Il CEO Non Ha Scritto Quella Email

Tue, 19 May 2026 00:00:00 +0000

TL;DR

BEC (Business Email Compromise) non richiede malware - basta falsificare il campo From: in SMTP
SPF, DKIM e DMARC sono i tre record DNS che rendono verificabile l'identità del mittente
Un dominio senza questi tre record è impersonabile in cinque minuti da chiunque
Leggere gli header Received: di un'email dal basso verso l'alto rivela il percorso reale del messaggio

▶ $ history

dig TXT dominio.com
dig TXT _dmarc.dominio.com

Arianna gestisce i pagamenti. Quella mattina ha ricevuto un'email dal CEO: cambio fornitore urgente, nuovo IBAN, bonifico entro fine giornata. 47.000 euro. Il tono era quello di sempre - formale, diretto, niente spiegazioni superflue.

chmod +s - il bit che dimentichi e l'attaccante trova

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

SUID forza l'EUID al proprietario del file al momento dell'esecuzione - se il proprietario è root, ogni utente che lo esegue ottiene EUID=0
Un interprete con SUID root (python3, perl, bash) è escalation immediata: nessuna vulnerabilità da sfruttare, nessun exploit da compilare
find / -perm -4000 -type f 2>/dev/null in 30 secondi elenca tutto quello che conta
Detection: baseline snapshot dei SUID in CI/CD + auditd rule su execve con euid=0 e auid!=unset

▶ $ history

find -perm -4000 -type f 2>/dev/null
stat /usr/bin/python3
id
cat /proc/self/status
python3 -c "import os; os.execl('/bin/sh', 'sh', '-p')"
auditctl -l
ausearch -m execve -k suid_exec
ls -la /usr/bin/python3

Sono le 02:41. Il SIEM ha alzato un flag su prod-api-03: processo root con parent python3, nessun deploy in corso, nessuna maintenance window schedulata. Il processo è già terminato quando apro il ticket. Non c'è output, non c'è file scritto. Solo un'esecuzione anomala durata undici secondi.

Attacco on u-random

Il CEO Non Ha Scritto Quella Email

chmod +s - il bit che dimentichi e l'attaccante trova