Tag heartbleed
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag cve-2014-0160
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag vulnerabilità
Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...
Dopo anni di vulnerability assessment ci sono tanti di quegli aneddoti su risultati, su vulnerabilità che il vendor pensa siano feature, su thread di mail infiniti dove non si capisce...
Quattro giorni fa è passata nella mailing list
ruby-security-ann
la segnalazione di una vulnerabilità corretta in
rubygems più di un mese fa.
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag ssl
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag openssl
Per il mio vulnerability management di solito mi faccio aiutare da Nexpose. Lo uso ormai da quasi una decina d’anni, ha una bella interfaccia API, integrazione con Metasploit e, anche...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag opensource
Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...
La community deve essere una parte attiva nel ciclo di vita di un progetto opensource e tu che stai leggendo questo post, devi fare qualcosa nel tuo piccolo. Inizia anche...
Il modello opensource, può rispondere all'esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l'antivirus? Secondo me sì. Leggi perché.
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Tre anni
fa scrivevo
di come nmap potesse essere utilizzato come strumento di
vulnerability assessment utilizzando il plugin
vulscan.
Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...
Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.
Quando parli di opensource, danno tutti fuori di matto. C’è gente che grida che quello è il futuro. I più dicono che il codice opensource è più sicuro. Moltissimi amano...
Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...
Proprio mentre impazzano le croniche polemiche sui presepi a scuola1, ieri sul repository github di opal è apparsa questa issue. Elia Schito è un ottimo sviluppatore ed è anche una...
Diciamolo subito, se il nostro scopo è quello di implementare un processo di Vulnerability Management e ci serve tenere sotto scansione centinaia o migliaia di server organizzati per produzione, test...
Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag simple-life
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag chiacchiere-da-pub
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Per il primo post di codiceinsicuro invece del
classico e tranquillo “Hello world!” dove si scrivono tanti buoni propositi,
eccomi dentro il vortice dell’heartbleed bug.
Tag exploit
Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching
Tuesday di Microsoft riprende da questo mese con i dati di luglio.
Eccoci qui, l’anno nuovo è appena iniziato e siamo chiamati ad analizzare il
primo bollettino Microsoft rilasciato il 14 gennaio.
Come ogni mese, Microsoft ha rilasciato il bollettino con le patch di dicembre, ultimo bollettino per quest’anno.
Eccoci qui, circa una settimana
fa
Microsoft ha emanato il bollettino di sicurezza per Ottobre 2019.
Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti....
Una delle cose che mi è piaciuta di più, mentre preparavo l’esame per OSCE, esame che devo riprovare in questo inverno, è stata la parte di evasione dagli anti virus....
Sono pigro e se mi segui da un po’ dovresti saperlo. Non amo ripetere sempre le
stesse cose, la ridondanza, amo invece l’efficienza e l’ordine.
Lo scorso febbraio, su The Armored
Code ho scritto
un post che parlava di msf-egghunter, lo strumento distribuito insieme a
Metasploit per scrivere un egg hunter.
Oggi, sono stato alla prima tappa del Check Point security tour 2015, un
evento organizzato da Check Point per parlare di
prodotti, vision, casi di studio.
L’altro ieri era il
martedì delle patch di security in Microsoft e come ogni mese sono usciti
bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.
Premesse e piccoli aggiornamenti
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Come promesso, questo post va un po’ più nel dettaglio tecnico del bug heartbleed introdotto in OpenSSL da un errore di programmazione nel Dicembre 2011 e corretto nella versione 1.0.1g...
Tag awareness
Oggi ho lanciato una nuova iniziativa, il Cybercoach Corner. L’idea è quella di dare alla community un po’ del mio tempo sottoforma di call 1:1 con chi si sta approcciando...
Ho amici che mi prendono in giro per il mio feed LinkedIN e per la quantità di fuffa che molti contatti, soprattutto italiani, producono alla ricerca di opportunità ci business...
Lo scorso 23 Settembre, il capitolo veneziano di ISACA ha organizzato un evento su sicurezza applicativa e Internet delle cose. Curioso che nello stesso periodo, centinaia di migliaia di device...
Quando ho risposto al call for paper per il RubyDay
ho voluto che il mio intervento avesse un titolo interessante. “Almeno il
titolo”, mi sono detto.
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
Nelle grandi società, in campo IT siamo indietro almeno di una decade (in media). Poi ci sono soggetti che per la loro forma mentis sono ancora fermi ancora a come...
L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...
Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare...
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la
seguente:
Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito...
Tag superficie d'attacco
Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito...
Tag codice
Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito...
Tag os-x
Quello che non conosci potrebbe ucciderti
Tag apple
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Quello che non conosci potrebbe ucciderti
Quello che non conosci potrebbe ucciderti
Tag snprintf
Quello che non conosci potrebbe ucciderti
Tag anni 90
Quello che non conosci potrebbe ucciderti
Tag mavericks
Quello che non conosci potrebbe ucciderti
Tag safari
Quello che non conosci potrebbe ucciderti
Tag cve-2014-1315
Quello che non conosci potrebbe ucciderti
Tag sicurezza
In questo mese, sono stato preso da dawnscanner che ha raggiunto la versione 1.5.1 con un bel numero di innovazioni e dalle ultime cose da fare prima delle meritate feste...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag banfa
Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio,
che ha interessato buona parte della classe politica italiana.
Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...
Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da...
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...
Nei giorni scorsi, la parte italiana di Anonymous ha fatto parlare di sè
per due scorribande, rispettivamente al Ministero della Difesa e ad uno dei
siti dell’Expo 2015.
L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico...
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag interviste
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag carrier
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag ddos
Lo scorso venerdì, una remote privilege escalation su tutti i kernel Linux dal 2007 in poi ed il più grande attacco DDoS della storia. Ma tre giorni dopo il Web...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag sicurezza perimetrale
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag chiacchiere
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag sha7
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag daje
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag owasp
Settimana scorsa ho tenuto un talk all’Università di Parma, presso la facoltà di ingegneria, dal titolo “Vulnerability Assessment and safe coding in web applications”. Le slide le potete trovare qui....
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Può sembrare autocelebrativo e, avendo una ego decisamente importante, potrebbe anche esserlo, però alla seconda email dove mi viene chiesto quale sia stato il mio percorso formativo mi sono detto...
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag owasp italy
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag owasp day
Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha
vinto il palmares della security e no, il neonato
codiceinsicuro non chiude.
Tag h4f
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag snmp
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag ruby
Quando ho iniziato a riscrivere la versione 2.0 di
dawnscanner, ho pensato di introdurre un meccanismo
che mi consentisse di mandare dei dati telemetrici sull’utilizzo del tool.
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Sul lavoro ho l’esigenza di mappare grosse reti, per scoprire quello che c’è dentro. I software di asset inventory sono un’opzione, richiedono però un agent a bordo e, se per...
Nexpose è un prodotto commerciale
per il vulnerability management, sviluppato da
Rapid7, gli stessi dietro a Metasploit tanto per
intenderci.
Sarà per la nostra vena diplomatica, sarà perché abbiamo una buona dialettica
ma all’italiano piace essere in mezzo alle discussioni.
L’attacco ad Hacking
Team ha
lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non
addetti ai lavori.
Quattro giorni fa è passata nella mailing list
ruby-security-ann
la segnalazione di una vulnerabilità corretta in
rubygems più di un mese fa.
Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...
Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...
Facendo penetration test
applicativi da un
po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla
maschera di login.
Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag nmap
Tre anni
fa scrivevo
di come nmap potesse essere utilizzato come strumento di
vulnerability assessment utilizzando il plugin
vulscan.
Ne avevo già parlato lo scorso Luglio: nmap è uno strumento eccezionale e può essere utile anche in un Vulnerability Assessment. Oggi ho scoperto che, nel caso di MySQL è...
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
Diciamolo subito, se il nostro scopo è quello di implementare un processo di Vulnerability Management e ci serve tenere sotto scansione centinaia o migliaia di server organizzati per produzione, test...
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag port scan
Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo...
Tag owasp esapi
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Tag java
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
Se non sapevate che il bytecode Java, quello che c’è nei vostri file .class è
semplice da mettere in chiaro, bhé allora sapevatelo ora: è semplice da
disassemblare.
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Google dà molta importanza alla sicurezza di Android. Una vulnerabilità nel sistema operativo che ormai fa girare qualche milione di dispositivi mobile in giro per il mondo si può facilmente...
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Tag numero casuale
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Tag pseudorandom
Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …...
Tag choosy
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag meditazione
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag sangue di giuda
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag senior
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag junior
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag mettersi in gioco
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag imparare
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag blog
A volte cerchi un posto dove stare solo tra i solchi di bit. A volte quel posto
lo hai creato tu qualche anno prima ma ne ignoravi l’esistenza.
Come avrete potuto notare, è stato un inizio d’estate in sordina per il blog. Sono stato preso nell’organizzare i miei talk per l’autunno e da un paio di progetti collaterali....
2 anni fa nasceva il progetto Codice Insicuro. Partivamo
sull’onda della vulnerabilità
heartbleed e da
lì abbiamo collezionato 97 post, poco meno di un post a settimana.
Sono passati quasi due anni dal primo
post in piena
emergenza HeartBleed ed è tempo di cambiare qualcosa.
E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette...
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Premesse e piccoli aggiornamenti
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella
giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con
questa dichiarazione.
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag antani
Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo....
Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso...
Tag startup
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag briatore
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag pizzeria
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag kebab
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag job posting
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag crisi
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag stipendio
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag qualità
Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove...
Tag codice insicuro
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag post
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag categorie
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag sicurina
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag pick'n'chich
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag doctor is in
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag angolo del libro
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag amazon
Trovo il sistema di licensing di Oracle complesso. Accanto ai suoi RDBMS, Oracle ha messo mano da poco anche al licensing di Oracle che ora diventa a pagamento per uso...
E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di...
Tag code review
Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...
Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...
Come da tradizione, siamo al post dopo il primo fallimento per la certificazione OSWE. Era successo per OSCE e ancora prima per OSCP. Lo so, lo so… ci sono mille...
Viviamo in un mondo del lavoro dove lo skill shortage viene combattuto cercando malware analyst, threat hunter ed esperti in penetration test. Ma persone che si occupano anche di sicurezza...
Una cosa che noto, parlando con sviluppatori e persone che fanno AOM sulle macchine, è la mancata percezione del software di terze parti, come un pericolo per la sicurezza della...
Ieri ho fatto una call con Luca Guidi. Lo scopo era supportare il suo framework MVC Hanami all’interno di Dawnscanner.
Si è da poco spenta l’eco della Winter Edition 2016 di HackInBo. Lo si può semplicemente descrivere, come l’evento italiano più figo in campo ICT Security, o Cyber Security o...
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Ricordo che eravamo in Algarve, per l’Owasp Summit del 2008. Ricordo che, parlando di Owasp Orizon, Dinis Cruz fece un’analogia tra l’output dei tool dei nostri arsenali e quello schermo...
Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...
L’attacco ad Hacking
Team ha
lasciato tanti strascichi ed ha aperto tante domande soprattutto tra i non
addetti ai lavori.
Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una...
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare...
Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa,...
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag svn
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag metriche
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag complessità ciclomatica
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag automatismi
E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito...
Tag linee guida
Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la
seguente:
Tag test
Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la
seguente:
Tag documentazione
Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la
seguente:
Tag bcrypt
Nella prima puntata di questa mini serie abbiamo visto tutta la business logic per autenticare i nostri utenti, censiti su un LDAP. Nella seconda puntata abbiamo visto all’opera Warden ed...
Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su...
Facendo penetration test
applicativi da un
po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla
maschera di login.
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
Tag sha512
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
Tag sha256
Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
Tag password
Password cracking challenge: 5 hash da rompere (2 password e 3 passphrase). Quale hash resisterà più a lungo?
Perché non usare una frase al posto di una password? Lasciamoci alle spalle regole di complessità obsolete e abbracciamo l'usabilità con un occhio di riguardo alla sicurezza.
Oggi stavo scegliendo una playlist per il lavoro ed arrivo ad un video dal
titolo molto bold: Come creare una password robusta.
Password, croce e delizia dei meccanismi di autenticazione là fuori. Dalla robustezza di questo meccanismo, dipendete il primo bastione della sicurezza dei nostri sistemi. Ma quanto è sicura una password?...
Sembra sia un periodo caldo per i sistemi di autenticazione là fuori. Nella
giornata di martedì 7 Giugno, Twitter dal suo account per il supporto esce con
questa dichiarazione.
2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...
Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo...
Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che
possono mitigare parzialmente un’intrusione nel nostro backend.
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag csp
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag hsts
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag x-frame
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag x-xss
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag x-content-type
In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano
dall’esserlo, due cose succederebbero oggi:
Tag CVE-2014-4671
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag miki
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag jsonp
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag callback
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag encoding
L’anno scorso, in preparazione al corso Cracking the Perimeter, avevo seguito il corso x86 Assembly Language and Shellcoding on Linux. Questo mi permise di rinfrescare la programmazione in assembler per...
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag swf
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag flash
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag ruby on rails
Eccola
qui
la mia intervista rilasciata al sito Helpnet
Security su
dawnscanner.
Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo...
Tag bloglovin
Bloglovin, è una directory di blog dove puoi trovare un sacco di cose. Per aumentare un po’ di traction ho deciso di iscrivere CodiceInsicuro anche qui. Quindi, da oggi puoi...
Tag traction
Bloglovin, è una directory di blog dove puoi trovare un sacco di cose. Per aumentare un po’ di traction ho deciso di iscrivere CodiceInsicuro anche qui. Quindi, da oggi puoi...
Tag ASAP
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag release early release often
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag big corporate
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag subito
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag produzione
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag bug
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag dilbert
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag cubicolo
Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.
Tag ssdl
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag sviluppo sicuro
Due cose mi accomunano allo sviluppatore Java. La prima è l’amore per il caffè. I Javisti amano così tanto la sacra bevanda dal chicco marrone, da avergli dedicato anche il...
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag sviluppo
Venerdì, mentre vi ammazzavate di reload sulla pagina di
Amazon per il black friday, ho fatto il mio ultimo
talk, per il 2016, a Codemotion.
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag processo
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag programmatore
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag team
Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante
ti salta alla gola, ignorando appunto, il significato della parola a loro
appena rivolta.
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag codice sicuro
Sono passati quasi due anni dal primo
post in piena
emergenza HeartBleed ed è tempo di cambiare qualcosa.
Scrivere software è un’arte. Su questo non ci sono dubbi. Il software di qualità è come un quadro d’autore1, può essere bello da vedere, può essere difficile da capire o...
Tag pensieri
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag estate
La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di...
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette...
Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano...
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag settembre
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag progetti
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag voglia di fare
Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si...
Tag conferenze
Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto...
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Tag itaGLia
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Tag sviluppatori
Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...
Non chiamiamola ignoranza, per carità. La gente appena le dai dell’ignorante
ti salta alla gola, ignorando appunto, il significato della parola a loro
appena rivolta.
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Tag off-topic
Avevo promesso a Marco, un post tecnico. Marco collabora con me, anzi direi che
ora è il mio braccio armato.
Il mondo delle conferenze dedicate allo sviluppo software, qui in Italia1 è piccolo ed auto referenziale. Io ho seguito, quest’anno un po’ defilato, l’organizzazione del Ruby Day e trovare ad...
Tag asap
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag owasp core ruleset
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag waf
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag mod_security
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag apache
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag nginx
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag hardening
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag linux
Una settimana fa su
LinkedIN,
chiedevo quale dei due modelli, open vs closed, desse il software più sicuro.
Ho un portatile Thinkpad
Lenovo
come workstation di lavoro e di recente sono passato da openSUSE Tumbleweed a openSUSE
Leap.
Nella giornata di ieri, sul blog della distribuzione Linux Mint, viene annunciato che a seguito di un’intrusione subita nella stessa giornata del 21 Febbraio, è stato possibile per l’attaccante modificare...
Stavo commentando il post di un amico che presentava a tutti il suo nuovissimo MacBook 12 pollici. In uno dei commenti ci si chiedeva più o meno se fosse etico...
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag unix
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag patch
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag security advisories
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag security management
Abbiamo già visto che prolifera come la gramigna una cultura, quella dell’ASAP, che ci vuole portare a buttare online secchi casuali di 1 e 0 in nome della celerità con...
Tag xss
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag filtro
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag caratteri illegati
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag confindustria
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag ibm
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Qualche giorno fa ero alla stazione di Roma Tiburtina in attesa del treno che avrebbe chiuso una due giorni di security awareness. Tra le altre cose ho parlato anche di...
Tag bash
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag shellshock
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-6271
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-6277
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-7169
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-7186
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag cve-2014-7187
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Se non sapete cosa sia la vulnerabilità shellshock, allora siete rimasti scollegati dalla rete negli ultimi 4, 5 giorni. In alternativa non vi occupate né di software, né di Information...
Tag automatizzare
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Tag application security
A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...
Sorry to be so dramatic, direbbe il buon Steve ma la realtà è che quando diamo in outsourcing dei nostri dati o del nostro software da sviluppare, abbassiamo il nostro...
Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni...
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Tag expect
Qualche giorno fa abbiamo parlato di shellshock, dei danni che può fare e di
come può
propagarsi.
Tag billOfRights
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag legge
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag boldrini
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag carta dei diritti
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag privacy
Dei Digital Champions ho un’opinione molto netta riassunto in questo post dove si parlava dei due presunti Anon, membri dell’associazione Digital Champions che fa capo alla figura istituzionale del Digital...
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag diritto all'oblio
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag neutralità della rete
Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si...
Tag man in the middle
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag cve-2014-3566
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag tls
Ci hanno insegnato, i saggi della sicurezza applicativa, che la cifratura
avrebbe garantito, tra l’altro, la riservatezza del dato in transito.
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag google
Diciamoci la verità. Nel nostro immaginario, ci affascina l’idea di essere
dentro un film di achers, dove veniamo spiati e dove siamo pedine
inconsapevoli di qualche cospirazione internazionale.
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag sslv3
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag beast
Con fanfare, l’AGID, l’Agenzia per l’Italia Digitale,
ha annunciato la partenza del progetto
SPID,
il Sistema Pubblico per la gestione dell’Identità Digitale.
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag poodlebleed
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag poodlebleed.com
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag ciphersurfer
Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software...
Tag c
Il Behaviour-driven development, utilizzato spesso nello sviluppo di applicazioni web, è un paradigma che ho conosciuto quando scrivevo codice in Ruby on Rails, lavorativamente una vita fa. Leggi in questo...
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Tag bad programming habits
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Tag variabili globali
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Tag codice non mantenuto
Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio...
Tag wordpress
Quella arrivata ieri è una di quelle acquisizioni che ti fanno dire “wow”. Automattic, la società che ha creato WordPress, ha appena acquisito Woocommerce. La notizia direttamente dal blog di...
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone...
Premesse e piccoli aggiornamenti
Tag wordstress
L’ultima versione stabile di WordPress, la 4.2 è
disponibile da pochi giorni ed è già
vulnerabile ad un cross site scripting di tipo stored.
Premesse e piccoli aggiornamenti
Tag dos
Premesse e piccoli aggiornamenti
Tag CVE-2014-9034
Premesse e piccoli aggiornamenti
Tag malware
Compromettere un sito, può essere una cosa semplice. Compromettere un sito
basato su WordPress può essere una cosa molto
semplice.
Ieri è scoppiato il bubbone Eyepiramid, una storia di cyber spionaggio,
che ha interessato buona parte della classe politica italiana.
Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato,
delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.
Tutto è nato un paio di settimane fa, all’inizio dell’ondata di Ransomware che ha colpito l’Italia. Arriva la mail, o si naviga in un sito compromesso, il vettore d’attacco viene...
Hai sul tuo laptop le foto del bimbo, sereno, mentre ti sorride alla festa dell’asilo. In una cartella, nascosta, hai il frutto di altro genere di navigazioni. Sorridono sempre, hanno...
Oggi, sono stato alla prima tappa del Check Point security tour 2015, un
evento organizzato da Check Point per parlare di
prodotti, vision, casi di studio.
Stefano Mele insieme ad altri protoganisti dello scenario ICT Security italiano hanno lanciato il Cyber Parco. Questo Cyber Parco, vuole essere un hub per l’area EMEA che permetta la costruzione...
Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456.
Tag phishing
Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456.
Tag allegati da non aprire mai
Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456.
Tag recensione
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag cloud
Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire...
2014, Lifehacker pubblica un post profetico: Is LastPass Secure? What Happens if It Gets Hacked?. Nell’articolo si cerca di smorzare un po’ l’allarmismo e di buttarla in caciare. LastPass ha...
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag cloud computing
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag frisco
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag hacker
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag romanzo
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag disastro
Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul...
Tag quotare il proprio lavoro
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag lavoro
Esattamente un anno fa, ero nel posto dove sono ora, ovvero un piccolo ufficio
che ho affittato vicino Milano per avere un po’ più di privacy e
concentrazione.
A rotazione, la stampa generalista1 festeggia l’esplosione del mercato del lavoro italiano sui temi di cybersecurity. Cercate un po’ sui quotidiani nazionali online e saràtutto un brillare di opportunità. si...
Era il Maggio 2014 e scrivevo questo post sui pessimi annunci di lavoro che si trovano nel dorato mondo delle Startup innovative che, ricordiamolo che fa bene, spesso non sono...
Ci sono giornate che volano vie pigre, tra un assessment da organizzare ed un report da validare. Ci sono invece giornate dove accade qualcosa, dove succede quel paio di eventi...
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag penetration test
Sono passati poco più di quattro mesi da questo
post e
molte cose sono cambiate e moltissime altre stanno per cambiare.
Ormai i serial come CSI, NCIS o quelli nostrani sul RIS, sono entrati nell’immaginario collettivo. Fin dai tempi del tenente Colombo, sappiamo che la scena di un crimine può essere...
Ogni tanto succede che arrivi il newbie con l’idea che sia lo strumento a
garantirti l’efficacia nell’arte del penetration test.
Questo post non è rivolto a chi è nel campo della sicurezza applicativa. Magari se sei un pre sales dacci comunque una lettura, se ne sentono troppe di bestiate in...
Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi...
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag pentest
Quando facciamo un pentest su un’applicazione web abbiamo bisogno di enumerare file e directory, alla ricerca di possibili porzioni del sito dimenticate, file di backup o qualsiasi cosa ci possa...
Nell’agosto di due anni fa scrivevo un
post
dopo il fallimento nel primo tentativo di certificazione per OSCP.
Sono passati alcuni mesi dall’ultimo post. E’ arrivato
WannaCry, è arrivata Petya /
NotPetya
e i media generalisti hanno scoperto il malware e la sicurezza informatica.
Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà
dell’altro.
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag cliente
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag committente
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag scimmiette
Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto
il perché serve testare un sito alla ricerca di issue di security?
Tag propositi
Anche il 2017 è alle porte e, secondo la
tradizione,
facciamo un bilancio su questo anno ormai passato e giochiamo a fare qualche
previsione sull’anno che
