2016

Getting Root: Sedna

Dopo il terzo livello di Kioptrix ho alzato un attimo il tiro ed ho scaricato Sedna, una macchina preparata per il CTF di HackFest 2016.

Tag pre sales

L'illusione di un mercato che non c'è... ancora

A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...

Tag cybsersecurity

L'illusione di un mercato che non c'è... ancora

A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...

Tag owasp-bwap

Getting Root: Railsgoat

Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....

Tag osce

Cosa ho imparato dopo aver superato l'esame per OSCE

Era aprile dell’anno scorso e fallivo il primo tentativo per prendere la certificazione OSCE.

Getting root: symfonos: 5

Riprendono gli studi per OSCE e riparte anche la serie getting-root con symfonos: 5, una macchina pubblicata il mese scorso sul portale VulnHub.

Alcune lezioni dal primo tentativo fallito per l'OSCE

Nell’agosto di due anni fa scrivevo un post dopo il fallimento nel primo tentativo di certificazione per OSCP.

Nuove strade e Buon Natale

E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...

IOLI Crackme 0x00

Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...

Tag binary exploitation

IOLI Crackme 0x00

Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...

Tag crackme

IOLI Crackme 0x00

Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...

Tag ioli

IOLI Crackme 0x00

Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...

Tag radare

IOLI Crackme 0x00

Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...

Tag binary patching

IOLI Crackme 0x00

Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...

Tag vulnhub

Getting root: symfonos: 5

Riprendono gli studi per OSCE e riparte anche la serie getting-root con symfonos: 5, una macchina pubblicata il mese scorso sul portale VulnHub.

Getting root: unknowndevice64: 1

nknowndevice64 è una macchina boot2root che su VulnHub viene descritta come di media difficoltà, forse per la parte che riguarda l’analisi steganografica di un’immagine.

Getting root: Brainpan 1

Brainpan 1 è stata la macchina più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame per l’OSCP.

Tag brainpan

Getting root: Brainpan 1

Brainpan 1 è stata la macchina più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame per l’OSCP.

Tag write-up

Getting root: Brainpan 1

Brainpan 1 è stata la macchina più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame per l’OSCP.

Tag va

Come fare un vulnerability assessment con nmap: parte due

Tre anni fa scrivevo di come nmap potesse essere utilizzato come strumento di vulnerability assessment utilizzando il plugin vulscan.

Tag nse

Come fare un vulnerability assessment con nmap: parte due

Tre anni fa scrivevo di come nmap potesse essere utilizzato come strumento di vulnerability assessment utilizzando il plugin vulscan.

Tag feud

Hack-back: machismo o necessità?

Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...

Tag natale

Nuove strade e Buon Natale

E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...

Tag ctp

Nuove strade e Buon Natale

E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...

Tag shellcode

Come offuscare un semplice shellcode - parte 1

Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....

Shellerate: un framework per generare shellcode

L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...

Tag slae

Shellerate: un framework per generare shellcode

L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...

Tag polimorfismo

Shellerate: un framework per generare shellcode

L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...

Tag x86

Shellerate: un framework per generare shellcode

L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...

Tag scrittura

L'alba di un nuovo giorno

A volte cerchi un posto dove stare solo tra i solchi di bit. A volte quel posto lo hai creato tu qualche anno prima ma ne ignoravi l’esistenza.

Tag linguaggio

L'awareness fatto finora ha fallito

Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...

Tag chiacchiere da bar

Se produci software, il problema delle licenze terze è anche tuo

Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...

L'awareness fatto finora ha fallito

Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...

Tag chicchi

Ecco come scegliere una password robusta

Oggi stavo scegliendo una playlist per il lavoro ed arrivo ad un video dal titolo molto bold: Come creare una password robusta.

Tag offensive

Le mie wordlist preferite

Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...

Getting root: symfonos: 5

Riprendono gli studi per OSCE e riparte anche la serie getting-root con symfonos: 5, una macchina pubblicata il mese scorso sul portale VulnHub.

Diamo un'occhiata a msf-egghunter

Lo scorso febbraio, su The Armored Code ho scritto un post che parlava di msf-egghunter, lo strumento distribuito insieme a Metasploit per scrivere un egg hunter.

Getting root: unknowndevice64: 1

nknowndevice64 è una macchina boot2root che su VulnHub viene descritta come di media difficoltà, forse per la parte che riguarda l’analisi steganografica di un’immagine.

Tag boot2root

Getting root: symfonos: 5

Riprendono gli studi per OSCE e riparte anche la serie getting-root con symfonos: 5, una macchina pubblicata il mese scorso sul portale VulnHub.

Getting root: unknowndevice64: 1

nknowndevice64 è una macchina boot2root che su VulnHub viene descritta come di media difficoltà, forse per la parte che riguarda l’analisi steganografica di un’immagine.

Tag patch management

Patch ordinario e patch straordinario

Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non ci stiamo dotando di un processo strutturato.

Cosa ho imparato costruendo processi di patch management

Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...

Tag nessus

Patch ordinario e patch straordinario

Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non ci stiamo dotando di un processo strutturato.

Cosa ho imparato costruendo processi di patch management

Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...

Tag vita da security manager

Patch ordinario e patch straordinario

Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non ci stiamo dotando di un processo strutturato.

Cosa ho imparato costruendo processi di patch management

Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...

Tag activerecord

Crea le tue API di telemetria con Ruby e Sinatra

Quando ho iniziato a riscrivere la versione 2.0 di dawnscanner, ho pensato di introdurre un meccanismo che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.

Tag licenze

Se produci software, il problema delle licenze terze è anche tuo

Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...

Tag aws

Se produci software, il problema delle licenze terze è anche tuo

Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...

Tag software

Se produci software, il problema delle licenze terze è anche tuo

Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...

Tag certificazione

Cosa ho imparato dopo aver superato l'esame per OSCE

Era aprile dell’anno scorso e fallivo il primo tentativo per prendere la certificazione OSCE.

Quest'estate studiamo come si fa reverse di applicazioni Win32

L’estate per me è tempo di relax, di mare, di granite al limone e di studio.

Tag pentester academy

Quest'estate studiamo come si fa reverse di applicazioni Win32

L’estate per me è tempo di relax, di mare, di granite al limone e di studio.

Tag reversing

Quest'estate studiamo come si fa reverse di applicazioni Win32

L’estate per me è tempo di relax, di mare, di granite al limone e di studio.

Tag win32

Quest'estate studiamo come si fa reverse di applicazioni Win32

L’estate per me è tempo di relax, di mare, di granite al limone e di studio.

Tag egghunter

Diamo un'occhiata a msf-egghunter

Lo scorso febbraio, su The Armored Code ho scritto un post che parlava di msf-egghunter, lo strumento distribuito insieme a Metasploit per scrivere un egg hunter.

Tag payload

Diamo un'occhiata a msf-egghunter

Lo scorso febbraio, su The Armored Code ho scritto un post che parlava di msf-egghunter, lo strumento distribuito insieme a Metasploit per scrivere un egg hunter.

Tag assembly

Diamo un'occhiata a msf-egghunter

Lo scorso febbraio, su The Armored Code ho scritto un post che parlava di msf-egghunter, lo strumento distribuito insieme a Metasploit per scrivere un egg hunter.

Tag basic insicuri

Basic Insicuri: Creare uno template per i vostri exploit in GNOME

Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.

Tag gnome

Basic Insicuri: Creare uno template per i vostri exploit in GNOME

Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.

Tag templates

Basic Insicuri: Creare uno template per i vostri exploit in GNOME

Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.

Tag riflessioni

Etica-mentre

La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...

Tag self brand

Etica-mentre

La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...

Tag ama

Sessione AMA il prossimo 6 settembre

Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale Reddit ItalyInformatica.

Tag saiberinfluenser

Sessione AMA il prossimo 6 settembre

Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale Reddit ItalyInformatica.

Tag domande e risposte

Sessione AMA il prossimo 6 settembre

Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale Reddit ItalyInformatica.

Tag exploit development

Come offuscare un semplice shellcode - parte 1

Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....

Tag microsoft

open vs close: qual è il software più sicuro?

Una settimana fa su LinkedIN, chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.

Dentro al Microsoft Patching Tuesday: Luglio 2021

Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching Tuesday di Microsoft riprende da questo mese con i dati di luglio.

Dentro al Microsoft Patching Tuesday: Gennaio 2020

Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il primo bollettino Microsoft rilasciato il 14 gennaio.

Dentro al Microsoft Patching Tuesday: Dicembre 2019

Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.

Dentro al Microsoft Patching Tuesday: Ottobre 2019

Eccoci qui, circa una settimana fa Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.

Dentro al Microsoft Patching Tuesday: Settembre 2019

Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....

Tag cve

Il mio primo anno in SUSE

Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio che ho affittato vicino Milano per avere un po’ più di privacy e concentrazione.

Dentro al Microsoft Patching Tuesday: Luglio 2021

Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching Tuesday di Microsoft riprende da questo mese con i dati di luglio.

Dentro al Microsoft Patching Tuesday: Gennaio 2020

Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il primo bollettino Microsoft rilasciato il 14 gennaio.

Dentro al Microsoft Patching Tuesday: Dicembre 2019

Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.

Dentro al Microsoft Patching Tuesday: Ottobre 2019

Eccoci qui, circa una settimana fa Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.

Dentro al Microsoft Patching Tuesday: Settembre 2019

Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....

Tag buoni propositi

2022: l'anno che verrà

Tra un anno, questo 2022 iniziato da una settimana sarà in archivio. La speranza è che porti con sé tante cose nuove e tanti progetti interessanti e meno cose procrastinate....

Buona fine e buon inizio

Tra poche ore il 2019 ci saluterà e con esso un lustro ed un decennio che hanno visto esplodere la moda della sicurezza informatica.

Tag storie cyber

Buona fine e buon inizio

Tra poche ore il 2019 ci saluterà e con esso un lustro ed un decennio che hanno visto esplodere la moda della sicurezza informatica.

Tag defensive security

La code review è ancora sexy?

Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...

Tag blue team

La code review è ancora sexy?

Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...

Tag software assurance

La code review è ancora sexy?

Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...

Tag compliance

La code review è ancora sexy?

Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...

Tag vpn

La cyber ai tempi del SARS-CoV-2

Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...

Tag consigli

La cyber ai tempi del SARS-CoV-2

Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...

Tag quarantena

La cyber ai tempi del SARS-CoV-2

Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...

Tag security posture

La cyber ai tempi del SARS-CoV-2

Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...

Tag smartworking

La cyber ai tempi del SARS-CoV-2

Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...

Tag recruiting

Hey, sono io: Paolo! (e non sono un junior)

La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash

Tag hr

Hey, sono io: Paolo! (e non sono un junior)

La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash

Tag cose italiane

Hey, sono io: Paolo! (e non sono un junior)

La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash

Tag chiavi private

Generare una chiave RSA che funzioni con Nexpose

Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...

Tag sicurezza offensiva

Cosa ho imparato dopo aver superato l'esame per OSCE

Era aprile dell’anno scorso e fallivo il primo tentativo per prendere la certificazione OSCE.

Tag sviluppo exploit

Cosa ho imparato dopo aver superato l'esame per OSCE

Era aprile dell’anno scorso e fallivo il primo tentativo per prendere la certificazione OSCE.

Tag wordlist

Le mie wordlist preferite

Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...

Tag fuzz

Le mie wordlist preferite

Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...

Tag quicktip

Le mie wordlist preferite

Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...

Tag data leak

Ho, Snaitech e quella sensibilità che ancora manca

Snaitech e l’operatore mobile Ho. sono state le ultime vittime in ordine di tempo di attacchi informatici o comunque di fughe di dati.

Tag data breach

Ho, Snaitech e quella sensibilità che ancora manca

Snaitech e l’operatore mobile Ho. sono state le ultime vittime in ordine di tempo di attacchi informatici o comunque di fughe di dati.

Tag investimenti

Ho, Snaitech e quella sensibilità che ancora manca

Snaitech e l’operatore mobile Ho. sono state le ultime vittime in ordine di tempo di attacchi informatici o comunque di fughe di dati.

Tag serietà

Ho, Snaitech e quella sensibilità che ancora manca

Snaitech e l’operatore mobile Ho. sono state le ultime vittime in ordine di tempo di attacchi informatici o comunque di fughe di dati.

Tag blueteam

Ho, Snaitech e quella sensibilità che ancora manca

Snaitech e l’operatore mobile Ho. sono state le ultime vittime in ordine di tempo di attacchi informatici o comunque di fughe di dati.

Tag redteam

Ho, Snaitech e quella sensibilità che ancora manca

Snaitech e l’operatore mobile Ho. sono state le ultime vittime in ordine di tempo di attacchi informatici o comunque di fughe di dati.

Tag nuova vita

5 mesi intensi e cambi di rotte

Cinque mesi fa scrivevo di come volessi fare una svolta al mio 2021. Il tweet originale aveva un riferimento ad un punto 1 che riguardava il rimediare ad una situazione...

Tag oswe

Alcune lezioni dal primo tentativo fallito per l'OSWE

Come da tradizione, siamo al post dopo il primo fallimento per la certificazione OSWE. Era successo per OSCE e ancora prima per OSCP. Lo so, lo so… ci sono mille...

Tag opensuse

Biometria, openSUSE Leap e Lenovo Thinkpad: rivolviamo i problemi

Ho un portatile Thinkpad Lenovo come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE Leap.

Tag fprintd

Biometria, openSUSE Leap e Lenovo Thinkpad: rivolviamo i problemi

Ho un portatile Thinkpad Lenovo come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE Leap.

Tag setup

Biometria, openSUSE Leap e Lenovo Thinkpad: rivolviamo i problemi

Ho un portatile Thinkpad Lenovo come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE Leap.

Tag closedsource

open vs close: qual è il software più sicuro?

Una settimana fa su LinkedIN, chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.

Tag open

open vs close: qual è il software più sicuro?

Una settimana fa su LinkedIN, chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.

Tag close

open vs close: qual è il software più sicuro?

Una settimana fa su LinkedIN, chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.

Tag mentor

Nuova iniziativa: Cybercoach corner

Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...

Tag mentorship

Nuova iniziativa: Cybercoach corner

Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...

Tag call

Nuova iniziativa: Cybercoach corner

Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...

Tag condividere

Nuova iniziativa: Cybercoach corner

Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...

Tag log4j

log4shell: la catastrofe informatica corre sui log

Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza gratificante. Ok, smettiamola, torniamo seri.

Tag librerie di terze parti

log4shell: la catastrofe informatica corre sui log

Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza gratificante. Ok, smettiamola, torniamo seri.

Tag governance

log4shell: la catastrofe informatica corre sui log

Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza gratificante. Ok, smettiamola, torniamo seri.

Tag log4shell

log4shell: la catastrofe informatica corre sui log

Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza gratificante. Ok, smettiamola, torniamo seri.

Tag cve-2021-44228

log4shell: la catastrofe informatica corre sui log

Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza gratificante. Ok, smettiamola, torniamo seri.

Tag nuovi progetti

2022: l'anno che verrà

Tra un anno, questo 2022 iniziato da una settimana sarà in archivio. La speranza è che porti con sé tante cose nuove e tanti progetti interessanti e meno cose procrastinate....

Tag vecchi difettii

2022: l'anno che verrà

Tra un anno, questo 2022 iniziato da una settimana sarà in archivio. La speranza è che porti con sé tante cose nuove e tanti progetti interessanti e meno cose procrastinate....

Tag 2022

2022: l'anno che verrà

Tra un anno, questo 2022 iniziato da una settimana sarà in archivio. La speranza è che porti con sé tante cose nuove e tanti progetti interessanti e meno cose procrastinate....

Tag suse

Cosa fa un security engineer in SUSE?

Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...

Il mio primo anno in SUSE

Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio che ho affittato vicino Milano per avere un po’ più di privacy e concentrazione.

Tag antivirus

Di antivirus, etica e rischi pindarici

Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...

Tag pubblica amministrazione

Di antivirus, etica e rischi pindarici

Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...

Tag russia

Di antivirus, etica e rischi pindarici

Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...

Tag saiberinfluensing

Di antivirus, etica e rischi pindarici

Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...

Tag ucraina

Di antivirus, etica e rischi pindarici

Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...

Tag libcheck

Facciamo behavior-driven development con il C

Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...

Tag testing

Facciamo behavior-driven development con il C

Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...

Tag clamav

E se la soluzione al problema dell’antivirus fosse avere il codice open?

Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.

Tag kaspersky

E se la soluzione al problema dell’antivirus fosse avere il codice open?

Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.

Tag complessità

Non mettete regole troppo complesse alle vostre password

Perché non usare una frase al posto di una password? Lasciamoci alle spalle regole di complessità obsolete e abbracciamo l'usabilità con un occhio di riguardo alla sicurezza.

Tag gdpr

Password vs Passphrase: la cracking challenge

Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?

Non mettete regole troppo complesse alle vostre password

Perché non usare una frase al posto di una password? Lasciamoci alle spalle regole di complessità obsolete e abbracciamo l'usabilità con un occhio di riguardo alla sicurezza.

Tag password cracking

Password vs Passphrase: la cracking challenge

Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?

Tag analisi statica

GCC, analisi statica e warning mancanti

Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima...

Tag gcc

GCC, analisi statica e warning mancanti

Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima...