Tag heartbleed
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag cve-2014-0160
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag vulnerabilità
Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Quattro giorni fa è passata nella mailing list
ruby-security-ann
la segnalazione di una vulnerabilità corretta in
rubygems più di un mese fa.
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag ssl
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag openssl
Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag opensource
Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...
La community deve essere una parte attiva nel ciclo di vita di un progetto opensource e tu che stai leggendo questo post, devi fare qualcosa nel tuo piccolo. Inizia anche...
Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Tre anni
fa scrivevo
di come nmap potesse essere utilizzato come strumento di
vulnerability assessment utilizzando il plugin
vulscan.
Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...
Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.
Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...
Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...
Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...
Diciamolo subito, se il nostro scopo è quello di implementare un processo di Vulnerability Management e ci serve tenere sotto scansione centinaia o migliaia di server organizzati per produzione, test...
Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag simple-life
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag chiacchiere-da-pub
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag exploit
Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching
Tuesday di Microsoft riprende da questo mese con i dati di luglio.
Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il
primo bollettino Microsoft rilasciato il 14 gennaio.
Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.
Eccoci qui, circa una settimana
fa
Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.
Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....
Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....
Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le
stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.
Lo scorso febbraio, su The Armored
Code ho scritto
un post che parlava di msf-egghunter, lo strumento distribuito insieme a
Metasploit per scrivere un egg hunter.
Oggi, sono stato alla prima tappa del Check Point security tour 2015, un
evento organizzato da Check Point per parlare di
prodotti, vision, casi di studio.
L’altro ieri era il
martedì delle patch di security in Microsoft e come ogni mese sono usciti
bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.
Premesse e piccoli aggiornamenti
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Tag awareness
Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...
Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...
Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...
Quando ho risposto al call for paper per il RubyDay
ho voluto che il mio intervento avesse un titolo interessante. “Almeno il
titolo”, mi sono detto.
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
Nelle grandi società, in campo IT siamo indietro almeno di una decade (in media). Poi ci sono soggetti che per la loro forma mentis sono ancora fermi ancora a come...
L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...
Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la
seguente:
Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito...
Tag superficie d'attacco
Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito...
Tag codice
Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito...
Tag os-x
Quello che non conosci potrebbe ucciderti
Tag apple
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Quello che non conosci potrebbe ucciderti
Quello che non conosci potrebbe ucciderti
Tag snprintf
Quello che non conosci potrebbe ucciderti
Tag anni 90
Quello che non conosci potrebbe ucciderti
Tag mavericks
Quello che non conosci potrebbe ucciderti
Tag safari
Quello che non conosci potrebbe ucciderti
Tag cve-2014-1315
Quello che non conosci potrebbe ucciderti
Tag sicurezza
In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag banfa
Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio,
che ha interessato buona parte della classe politica italiana.
Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...
Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè
per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei
siti dell’Expo 2015.
L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag interviste
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag carrier
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag ddos
Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag sicurezza perimetrale
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag chiacchiere
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag sha7
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag daje
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag owasp
Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag owasp italy
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag owasp day
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag h4f
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag snmp
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag ruby
Quando ho iniziato a riscrivere la versione 2.0 di
dawnscanner, ho pensato di introdurre un meccanismo
che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...
Nexpose è un prodotto commerciale
per il vulnerability management, sviluppato da
Rapid7, gli stessi dietro a Metasploit tanto per
intenderci.
Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica
ma all’italiano piace essere in mezzo alle discussioni.
L’attacco ad Hacking
Team ha
lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non
addetti ai lavori.
Quattro giorni fa è passata nella mailing list
ruby-security-ann
la segnalazione di una vulnerabilità corretta in
rubygems più di un mese fa.
Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...
Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...
Facendo penetration test
applicativi da un
po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla
maschera di login.
Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag nmap
Tre anni
fa scrivevo
di come nmap potesse essere utilizzato come strumento di
vulnerability assessment utilizzando il plugin
vulscan.
Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è...
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
Diciamolo subito, se il nostro scopo è quello di implementare un processo di Vulnerability Management e ci serve tenere sotto scansione centinaia o migliaia di server organizzati per produzione, test...
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag port scan
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag owasp esapi
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Tag java
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è
semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da
disassemblare.
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Tag numero casuale
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Tag pseudorandom
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Tag choosy
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag meditazione
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag sangue di giuda
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag senior
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag junior
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag mettersi in gioco
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag imparare
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag blog
A volte cerchi un posto dove stare solo tra i solchi di bit. A volte quel posto
lo hai creato tu qualche anno prima ma ne ignoravi l’esistenza.
Come avrete potuto notare, è stato un inizio d’estate in sordina per il blog. Sono stato preso nell’organizzare i miei talk per l’autunno e da un paio di progetti collaterali....
2 anni fa nasceva il progetto Codice Insicuro. Partivamo
sull’onda della vulnerabilità
heartbleed e da
lì abbiamo collezionato 97 post, poco meno di un post a settimana.
Sono passati quasi due anni dal primo
post in piena
emergenza HeartBleed ed è tempo di cambiare qualcosa.
E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette...
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Premesse e piccoli aggiornamenti
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella
giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con
questa dichiarazione.
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag antani
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag startup
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag briatore
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag pizzeria
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag kebab
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag job posting
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag crisi
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag stipendio
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag qualità
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag codice insicuro
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag post
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag categorie
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag sicurina
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag pick'n'chich
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag doctor is in
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag angolo del libro
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag amazon
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag code review
Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...
Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...
Come da tradizione, siamo al post dopo il primo fallimento per la certificazione OSWE. Era successo per OSCE e ancora prima per OSCP. Lo so, lo so… ci sono mille...
Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...
Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...
Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...
L’attacco ad Hacking
Team ha
lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non
addetti ai lavori.
Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare...
Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa,...
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag svn
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag metriche
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag complessità ciclomatica
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag automatismi
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag linee guida
Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la
seguente:
Tag test
Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la
seguente:
Tag documentazione
Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la
seguente:
Tag bcrypt
Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...
Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...
Facendo penetration test
applicativi da un
po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla
maschera di login.
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
Tag sha512
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
Tag sha256
Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
Tag password
Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?
Perché non usare una frase al posto di una password? Lasciamoci alle spalle regole di complessità obsolete e abbracciamo l'usabilità con un occhio di riguardo alla sicurezza.
Oggi stavo scegliendo una playlist per il lavoro ed arrivo ad un video dal
titolo molto bold: Come creare una password robusta.
Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...
Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella
giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con
questa dichiarazione.
2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...
Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag csp
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag hsts
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag x-frame
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag x-xss
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag x-content-type
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag CVE-2014-4671
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag miki
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag jsonp
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag callback
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag encoding
L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag swf
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag flash
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag ruby on rails
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag bloglovin
Bloglovin, è una directory di blog dove puoi trovare un sacco di cose. Per aumentare un po’ di traction ho deciso di iscrivere CodiceInsicuro anche qui. Quindi, da oggi puoi...
Tag traction
Bloglovin, è una directory di blog dove puoi trovare un sacco di cose. Per aumentare un po’ di traction ho deciso di iscrivere CodiceInsicuro anche qui. Quindi, da oggi puoi...
Tag ASAP
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag release early release often
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag big corporate
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag subito
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag produzione
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag bug
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag dilbert
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag cubicolo
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag ssdl
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag sviluppo sicuro
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag sviluppo
Venerdì, mentre vi ammazzavate di reload sulla pagina di
Amazon per il black friday, ho fatto il mio ultimo
talk, per il 2016, a Codemotion.
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag processo
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag programmatore
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag team
Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante
ti salta alla gola, ignorando appunto, il significato della parola a loro
appena rivolta.
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag codice sicuro
Sono passati quasi due anni dal primo
post in piena
emergenza HeartBleed ed è tempo di cambiare qualcosa.
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag pensieri
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag estate
La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette...
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag settembre
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag progetti
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag voglia di fare
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag conferenze
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Tag itaGLia
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Tag sviluppatori
Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...
Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante
ti salta alla gola, ignorando appunto, il significato della parola a loro
appena rivolta.
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Tag off-topic
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Tag asap
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag owasp core ruleset
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag waf
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag mod_security
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag apache
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag nginx
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag hardening
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag linux
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Ho un portatile Thinkpad
Lenovo
come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE
Leap.
Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...
Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag unix
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag patch
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag security advisories
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag security management
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag xss
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag filtro
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag caratteri illegati
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag confindustria
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag ibm
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag bash
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag shellshock
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-6271
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-6277
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-7169
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-7186
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-7187
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag automatizzare
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Tag application security
A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...
Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Tag expect
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Tag billOfRights
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag legge
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag boldrini
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag carta dei diritti
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag privacy
Dei Digital Champions ho un’opinione molto netta riassunto in questo post dove si parlava dei due presunti Anon, membri dell’associazione Digital Champions che fa capo alla figura istituzionale del Digital...
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag diritto all'oblio
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag neutralità della rete
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag man in the middle
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag cve-2014-3566
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag tls
Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura
avrebbe garantito, tra l’altro, la riservatezza del dato in transito.
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag google
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag sslv3
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag beast
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag poodlebleed
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag poodlebleed.com
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag ciphersurfer
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag c
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima...
Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Tag bad programming habits
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Tag variabili globali
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Tag codice non mantenuto
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Tag wordpress
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Premesse e piccoli aggiornamenti
Tag wordstress
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Premesse e piccoli aggiornamenti
Tag dos
Premesse e piccoli aggiornamenti
Tag CVE-2014-9034
Premesse e piccoli aggiornamenti
Tag malware
Introduzione
Ciao caro lettore. Ero come al solito in ritardo nella creazione di questo
numero della newsletter di cybersecurity più aperiodica dell’universo, quando
Internet si è rotta ancora.
Compromettere un sito, può essere una cosa semplice. Compromettere un sito
basato su WordPress può essere una cosa molto
semplice.
Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio,
che ha interessato buona parte della classe politica italiana.
Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato,
delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...
Oggi, sono stato alla prima tappa del Check Point security tour 2015, un
evento organizzato da Check Point per parlare di
prodotti, vision, casi di studio.
Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...
Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456.
Tag phishing
Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456.
Tag allegati da non aprire mai
Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456.
Tag recensione
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag cloud
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag cloud computing
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag frisco
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag hacker
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag romanzo
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag disastro
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag quotare il proprio lavoro
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag lavoro
Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio
che ho affittato vicino Milano per avere un po’ più di privacy e
concentrazione.
A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...
Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag penetration test
Sono passati poco più di quattro mesi da questo
post e
molte cose sono cambiate e moltissime altre stanno per cambiare.
Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Questo post non è rivolto a chi è nel campo della sicurezza applicativa. Magari se sei un pre sales dacci comunque una lettura, se ne sentono troppe di bestiate in...
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag pentest
Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...
Nell’agosto di due anni fa scrivevo un
post
dopo il fallimento nel primo tentativo di certificazione per OSCP.
Sono passati alcuni mesi dall’ultimo post. E’ arrivato
WannaCry, è arrivata Petya /
NotPetya
e i media generalisti hanno scoperto il malware e la sicurezza informatica.
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag cliente
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag committente
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag scimmiette
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag propositi
Anche il 2017 è alle porte e, secondo la
tradizione,
facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche
previsione sull’anno che verrà.
Manca poco ormai alla fine del 2015 e, come l’anno
scorso,
è arrivato il momento di fare qualche bilancio sull’anno passato e qualche
previsione su quello che verrà.
Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...
Tag anno nuovo
Anche il 2017 è alle porte e, secondo la
tradizione,
facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche
previsione sull’anno che verrà.
Manca poco ormai alla fine del 2015 e, come l’anno
scorso,
è arrivato il momento di fare qualche bilancio sull’anno passato e qualche
previsione su quello che verrà.
Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...
Tag sicurezza applicativa
Anche il 2017 è alle porte e, secondo la
tradizione,
facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche
previsione sull’anno che verrà.
Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato,
delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.
Manca poco ormai alla fine del 2015 e, come l’anno
scorso,
è arrivato il momento di fare qualche bilancio sull’anno passato e qualche
previsione su quello che verrà.
Quando ho risposto al call for paper per il RubyDay
ho voluto che il mio intervento avesse un titolo interessante. “Almeno il
titolo”, mi sono detto.
Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...
Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di
essere al timone dell’Arcadia, la nave di Capitan Harlock.
Nelle grandi società, in campo IT siamo indietro almeno di una decade (in media). Poi ci sono soggetti che per la loro forma mentis sono ancora fermi ancora a come...
L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...
Tag previsioni
Anche il 2017 è alle porte e, secondo la
tradizione,
facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche
previsione sull’anno che verrà.
Manca poco ormai alla fine del 2015 e, come l’anno
scorso,
è arrivato il momento di fare qualche bilancio sull’anno passato e qualche
previsione su quello che verrà.
Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...
Tag duemilaquindici
Manca poco ormai alla fine del 2015 e, come l’anno
scorso,
è arrivato il momento di fare qualche bilancio sull’anno passato e qualche
previsione su quello che verrà.
Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati,...
Tag disclosure
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Tag libertà
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Tag censura
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Tag responsabilità
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Tag flussi aziendali
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Tag hacking
Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio
che ho affittato vicino Milano per avere un po’ più di privacy e
concentrazione.
Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Ho appena finito di vedere la decima ed ultima puntata di Mr.Robot, la serie TV su hacking e società di cui tutti al di là dell’oceano stanno parlando, per ora...
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Tag metropolitana
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Tag responsible disclosure
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Tag php
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare...
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Tag cve-2015-1383
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Tag owasp italia
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Tag talk
Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...
Venerdì, mentre vi ammazzavate di reload sulla pagina di
Amazon per il black friday, ho fatto il mio ultimo
talk, per il 2016, a Codemotion.
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
Quando ho risposto al call for paper per il RubyDay
ho voluto che il mio intervento avesse un titolo interessante. “Almeno il
titolo”, mi sono detto.
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Tag fill the gap
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Tag wapt
Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...
Questo post non è rivolto a chi è nel campo della sicurezza applicativa. Magari se sei un pre sales dacci comunque una lettura, se ne sentono troppe di bestiate in...
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Tag whitebox
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Tag plugin
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Tag temi
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Tag sast
Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.
Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa,...
Tag findbugs
Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa,...
Tag /dev/brain
Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa,...
Tag ldap
Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...
Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...
Facendo penetration test
applicativi da un
po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla
maschera di login.
Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...
Tag active directory
Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...
Tag password policy
Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...
Tag owasp top 10
Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare...
Tag life
Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare...
Tag marketing
La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...
Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...
Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...
Tag rischi
Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...
Tag attacchi
Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...
Tag probabilità di accadimento
Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...
Tag cavalieri di sventura
Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...
Tag sinatra
Quando ho iniziato a riscrivere la versione 2.0 di
dawnscanner, ho pensato di introdurre un meccanismo
che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...
Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...
Facendo penetration test
applicativi da un
po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla
maschera di login.
Tag warden
Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...
Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...
Facendo penetration test
applicativi da un
po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla
maschera di login.
Tag web app
Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...
Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...
Facendo penetration test
applicativi da un
po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla
maschera di login.
Tag talk_rd2015
Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...
Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...
Facendo penetration test
applicativi da un
po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla
maschera di login.
Tag iis
L’altro ieri era il
martedì delle patch di security in Microsoft e come ogni mese sono usciti
bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.
Tag patching tuesday
Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching
Tuesday di Microsoft riprende da questo mese con i dati di luglio.
Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il
primo bollettino Microsoft rilasciato il 14 gennaio.
Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.
Eccoci qui, circa una settimana
fa
Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.
Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....
L’altro ieri era il
martedì delle patch di security in Microsoft e come ogni mese sono usciti
bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.
Tag denial of service
L’altro ieri era il
martedì delle patch di security in Microsoft e come ogni mese sono usciti
bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.
Tag http
Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica
ma all’italiano piace essere in mezzo alle discussioni.
L’altro ieri era il
martedì delle patch di security in Microsoft e come ogni mese sono usciti
bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.
Tag ms15-034
L’altro ieri era il
martedì delle patch di security in Microsoft e come ogni mese sono usciti
bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.
Tag cve-2015-1635
L’altro ieri era il
martedì delle patch di security in Microsoft e come ogni mese sono usciti
bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.
Tag iot
Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...
L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...
Tag cross site scripting
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Tag project management
Snaitech
e l’operatore mobile
Ho. sono
state le ultime vittime in ordine di tempo di attacchi informatici o comunque
di fughe di dati.
Nelle grandi società, in campo IT siamo indietro almeno di una decade (in media). Poi ci sono soggetti che per la loro forma mentis sono ancora fermi ancora a come...
Tag gantt
Nelle grandi società, in campo IT siamo indietro almeno di una decade (in media). Poi ci sono soggetti che per la loro forma mentis sono ancora fermi ancora a come...
Tag jolly roger
Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di
essere al timone dell’Arcadia, la nave di Capitan Harlock.
Tag arcadia
Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di
essere al timone dell’Arcadia, la nave di Capitan Harlock.
Tag no banfa
Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di
essere al timone dell’Arcadia, la nave di Capitan Harlock.
Tag no code no party
Alzi la mano chi, a cavallo degli anni 80, non ha sognato almeno una volta di
essere al timone dell’Arcadia, la nave di Capitan Harlock.
Tag stand by wordpress
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
Tag ecommerce
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
Tag woocommerce
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
Tag automattic
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
Tag internet
Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
Tag anonymous
Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...
Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè
per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei
siti dell’Expo 2015.
Tag digital champions
Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè
per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei
siti dell’Expo 2015.
Tag PA
Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè
per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei
siti dell’Expo 2015.
Tag expo
Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè
per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei
siti dell’Expo 2015.
Tag siti governativi
Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè
per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei
siti dell’Expo 2015.
Tag password in chiaro
Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè
per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei
siti dell’Expo 2015.
Tag codice sorgente
E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...
Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...
Tag android
Quanti di noi, possessori di uno smartphone Android non rooted, investono il
proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede
quando vuole essere installata?
Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...
Tag apk
Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...
Tag classes.dex
Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...
Tag dalvik
Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...
Tag jvm
Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...
Tag virtual machine
Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...
Tag etica
La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...
Tag baruffe chioggiotte
Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...
Tag compilo il kernel = sono figo
Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...
Tag sicurezza cibernetica
Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...
Tag nuovi modi di fare business
Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...
Tag ict security
Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...
Tag cyber war
Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...
Tag cyber warefare
Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...
Tag cyber sha7
Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...
Tag cyber parco
Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...
In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...
2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...
Tag password manager
2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...
Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...
2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...
Tag consulente splendente
Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...
Tag digital agency
Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...
Tag agenzia digitale
Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...
Tag pubblicità
Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...
Tag server di test
Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...
Tag ignoranti digitali
Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...
Tag social
Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre
sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale
Reddit ItalyInformatica.
Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...
Tag yo yo
Sito pubblicitario. Gli utenti riempiono la form, lasciano i loro dati, partecipano ad una riffa ed intanto entrano nelle meccaniche di ingaggio pubblicitario. Dobbiamo testare quel sito, lo buchiamo e...
Tag cve-2015-3900
Quattro giorni fa è passata nella mailing list
ruby-security-ann
la segnalazione di una vulnerabilità corretta in
rubygems più di un mese fa.
Tag cve-2015-4020
Quattro giorni fa è passata nella mailing list
ruby-security-ann
la segnalazione di una vulnerabilità corretta in
rubygems più di un mese fa.
Tag dns hijack
Quattro giorni fa è passata nella mailing list
ruby-security-ann
la segnalazione di una vulnerabilità corretta in
rubygems più di un mese fa.
Tag rubygems
Quattro giorni fa è passata nella mailing list
ruby-security-ann
la segnalazione di una vulnerabilità corretta in
rubygems più di un mese fa.
Tag web
Quattro giorni fa è passata nella mailing list
ruby-security-ann
la segnalazione di una vulnerabilità corretta in
rubygems più di un mese fa.
Tag attaccanti
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
Tag guardia e ladri
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
Tag password banali
Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...
Tag spionaggio
Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...
Tag rcs
Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...
Tag sudan
Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...
Tag apt
Oggi, sono stato alla prima tappa del Check Point security tour 2015, un
evento organizzato da Check Point per parlare di
prodotti, vision, casi di studio.
Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche...
Tag hacking team
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Tag specialisti improvvisati
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Tag esperti
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Tag aranzulla
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Tag forsensica
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Tag magistratura
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Tag pm
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Tag Asphyxia
L’attacco ad Hacking
Team ha
lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non
addetti ai lavori.
Tag Hacking Team
L’attacco ad Hacking
Team ha
lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non
addetti ai lavori.
Tag RCS
L’attacco ad Hacking
Team ha
lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non
addetti ai lavori.
Tag evidenze
L’attacco ad Hacking
Team ha
lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non
addetti ai lavori.
Tag pedo pornografia
L’attacco ad Hacking
Team ha
lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non
addetti ai lavori.
Tag università
Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...
Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...
Tag certificazioni
Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...
Tag spippolare
Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...
Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...
Tag studio
Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...
Tag vulnerability assessment
Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...
Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non
ci stiamo dotando di un processo strutturato.
Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...
Tre anni
fa scrivevo
di come nmap potesse essere utilizzato come strumento di
vulnerability assessment utilizzando il plugin
vulscan.
Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...
Nexpose è un prodotto commerciale
per il vulnerability management, sviluppato da
Rapid7, gli stessi dietro a Metasploit tanto per
intenderci.
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
Diciamolo subito, se il nostro scopo è quello di implementare un processo di Vulnerability Management e ci serve tenere sotto scansione centinaia o migliaia di server organizzati per produzione, test...
Tag bettercap
Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica
ma all’italiano piace essere in mezzo alle discussioni.
Tag mitm
Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica
ma all’italiano piace essere in mezzo alle discussioni.
Tag parser
Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica
ma all’italiano piace essere in mezzo alle discussioni.
Tag credenziali
Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella
giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con
questa dichiarazione.
Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...
Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...
Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica
ma all’italiano piace essere in mezzo alle discussioni.
Tag ftp
Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica
ma all’italiano piace essere in mezzo alle discussioni.
Tag ssl 3.0
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Tag tls 1.0
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Tag spid
Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Tag agid
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Tag governo
Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Tag cifratura
Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Tag poodle
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Tag agosto
E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette...
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
Tag rubyday
Quando ho risposto al call for paper per il RubyDay
ho voluto che il mio intervento avesse un titolo interessante. “Almeno il
titolo”, mi sono detto.
Tag gente losca
Quando ho risposto al call for paper per il RubyDay
ho voluto che il mio intervento avesse un titolo interessante. “Almeno il
titolo”, mi sono detto.
Tag recruiter
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Tag mercato del lavoro
A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...
Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Tag estero
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Tag itaglia
Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Tag peracottai
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Tag rant
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Tag mr. robot
Ho appena finito di vedere la decima ed ultima puntata di Mr.Robot, la serie TV su hacking e società di cui tutti al di là dell’oceano stanno parlando, per ora...
Tag società
Ho appena finito di vedere la decima ed ultima puntata di Mr.Robot, la serie TV su hacking e società di cui tutti al di là dell’oceano stanno parlando, per ora...
Tag serie tv
Ho appena finito di vedere la decima ed ultima puntata di Mr.Robot, la serie TV su hacking e società di cui tutti al di là dell’oceano stanno parlando, per ora...
Tag ethical hacking
La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Tag fuffa
Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...
Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...
Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Tag bizniz
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Tag ict
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Tag manager
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Tag uber manager
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Tag gente di un certo calibro
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Tag nexpose
Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...
Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non
ci stiamo dotando di un processo strutturato.
Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...
Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...
Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...
Nexpose è un prodotto commerciale
per il vulnerability management, sviluppato da
Rapid7, gli stessi dietro a Metasploit tanto per
intenderci.
Tag rapid7
Nexpose è un prodotto commerciale
per il vulnerability management, sviluppato da
Rapid7, gli stessi dietro a Metasploit tanto per
intenderci.
Tag vulnerability management
Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...
Nexpose è un prodotto commerciale
per il vulnerability management, sviluppato da
Rapid7, gli stessi dietro a Metasploit tanto per
intenderci.
Tag scripting
Nexpose è un prodotto commerciale
per il vulnerability management, sviluppato da
Rapid7, gli stessi dietro a Metasploit tanto per
intenderci.
Tag script
Nexpose è un prodotto commerciale
per il vulnerability management, sviluppato da
Rapid7, gli stessi dietro a Metasploit tanto per
intenderci.
Tag web agency
Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...
Tag outsourcing
Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...
Tag security
Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non
ci stiamo dotando di un processo strutturato.
Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...
Tag policy
Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...
Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...
Tag stipendi
Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...
Tag stage
Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...
Tag host discovery
Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...
Tag reti
Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...
Tag firewall
Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...
Tag vendor
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Oggi, sono stato alla prima tappa del Check Point security tour 2015, un
evento organizzato da Check Point per parlare di
prodotti, vision, casi di studio.
Tag evento
Oggi, sono stato alla prima tappa del Check Point security tour 2015, un
evento organizzato da Check Point per parlare di
prodotti, vision, casi di studio.
Tag poca banfa
Oggi, sono stato alla prima tappa del Check Point security tour 2015, un
evento organizzato da Check Point per parlare di
prodotti, vision, casi di studio.
Tag threat prevention
Oggi, sono stato alla prima tappa del Check Point security tour 2015, un
evento organizzato da Check Point per parlare di
prodotti, vision, casi di studio.
Tag digital champion
Dei Digital Champions ho un’opinione molto netta riassunto in questo post dove si parlava dei due presunti Anon, membri dell’associazione Digital Champions che fa capo alla figura istituzionale del Digital...
Tag spam
Dei Digital Champions ho un’opinione molto netta riassunto in questo post dove si parlava dei due presunti Anon, membri dell’associazione Digital Champions che fa capo alla figura istituzionale del Digital...
Tag git
E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...
Tag google dork
E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...
E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...
Tag source code disclosure
E’ venerdì. Un sole pallido scalda una giornata di Novembre. Tu stai pensando a quel codice di cui devi fare refactoring e di come limare di qualche secondo i tempi...
Tag floss
Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...
Tag politically correctness
Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...
Tag opal
Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...
Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...
Tag libertà di parola
Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...
Tag pipeline
Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...
In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...
Tag automazione
In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...
Tag processi
Non so se vi siete accorti che quella della sicurezza applicativa è una
battaglia persa in partenza se continuiamo ad approcciarla come stiamo facendo
negli ultimi anni.
In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...
Tag sviluppo agile
In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...
Tag sviluppo acdc
In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...
Tag https
Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura
avrebbe garantito, tra l’altro, la riservatezza del dato in transito.
Tag stream cipher
Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura
avrebbe garantito, tra l’altro, la riservatezza del dato in transito.
Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura
avrebbe garantito, tra l’altro, la riservatezza del dato in transito.
Tag https bicycle
Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura
avrebbe garantito, tra l’altro, la riservatezza del dato in transito.
Tag bycycle attack
Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura
avrebbe garantito, tra l’altro, la riservatezza del dato in transito.
Tag appsec
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante
ti salta alla gola, ignorando appunto, il significato della parola a loro
appena rivolta.
Tag conflitti
Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante
ti salta alla gola, ignorando appunto, il significato della parola a loro
appena rivolta.
Tag sistemisti
Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante
ti salta alla gola, ignorando appunto, il significato della parola a loro
appena rivolta.
Tag devops
Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante
ti salta alla gola, ignorando appunto, il significato della parola a loro
appena rivolta.
Tag cys4
Disclaimer: questo post è polemico. O meglio, è intriso di un mix di
polemica, disillusione, rant.
Tag renzi
Disclaimer: questo post è polemico. O meglio, è intriso di un mix di
polemica, disillusione, rant.
Tag cyber security
Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...
Disclaimer: questo post è polemico. O meglio, è intriso di un mix di
polemica, disillusione, rant.
Tag meritocrazia
Disclaimer: questo post è polemico. O meglio, è intriso di un mix di
polemica, disillusione, rant.
Tag conflitto di interessi
Disclaimer: questo post è polemico. O meglio, è intriso di un mix di
polemica, disillusione, rant.
Tag politica
Disclaimer: questo post è polemico. O meglio, è intriso di un mix di
polemica, disillusione, rant.
Tag root
Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...
Tag administrator
Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...
Tag login
Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...
Tag permessi
Sto avendo seri problemi con Nexpose. Dato un host X, succede sia per Windows che per Linux, randomicamente, effettuando una scansione autenticata ho un fingerprint errato del sistema operativo, e...
Tag cryptolocker
Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...
Tag allegati
Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...
Tag virus
Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.
Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...
Tag ransomware
Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato,
delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.
Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...
Tag cbtlocker
Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...
Tag kernel
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Tag protezione
La domanda non è banale. La sicurezza applicativa, per come è fatta spesso, serve? La risposta a questa domanda, volutamente provocatoria, non è banale. Ammetto di averci pensato su un...
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Tag kernel extension
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Tag gatekeep
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Tag firma digitale
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Tag hackosx
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Tag secure library
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Tag ssdlc
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
La domanda non è banale. La sicurezza applicativa, per come è fatta spesso, serve? La risposta a questa domanda, volutamente provocatoria, non è banale. Ammetto di averci pensato su un...
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Tag coverity
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Tag esapi
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Tag api
Non so se vi siete accorti che quella della sicurezza applicativa è una
battaglia persa in partenza se continuiamo ad approcciarla come stiamo facendo
negli ultimi anni.
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Tag mac os x
Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS
X se io ora vi
dicessi “SIP”.
Tag sip
Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS
X se io ora vi
dicessi “SIP”.
Tag system integrity protection
Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS
X se io ora vi
dicessi “SIP”.
Tag tampering
Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS
X se io ora vi
dicessi “SIP”.
Tag mac
Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS
X se io ora vi
dicessi “SIP”.
Tag segregation of duties
Alzi la mano chi pensa ad un avanzato meccanismo di protezione per Mac OS
X se io ora vi
dicessi “SIP”.
Tag browser
Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato,
delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.
Tag javascript
Compromettere un sito, può essere una cosa semplice. Compromettere un sito
basato su WordPress può essere una cosa molto
semplice.
Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato,
delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.
Tag js
Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato,
delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.
Tag complotto
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Tag csi
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Tag snowden
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Tag fbi
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Tag s.bernardino
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Tag ios
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Tag secure enclave
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Tag rsa
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Tag linux mint
Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...
Tag backdoor
Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...
Tag vulnerability warning
Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...
Tag identità digitale
Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...
Tag single sign on
Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...
Tag otp
Tra poco, il 15 Marzo, entrerà in produzione lo SPID. Lo SPID nasce con l’obiettivo di fornire un sistema di autenticazione unico per il cittadino, nei confronti dei siti della...
Tag programmazione sicura
Sono passati quasi due anni dal primo
post in piena
emergenza HeartBleed ed è tempo di cambiare qualcosa.
Tag safe coding
Sono passati quasi due anni dal primo
post in piena
emergenza HeartBleed ed è tempo di cambiare qualcosa.
Tag codiceinsicuro
Come avrete potuto notare, è stato un inizio d’estate in sordina per il blog. Sono stato preso nell’organizzare i miei talk per l’autunno e da un paio di progetti collaterali....
2 anni fa nasceva il progetto Codice Insicuro. Partivamo
sull’onda della vulnerabilità
heartbleed e da
lì abbiamo collezionato 97 post, poco meno di un post a settimana.
Sono passati quasi due anni dal primo
post in piena
emergenza HeartBleed ed è tempo di cambiare qualcosa.
Tag saggezza
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Tag verità scesa dal cielo
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Tag programmazione
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Tag python
Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le
stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.
L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Tag perl
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Tag asset
La domanda non è banale. La sicurezza applicativa, per come è fatta spesso, serve? La risposta a questa domanda, volutamente provocatoria, non è banale. Ammetto di averci pensato su un...
Tag web properties
La domanda non è banale. La sicurezza applicativa, per come è fatta spesso, serve? La risposta a questa domanda, volutamente provocatoria, non è banale. Ammetto di averci pensato su un...
Tag database audit
Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è...
Tag mysql
Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è...
Tag cis
Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è...
Tag italia
Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...
Capita una piccola pausa di riflessione. Aprile è stato un mese strano. Fisicamente ho dovuto recuperare da un infortunio in allenamento ed assieme alla forma fisica se n’è andata anche...
Tag merito
Capita una piccola pausa di riflessione. Aprile è stato un mese strano. Fisicamente ho dovuto recuperare da un infortunio in allenamento ed assieme alla forma fisica se n’è andata anche...
Tag energia
Capita una piccola pausa di riflessione. Aprile è stato un mese strano. Fisicamente ho dovuto recuperare da un infortunio in allenamento ed assieme alla forma fisica se n’è andata anche...
Tag bittorrent
Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...
Tag forum
Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...
Tag attacco
Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella
giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con
questa dichiarazione.
Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...
Tag troy hunt
Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono...
Tag tastiera
Quanti di noi, possessori di uno smartphone Android non rooted, investono il
proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede
quando vuole essere installata?
Tag spyware
Quanti di noi, possessori di uno smartphone Android non rooted, investono il
proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede
quando vuole essere installata?
Tag cina
Quanti di noi, possessori di uno smartphone Android non rooted, investono il
proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede
quando vuole essere installata?
Tag smartphone
Quanti di noi, possessori di uno smartphone Android non rooted, investono il
proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede
quando vuole essere installata?
Tag vulnerability assessmentent
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Tag dbms
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Tag improper error handling
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Tag CVE
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Tag sistema operativo
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Tag server
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Tag logo
Come avrete potuto notare, è stato un inizio d’estate in sordina per il blog. Sono stato preso nell’organizzare i miei talk per l’autunno e da un paio di progetti collaterali....
Tag appsec pipe
Non so se vi siete accorti che quella della sicurezza applicativa è una
battaglia persa in partenza se continuiamo ad approcciarla come stiamo facendo
negli ultimi anni.
Non so se vi siete accorti che quella della sicurezza applicativa è una
battaglia persa in partenza se continuiamo ad approcciarla come stiamo facendo
negli ultimi anni.
Tag dawnscanner
Quando ho iniziato a riscrivere la versione 2.0 di
dawnscanner, ho pensato di introdurre un meccanismo
che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.
Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
Tag rientro
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
Tag vacanze
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
Tag owasp orizon
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Tag minority report
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Tag dinis cruz
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Tag ricordi
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Tag comunità
Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...
Tag impegno
Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...
Tag volontariato
Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...
Tag europa
Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...
Tag venezia
Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...
Tag ca' foscari
Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...
Tag skill shortage
La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash
Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...
Tag cybersecurity
Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...
Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...
Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...
Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...
Tag remunerazioni
Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...
Tag skill
Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...
Tag ambizioni
Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...
Tag carriera
Non so se ci avete fatto caso, ma durante la pubblicità il messaggio più importante, in queste ultime settimane, per i prodotti dolciari, non è più quanto sia buono il...
Tag padrino
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Tag hanami
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Tag mvc
Quando ho iniziato a riscrivere la versione 2.0 di
dawnscanner, ho pensato di introdurre un meccanismo
che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Tag dirty cow
Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...
Tag linux kernel
Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...
Tag dns
Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...
Tag malloc
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Tag hackinbo
Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Tag fun
La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Tag buffer overflow
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima...
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Tag memory leak
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Tag command injection
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Tag codemotion
Venerdì, mentre vi ammazzavate di reload sulla pagina di
Amazon per il black friday, ho fatto il mio ultimo
talk, per il 2016, a Codemotion.
Tag bot
Venerdì, mentre vi ammazzavate di reload sulla pagina di
Amazon per il black friday, ho fatto il mio ultimo
talk, per il 2016, a Codemotion.
Tag go
Venerdì, mentre vi ammazzavate di reload sulla pagina di
Amazon per il black friday, ho fatto il mio ultimo
talk, per il 2016, a Codemotion.
Tag passione
Venerdì, mentre vi ammazzavate di reload sulla pagina di
Amazon per il black friday, ho fatto il mio ultimo
talk, per il 2016, a Codemotion.
Tag code obfuscation
Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....
Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è
semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da
disassemblare.
Tag bytecode
Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è
semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da
disassemblare.
Tag javassist
Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è
semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da
disassemblare.
Tag duemilasedici
Anche il 2017 è alle porte e, secondo la
tradizione,
facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche
previsione sull’anno che verrà.
Tag eyepiramid
Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio,
che ha interessato buona parte della classe politica italiana.
Tag spear phishing
Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio,
che ha interessato buona parte della classe politica italiana.
Tag phretor
Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio,
che ha interessato buona parte della classe politica italiana.
Tag lk
Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio,
che ha interessato buona parte della classe politica italiana.
Tag introspezione
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Tag vita
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Tag bitcoin
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Tag ripartire
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Tag 40anni
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Tag evilcode
Compromettere un sito, può essere una cosa semplice. Compromettere un sito
basato su WordPress può essere una cosa molto
semplice.
Tag entropia
Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...
Tag shannon
Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...
Tag complessità della password
Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...
Tag passphrase
Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?
Oggi stavo scegliendo una playlist per il lavoro ed arrivo ad un video dal
titolo molto bold: Come creare una password robusta.
Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...
Tag librerie
Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...
Tag dipendenze
Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...
Tag ctf
Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...
Tag mentalist
Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...
Tag hacktive security
Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...
Tag paolo stagno
Si è conclusa da una manciata di ore la CTF, organizzata dai ragazzi di Hacktive Security. In palio per i primi 45 in classifica, un biglietto per il laboratorio del...
Tag oscp
Riprendono gli studi per OSCE e riparte anche la serie
getting-root con
symfonos: 5, una macchina
pubblicata il mese scorso sul portale VulnHub.
Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....
nknowndevice64 è una
macchina boot2root che su VulnHub viene descritta come di media difficoltà,
forse per la parte che riguarda l’analisi steganografica di un’immagine.
Brainpan 1 è stata la macchina
più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame
per
l’OSCP.
Sono passati poco più di quattro mesi da questo
post e
molte cose sono cambiate e moltissime altre stanno per cambiare.
Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....
Dopo il terzo livello di Kioptrix ho alzato un attimo il tiro ed ho scaricato
Sedna, una macchina
preparata per il CTF di HackFest 2016.
Siamo al terzo livello delle macchine della serie Kioptrix. Anche questa
macchina non presenta difficoltà degne di nota e credo sarà l’ultima macchina
semplice prima dell’OSCP.
Il secondo livello di Kioptrix non presenta particolari difficoltà. Fa parte di
quelle macchine che sto usando per ricostruire l’autostima in vista della
prossima OSCP.
Questa è la prima puntata di ‘Getting Root’, una serie di tutorial che mostrano come compromettere macchine preparate ad hoc, per testare la parte di sicurezza offensiva e prepararmi al...
Sono passati alcuni mesi dall’ultimo post. E’ arrivato
WannaCry, è arrivata Petya /
NotPetya
e i media generalisti hanno scoperto il malware e la sicurezza informatica.
Tag offensive security
Come da tradizione, siamo al post dopo il primo fallimento per la certificazione OSWE. Era successo per OSCE e ancora prima per OSCP. Lo so, lo so… ci sono mille...
L’estate per me è tempo di relax, di mare, di granite al limone e di studio.
Nell’agosto di due anni fa scrivevo un
post
dopo il fallimento nel primo tentativo di certificazione per OSCP.
E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...
Sono passati poco più di quattro mesi da questo
post e
molte cose sono cambiate e moltissime altre stanno per cambiare.
Sono passati alcuni mesi dall’ultimo post. E’ arrivato
WannaCry, è arrivata Petya /
NotPetya
e i media generalisti hanno scoperto il malware e la sicurezza informatica.
Tag walkthrough
Brainpan 1 è stata la macchina
più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame
per
l’OSCP.
Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....
Dopo il terzo livello di Kioptrix ho alzato un attimo il tiro ed ho scaricato
Sedna, una macchina
preparata per il CTF di HackFest 2016.
Siamo al terzo livello delle macchine della serie Kioptrix. Anche questa
macchina non presenta difficoltà degne di nota e credo sarà l’ultima macchina
semplice prima dell’OSCP.
Il secondo livello di Kioptrix non presenta particolari difficoltà. Fa parte di
quelle macchine che sto usando per ricostruire l’autostima in vista della
prossima OSCP.
Questa è la prima puntata di ‘Getting Root’, una serie di tutorial che mostrano come compromettere macchine preparate ad hoc, per testare la parte di sicurezza offensiva e prepararmi al...
Tag kioptrix
Siamo al terzo livello delle macchine della serie Kioptrix. Anche questa
macchina non presenta difficoltà degne di nota e credo sarà l’ultima macchina
semplice prima dell’OSCP.
Il secondo livello di Kioptrix non presenta particolari difficoltà. Fa parte di
quelle macchine che sto usando per ricostruire l’autostima in vista della
prossima OSCP.
Questa è la prima puntata di ‘Getting Root’, una serie di tutorial che mostrano come compromettere macchine preparate ad hoc, per testare la parte di sicurezza offensiva e prepararmi al...
Tag getting-root
Brainpan 1 è stata la macchina
più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame
per
l’OSCP.
Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....
Dopo il terzo livello di Kioptrix ho alzato un attimo il tiro ed ho scaricato
Sedna, una macchina
preparata per il CTF di HackFest 2016.
Siamo al terzo livello delle macchine della serie Kioptrix. Anche questa
macchina non presenta difficoltà degne di nota e credo sarà l’ultima macchina
semplice prima dell’OSCP.
Il secondo livello di Kioptrix non presenta particolari difficoltà. Fa parte di
quelle macchine che sto usando per ricostruire l’autostima in vista della
prossima OSCP.
Questa è la prima puntata di ‘Getting Root’, una serie di tutorial che mostrano come compromettere macchine preparate ad hoc, per testare la parte di sicurezza offensiva e prepararmi al...
Tag hackfest 2016
Dopo il terzo livello di Kioptrix ho alzato un attimo il tiro ed ho scaricato
Sedna, una macchina
preparata per il CTF di HackFest 2016.
Tag pre sales
A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...
Tag cybsersecurity
A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...
Tag owasp-bwap
Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....
Tag osce
Era aprile dell’anno scorso e
fallivo
il primo tentativo per prendere la certificazione
OSCE.
Riprendono gli studi per OSCE e riparte anche la serie
getting-root con
symfonos: 5, una macchina
pubblicata il mese scorso sul portale VulnHub.
Nell’agosto di due anni fa scrivevo un
post
dopo il fallimento nel primo tentativo di certificazione per OSCP.
E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...
Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...
Tag binary exploitation
Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...
Tag crackme
Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...
Tag ioli
Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...
Tag radare
Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...
Tag binary patching
Smaltita la sbornia della certificazione e ricevuto il tanto agoniato “pezzo di carta”, è tempo di pensare al prossimo passo. Il prossimo passo si chiama OSCE, è ancora più tosta...
Tag vulnhub
Riprendono gli studi per OSCE e riparte anche la serie
getting-root con
symfonos: 5, una macchina
pubblicata il mese scorso sul portale VulnHub.
nknowndevice64 è una
macchina boot2root che su VulnHub viene descritta come di media difficoltà,
forse per la parte che riguarda l’analisi steganografica di un’immagine.
Brainpan 1 è stata la macchina
più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame
per
l’OSCP.
Tag brainpan
Brainpan 1 è stata la macchina
più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame
per
l’OSCP.
Tag write-up
Brainpan 1 è stata la macchina
più divertente che ho risolto questo inverno, mentre mi preparavo per l’esame
per
l’OSCP.
Tag va
Tre anni
fa scrivevo
di come nmap potesse essere utilizzato come strumento di
vulnerability assessment utilizzando il plugin
vulscan.
Tag nse
Tre anni
fa scrivevo
di come nmap potesse essere utilizzato come strumento di
vulnerability assessment utilizzando il plugin
vulscan.
Tag feud
Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN;...
Tag natale
E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...
Tag ctp
E così anche il Natale 2018 è arrivato. In questi mesi dove la mia presenza sul blog è stata nulla, se non per il lancio della newsletter settimanale Insicurezze Collaterali,...
Tag shellcode
Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....
L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...
Tag slae
L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...
Tag polimorfismo
L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...
Tag x86
L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...
Tag scrittura
A volte cerchi un posto dove stare solo tra i solchi di bit. A volte quel posto
lo hai creato tu qualche anno prima ma ne ignoravi l’esistenza.
Tag linguaggio
Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...
Tag chiacchiere da bar
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...
Tag chicchi
Oggi stavo scegliendo una playlist per il lavoro ed arrivo ad un video dal
titolo molto bold: Come creare una password robusta.
Tag offensive
Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...
Riprendono gli studi per OSCE e riparte anche la serie
getting-root con
symfonos: 5, una macchina
pubblicata il mese scorso sul portale VulnHub.
Lo scorso febbraio, su The Armored
Code ho scritto
un post che parlava di msf-egghunter, lo strumento distribuito insieme a
Metasploit per scrivere un egg hunter.
nknowndevice64 è una
macchina boot2root che su VulnHub viene descritta come di media difficoltà,
forse per la parte che riguarda l’analisi steganografica di un’immagine.
Tag boot2root
Riprendono gli studi per OSCE e riparte anche la serie
getting-root con
symfonos: 5, una macchina
pubblicata il mese scorso sul portale VulnHub.
nknowndevice64 è una
macchina boot2root che su VulnHub viene descritta come di media difficoltà,
forse per la parte che riguarda l’analisi steganografica di un’immagine.
Tag patch management
Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non
ci stiamo dotando di un processo strutturato.
Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...
Tag nessus
Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non
ci stiamo dotando di un processo strutturato.
Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...
Tag vita da security manager
Patching, patching, patching: lo stiamo facendo tutti forse un po’ male se non
ci stiamo dotando di un processo strutturato.
Una delle cose che come Security Manager, sono stato chiamato a fare nel corso degli anni e nelle varie realtà dove ho operato, è stato quello di costruire un processo...
Tag activerecord
Quando ho iniziato a riscrivere la versione 2.0 di
dawnscanner, ho pensato di introdurre un meccanismo
che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.
Tag licenze
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
Tag aws
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
Tag software
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
Tag certificazione
Era aprile dell’anno scorso e
fallivo
il primo tentativo per prendere la certificazione
OSCE.
L’estate per me è tempo di relax, di mare, di granite al limone e di studio.
Tag pentester academy
L’estate per me è tempo di relax, di mare, di granite al limone e di studio.
Tag reversing
L’estate per me è tempo di relax, di mare, di granite al limone e di studio.
Tag win32
L’estate per me è tempo di relax, di mare, di granite al limone e di studio.
Tag egghunter
Lo scorso febbraio, su The Armored
Code ho scritto
un post che parlava di msf-egghunter, lo strumento distribuito insieme a
Metasploit per scrivere un egg hunter.
Tag payload
Lo scorso febbraio, su The Armored
Code ho scritto
un post che parlava di msf-egghunter, lo strumento distribuito insieme a
Metasploit per scrivere un egg hunter.
Tag assembly
Lo scorso febbraio, su The Armored
Code ho scritto
un post che parlava di msf-egghunter, lo strumento distribuito insieme a
Metasploit per scrivere un egg hunter.
Tag basic insicuri
Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le
stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.
Tag gnome
Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le
stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.
Tag templates
Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le
stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.
Tag riflessioni
La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...
Tag self brand
La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...
Tag ama
Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre
sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale
Reddit ItalyInformatica.
Tag saiberinfluenser
Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre
sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale
Reddit ItalyInformatica.
Tag domande e risposte
Settembre è arrivato e parte con una piccola novità. Il prossimo 6 settembre
sarò ospite di una sessione AMA (Ask Me Anything) con i ragazzi del canale
Reddit ItalyInformatica.
Tag exploit development
Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....
Tag microsoft
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching
Tuesday di Microsoft riprende da questo mese con i dati di luglio.
Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il
primo bollettino Microsoft rilasciato il 14 gennaio.
Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.
Eccoci qui, circa una settimana
fa
Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.
Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....
Tag cve
Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio
che ho affittato vicino Milano per avere un po’ più di privacy e
concentrazione.
Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching
Tuesday di Microsoft riprende da questo mese con i dati di luglio.
Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il
primo bollettino Microsoft rilasciato il 14 gennaio.
Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.
Eccoci qui, circa una settimana
fa
Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.
Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....
Tag buoni propositi
Tra un anno, questo 2022 iniziato da una settimana sarà in archivio. La speranza è che porti con sé tante cose nuove e tanti progetti interessanti e meno cose procrastinate....
Tra poche ore il 2019 ci saluterà e con esso un lustro ed un decennio che hanno
visto esplodere la moda della sicurezza informatica.
Tag storie cyber
Tra poche ore il 2019 ci saluterà e con esso un lustro ed un decennio che hanno
visto esplodere la moda della sicurezza informatica.
Tag defensive security
Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...
Tag blue team
Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...
Tag software assurance
Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...
Tag compliance
Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...
Tag vpn
Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...
Tag consigli
Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...
Tag quarantena
Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...
Tag security posture
Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...
Tag smartworking
Già, l’Italia da qualche settimana è in quarantena a causa del virus SARS-CoV-2 che sta modificando radicalmente le nostre abitudini. Compresa quella, per alcune realtà con mentalità più radicate in...
Tag recruiting
La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash
Tag hr
La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash
Tag cose italiane
La foto in copertina è di Michal Bar Haim ed è disponibile su Unsplash
Tag chiavi private
Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...
Tag sicurezza offensiva
Era aprile dell’anno scorso e
fallivo
il primo tentativo per prendere la certificazione
OSCE.
Tag sviluppo exploit
Era aprile dell’anno scorso e
fallivo
il primo tentativo per prendere la certificazione
OSCE.
Tag wordlist
Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...
Tag fuzz
Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...
Tag quicktip
Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...
Tag data leak
Snaitech
e l’operatore mobile
Ho. sono
state le ultime vittime in ordine di tempo di attacchi informatici o comunque
di fughe di dati.
Tag data breach
Snaitech
e l’operatore mobile
Ho. sono
state le ultime vittime in ordine di tempo di attacchi informatici o comunque
di fughe di dati.
Tag investimenti
Snaitech
e l’operatore mobile
Ho. sono
state le ultime vittime in ordine di tempo di attacchi informatici o comunque
di fughe di dati.
Tag serietà
Snaitech
e l’operatore mobile
Ho. sono
state le ultime vittime in ordine di tempo di attacchi informatici o comunque
di fughe di dati.
Tag blueteam
Snaitech
e l’operatore mobile
Ho. sono
state le ultime vittime in ordine di tempo di attacchi informatici o comunque
di fughe di dati.
Tag redteam
Snaitech
e l’operatore mobile
Ho. sono
state le ultime vittime in ordine di tempo di attacchi informatici o comunque
di fughe di dati.
Tag nuova vita
Cinque mesi fa scrivevo di come volessi fare una svolta al mio 2021. Il tweet originale aveva un riferimento ad un punto 1 che riguardava il rimediare ad una situazione...
Tag oswe
Come da tradizione, siamo al post dopo il primo fallimento per la certificazione OSWE. Era successo per OSCE e ancora prima per OSCP. Lo so, lo so… ci sono mille...
Tag opensuse
Ho un portatile Thinkpad
Lenovo
come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE
Leap.
Tag fprintd
Ho un portatile Thinkpad
Lenovo
come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE
Leap.
Tag setup
Ho un portatile Thinkpad
Lenovo
come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE
Leap.
Tag closedsource
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Tag open
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Tag close
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Tag mentor
Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...
Tag mentorship
Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...
Tag call
Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...
Tag condividere
Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...
Tag log4j
Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza
gratificante. Ok, smettiamola, torniamo seri.
Tag librerie di terze parti
Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza
gratificante. Ok, smettiamola, torniamo seri.
Tag governance
Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza
gratificante. Ok, smettiamola, torniamo seri.
Tag log4shell
Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza
gratificante. Ok, smettiamola, torniamo seri.
Tag cve-2021-44228
Mettere un titolo sensazionalistico e clickbait è una sensazione abbastanza
gratificante. Ok, smettiamola, torniamo seri.
Tag nuovi progetti
Tra un anno, questo 2022 iniziato da una settimana sarà in archivio. La speranza è che porti con sé tante cose nuove e tanti progetti interessanti e meno cose procrastinate....
Tag vecchi difettii
Tra un anno, questo 2022 iniziato da una settimana sarà in archivio. La speranza è che porti con sé tante cose nuove e tanti progetti interessanti e meno cose procrastinate....
Tag 2022
Tra un anno, questo 2022 iniziato da una settimana sarà in archivio. La speranza è che porti con sé tante cose nuove e tanti progetti interessanti e meno cose procrastinate....
Tag suse
Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...
Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio
che ho affittato vicino Milano per avere un po’ più di privacy e
concentrazione.
Tag antivirus
Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...
Tag pubblica amministrazione
Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...
Tag russia
Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...
Tag saiberinfluensing
Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...
Tag ucraina
Andate su LinkedIN ad esempio. Ci sono veramente molti post di analisi su come il conflitto tra Russia e Ucraina, su cui non essendo esperto in geo politica non entro,...
Tag libcheck
Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...
Tag testing
Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...
Tag clamav
Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.
Tag kaspersky
Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.
Tag complessità
Perché non usare una frase al posto di una password? Lasciamoci alle spalle regole di complessità obsolete e abbracciamo l'usabilità con un occhio di riguardo alla sicurezza.
Tag gdpr
Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?
Perché non usare una frase al posto di una password? Lasciamoci alle spalle regole di complessità obsolete e abbracciamo l'usabilità con un occhio di riguardo alla sicurezza.
Tag password cracking
Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?
Tag analisi statica
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima...
Tag gcc
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima...
Tag newsletter
Introduzione
Ciao caro lettore. Ero come al solito in ritardo nella creazione di questo
numero della newsletter di cybersecurity più aperiodica dell’universo, quando
Internet si è rotta ancora.
Tag supply chain
Introduzione
Ciao caro lettore. Ero come al solito in ritardo nella creazione di questo
numero della newsletter di cybersecurity più aperiodica dell’universo, quando
Internet si è rotta ancora.
Non perdere neanche un post, iscriviti ora alla mailing list