Davide Russo

Dopo lavoro: Perché studiare crittografia se fai pentesting? 🔐 Perché il 30% delle vulnerabilità reali riguarda l'uso sbagliato della crittografia: ❌ MD5/SHA1 per password (crackabili facilmente con hashcat) ❌ Chiavi hardcoded nel codice sorgente ❌ TLS 1.0/1.1 ancora in uso ❌ Certificati self-signed in produzione ❌ ECB mode per la cifratura simmetrica Conoscere la crittografia ti permette di identificare questi problemi durante un pentest. **Risorse per imparare:** - Cryptohack.org (piattaforma gamificata, gratuita) - TryHackMe — Encryption - Crypto 101 - Serious Cryptography (libro di Jean-Philippe Aumasson) #Cryptography #CyberSecurity #EthicalHacking Condividete se lo trovate utile 🙏 👉 Crittografia pratica: GPG, certificati SSL e hashing 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore

Bug Bounty — come iniziare in modo responsabile 🏆 Il bug bounty è il modo in cui le aziende pagano i ricercatori per trovare vulnerabilità nei loro sistemi. **Piattaforme principali:** - HackerOne - Bugcrowd - Intigriti (molto attiva in Europa) **Prima di iniziare:** 1. Studia le basi — non improvvisare 2. Leggi attentamente il scope del programma 3. Non testare mai fuori scope 4. Divulgazione responsabile sempre **Errore comune:** pensare che 'tanto sono bug bounty, posso frae quello che voglio'. NO — ogni programma ha regole precise. Violarle può portare a conseguenze legali. Prima dei bug bounty: TryHackMe + HackTheBox per almeno 6 mesi. 💯 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Social Engineering — la vulnerabilità umana 🎭 Il 90% degli attacchi informatici inizia con qualcosa di nn tecnico: la manipolazione delle persone. **Tecniche comuni:** 🎣 Phishing — email false che sembrano legittime 📞 Vishing — phishing telefonico 💬 Smishing — phishing via SMS 🎁 Baiting — chiavette USB infette lasciate in giro 🤝 Pretexting — fingersi qualcuno di autorizzato **Come difendersi:** - Verifica sempre l'identità prima di dare accesso - Non aprire allegati da mittenti sconosciuti - MFA ovunque — riduce drasticamente il rischio - Formazione continua del personale Il firewall più potente è una persona informata. 🧠 Commenti? 👉 Reverse Engineering: analizzare un binario

Ne parliamo anch noi. La sicurezza non va mai in vacanza. 📰 **Creare giochi 3D partendo da luoghi reali in Street View: Genie 3 evolve e “scende in strada”** 🔗 https://www.dday.it/redazione/57483/creare-giochi-3d-partendo-da-luoghi-reali-in-street-view-genie-3-evolve-e-scende-in-strada _via DDay.it — 20/05/2026_ 👉 Configurare il router: sicurezza base 👉 Zero Trust Architecture: il modello di sicurezza per il lavoro ibrido

Come sempre, aggiornarsi è fondamentale 🛡️ 📰 **Gemini Spark è l’agente di Google che promette di fare davvero da assistente personale** 🔗 https://www.dday.it/redazione/57480/gemini-spark-e-lagente-di-google-che-promette-di-fare-davvero-da-assistente-personale _via DDay.it — 20/05/2026_

Ancora una volta la cybersec fa notizia... 📰 **CalPhishing: quando il phishing entra nel calendario aziendale** 🔗 https://www.cybersecurity360.it/news/calphishing-quando-il-phishing-entra-nel-calendario-aziendale/ _via Cybersecurity360 — 20/05/2026_

Ne parliamo anche noi. La sicurezza non va mai in vacanza. 📰 **Da Mozilla a NordVPN: guida alle soluzioni VPN per Firefox tra cifratura del browser e suite enterprise** 🔗 https://www.cybersecurity360.it/cultura-cyber/da-mozilla-a-nordvpn-guida-alle-soluzioni-vpn-per-firefox-tra-cifratura-del-browser-e-suite-enterprise/ _via Cybersecurity360 — 20/05/2026_ 👉 Configurare il router: sicurezza base 👉 Zero Trust Architecture: il modello di sicurezza per il lavoro ibrido

Pomeriggio 20/05 — pensiero veloce: Writeup: HackTheBox Starting Point — Tier 0 completo 🎯 Ho completato tutte le macchine del Tier 0 di HTB Starting Point. Ecco i concetti principali che ho consolidato: **Meow** — Telnet (sì, esiste ancora), credenziali di default **Fawn** — FTP anonimo, file download **Dancing** — SMB, smbclient, share enumeration **Redeemer** — Redis, database non autenticato **Explosion** — RDP, credenziali di default **Preignition** — Directory enumeration, default admin panel **Lezione principale:** le credenziali di default e i servizi non protetti sono ancora tra le vulnerabilità più comuni nel mondo reale. Basic != non importante. Inizia da qui se sei alle prime armi con HTB! 💪 #HackTheBox #CTF #EthicalHacking 👉 Web Enumeration: gobuster e ffuf 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore

Il problema della cybersecurity in Italia secondo me: Non mancano i talenti. Mancano le opportunità di formazione accessibili e la cultura della sicurezza nelle aziende. Numeri preoccupanti: - Solo il 3% delle PMI italiane ha un piano di incident response - Il GDPR è in vigore dal 2018 ma molte aziende non sono ancora conformi - I ransomware colpiscono sempre più strutture sanitarie e pubbliche La soluzione non è solo tecnica — è culturale. La cybersecurity deve diventare parte del processo, non un pensiero a posteriori. Voi come la vedete? Lavorate in aziende che prendono la sicurezza sul serio? 🤔 #CyberSecurity #Italia

Bug Bounty — come iniziare in modo responsabile 🏆 Il bug bounty è il modo in cui le aziende pagano i ricercatori per trovare vulnerabilità nei loro sistemi. **Piattaforme principali:** - HackerOne - Bugcrowd - Intigriti (molto attiva in Europa) **Prima di iniziare:** 1. Studia le basi — non improvvisare 2. Leggi attentamente il scope del programma 3. Non testare mai fuori scope 4. Divulgazione responsabile sempre **Errore comune:** pensare che 'tanto sono bug bounty, posso frae quello che voglio'. NO — ogni programma ha regole precise. Violarle può portare a conseguenze legali. Prima dei bug bounty: TryHackMe + HackTheBox per almeno 6 mesi. Qualcuno ha avuto esperienze simili? 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

CVE o no, il punto è sempre lo stesso: patch subito 🔧 📰 **Addio vecchio Google, ora la ricerca in Internet è in mano all’IA** 🔗 https://www.dday.it/redazione/57474/addio-vecchio-google-ora-la-ricerca-in-internet-e-in-mano-allia _via DDay.it — 20/05/2026_

CVE o no, il punto è sempre lo stesso: patch subito 🔧 📰 **Svelata la gamma X60 Pro di Dreame. E Cyber X non è più un concept: sale le scale da solo** 🔗 https://www.dday.it/redazione/57473/svelata-la-gamma-x60-pro-di-dreame-e-cyber-x-non-e-piu-un-concept-sale-le-scale-da-solo _via DDay.it — 20/05/2026_

CVE o no, il punto è sempre lo stesso: patch sbuito 🔧 📰 **Cybersecurity360 Awards 2026: come cambia la governance tra CIO, CISO e Board nell’era dell’AI** 🔗 https://www.cybersecurity360.it/cultura-cyber/cybersecurity360-awards-2026-come-cambia-la-governance-tra-cio-ciso-e-board-nellera-dellai/ _via Cybersecurity360 — 20/05/2026_

Chi sta preparando l'OSCP nel 2026? 🎯 Sto usando il corso PEN-200 di OffSec e devo dire che la quantità di materiale è impressionante. Il lab con 70+ macchine è quello che ti cambia davvero. Consiglio per chi inizia il percorso: 1. TryHackMe per 3-6 mesi 2. HackTheBox Starting Point 3. TCM Security (corso economico ottimo) 4. eJPT come certificazione intermedia 5. PEN-200 solo quando sei a tuo agio con Linux e scripting Non saltare i passaggi — l'OSCP non è per principianti. Qualcuno l'ha già preso? Consigli? 💬 👉 Linux per principianti: prime mosse 👉 Guida alle criptovalute per principianti: investire in modo responsabile

Ho appena completato la room 'Basic Pentesting' su TryHackMe 🎯 Il percorso: enum iniziale con nmap → trovato servizio SMB vulnerabile → credenziali deboli → accesso SSH → privilege escalation via SUID binaries. La cosa più importante che ho imparato: l'enumerazione è TUTTO. Il 70% del pentesting è capire cosa c'è di fronte a te. Gli strumenti vengono dopo. **Tool usati:** nmap, enum4linux, hydra, LinPEAS Ricorda: SOLO su macchine autorizzate! ⚖️ Voi cosa ne pensate? 👉 Wireshark — Lezione 3: Intercettare Credenziali e Sessioni 👉 Writeup completo: macchina TryHackMe "Basic Pentesting" — passo per passo

Come sempre, aggiornarsi è fondamentale 🛡️ 📰 **Gemini 3.5 Flash è il modello ke fa da pilastro all’era agentica di Google** 🔗 https://www.dday.it/redazione/57468/gemini-35-flash-e-il-modello-che-fa-da-pilastro-allera-agentica-di-google _via DDay.it — 20/05/2026_ Qualcuno ha la stessa esperienza?

Password security: perché il tuo hash MD5 non vale niente 🔑 ```bash # Hashcat crack MD5 con wordlist hashcat -m 0 hash.txt rockyou.txt # Tempo stimato per crack MD5 'password123': # < 1 secondo su GPU moderna ``` MD5 e SHA1 sono **rotti per le password**. Non per un difetto teorico — per la velocità di crack. **Come storare password correttamente:** ✅ bcrypt (cost factor ≥ 12) ✅ Argon2id (winner of Password Hashing Competition) ✅ scrypt Tutti e tre sono lenti by design — aumentano il costo del brute force. **Per sviluppatori PHP:** `password_hash($pass, PASSWORD_BCRYPT)` — già implementato e sicuro. Hai app in produzione con MD5? Migra subito! 🚨 👉 Il AI Act europeo: cosa cambia per aziende e sviluppatori

Mentre aspetto che la build finisca: Perché ogni developer dovrebbe conoscere il OWASP Top 10 🕸️ Non sei un pentester? Non importa. Se scrivi codice web, il OWASP Top 10 ti riguarda direttamente. **Le vulnerabilità più costose del 2024-2025:** 1. **SQL Injection** — ancora presente nel 2026, incredibile 2. **Broken Auth** — sessioni deboli, password senza rate limiting 3. **XSS** — input non sanificato che esegue JS 4. **IDOR** — accesso diretto a oggetti altrui (/user/123 → /user/124) 5. **Security Misconfig** — debug mode, default creds, exposed .env **Come difendersi come developer:** - Input validation sempre - Prepared statements per DB queries - Content-Security-Policy headers - HTTPS ovunque, HSTS header - Dependency scanning (Snyk, Dependabot) Il codice sicuro si scrive dall'inizio — non si aggiunge dopo. 🔐 #OWASP #WebSecurity #SecureCode 👉 SQL Injection — Lezione 5: Difendersi dalla SQL Injection 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Interessante sviluppo nel mondo della sicurezza 👀 📰 **Perché anche la leadership IT espone le aziende al phishing. E non solo** 🔗 https://www.cybersecurity360.it/outlook/perche-anche-la-leadership-it-espone-le-aziende-al-phishing-e-non-solo/ _via Cybersecurity360 — 20/05/2026_ Voi cosa ne pensate? 👉 Configurare il router: sicurezza base 👉 Il AI Act europeo: cosa cambia per aziende e sviluppatori

Il problema della cybersecurity in Italia secondo me: Non mancano i talenti. Mancano le opportunità di formazione accessibili e la cultura della sicurezza nelle aziende. Numeri preoccupanti: - Solo il 3% delle PMI italiane ha un piano di incident response - Il GDPR è in vigore dal 2018 ma molte aziende non sono ancora conformi - I ransomware colpiscono sempre più strutture sanitarie e pubbliche La soluzione non è solo tecnica — è culturale. La cybersecurity deve diventare parte del processo, non un pensiero a posteriori. Voi come la vedete? Lavorate in aziende che prendono la sicurezza sul serio? 🤔