Blog

47.000 euro stavano per partire verso un conto svizzero. Analizzare gli header dell'email rivela un BEC costruito su un dominio senza SPF, senza DKIM, senza DMARC.

Un form di login su un'applicazione interna. Tre minuti di test e il database risponde a domande che non avrebbe dovuto sentire.

Come funziona BGP, cosa sono gli Autonomous Systems e perché un SOC analyst deve saper leggere un ASN per classificare un IP sospetto.

ARP poisoning in laboratorio: come avvelenare una cache ARP, intercettare il traffico e riconoscere la firma del MITM in Wireshark.

Come un pacchetto raggiunge Google in 14 salti: IP, MAC address e perché sono due cose completamente diverse.

Un alert alle 2:47 di notte. Un processo bash che non dovrebbe esistere. E una connessione aperta verso l'esterno.

Un developer apre tcpdump per la prima volta e vede il TCP handshake dal vivo - SYN, SYN+ACK, ACK, PUSH, RST. Tutto quello che succede sulla rete prima che arrivi anche un solo byte di risposta.

Su un server sconosciuto senza internet, quattro strumenti già installati sostituiscono qualsiasi motore di ricerca - e sono più affidabili.

Un account compare di notte, tenta l'escalation tre volte, poi sparisce - ma auth.log, gli orphaned file e il .bash_history raccontano tutto quello che è successo prima.

Un ransomware in produzione, una richiesta in Bitcoin, e tre lettere - C, I, A - che spiegano tutto quello che è andato storto quella notte.