Io speriamo che me la cyber

📓📓📓 Tra le domande più frequenti che mi vengono fatte c'è sempre "vorrei occuparmi di penetration test come lavoro... come potrei fare?" 📓📓📓Ho provato in questo video a dare alcuni suggerimenti che penso possano essere utili a chi vuole intraprendere la carriera professionale come penetration tester o più in generale come esperto di sicurezza applicativa.Spero possiate trovare questi suggerimenti utili e nel caso, condivideteli ai vostri amici che hanno sempre voluto fare questo mestiere e non sanno come fare.Vulnhub, un sito dove trovate tantissime macchine virtuali su cui esercitare le tecniche di penetration test che state imparando: https://www.vulnhub.com/HackTheBox è un laboratorio dove ci sono macchine condivise tra tanti appassionati; diciamo il passo succesivo: https://www.hackthebox.eu/

📢📢📢 Analizziamo il Patching Tuesday Microsoft di maggio 2020 📢📢📢In questo mese Microsoft ha corretto 111 CVE, di varia severità. Il più interessante è sicuramente il CVE-2020-1048 che affligge il sistema di spooling di stampa.Su windows-internals.com [1] c'è un interessante write-up della vulnerabilità con tutti i dettagi che portano all'exploit della stessa. Sembra che lo spooler di stampa sia sotto i riflettori da parte del team di Windows Internals.Bello anche il oneliner Powershell che Ionescu ha condiviso e che porta alla creazione di una backdoorutilizzando questa vulnerabilità [2].Il livello di priorità di questo bollettino è ALTO.🔥🔥🔥 Se vuoi ricevere in antreprima ogni mese l'analisi del Patching Tuesday, iscriviti alla newsletterdi Codice Insicuro: https://codiceinsicuro.it/newsletter[1] https://windows-internals.com/printdemon-cve-2020-1048/[2] https://twitter.com/aionescu/status/1260466215299973121

⚖️ Responsible disclosure ⚖️La collaborazione tra security researcher e aziende è fondamentale. Se da una parte si vuole sfatare il mito dell'hacker con felpa nera che buca i siti (sic!), dall'altra parte le aziende non devono reagire con minacce di azioni legali se vengono contattate per segnalazioni in un'ottica costruttiva e collaborativa.D'altro canto, il ricercatore non deve cercare la notorietà sui social prima che la vulnerabilità sia stata mitigata per non esporre ignari utenti a problematiche di sicurezza.Cerchiamo di capire un po' di più di cosa sia questa responsible disclosure.

🔍 Pianificare un programma di bug bounty è qualcosa di molto importante, sia per progetti opensource che per prodotti enterprise 🔍Spesso si pensa che il test si riduca all'esecuzione di script automatici che simulano un denial of service. Non è così.Un security assessment è un test che viene condotto da esperti che seguono delle rigorose metodologie per simulare quanto più possibile un attacco informatico al fine di rilevare vulnerabilità in un codice applicativo.Ecco un'introduzione ai concetti di security assessment e bug bounty e comefarlo in maniera corretta.

🤔 Questo è un video dove parto dall'applicazione Immuni, selezionata per parlare di Open Source e sicurezza. 🤔Quando Open è sinonimo di sicurezza informatica?Vediamolo assieme.Il video è stato registrato prima delle novità pubblicate in questo articolo sul "Il Sole 24 Ore" a firma Alessandro Longo ( https://bit.ly/2Y5rsSu ).Grazie alle molte obiezioni sollevate da esperti di security e privacy Immuni cambierà approccio sposando gli standard di Google ed Apple e l’applicazione sarà rilasciata con licenza Open Source.

📣 Analizziamo il Patching Tuesday Microsoft di aprile 2020. 📣In questo mese Microsoft ha corretto numerose falle di sicurezza, anche se le principali sono:* CVE-2020-0938 e CVE-2020-1010: Adobe font manager RCE* CVE-2020-0968: Script engine memory corruption* CVE-2020-1027 Windows kernerl privilege escalationSfuttate in attacchi recenti, queste vulnerabilità rappresentano un rischio critico e, soprattutto se in azienda avete delle maccine con vecchie version di Windows, la priorità del patching di questo mese è CRITICA.🔥 Iscriviti alla newsletter per ricevere ogni mese la mia analisi sul patching Microsoft: https://codiceinsicuro.it/newsletter

Benvenuto in "Io speriamo che me la cyber", il primo canale YouTube dove si parla di sicurezza informatica al di là del racconto di data breach che ci riporta la stampa di settore.Ogni settimana troverai un contenuto inedito che ti parlerà di application security, delle esperienze su come implementare un SSDLC in azienda, di come introdurre la sicurezza in casa, nella propria famiglia e molto altro.Qui potrai trovare anche hands-on di tecniche di attacco o sviluppo sicuro e troverai anche interviste con esperti del settore e imprenditori del mondo legato alla cybersecurity.Ogni settimana un contenuto inedito per voi, e per tutti quanti... io speriamo che me la cyber.