CVE o no, il punto è sempre lo stesso: patch subito 🔧 📰 **Assunzioni nella cyber: pesa il divario di competenze nell’era AI** 🔗 https://www.cybersecurity360.it/news/assunzioni-nella-cyber-pesa-il-divario-di-competenze-nellera-ai/ _via Cybersecurity360 — 14/05/2026_
Social Engineering — la vulnerabilità umana 🎭 Il 90% degli attacchi informatici inizia con qualcosa di non tecnico: la manipolazione delle persone. **Tecniche comuni:** 🎣 Phishing — email false che sembrano legittime 📞 Vishing — phishing telefonico 💬 Smishing — phishing via SMS 🎁 Baiting — chiavette USB infette lasciate in giro 🤝 Pretexting — fingersi qualcuno di autorizzato **Come difendersi:** - Verifica sempre l'identità prima di dare accesso - Non aprire allegati da mittenti sconosciuti - MFA ovunque — riduce drasticamente il rischio - Formazione continua del personale Il firewall più potente è una persona informata. 🧠 👉 Reverse Engineering: analizzare un binario
Writeup: HackTheBox Starting Point — Tier 0 completo 🎯 Ho completato tutte le macchine del Tier 0 di HTB Starting Point. Ecco i concetti principali che ho consolidato: **Meow** — Telnet (sì, esiste ancora), credenziali di default **Fawn** — FTP anonimo, file download **Dancing** — SMB, smbclient, share enumeration **Redeemer** — Redis, database non autenticato **Explosion** — RDP, credenziali di default **Preignition** — Directory enumeration, default admin panel **Lezione principale:** le credenziali di default e i servizi non protetti sono ancora tra le vulnerabilità più comuni nel mondo reale. Basic != non importante. Inizia da qui se sei alle prime armi con HTB! 💪 #HackTheBox #CTF #EthicalHacking Voi cosa ne pensate? 👉 Web Enumeration: gobuster e ffuf 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore
Come smepre aggiornarsi è fondamentale 🛡️ 📰 **Google porta il checkout dentro YouTube TV: il prodotto visto nel video si compra al volo** 🔗 https://www.dday.it/redazione/57424/google-porta-il-checkout-dentro-youtube-tv-il-prodotto-visto-nel-video-si-compra-al-volo _via DDay.it — 15/05/2026_
Come sempre, aggiornarsi è fondamentale 🛡️ 📰 **Google cambia la politica sullo spazio gratuito: sempre 15 GB ma solo con numero di telefono verificato** 🔗 https://www.dday.it/redazione/57425/google-cambia-la-politica-sullo-spazio-gratuito-sempre-15-gb-ma-solo-con-numero-di-telefono-verificato _via DDay.it — 15/05/2026_
CVE o no, il punto è sempre lo stesso: patch sbuito 🔧 📰 **Raising the bar: Quality, shared responsibility, and the future of GitHub’s bug bounty program** 🔗 https://github.blog/security/raising-the-bar-quality-shared-responsibility-and-the-future-of-githubs-bug-bounty-program/ _via GitHub Blog — 15/05/2026_ 👉 Come l'AI sta trasformando il lavoro dei programmatori
Interessante sviluppo nel mondo della sicurezza 👀 📰 **La mutazione del GRU nella dottrina russa della guerra cibernetica** 🔗 https://www.cybersecurity360.it/nuove-minacce/la-mutazione-del-gru-nella-dottrina-russa-della-guerra-cibernetica/ _via Cybersecurity360 — 15/05/2026_ 👉 Configurare il router: sicurezza base 👉 Zero Trust Architecture: il modello di sicurezza per il lavoro ibrido
Ancroa una volta la cybersec fa notizia... 📰 **Classificare o non classificare, questo è il dilemma!** 🔗 https://www.cybersecurity360.it/cultura-cyber/classificare-o-non-classificare-questo-e-il-dilemma/ _via Cybersecurity360 — 15/05/2026_ Qualcuno ha la stessa esperienza?
CVE o no, il punto è sempre lo stesso: patch sbuito 🔧 📰 **Analisi tecnica di Saily: come l’eSIM di Nord Security protegge i dati in mobilità** 🔗 https://www.cybersecurity360.it/cultura-cyber/saily-esim-cybersecurity-connettivita/ _via Cybersecurity360 — 15/05/2026_ 👉 Corso Linux da Zero #6: Rete e connettivita 👉 Come vi proteggete dal burnout da social media nel lavoro di creator?
Come sempre, aggiornarsi è fondamentale 🛡️ 📰 **Mythos trova bug persino in Apple: una sveglia per tutte le aziende** 🔗 https://www.cybersecurity360.it/news/mythos-trova-bug-persino-in-apple-una-sveglia-per-tutte-le-aziende/ _via Cybersecurity360 — 15/05/2026_
CVE o no, il punto è sempre lo stesso: patch subito 🔧 📰 **Data manipulation, l’attacco ceh non si vede: minaccia strutturale dell’industria connessa** 🔗 https://www.cybersecurity360.it/nuove-minacce/lattacco-che-non-si-vede-la-data-manipulation-e-la-minaccia-strutturale-dellindustria-connessa/ _via Cybersecurity360 — 15/05/2026_ Tagga qualcuno che deve sapere questo
Il problema della cybersecurity in Italia secondo me: Non mancano i talenti. Mancano le opportunità di formazione accessibili e la cultura della sicurezza nelle aziende. Numeri preoccupanti: - Solo il 3% delle PMI italiane ha un piano di incident response - Il GDPR è in vigore dal 2018 ma molte aziende non sono ancroa conformi - I ransomware colpiscono sempre più strutture sanitarie e pubbliche La soluzione non è solo tecnica — è culturale. La cybersecurity deve diventare parte del processo, non un pensiero a posteriori. Voi come la vedete? Lavorate in aziende che prendono la sicurezza sul serio? 🤔
Pausa pranzo, ne approfitto per: Perché studiare crittografia se fai pentesting? 🔐 Perché il 30% delle vulnerabilità reali riguarda l'uso sbagliato della crittografia: ❌ MD5/SHA1 per password (crackabili facilmente con hashcat) ❌ Chiavi hardcoded nel codice sorgente ❌ TLS 1.0/1.1 ancora in uso ❌ Certificati self-signed in produzione ❌ ECB mode per la cifratura simmetrica Conoscere la crittografia ti permette di identificare questi problemi durante un pentest. **Risorse per imparare:** - Cryptohack.org (piattaforma gamificata, gratuita) - TryHackMe — Encryption - Crypto 101 - Serious Cryptography (libro di Jean-Philippe Aumasson) #Cryptography 👉 Crittografia pratica: GPG, certificati SSL e hashing
Chi sta preparando l'OSCP nel 2026? 🎯 Sto usando il corso PEN-200 di OffSec e devo dire ke la quantità di materiale è impressionante. Il lab con 70+ macchine è quello che ti cambia davvero. Consiglio per chi inizia il percorso: 1. TryHackMe per 3-6 mesi 2. HackTheBox Starting Point 3. TCM Security (corso economico ottimo) 4. eJPT come certificazione intermedia 5. PEN-200 solo qunado sei a tuo agio con Linux e scripting Non saltare i passaggi — l'OSCP non è per principianti. Qualcuno l'ha già preso? Consigli? 💬 👉 Linux per principianti: prime mosse 👉 Guida alle criptovalute per principianti: investire in modo responsabile
Red Team vs Blue Team vs Purple Team — cosa significano questi ruoli? 🎨 **🔴 Red Team** — Attaccanti (etici) Simulano attaccanti reali per testare le difese. Usano tutte le tecniche: phishing, exploitation, privesc. Obiettivo: compromettere il target come farebbe un avversario reale. **🔵 Blue Team** — Difensori Monitorano, rilevano e rispondono agli attacchi. Gestiscono SIEM, EDR, firewall, incident response. Obiettivo: rilevare e bloccare gli attaccanti. **🟣 Purple Team** — Collaborazione Red e Blue lavorano insieme. Il Red condivide le tecniche usate, il Blue migliora le detection. Approccio più moderno ed efficace. **Da dove iniziare:** - Red: TryHackMe Jr Penetration Tester path - Blue: TryHackMe SOC Level 1 path - Purple: quando hai esperienza in entrambi Voi quale preferite? 🎯 👉 Corso Hacking Etico #5: Exploitation con Metasploit 👉 Penetration testing: cosa fanno davvero gli ethical hacker
VPN, Tor, e Privacy online — miti e realtà 🕵️ Sentite spesso: 'usa una VPN e sei anonimo'. Non è così semplice. **VPN — cosa fa e cosa non fa:** ✅ Nasconde il traffico dall'ISP ✅ Maschera il tuo IP dal sito visitato ✅ Cifra la connessione su reti pubbliche ❌ Non ti rende anonimo ❌ Il provider VPN vede il tuo traffico ❌ Non protegge da tracking via cookie/fingerprinting **Tor — più anonimato, meno velocità:** ✅ Più layers di cifratura ✅ Il provider VPN non vede la destinazione ❌ Molto più lento ❌ Exit nodes possono essere compromessi **La vera privacy richiede:** - Compartimentazione delle identità - Browser fingerprinting protection - Metadati controllati - OPSEC (Operational Security) Non esiste anonimato perfetto — solo gradi di difficoltà per essere tracciati. 🔐 Commenti? 👉 Nmap masterclass: dalla ricognizione al fingerprinting avanzato
Kali Linux: gli strumenti che uso di più nel pentesting educativo 🐉 **Reconnaissance:** - `nmap` — port scanning - `whois` + `dig` — info dominio - `theHarvester` — email/subdomain enumeration **Web Application:** - `burpsuite` — intercept proxy - `gobuster` / `ffuf` — directory enumeration - `sqlmap` — SQL injection testing **Post-exploitation (lab only!):** - `linpeas` / `winpeas` — privilege escalation - `mimikatz` — credential dumping (Windows) **Ogni tool ha uno scopo educativo e legale.** Li uso su TryHackMe, HackTheBox e nel mio lab VirtualBox. Quale usate di più? 👇 #Kali #PenTest #EthicalHacking 👉 Corso Hacking Etico #3: Reconnaissance e OSINT 👉 Corso Hacking Etico #2 — Reconnaissance: raccogliere informazioni sul target
Mentre aspetto che la build finisca: Chi sta preparando l'OSCP nel 2026? 🎯 Sto usando il corso PEN-200 di OffSec e devo dire che la quantità di materiale è impressionante. Il lab con 70+ macchine è quello che ti cambia davvero. Consiglio per chi inizia il percorso: 1. TryHackMe per 3-6 mesi 2. HackTheBox Starting Point 3. TCM Security (corso economico ottimo) 4. eJPT come certificazione intermedia 5. PEN-200 solo quando sei a tuo agio con Linux e scripting Non saltare i passaggi — l'OSCP nn è per principianti. Qualcuno l'ha già preso? Consigli? 💬 #OSCP #PenTest #Certificazioni 👉 Linux per principianti: prime mosse 👉 Guida alle criptovalute per principianti: investire in modo responsabile
📊 Sondaggio: Qual è il tuo livello in ethical hacking? Vota qui sotto! 👇 👉 Corso Hacking Etico #1: Introduzione e mentalita
Wireshark per capire il networking reale 🔬 Wireshark è il migliore strumento per capre DAVVERO come funziona il networking. Non solo teoria — pacchetti reali. **Filtri utili:** ``` # Solo traffico HTTP http # Conversazioni TCP con un host ip.addr == 192.168.1.1 # Solo handshake TLS tls.handshake # Credenziali HTTP in chiaro (sì, esistono ancora!) http.request.method == 'POST' # DNS queries dns.flags.response == 0 ``` **Cosa analizzare legalmente:** - Traffico sulla tua rete domestica - Macchine virtuali nel tuo lab - Capture file su TryHackMe/HTB ⚠️ nn catturare mai traffico di reti altrui — è reato! 🔐 👉 Monitorare la rete di casa con Wireshark: guida pratica 👉 Wireshark per l'analisi forense della rete: guida avanzata