Just another wannabe security blog
Introduzione La sicurezza dei server Linux è fondamentale per la protezione dei dati e la continuità del business. Auditd rappresenta un potente strumento per aumentare la visibilità e la profondità dei log di sistema, fornendo informazioni dettagliate sulle attività svolte sul server. In questo articolo, esploreremo il funzionamento di auditd e come utilizzarlo per rafforzare … Leggi tutto
Questo è quanto si legge nelle ultime 24 ore su tutti i siti di informazione Fortinet sta avvisando gli utenti di una nuova e critica vulnerabilità di esecuzione remota di codice (RCE) in FortiOS. Questa vulnerabilità potrebbe già essere sfruttata attivamente. Se sfruttata con successo, l’esecuzione remota di codice può compromettere l’integrità di dati e … Leggi tutto
Preambolo Da qualche giorno a questa parte sto notando un incremento esponenziale da parte di threat actors di sfruttare la vulnerabilità legata a Log4J. Sebbene non vi siano stati impatti ai sistemi è bene ricordare che, un modus operandi dei gruppi criminali, consiste nello scansionare periodicamente le risorse liberamente accessibili su internet, alla ricerca di … Leggi tutto
Prefazione Oggi vedremo cos’è sysdig, per cosa serve e perché è un alleato fenomenale se ti occupi di amministrazione server e/o di cybersecurity. Prima di addentrarci però nel dettaglio è bene avere ben chiaro un po’ di termini che andremo ad usare. Glossario MOK file I file MOK (Machine Owner Key) sono utilizzati in Linux … Leggi tutto
Qualche tempo fa scrissi un articolo su come creare regole per il blocco del traffico sui firewall Fortigate prendendo come sorgente una lista di feed pubblici. Disclaimer Lo script che segue è uno scraper da varie fonti autorevoli e liberamente accessibili tuttavia, per ovvie ragioni, non mi prendo la responsabilità di eventuali falsi positivi che … Leggi tutto
Premessa Nel corso del tempo abbiamo parlato tanto di hardening su sistemi Windows Server, un po’ meno di quello su sistemi Linux. Come ben sappiamo il concetto di hardening indica l’insieme di operazioni mirate sulla configurazione di un dato sistema informatico (e dei suoi componenti) che mirano a minimizzare l’impatto di possibili attacchi informatici. Pertanto, … Leggi tutto
Qualche giorno fa è apparso sul NIST una “curiosa” vulnerabilità legata ad una presunta Remote Code Execution del protocollo Internet Control Message Protocol (ICMP). Parliamo di presunta in quanto, come si legge dal sito, attualmente “This vulnerability is currently undergoing analysis and not all information is available.”
Premessa Nel marasma delle (dis)informazioni mediatiche sull’argomento ho notato come spesso si parla del problema e meno spesso di come questo funziona. Con questo articolo andrò, nella maniera più sintetica possibile, ad elencare come questo bug ad oggi viene sfruttato, calandoci il più possibile nelle fasi dell’attacco e quali sono le azioni di remediation che … Leggi tutto
Prefazione Raccogliere tutti i log necessari per fare auditing su server e workstation Windows è un processo necessario per la gestione di una corretta postura delle nostre infrastrutture e passa da un processo di configurazione mediante le Group Policy (o i criteri di gruppo locali se la macchina non fosse membro di un dominio) andando … Leggi tutto
In questi giorni ho deciso di implementare delle nuove policy di sicurezza sui firewall che ho in gestione. L’idea di fondo consiste nel creare degli oggetti partendo da dei feed pubblici, utilizzarli in specifiche regole per intercettare eventuale traffico in uscita (ma ovviamente si possono usare anche per il traffico in ingresso) ed infine loggare … Leggi tutto