Blog on u-random

Cisco Packet Tracer: La Rete che Protegge Se Stessa

Mon, 08 Jun 2026 00:00:00 +0000

TL;DR

Una DMZ e' una zona di mezzo: esposta verso internet, isolata dalla LAN
Due firewall significa che anche se Sofia/nginx viene compromessa, Giulia/MySQL e' ancora protetta da FW2
Su ASA il traffico da security-level basso verso alto e' bloccato per default - non serve scrivere nessuna regola di blocco

▶ $ history

nameif - assegna nome logico all'interfaccia ASA (outside, dmz, inside)
security-level - livello di fiducia: 0=esterno, 50=DMZ, 100=LAN
route outside 0.0.0.0 0.0.0.0 x.x.x.x - default route su ASA
show nameif - interfacce ASA con security level

Perche' questo lab
#

corsobitcoin.com e' una piattaforma di corsi online. Ha iscritti, sessioni, video, dati di pagamento.

Cisco Packet Tracer: Cinque Router, Una Catena, Nessun GPS

Sun, 07 Jun 2026 00:00:00 +0000

TL;DR

Un router conosce solo le reti a cui e' direttamente collegato. Tutto il resto va detto esplicitamente con rotte statiche
Ogni router ha piu' IP - uno per ogni interfaccia. "Marco e' 10.0.0.2" e' incompleto: Marco e' anche 10.10.10.1
Le rotte statiche funzionano come indicazioni stradali: "se vuoi andare la', chiedi a lui"
Se manca una rotta il pacchetto si ferma - il TTL serve esattamente per questo

▶ $ history

ip route [rete] [maschera] [next-hop] - aggiunta rotta statica
show ip route - tabella di routing corrente
ping [ip] - test connettivita' end-to-end

Prima di toccare Linux voglio vedere il routing con gli occhi. In Linux i namespace sono invisibili - sono processi, non oggetti fisici. In Cisco Packet Tracer posso vedere i router come scatole, i cavi come linee, e guardare i pacchetti muoversi.

DLP e Wazuh

Thu, 04 Jun 2026 00:00:00 +0000

TL;DR

DLP fatto in casa: con 50 righe di Python e inotify monitoriamo in tempo reale la scrittura di file sensibili.
Pattern matching: uno switch match/case in Python 3.10+ intercetta SSN, carte di credito e codici fiscali.
Wazuh in Docker: integrazione con il manager tramite regole custom, superando i limiti di permessi e decodificatori.
Tre errori reali: come risolvere il blocco PEP 668 su Ubuntu 24.04, i permessi di docker cp e l'errore del decoder syslog.

▶ $ history

python3 -m venv ~/dlp-venv
source ~/dlp-venv/bin/activate
pip install inotify
docker cp single-node-wazuh.manager-1:/var/ossec/etc/rules/local_rules.xml ./local_rules.xml
docker exec single-node-wazuh.manager-1 chown wazuh:wazuh /var/ossec/etc/rules/local_rules.xml
tail -f /var/log/syslog

Apro la dashboard Wazuh. Nella colonna full_log c'è scritto:

ESP cifra, AH no: IPsec visto dal vivo

Sat, 30 May 2026 00:00:00 +0000

TL;DR

IPsec Suite: Una suite di protocolli di rete sicuri (IKE + ESP + AH) implementata a livello IP per garantire autenticazione, integrità e riservatezza.
IKE (Internet Key Exchange): Negozia gli algoritmi di sicurezza e stabilisce le Security Association (SA) scambiando chiavi tramite Diffie-Hellman (UDP 500/4500).
ESP (Encapsulating Security Payload): Cifra il payload dei pacchetti (ad es. con AES-256) garantendo riservatezza ed autenticazione. Supporta il NAT tramite incapsulamento NAT-T.
AH (Authentication Header): Firma crittograficamente i pacchetti per garantirne l'integrità, ma non cifra il payload, lasciando i dati in chiaro ed esposti allo sniffing.
Tunnel vs Transport: Tunnel mode cifra l'intero pacchetto originale aggiungendo un nuovo header IP (ideale per VPN Site-to-Site); Transport mode cifra solo il payload (ideale per host-to-host).

▶ $ history

apt install strongswan -y
ipsec version
ipsec restart
ipsec up mustache
ipsec statusall
tcpdump -i enp0s1 udp port 500
tcpdump -i enp0s1 proto 50
tcpdump -i enp0s1 proto 51 -v
ping 192.168.64.3

Configurare IPsec host-to-host con StrongSwan e vedere con tcpdump la differenza tra ESP e AH. ESP cifra il payload - AH no. Questa distinzione è una domanda classica Security+ e fondamentale per la sicurezza di rete.

Il Tunnel che Sceglie: Split vs Full VPN con WireGuard

Sat, 30 May 2026 00:00:00 +0000

TL;DR

WireGuard: VPN moderna basata su Curve25519 e ChaCha20, integrata direttamente nel kernel Linux come interfaccia di rete virtuale (wg0).
VPN Concentrator: Il dispositivo (in questo lab Ubuntu) che termina il tunnel cifrato, decifra il traffico e lo instrada verso la rete interna.
Split Tunnel (AllowedIPs = 10.0.0.0/24): Solo il traffico destinato alla subnet della VPN passa nel tunnel; il traffico internet esce in chiaro tramite il gateway locale.
Full Tunnel (AllowedIPs = 0.0.0.0/0): Tutto il traffico, incluso quello internet, viene convogliato nel tunnel cifrato e richiede IP forwarding e MASQUERADE sul concentratore.
Visibilità di rete: tcpdump/tshark mostrano solo pacchetti UDP cifrati sull'interfaccia fisica (enp0s1), mentre svelano il traffico ICMP/IP decifrato su quella virtuale (wg0).

▶ $ history

apt install wireguard -y
wg genkey | tee privatekey | wg pubkey > publickey
wg-quick up wg0
wg-quick down wg0
ip route show
traceroute 8.8.8.8
tcpdump -i wg0
tcpdump -i enp0s1 udp port 51820
tshark -r capture.pcap

Configurare un tunnel WireGuard tra due VM e vedere con i propri occhi la differenza tra split tunnel e full tunnel. Non teoria - routing table e traceroute che lo dimostrano empiricamente.

Il Kernel Sospende il Giudizio

Fri, 29 May 2026 00:00:00 +0000

TL;DR

IDS (af-packet): copia del traffico → Suricata vede tutto, non può bloccare niente → [**] in fast.log
IPS (nfqueue): traffico originale trattenuto → il kernel aspetta il verdetto → [Drop] in fast.log
iptables -I INPUT -j NFQUEUE --queue-num 0 è la singola regola che trasforma il sistema
fail-open: no = fail-closed: se Suricata muore, tutto il traffico viene droppato
Il Docker bridge (br-XXXX) bypassa NFQUEUE - la SYN-ACK di ritorno viene bloccata e Wazuh si disconnette
La persistenza al reboot richiede un systemd service dedicato (non iptables-persistent, che rimuove UFW)

▶ $ history

suricata -T -c /etc/suricata/suricata.yaml -v
suricata-update
iptables -I INPUT 1 -j NFQUEUE --queue-num 0
iptables -L INPUT -n -v --line-numbers
nmap --min-rate 1000 -p 1-1000 192.168.64.3
hping3 -S --flood 192.168.64.3
cat /proc/net/tcp

Voglio vedere cosa succede quando Suricata non si limita a guardare il traffico, ma lo blocca davvero.

816 tentativi zero successi

Wed, 27 May 2026 00:00:00 +0000

TL;DR

HIDS (Wazuh agent) monitora il singolo host dall'interno - log, file, processi.
SIEM (Wazuh manager) raccoglie tutto, correla, genera alert.
HIPS (fail2ban) agisce automaticamente dopo la detection - blocca l'IP attaccante.
IDS e IPS non sono prodotti diversi: è la stessa categoria, con o senza capacità di blocco.

▶ $ history

hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.64.3 -t 4
tail -f /var/log/auth.log
tail -f /var/log/fail2ban.log

Il lab è semplice: Ubuntu con Wazuh, Kali con Hydra, una wordlist da 14 milioni di password. Obiettivo: vedere cosa succede dall'altra parte quando un attaccante tenta il brute force SSH.

Il Campo che Parlava Troppo

Tue, 19 May 2026 00:00:00 +0000

TL;DR

SQL Injection avviene quando l'input utente viene concatenato direttamente nella query - il DB esegue codice che non dovrebbe
Un apostrofo nel campo username è spesso sufficiente per rilevare la vulnerabilità
La difesa corretta è la parameterized query - non l'input validation da sola
Il WAF può rallentare l'attacco ma non sostituisce il fix nel codice

▶ $ history

curl -s -X POST url -d "username=test&password=test"
tshark -r capture.pcap -Y "http.request.method == POST"

Mi hanno dato tre ore e un URL. Un'applicazione web interna - gestionale ordini, usato dal reparto commerciale. "Testala. Dimmi cosa non va."

Il CEO Non Ha Scritto Quella Email

Tue, 19 May 2026 00:00:00 +0000

TL;DR

BEC (Business Email Compromise) non richiede malware - basta falsificare il campo From: in SMTP
SPF, DKIM e DMARC sono i tre record DNS che rendono verificabile l'identità del mittente
Un dominio senza questi tre record è impersonabile in cinque minuti da chiunque
Leggere gli header Received: di un'email dal basso verso l'alto rivela il percorso reale del messaggio

▶ $ history

dig TXT dominio.com
dig TXT _dmarc.dominio.com

Arianna gestisce i pagamenti. Quella mattina ha ricevuto un'email dal CEO: cambio fornitore urgente, nuovo IBAN, bonifico entro fine giornata. 47.000 euro. Il tono era quello di sempre - formale, diretto, niente spiegazioni superflue.

Il Fantasma nella Rete

Tue, 19 May 2026 00:00:00 +0000

TL;DR

Un honeypot è un sistema esca - qualsiasi connessione ricevuta è per definizione sospetta
La ricognizione interna (lateral movement iniziale) lascia tracce nei log prima che l'attaccante agisca
Analizzare chi ha contattato il honeypot rivela quali host sono compromessi o controllati da un attaccante
IDS/IPS signature-based non rileva zero-day - il comportamento anomalo verso risorse inesistenti lo fa

▶ $ history

tshark -r capture.pcap -Y "ip.dst == 192.168.10.99" -T fields -e ip.src -e tcp.dstport
dig -x 192.168.10.99

Sono le 14:33. Il SIEM ha flaggato una connessione TCP verso 192.168.10.99. Il problema: a quell'IP non c'è nessun server. Non c'è nessun servizio. Non c'è nessun device registrato nell'inventario.

Il Postino Lavora di Notte

Tue, 19 May 2026 00:00:00 +0000

TL;DR

SMTP consegna le email, IMAP/POP3 le recuperano - protocolli separati con porte e ruoli distinti
Una workstation che apre connessioni dirette sulla porta 25 è anomala: quel traffico spetta al mail server aziendale
base64 negli allegati non è cifratura: su SMTP senza TLS, qualsiasi allegato è estraibile dal pcap in chiaro
SPF, DKIM e DMARC sono i tre record DNS che distinguono un dominio difeso da uno esposto allo spoofing

▶ $ history

tshark -r capture.pcap -Y "smtp" -T fields -e ip.src -e ip.dst -e smtp.req.command -e smtp.req.parameter
dig MX dominio.com
dig TXT _dmarc.dominio.com

Tutti Potevano Leggere Tutto

Tue, 19 May 2026 00:00:00 +0000

TL;DR

DAC = il proprietario del file decide i permessi - flessibile ma dipende dall'utente
MAC = il sistema decide in base a etichette di classificazione - usato in ambienti ad alta sicurezza
RBAC = permessi assegnati ai ruoli, utenti assegnati ai ruoli - il modello più usato in azienda
Rule-based = regole condizionali (orario, IP, dispositivo) - usato nei firewall e nel controllo accessi contestuale
ABAC = combina attributi utente + risorsa + contesto - il più granulare, il più complesso

Giovedì mattina. Silvia, amministrativa HR, apre la share aziendale per caricare un documento. Trova una cartella che non riconosce. La apre. Dentro ci sono i file di stipendio di tutti i 140 dipendenti dell'azienda - compresi quelli dei dirigenti.

Le Autostrade di Internet

Wed, 22 Apr 2026 00:00:00 +0000

TL;DR

Internet non è una singola rete: è un insieme di reti indipendenti (Autonomous Systems) collegate da BGP
BGP decide il percorso tra AS diversi - IGP gestisce il routing interno, iBGP sincronizza i border router
Un attaccante può annunciare rotte false (BGP Hijacking) e dirottare traffico globale
Ogni IP appartiene a un ASN: saperlo leggere è un'abilità base di triage SOC

▶ $ history

whois [IP]
whois [IP] | grep -i "origin|asn|orgname"

Il Gateway Sono Io

Thu, 09 Apr 2026 00:00:00 +0000

TL;DR

ARP non ha autenticazione - chiunque può convincere una rete che il gateway è lui
Per fare un MITM silenzioso servono tre passi: IP forwarding, avvelenare entrambi i lati, disabilitare ICMP Redirect
La firma del MITM in Wireshark è inequivocabile: stesso pacchetto, stesso seq number, TTL decrementato di 1
ip route flush all su una macchina remota equivale a spegnerla - lezione imparata a caro prezzo

▶ $ history

arpspoof -i eth0 -t 192.168.64.3 192.168.64.1
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
ip neighbor show
tcpdump -i eth0 -n 'host 192.168.64.3 and icmp' -c 10

Sono le 21:00. Il lab è acceso da qualche ora. Ho appena finito di leggere come funziona il Gratuitous ARP - quella tecnica dove un dispositivo annuncia a tutta la rete "questo IP sono io", senza che nessuno lo abbia chiesto.

La Lettera che Cambia Busta

Thu, 02 Apr 2026 00:00:00 +0000

TL;DR

traceroute -n 8.8.8.8 mostra i 14 router tra te e Google - ogni riga è un salto (hop)
IP address = destinazione finale, non cambia mai; MAC address = tratto corrente, cambia ad ogni hop
Il router legge l'IP dentro (la lettera), riscrive il MAC fuori (la busta) e passa il pacchetto al prossimo salto
* * * non significa percorso interrotto - solo che quel router non risponde a ICMP/UDP; prova con -T (TCP)

▶ $ history

traceroute -n 8.8.8.8
traceroute -I -n 8.8.8.8
sudo traceroute -T google.com
ip neighbor show
ip route show

Sistema: Linux (testato su Kali 2024 e Ubuntu 24.04) Tools: traceroute, ip - già installati di default Conoscenze: nessuna - si parte da zero

Il Processo che Non Dorme Mai

Wed, 01 Apr 2026 00:00:00 +0000

TL;DR

Alert alle 2:47: processo bash con connessione aperta verso IP esterno su porta 4444 → reverse shell attiva
ss -tnp | grep ESTABLISHED identifica il processo e il PID in tempo reale
tcpdump -i eth0 -n -A legge il payload in chiaro: comandi dell'attaccante visibili direttamente
Prima di bloccare: raccogliere history, auth.log, find -mmin -120 - agire troppo presto distrugge le prove

▶ $ history

ss -tnp
tcpdump -i eth0 -n -A host 185.220.101.34
ip a
history
grep "185.220.101.34" /var/log/auth.log
find / -mmin -120 -type f 2>/dev/null
kill -9 [PID]
ufw deny from [IP]

Cosa succede davvero sulla rete mentre il tuo codice gira

Tue, 31 Mar 2026 00:00:00 +0000

TL;DR

Prima di ogni richiesta HTTP il kernel fa un handshake in 3 pacchetti: SYN → SYN+ACK → ACK
I flag TCP ([S], [S.], [.], [P.], [R], [F]) si leggono tutti in tcpdump in tempo reale
RST = chiusura brusca (porta chiusa, firewall, crash) - molti RST consecutivi sono segnale sospetto
I log applicativi non vedono un SYN scan - serve tcpdump a livello di rete

▶ $ history

tcpdump -i any -n 'host api.example.com'
tcpdump -i any -n 'tcp and port 443'
tcpdump 'tcp[tcpflags] & tcp-syn != 0'

Stai costruendo un'API. Il client manda una richiesta, il server risponde. Funziona. Ma cosa succede esattamente tra il momento in cui scrivi fetch("https://api.example.com/data") e quello in cui arriva la risposta?

Offline. Non al buio.

Thu, 26 Mar 2026 00:00:00 +0000

TL;DR

apropos parola trova il comando quando non ne conosci il nome
comando --help ti dà i flag in cinque secondi senza uscire dal terminale
man comando è il manuale completo, navigabile con /parola per cercare
whatis comando ti dice in una riga cosa fa qualcosa che hai trovato nei log

▶ $ history

man ls
man 5 passwd
man -k password
man -f passwd
apropos permission
apropos -r "^ssh"
whatis find
tar --help
tar --help | grep extract

Cancellato. Ma non abbastanza.

Wed, 25 Mar 2026 00:00:00 +0000

TL;DR

testuser compare all'01:14, tenta l'escalation, poi viene cancellato alle 04:47
auth.log registra ogni evento: creazione, tre sudo falliti, disconnessione
find / -uid 1001 2>/dev/null trova i file rimasti anche dopo userdel
Cancellare un utente non cancella la sua storia - cancella solo il nome

▶ $ history

grep -E "useradd|userdel" /var/log/auth.log
grep "testuser" /var/log/auth.log
last testuser
find / -uid 1001 2>/dev/null
cat /home/testuser/.bash_history
journalctl --since "2026-03-25 04:40"

I file erano ancora lì. Solo che non li potevo più leggere.

Tue, 24 Mar 2026 00:00:00 +0000

TL;DR

CIA Triad: Confidentiality, Integrity, Availability - i tre pilastri che ogni attacco viola
Un ransomware li colpisce tutti e tre in sequenza: esfiltra (C), cifra (I), blocca (A)
L'ingresso era un bit SUID lasciato su python3 - zero exploit, zero CVE
Senza la CIA Triad come mappa, stai guardando i sintomi senza vedere la malattia

▶ $ history

find -perm -4000 -type f 2>/dev/null
ls -la /etc/shadow
diff /backup/etc/passwd /etc/passwd
systemctl status ssh
stat /usr/bin/python3

Sono le 23:12. Il telefono vibra tre volte di fila - notifiche di monitoring. Mi alzo, apro il portatile.

Anatomia di una query DNS

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

Prima di mandare qualsiasi pacchetto in rete, il sistema cerca la risposta in cache - browser, OS, /etc/hosts
Se non trova niente, chiede al resolver ISP (es. 8.8.8.8) che fa il lavoro sporco
Il resolver risale la gerarchia: Root Server → TLD Server → Nameserver autoritativo
La risposta torna con un TTL - un timer che dice quanto tenerla in cache prima di richiederla

▶ $ history

nslookup example.com
nslookup -type=MX example.com
dig example.com
dig +trace example.com
dig -x 8.8.8.8

Ogni volta che scrivi un dominio nel browser e premi invio, parte una catena di eventi che la maggior parte delle persone non vede mai. Il risultato finale è un indirizzo IP - ma il percorso per arrivarci attraversa cache locali, server distribuiti in tutto il mondo e una gerarchia precisa.

chmod +s - il bit che dimentichi e l'attaccante trova

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

SUID forza l'EUID al proprietario del file al momento dell'esecuzione - se il proprietario è root, ogni utente che lo esegue ottiene EUID=0
Un interprete con SUID root (python3, perl, bash) è escalation immediata: nessuna vulnerabilità da sfruttare, nessun exploit da compilare
find / -perm -4000 -type f 2>/dev/null in 30 secondi elenca tutto quello che conta
Detection: baseline snapshot dei SUID in CI/CD + auditd rule su execve con euid=0 e auid!=unset

▶ $ history

find -perm -4000 -type f 2>/dev/null
stat /usr/bin/python3
id
cat /proc/self/status
python3 -c "import os; os.execl('/bin/sh', 'sh', '-p')"
auditctl -l
ausearch -m execve -k suid_exec
ls -la /usr/bin/python3

Sono le 02:41. Il SIEM ha alzato un flag su prod-api-03: processo root con parent python3, nessun deploy in corso, nessuna maintenance window schedulata. Il processo è già terminato quando apro il ticket. Non c'è output, non c'è file scritto. Solo un'esecuzione anomala durata undici secondi.

Il file che si comporta da root - capire il bit SUID

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

I permessi Linux normali controllano chi può eseguire un file - SUID cambia con quale identità viene eseguito
Un file con SUID root gira sempre come root, indipendentemente da chi lo avvia
Esistono per necessità (es. passwd deve scrivere /etc/shadow senza darti root)
Diventano pericolosi quando vengono impostati su file sbagliati - specialmente interpreti come python3 o bash

▶ $ history

ls -la /usr/bin/passwd
stat /usr/bin/passwd
find -perm -4000 -type f 2>/dev/null
id

Quando esegui un comando su Linux, il sistema controlla chi sei - il tuo user ID - e decide cosa puoi fare. È il modello di base: ogni processo eredita i permessi dell'utente che lo ha lanciato.

Il lucchetto verde - cosa succede davvero in quei 250 millisecondi

Sun, 22 Mar 2026 00:00:00 +0000

TL;DR

Prima del TLS c'è TCP: tre pacchetti solo per aprire il canale
ClientHello è il nome reale del messaggio - lo vedi in Wireshark, è nell'RFC
Browser e server derivano la stessa chiave senza mai trasmettersela (Diffie-Hellman)
Ogni sessione usa chiavi nuove e le butta via - anche se qualcuno ruba la chiave del server tra un anno, il traffico di oggi resta illeggibile

▶ $ history

openssl s_client -connect google.com:443 -showcerts
openssl s_client -connect dominio.com:443 2>/dev/null | openssl x509 -noout -dates
openssl s_client -connect google.com:443 </dev/null 2>/dev/null | openssl x509 -noout -text | grep -E "Subject|Issuer|Not After"

Ogni volta che scrivi https:// nel browser e premi invio, sullo sfondo succede qualcosa che la maggior parte degli sviluppatori web dà per scontato. Il lucchetto verde appare, la connessione è "sicura", si va avanti.

Chi Sei per il Kernel

Wed, 18 Mar 2026 00:00:00 +0000

TL;DR

Linux non lavora con nomi utente - lavora con numeri: UID e GID
Ogni file ha tre livelli di permessi: owner, group, others
Il bit SUID cambia le regole: il processo gira con i privilegi del proprietario del file, non di chi lo esegue
find / -perm -4000 trova tutti i binari SUID del sistema - un'occhiata vale sempre

▶ $ history

id
ls -la /usr/bin/passwd
find / -perm -4000 -type f 2>/dev/null
chmod u+s /path/to/file
chmod u-s /path/to/file
find / -perm -4000 -type f 2>/dev/null | grep -v -E "^/(usr/bin|usr/sbin|bin|sbin|usr/lib)"

Linux non sa chi sei. Sa solo il tuo numero.

Blog on u-random

Cisco Packet Tracer: La Rete che Protegge Se Stessa

Perche' questo lab #

Cisco Packet Tracer: Cinque Router, Una Catena, Nessun GPS

DLP e Wazuh

ESP cifra, AH no: IPsec visto dal vivo

Il Tunnel che Sceglie: Split vs Full VPN con WireGuard

Il Kernel Sospende il Giudizio

816 tentativi zero successi

Il Campo che Parlava Troppo

Il CEO Non Ha Scritto Quella Email

Il Fantasma nella Rete

Il Postino Lavora di Notte

Tutti Potevano Leggere Tutto

Le Autostrade di Internet

Il Gateway Sono Io

La Lettera che Cambia Busta

Il Processo che Non Dorme Mai

Cosa succede davvero sulla rete mentre il tuo codice gira

Offline. Non al buio.

Cancellato. Ma non abbastanza.

I file erano ancora lì. Solo che non li potevo più leggere.

Anatomia di una query DNS

chmod +s - il bit che dimentichi e l'attaccante trova

Il file che si comporta da root - capire il bit SUID

Il lucchetto verde - cosa succede davvero in quei 250 millisecondi

Chi Sei per il Kernel

Perche' questo lab
#