Davide Russo

Siesta mentale — 03/06/2026: Chi sta preparando l'OSCP nel 2026? 🎯 Sto usando il corso PEN-200 di OffSec e devo dire che la quantità di materiale è impressionante. Il lab con 70+ macchine è quello che ti cambia davvero. Consiglio per chi inizia il percorso: 1. TryHackMe per 3-6 mesi 2. HackTheBox Starting Point 3. TCM Security (corso economico ottimo) 4. eJPT come certificazione intermedia 5. PEN-200 solo quando sei a tuo agio con Linux e scripting Non saltare i passaggi — l'OSCP non è per principianti. Qualcuno l'ha già preso? Consigli? 💬 #OSCP #PenTest #Certificazioni 👉 Linux per principianti: prime mosse 👉 Guida alle criptovalute per principianti: investire in modo responsabile

Siesta mentale — 03/06/2026: ISC2 CC: la certificazione cybersecurity GRATUITA ceh non sai ancora 🎓 Se vuoi iniziare nel mondo della cybersecurity e non sai da dove partire, l'ISC2 CC (Certified in Cybersecurity) è: ✅ Gratuita (esame incluso — programma speciale ISC2) ✅ Riconosciuta globalmente (ISC2 è l'ente del CISSP, la cert piu rispettata al mondo) ✅ Entry-level, nessun prerequisito ✅ Copre: security concepts, network security, access control, incident response **Come ottenerla:** 1. Crea account su isc2.org 2. Studia il materiale gratuito disponibile 3. Prenota l'esame online (Pearson VUE) 4. Passa l'esame di 100 domande in 2 ore È un ottimo biglietto da visita per il CV prima di passare a Security+ o eJPT. L'avete già? 👇 👉 Guida alla certificazione eJPT: percorso di studio e consigli 👉 eJPT vs CompTIA Security+: quale certificazione scegliere nel 2026?

📊 Sondaggio: Hai un home lab per praticare? Vota qui sotto! 👇 👉 Dark web: cosa c'è davvero lì sotto e come monitorarlo per la tua sicurezza

Come sempre, aggiornarsi è fondamentale 🛡️ 📰 **Volkswagen blocca l'accesso ai dati delle auto: "I tuoi dati non sono tuoi". Eppure l'Europa lo vieta** 🔗 https://www.dmove.it/reportage/volkswagen-blocca-laccesso-ai-dati-delle-auto-i-tuoi-dati-non-sono-tuoi-eppure-leuropa-lo-vieta _via DDay.it — 03/06/2026_

CVE o no, il punto è sempre lo stesso: patch subito 🔧 📰 **Abbandonare Google e Microsoft è possibile? Le 4 alternative 100% europee che puntano su privacy e sovranità digitale** 🔗 https://www.dday.it/redazione/57597/abbandonare-google-e-microsoft-e-possibile-le-4-alternative-100-europee-che-puntano-su-privacy-e-sovranita-digitale _via DDay.it — 03/06/2026_

Da tenere d'occhio 🔐 📰 **Trump mette le IA più potenti sotto scrutinio volontario, ma chi resta fuori rischia conseguenze** 🔗 https://www.dday.it/redazione/57607/trump-mette-le-ia-piu-potenti-sotto-scrutinio-volontario-ma-chi-resta-fuori-rischia-conseguenze _via DDay.it — 03/06/2026_ 😅

Il problema della cybersecurity in Italia secondo me: Non mancano i talenti. Mancano le opportunità di formazione accessibili e la cultura della sicurezza nelle aziende. Numeri preoccupanti: - Solo il 3% delle PMI italiane ha un piano di incident response - Il GDPR è in vigore dal 2018 ma molte aziende non sono ancroa conformi - I ransomware colpiscono sempre più strutture sanitarie e pubbliche La soluzione non è solo tecnica — è culturale. La cybersecurity deve diventare parte del processo, non un pensiero a posteriori. Voi come la vedete? Lavorate in aziende che prendono la sicurezza sul serio? 🤔

Writeup: HackTheBox Starting Point — Tier 0 completo 🎯 Ho completato tutte le macchine del Tier 0 di HTB Starting Point. Ecco i concetti principali che ho consolidato: **Meow** — Telnet (sì, esiste ancora), credenziali di default **Fawn** — FTP anonimo, file download **Dancing** — SMB, smbclient, share enumeration **Redeemer** — Redis, database non autenticato **Explosion** — RDP, credenziali di default **Preignition** — Directory enumeration, default admin panel **Lezione principale:** le credenziali di default e i servizi non protetti sono ancora tra le vulnerabilità più comuni nel mondo reale. Basic != non importante. Inizia da qui se sei alle prime armi con HTB! 💪 #HackTheBox #CTF #EthicalHacking Qualcuno ha la stessa esperienza? 👉 Web Enumeration: gobuster e ffuf 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore

Da tenere d'occhio 🔐 📰 **Basta chiedere al chatbot: come gli hacker hanno usato Meta AI per rubare account Instagram** 🔗 https://www.cybersecurity360.it/news/basta-chiedere-al-chatbot-come-gli-hacker-hanno-usato-meta-ai-per-rubare-account-instagram/ _via Cybersecurity360 — 03/06/2026_

Password security: perché il tuo hash MD5 non vale niente 🔑 ```bash # Hashcat crack MD5 con wordlist hashcat -m 0 hash.txt rockyou.txt # Tempo stimato per crack MD5 'password123': # < 1 secondo su GPU moderna ``` MD5 e SHA1 sono **rotti per le password**. Non per un difetto teorico — per la velocità di crack. **Come storare password correttamente:** ✅ bcrypt (cost factor ≥ 12) ✅ Argon2id (winner of Password Hashing Competition) ✅ scrypt Tutti e tre sono lenti by design — aumentano il costo del brute force. **Per sviluppatori PHP:** `password_hash($pass, PASSWORD_BCRYPT)` — gia implementato e sicuro. Hai app in produzione con MD5? Migra subito! 🚨 #Passwords #CyberSecurity #WebSecurity 👉 Il AI Act europeo: cosa cambia per aziende e sviluppatori 👉 Come fate onboarding dei nuovi sviluppatori nel team?

Social Engineering — la vulnerabilità umana 🎭 Il 90% degli attacchi informatici inizia con qualcosa di non tecnico: la manipolazione delle persone. **Tecniche comuni:** 🎣 Phishing — email false che sembrano legittime 📞 Vishing — phishing telefonico 💬 Smishing — phishing via SMS 🎁 Baiting — chiavette USB infette lasciate in giro 🤝 Pretexting — fingersi qualcuno di autorizzato **Come difendersi:** - Verifica sempre l'identità prima di dare accesso - Non aprire allegati da mittenti sconosciuti - MFA ovunque — riduce drasticamente il rischio - Formazione continua del personale Il firewall più potente è una persona informata. 🧠 👉 Reverse Engineering: analizzare un binario

Pausa pranzo, ne approfitto per: Spiegazione semplice di SQL Injection per principianti 🕸️ Imagina un form di login: ```sql SELECT * FROM users WHERE username='INPUT' AND password='PASS' ``` Se inserisci come username: `' OR '1'='1` La query diventa: ```sql SELECT * FROM users WHERE username='' OR '1'='1' AND password='' ``` Poiché '1'='1' è sempre vero, accedi senza password 😱 **Come difendersi:** - Prepared statements / parametrized queries - Input validation - Principio del minimo privilegio per il DB user **Dove praticare legalmente:** DVWA, WebGoat, PortSwigger Academy Non provate mai questo su siti reali — è illegale! ⚠️ 👉 Linux per principianti: prime mosse 👉 Guida completa per iniziare con TryHackMe — percorso per principianti

📊 Sondaggio: Quale certificazione vuoi ottenere entro il 2026? Vota qui sotto! 👇

Interessante sviluppo nel mondo della sicurezza 👀 📰 **Google: “Dal DMA gravi rischi per la sicurezza. L'architettura di Android deve essere cambiata da ingegneri, non da burocrati"** 🔗 https://www.dday.it/redazione/57601/google-dal-dma-gravi-rischi-per-la-sicurezza-larchitettura-di-android-deve-essere-cambiata-da-ingegneri-non-da-burocrati _via DDay.it — 03/06/2026_ 👉 Configurare il router: sicurezza base 👉 Certificazioni di sicurezza: quali contano davvero?

CVE o no, il punto è sempre lo stesso: patch subito 🔧 📰 **Quando l’Intelligenza artificiale sceglie se, quando e come attaccare** 🔗 https://www.cybersecurity360.it/outlook/quando-lintelligenza-artificiale-sceglie-se-quando-e-come-attaccare/ _via Cybersecurity360 — 03/06/2026_ 👀

CTFtime.org — come partecipare alle competizioni di CTF 🚩 Le CTF (Capture The Flag) sono competizioni di hacking etico dove risolvi sfide per trovare 'flag' nascoste. **Categorie tipiche:** 🕸️ Web — SQL injection, XSS, auth bypass 🔐 Crypto — decrypt message, crypto challenges 🔍 Forensics — analisi file, steganografia 💻 Pwn — binary exploitation 🔄 Reversing — decompilare e capire binari 🔎 OSINT — raccolta info da fonti pubbliche **Come iniziare:** 1. Crea account su CTFtime.org 2. Cerca CTF 'beginner friendly' nel calendario 3. picoCTF è perfetta per chi inizia (sempre disponibile) 4. Unisciti a un team — si impara mlt di più **Mentalità giusta:** non preoccuparti di nn risolvere tutto. Ogni sfida che studi ti insegna qualcoas 👉 Corso Hacking Etico #5: Exploitation con Metasploit 👉 Corso Hacking Etico #5 — Exploitation base con Metasploit Framework

Wireshark per capire il networking reale 🔬 Wireshark è il migliore strumento per capire DAVVERO come funziona il networking. Non solo teoria — pacchetti reali. **Filtri utili:** ``` # Solo traffico HTTP http # Conversazioni TCP con un host ip.addr == 192.168.1.1 # Solo handshake TLS tls.handshake # Credenziali HTTP in chiaro (sì, esistono ancora!) http.request.method == 'POST' # DNS queries dns.flags.response == 0 ``` **Cosa analizzare legalmente:** - Traffico sulla tua rete domestica - Macchine virtuali nel tuo lab - Capture file su TryHackMe/HTB ⚠️ Non catturare mai traffico di reti altrui — è reato! 🔐 #Wireshark #Networking #EthicalHacking Commenti? 👉 Docker networking: bridge, host, overlay e traefik reverse proxy 👉 Wireshark masterclass: analizzare il traffico di rete come un pro

📊 Sondaggio: Quale certificazione vuoi ottenere entro il 2026? Vota qui sotto! 👇

Social Engineering — la vulnerabilità umana 🎭 Il 90% degli attacchi informatici inizia con qualcosa di non tecnico: la manipolazione delle persone. **Tecniche comuni:** 🎣 Phishing — email false che sembrano legittime 📞 Vishing — phishing telefonico 💬 Smishing — phishing via SMS 🎁 Baiting — chiavette USB infette lasciate in giro 🤝 Pretexting — fingersi qualcuno di autorizzato **Come difendersi:** - Verifica sempre l'identità prima di dare accesso - Non aprire allegati da mittenti sconosciuti - MFA ovunque — riduce drasticamente il rischio - Formazione continua del personale Il firewall più potente è una persona informata. 🧠 #SocialEngineering #Phishing #CyberAwareness 👉 Reverse Engineering: analizzare un binario

Ho appena completato la room 'Basic Pentesting' su TryHackMe 🎯 Il percorso: enum iniziale con nmap → trovato servizio SMB vulnerabile → credenziali deboli → accesso SSH → privilege escalation via SUID binaries. La cosa più importante che ho imparato: l'enumerazione è Ttutto Il 70% del pentesting è capire cosa c'è di fronte a te. Gli strumenti vengono dopo. **Tool usati:** nmap, enum4linux, hydra, LinPEAS Ricorda: SOLO su macchine autorizzate! ⚖️ 👉 Wireshark — Lezione 3: Intercettare Credenziali e Sessioni 👉 Writeup completo: macchina TryHackMe "Basic Pentesting" — passo per passo