Davide Russo

Il problema della cybersecurity in Italia secondo me: Non mancano i talenti. Mancano le opportunità di formazione accessibili e la cultura della sicurezza nelle aziende. Numeri preoccupanti: - Solo il 3% delle PMI italiane ha un piano di incident response - Il GDPR è in vigore dal 2018 ma molte aziende non snoo ancora conformi - I ransomware colpiscono sempre più strutture sanitarie e pubbliche La soluzione non è solo tecnica — è culturale. La cybersecurity deve diventare parte del processo, non un pensiero a posteriori. Voi come la vedete? Lavorate in aziende che prendono la sicurezza sul serio? 🤔

Perché studiare crittografia se fai pentesting? 🔐 Perché il 30% delle vulnerabilità reali riguarda l'uso sbagliato della crittografia: ❌ MD5/SHA1 per password (crackabili facilmente con hashcat) ❌ Chiavi hardcoded nel codice sorgente ❌ TLS 1.0/1.1 ancora in uso ❌ Certificati self-signed in produzione ❌ ECB mode per la cifratura simmetrica Conoscere la crittografia ti permette di identificare questi problemi durante un pentest. **Risorse per imparare:** - Cryptohack.org (piattaforma gamificata, gratuita) - TryHackMe — Encryption - Crypto 101 - Serious Cryptography (libro di Jean-Philippe Aumasson) #Cryptography #CyberSecurity #EthicalHacking 👀 👉 Crittografia pratica: GPG, certificati SSL e hashing 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore

Forensics digitale — fondamentali per principianti 🔍 La digital forensics è l'arte di raccogliere e analizzare prove digitali. Usata in incident response e CTF. **Concetti base:** 📁 **File carving** — recupero file da immagine disco 🖼️ **Steganografia** — dati nascosti in immagini/audio 🧮 **Hash verification** — MD5/SHA256 per integrità 🗑️ **Deleted file recovery** — Autopsy, Foremost 📧 **Email forensics** — header analysis **Tool gratuiti:** - Autopsy — GUI per analisi disco - Volatility — analisi RAM dump - Binwalk — analisi firmware - ExifTool — metadata da file - Steghide — steganografia **Dove praticare:** TryHackMe — Forensics room picoCTF — categoria Forensics 🔐 Solo su file che possiedi o su piattaforme CTF! #Forensics #CTF #EthicalHacking 👉 Linux per principianti: prime mosse 👉 Crittografia nel 2025: dai fondamentali alle minacce quantistiche

Writeup: HackTheBox Starting Point — Tier 0 completo 🎯 Ho completato tutte le macchine del Tier 0 di HTB Starting Point. Ecco i concetti principali che ho consolidato: **Meow** — Telnet (sì, esiste ancora), credenziali di default **Fawn** — FTP anonimo, file download **Dancing** — SMB, smbclient, share enumeration **Redeemer** — Redis, database non autenticato **Explosion** — RDP, credenziali di default **Preignition** — Directory enumeration, default admin panel **Lezione principale:** le credenziali di default e i servizi non protetti sono ancora tra le vulnerabilità piu comuni nel mondo reale. Basic != non importante. Inizia da qui se sei alle prime armi con HTB! 💪 #HackTheBox #CTF #EthicalHacking 👉 Web Enumeration: gobuster e ffuf 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore

Social Engineering — la vulnerabilità umana 🎭 Il 90% degli attacchi informatici inizia con qualcoas di non tecnico: la manipolazione delle persone. **Tecniche comuni:** 🎣 Phishing — email false che sembrano legittime 📞 Vishing — phishing telefonico 💬 Smishing — phishing via SMS 🎁 Baiting — chiavette USB infette lasciate in giro 🤝 Pretexting — fingersi qualcuno di autorizzato **Come difendersi:** - Verifica sempre l'identità prima di dare accesso - Non aprire allegati da mittenti sconosciuti - MFA ovunque — riduce drasticamente il rischio - Formazione continua del personale Il firewall più potente è una persona informata. 🧠 👉 Reverse Engineering: analizzare un binario

📊 Sondaggio: Qual è il tuo livello in ethical hacking? Vota qui sotto! 👇 👉 Corso Hacking Etico #1: Introduzione e mentalita

Perché ogni developer dovrebbe conoscere il OWASP Top 10 🕸️ Non sei un pentester? Non importa. Se scrivi codice web, il OWASP Top 10 ti riguarda direttamente. **Le vulnerabilità più costose del 2024-2025:** 1. **SQL Injection** — ancora presente nel 2026, incredibile 2. **Broken Auth** — sessioni deboli, password senza rate limiting 3. **XSS** — input non sanificato che esegue JS 4. **IDOR** — accesso diretto a oggetti altrui (/user/123 → /user/124) 5. **Security Misconfig** — debug mode, default creds, exposed .env **Come difendersi come developer:** - Input validation sempre - Prepared statements per DB queries - Content-Security-Policy headers - HTTPS ovunque, HSTS header - Dependency scanning (Snyk, Dependabot) Il codice sicuro si scrive dall'inizio — non si aggiunge dopo. 🔐 #OWASP #WebSecurity #SecureCode 👉 SQL Injection — Lezione 5: Difendersi dalla SQL Injection 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Buona mattina raga — 14/05/2026 gia qui Social Engineering — la vulnerabilità umana 🎭 Il 90% degli attacchi informatici inizia con qualcosa di non tecnico: la manipolazione delle persone. **Tecniche comuni:** 🎣 Phishing — email false che sembrano legittime 📞 Vishing — phishing telefonico 💬 Smishing — phishing via SMS 🎁 Baiting — chiavette USB infette lasciate in giro 🤝 Pretexting — fingersi qualcuno di autorizzato **Come difendersi:** - Verifica sempre l'identità prima di dare accesso - Non aprire allegati da mittenti sconosciuti - MFA ovunque — riduce drasticamente il rischio - Formazione continua del personale Il firewall più potente è una persona informata. 🧠 👉 Reverse Engineering: analizzare un binario

Prima cosa stamattina: Writeup: HackTheBox Starting Point — Tier 0 completo 🎯 Ho completato tutte le macchine del Tier 0 di HTB Starting Point. Ecco i concetti principali che ho consolidato: **Meow** — Telnet (sì, esiste ancora), credenziali di default **Fawn** — FTP anonimo, file download **Dancing** — SMB, smbclient, share enumeration **Redeemer** — Redis, database non autenticato **Explosion** — RDP, credenziali di default **Preignition** — Directory enumeration, default admin panel **Lezione principale:** le credenziali di default e i servizi non protetti sono ancroa tra le vulnerabilità più comuni nel mondo reale. Basic != non importante. Inizia da qui se sei alle prime armi con HTB! 💪 👉 Web Enumeration: gobuster e ffuf 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore

Prima cosa stamattina: Kali Linux: gli strumenti che uso di più nel pentesting educativo 🐉 **Reconnaissance:** - `nmap` — port scanning - `whois` + `dig` — info dominio - `theHarvester` — email/subdomain enumeration **Web Application:** - `burpsuite` — intercept proxy - `gobuster` / `ffuf` — directory enumeration - `sqlmap` — SQL injection testing **Post-exploitation (lab only!):** - `linpeas` / `winpeas` — privilege escalation - `mimikatz` — credential dumping (Windows) **Ogni tool ha uno scopo educativo e legale.** Li uso su TryHackMe, HackTheBox e nel mio lab VirtualBox. Quale usate di più? 👇 #Kali #PenTest #EthicalHacking 👉 Corso Hacking Etico #3: Reconnaissance e OSINT 👉 Corso Hacking Etico #2 — Reconnaissance: raccogliere informazioni sul target

Password security: perché il tuo hash MD5 non vale niente 🔑 ```bash # Hashcat crack MD5 con wordlist hashcat -m 0 hash.txt rockyou.txt # Tempo stimato per crack MD5 'password123': # < 1 secondo su GPU moderna ``` MD5 e SHA1 sono **rotti per le password**. Non per un difetto teorico — per la velocità di crack. **Come storare password correttamente:** ✅ bcrypt (cost factor ≥ 12) ✅ Argon2id (winner of Password Hashing Competition) ✅ scrypt Tutti e tre sono lenti by design — aumentano il costo del brute force. **Per sviluppatori PHP:** `password_hash($pass, PASSWORD_BCRYPT)` — già implementato e sicuro. Hai app in produzione con MD5? Migra subito! 🚨 👉 Il AI Act europeo: cosa cambia per aziende e sviluppatori

📊 Sondaggio: Quale certificazione vuoi ottenere entro il 2026? Vota qui sotto! 👇

Ho appena completato la room 'Basic Pentesting' su TryHackMe 🎯 Il percorso: enum iniziale con nmap → trovato servizio SMB vulnerabile → credenziali deboli → accesso SSH → privilege escalation via SUID binaries. La cosa più importante che ho imparato: l'enumerazione è TUTTO. Il 70% del pentesting è capire cosa c'è di fronte a te. Gli strumenti vengono dopo. **Tool usati:** nmap, enum4linux, hydra, LinPEAS Ricorda: SOLO su macchine autorizzate! ⚖️ Condividete se lo trovate utile 🙏 👉 Wireshark — Lezione 3: Intercettare Credenziali e Sessioni

La differenza tra Black Hat, White Hat e Grey Hat hacker: 🎩 **Black Hat** — Hacker malintenzionati. Accedono a sistemi senza permesso per profitto personale, spionaggio o danno. È reato penale. ⬜ **White Hat** (Ethical Hacker) — Professionisti della sicurezza che testano sistemi con permesso esplicito per trovare vulnerabilità. Lavoro legale e ben retribuito. 🩶 **Grey Hat** — Area grigia: trovano vulnerabilità senza permesso ma le divulgano responsabilmente senza monetizzarle. Legalmente problematico anche se non malevolo. Noi di questsa community siamo **esclusivamente White Hat**. La conoscenza che condividiamo è per difendere, non attaccare. Ricorda: l'etica non è opzionale in questo campo. 🔐 #EthicalHacking #CyberEtica Tagga qualcuno che deve sapere questo 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

ISC2 CC: la certificazione cybersecurity GRATUITA che non sai ancora 🎓 Se vuoi iniziare nel mondo della cybersecurity e non sai da dove partire, l'ISC2 CC (Certified in Cybersecurity) è: ✅ Gratuita (esame incluso — programma speciale ISC2) ✅ Riconosciuta globalmente (ISC2 è l'ente del CISSP, la cert piu rispettata al mondo) ✅ Entry-level, nessun prerequisito ✅ Copre: security concepts, network security, access control, incident response **Come ottenerla:** 1. Crea account su isc2.org 2. Studia il materiale gratuito disponibile 3. Prenota l'esame online (Pearson VUE) 4. Passa l'esame di 100 domande in 2 ore È un ottimo biglietto da visita per il CV prima di passare a Security+ o eJPT. L'avete già? 👇 👉 Guida alla certificazione eJPT: percorso di studio e consigli 👉 eJPT vs CompTIA Security+: quale certificazione scegliere nel 2026?

Ore 21:00 — ancora sveglio a pensare a: Social Engineering — la vulnerabilità umana 🎭 Il 90% degli attacchi informatici inizia con qualcosa di non tecnico: la manipolazione delle persone. **Tecniche comuni:** 🎣 Phishing — email false ceh sembrano legittime 📞 Vishing — phishing telefonico 💬 Smishing — phishing via SMS 🎁 Baiting — chiavette USB infette lasciate in giro 🤝 Pretexting — fingersi qualcuno di autorizzato **Come difendersi:** - Verifica sempre l'identità prima di dare accesso - Non aprire allegati da mittenti sconosciuti - MFA ovunque — riduce drasticamente il rischio - Formazione continua del personale Il firewall più potente è una persona informata. 🧠 #SocialEngineering #Phishing #CyberAwareness 👉 Reverse Engineering: analizzare un binario

Il problema della cybersecurity in Italia secondo me: Non mancano i talenti. Mancano le opportunità di formazione accessibili e la cultura della sicurezza nelle aziende. Numeri preoccupanti: - Solo il 3% delle PMI italiane ha un piano di incident response - Il GDPR è in vigore dal 2018 ma molte aziende non snoo ancora conformi - I ransomware colpiscono sempre più strutture sanitarie e pubbliche La soluzione non è solo tecnica — è culturale. La cybersecurity deve diventare parte del processo, non un pensiero a posteriori. Voi come la vedete? Lavorate in aziende che prendono la sicurezza sul serio? 🤔

Wireshark per capire il networking reale 🔬 Wireshark è il migliore strumento per capire Davero come funziona il networking. Non solo teoria — pacchetti reali. **Filtri utili:** ``` # Solo traffico HTTP http # Conversazioni TCP con un host ip.addr == 192.168.1.1 # Solo handshake TLS tls.handshake # Credenziali HTTP in chiaro (sì, esistono ancora!) http.request.method == 'POST' # DNS queries dns.flags.response == 0 ``` **Cosa analizzare legalmente:** - Traffico sulla tua rete domestica - Macchine virtuali nel tuo lab - Capture file su TryHackMe/HTB ⚠️ Non catturare mai traffico di reti altrui — è reato! 🔐 👉 Monitorare la rete di casa con Wireshark: guida pratica 👉 Wireshark per l'analisi forense della rete: guida avanzata

La differenza tra Black Hat, White Hat e Grey Hat hacker: 🎩 **Black Hat** — Hacker malintenzionati. Accedono a sistemi senza permesso per profitto personale, spionaggio o danno. È reato penale. ⬜ **White Hat** (Ethical Hacker) — Professionisti della sicurezza che testano sistemi con permesso esplicito per trovare vulnerabilità. Lavoro legale e ben retribuito. 🩶 **Grey Hat** — Area grigia: trovano vulnerabilità senza permesso ma le divulgano responsabilmente senza monetizzarle. Legalmente problematico anche se non malevolo. Noi di questa community siamo **esclusivamente White Hat**. La conoscenza ceh condividiamo è per difendere, non attaccare. Ricorda: l'etica non è opzionale in questo campo. 🔐 #EthicalHacking #CyberEtica Fatemi sapere nei commenti 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Forensics digitale — fondamentali per principianti 🔍 La digital forensics è l'arte di raccogliere e analizzare prove digitali. Usata in incident response e CTF. **Concetti base:** 📁 **File carving** — recupero file da immagine disco 🖼️ **Steganografia** — dati nascosti in immagini/audio 🧮 **Hash verification** — MD5/SHA256 per integrità 🗑️ **Deleted file recovery** — Autopsy, Foremost 📧 **Email forensics** — header analysis **Tool gratuiti:** - Autopsy — GUI per analisi disco - Volatility — analisi RAM dump - Binwalk — analisi firmware - ExifTool — metadata da file - Steghide — steganografia **Dove praticare:** TryHackMe — Forensics room picoCTF — categoria Forensics 🔐 Solo su file che possiedi o su piattaforme CTF! #Forensics #CTF #EthicalHacking Qualcuno ha la stessa esperienza? 👉 Linux per principianti: prime mosse 👉 Crittografia nel 2025: dai fondamentali alle minacce quantistiche