-
Notifications
You must be signed in to change notification settings - Fork 0
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Showing
7 changed files
with
7 additions
and
7 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
|
|
@@ -13,7 +13,7 @@ | |
| <i class="fas fa-adjust fa-fw"></i> | ||
| <select class=color-theme-select id=theme-select-mobile title="Cambiare il tema"><option value=light>Light</option><option value=dark>Dark</option><option value=black>Black</option><option value=auto>Auto</option></select> | ||
| </a><a href=javascript:void(0); class=menu-item title="Scegliere la lingua">Italiano<i class="fas fa-chevron-right fa-fw"></i> | ||
| <select class=language-select title="Scegliere la lingua" onchange="location=this.value"><option value=/posts/long-time-no-see/>English</option><option value=/it/posts/long-time-no-see/ selected>Italiano</option></select></a></div></div></header><div class="search-dropdown desktop"><div id=search-dropdown-desktop></div></div><div class="search-dropdown mobile"><div id=search-dropdown-mobile></div></div><main class=main><div class=container><div class=toc id=toc-auto><h2 class=toc-title>Contenuti</h2><div class=toc-content id=toc-content-auto><nav id=TableOfContents><ul><li><a href=#il-funzionamento-di-questo-blog>Il funzionamento di questo blog</a></li><li><a href=#il-futuro>Il futuro</a></li></ul></nav></div></div><script>document.getElementsByTagName("main")[0].setAttribute("autoTOC","true")</script><article class="page single"><h1 class="single-title animate__animated animate__flipInX">Tanto tempo che non ci si vede</h1><div class=post-meta><div class=post-meta-line><span class=post-author><span class="author fas fa-user-circle fa-fw"></span><a href=/it/ title=Author rel=author class=author>himazawa</a></span></div><div class=post-meta-line><i class="far fa-calendar-alt fa-fw"></i> <time datetime=2023-02-06>2023-02-06</time> <i class="far fa-edit fa-fw"></i> <time datetime=2024-03-30>2024-03-30</time> <i class="fas fa-pencil-alt fa-fw"></i> 372 parole <i class="far fa-clock fa-fw"></i> 2 minuti </div></div><div class=featured-image><img loading=eager src=/posts/long-time-no-see/header.jpg srcset="/posts/long-time-no-see/header.jpg, /posts/long-time-no-see/header.jpg 1.5x, /posts/long-time-no-see/header.jpg 2x" sizes=auto alt=/posts/long-time-no-see/header.jpg title=/posts/long-time-no-see/header.jpg height=455 width=728></div><div class="details toc" id=toc-static kept><div class="details-summary toc-title"><span>Contenuti</span> | ||
| <select class=language-select title="Scegliere la lingua" onchange="location=this.value"><option value=/posts/long-time-no-see/>English</option><option value=/it/posts/long-time-no-see/ selected>Italiano</option></select></a></div></div></header><div class="search-dropdown desktop"><div id=search-dropdown-desktop></div></div><div class="search-dropdown mobile"><div id=search-dropdown-mobile></div></div><main class=main><div class=container><div class=toc id=toc-auto><h2 class=toc-title>Contenuti</h2><div class="toc-content always-active" id=toc-content-auto><nav id=TableOfContents><ul><li><a href=#il-funzionamento-di-questo-blog>Il funzionamento di questo blog</a></li><li><a href=#il-futuro>Il futuro</a></li></ul></nav></div></div><script>document.getElementsByTagName("main")[0].setAttribute("autoTOC","true")</script><article class="page single"><h1 class="single-title animate__animated animate__flipInX">Tanto tempo che non ci si vede</h1><div class=post-meta><div class=post-meta-line><span class=post-author><span class="author fas fa-user-circle fa-fw"></span><a href=/it/ title=Author rel=author class=author>himazawa</a></span></div><div class=post-meta-line><i class="far fa-calendar-alt fa-fw"></i> <time datetime=2023-02-06>2023-02-06</time> <i class="far fa-edit fa-fw"></i> <time datetime=2024-03-30>2024-03-30</time> <i class="fas fa-pencil-alt fa-fw"></i> 372 parole <i class="far fa-clock fa-fw"></i> 2 minuti </div></div><div class=featured-image><img loading=eager src=/posts/long-time-no-see/header.jpg srcset="/posts/long-time-no-see/header.jpg, /posts/long-time-no-see/header.jpg 1.5x, /posts/long-time-no-see/header.jpg 2x" sizes=auto alt=/posts/long-time-no-see/header.jpg title=/posts/long-time-no-see/header.jpg height=455 width=728></div><div class="details toc" id=toc-static kept><div class="details-summary toc-title"><span>Contenuti</span> | ||
| <span><i class="details-icon fas fa-angle-right"></i></span></div><div class="details-content toc-content" id=toc-content-static><nav id=TableOfContents><ul><li><a href=#il-funzionamento-di-questo-blog>Il funzionamento di questo blog</a></li><li><a href=#il-futuro>Il futuro</a></li></ul></nav></div></div><div class=content id=content><p>Tanto tempo che non ci si vede, eh? Sono successe tante cose dall’ultimo post nel 2018 sul <a href=https://bsod.dev target=_blank rel="noopener noreferrer">vecchio blog</a>.</p><p>Sfortunatamente non ho scritto molto, sia per mancanza di tempo sia per l’impossibilita’ di condivider cio’ che ho imparato. | ||
| Questo post contiene un’introduzione a questo nuovo sito e come funzionera’ d’ora in poi.</p><p>Innanzitutto, sono ancora nel campo della security, ma mi sono spostato alla parte di Product Security (di piu’ su questo argomento piu’ avanti ma TL;DR: noia, carriera e opportunita’ di cresita, frustrazione e paura di andare in burnout).</p><p>Fortunatamente nel mio attuale lavoro mi vengono concessi tempo e risorse per fare anche vulnerability research quindi occasionalmente postero’ alcune vulnerabilita’ interessanti che ho trovato.</p><p>Vorrei inoltre parlare degli aspetti dell’Application Security a applicata al SDLC, vedremo se funzionera'.</p><h2 id=il-funzionamento-di-questo-blog class=headerLink><a href=#il-funzionamento-di-questo-blog class=header-mark></a>1 Il funzionamento di questo blog</h2><p>Il setup e’ molto semplice, uso <a href=https://gohugo.io/ target=_blank rel="noopener noreferrer">hugo</a> per buildare pagine statiche che vengono pubblicate su una GithubPage.</p><p>C’e’ una <a href=https://github.com/peaceiris/actions-hugo target=_blank rel="noopener noreferrer">Github Action</a> che builda e deploya le pagine ogni volta che una Pull Request viene approvata sul branch <code>main</code>.</p><p><figure><a class=lightgallery href=/posts/long-time-no-see/blog_CI_CD.png title=/posts/long-time-no-see/blog_CI_CD.png data-thumbnail=/posts/long-time-no-see/blog_CI_CD.png data-sub-html="<h2>Un grafico che rappresenta il flusso logico dietro il sistema di deployment del blog</h2>"><img loading=lazy src=/posts/long-time-no-see/blog_CI_CD.png srcset="/posts/long-time-no-see/blog_CI_CD.png, /posts/long-time-no-see/blog_CI_CD.png 1.5x, /posts/long-time-no-see/blog_CI_CD.png 2x" sizes=auto alt=/posts/long-time-no-see/blog_CI_CD.png></a><figcaption class=image-caption>Un grafico che rappresenta il flusso logico dietro il sistema di deployment del blog</figcaption></figure></p><p>Il tema che uso e’ <a href=https://hugoloveit.com/ target=_blank rel="noopener noreferrer">LoveIt</a>. E’ molto carino e ricco di funzionalita’ ma ha alcuni bug che devono essere fixati; per esempio, se stai leggendo questa pagina in Italiano ti sarai accorto che l’header ha le traduzioni abbastanza fatte a caso.</p><p>La localization del tema e’ una feature molto carina ma dover riscrivere ogni volta lo stesso post per ogni linguaggio e’ abbastanza tedioso quindi penso che aggiungero’ il supporto a DeepL.</p><p>Infine, il blog ha un nuovo logo:<figure><a class=lightgallery href=/images/logo.png title=/images/logo.png data-thumbnail=/images/logo.png data-sub-html="<h2>appsec.space logo</h2>"><img loading=lazy src=/images/logo.png srcset="/images/logo.png, /images/logo.png 1.5x, /images/logo.png 2x" sizes=auto alt=/images/logo.png></a><figcaption class=image-caption>appsec.space logo</figcaption></figure></p><p>E’ stato generato da <a href=https://midjourney.com target=_blank rel="noopener noreferrer">Midjourney</a> e non significa assolutamente nulla!</p><h2 id=il-futuro class=headerLink><a href=#il-futuro class=header-mark></a>2 Il futuro</h2><p>Ho intenzione di cambiare molte cose: prima di tutto vorrei migrare tutti i post del vecchio blog perche’ vorreri mantenere un archivio. Successivamente potro’ cominciare a scrivere nuovi post.<div class="details admonition note open"><div class="details-summary admonition-title"><i class="icon fas fa-pencil-alt fa-fw"></i>Note<i class="details-icon fas fa-angle-right fa-fw"></i></div><div class=details-content><div class=admonition-content>Se il vecchio blog risponde con un redirect a quello nuovo significa che la migrazione e’ stata completata.</div></div></div></p><p>Nonostante il nome sia <code>appsec.space</code> mi piacerebbe parlare di diversi argomenti, spaziando dall’Application security, al Malware Development (a scopo formativo, <a href="https://www.youtube.com/watch?v=zlbe6BsLCNc" target=_blank rel="noopener noreferrer">ovviamente</a>), al mio setup per la produttivita’ a lamentele varie.</p><p>Il prossimo post sara’ sul <a href=https://en.wikipedia.org/wiki/Security_theater target=_blank rel="noopener noreferrer">Security Theater</a> quindi, come diceva qualcuno, ci vediamo li.</p></div><div class=post-footer id=post-footer><div class=post-info><div class=post-info-line><div class=post-info-mod><span>Aggiornato il 2024-03-30 <a class=git-hash href=https://github.com/homazawa/himazawa.github.io/commit/ca570335e2297ac0e2aa33b5d30d06d66c7007ff target=_blank title="commit by himazawa([email protected]) ca570335e2297ac0e2aa33b5d30d06d66c7007ff: blog: new article on CVE-2024-3094, removed unused config data" rel="noopener noreferrer"> | ||
| <i class="fas fa-hashtag fa-fw"></i>ca57033</a></span></div><div class=post-info-license></div></div><div class=post-info-line><div class=post-info-md><span><a class=link-to-mardown href=/it/posts/long-time-no-see/index.md target=_blank rel="noopener noreferrer">Leggi Markdown</a></span></div><div class=post-info-share></div></div></div><div class=post-info-more><section class=post-tags><i class="fas fa-tags fa-fw"></i> <a href=/it/tags/updates/>Updates</a></section><section><span><a href=javascript:void(0); onclick=window.history.back()>Indietro</a></span> | <span><a href=/it/>Home</a></span></section></div><div class=post-nav><a href=/it/posts/security-theatre/ class=next rel=next title="Security Theatre? Direi quasi Security Circus">Security Theatre? Direi quasi Security Circus<i class="fas fa-angle-right fa-fw"></i></a></div></div></article></div></main></div><div id=fixed-buttons><a href=#back-to-top id=back-to-top-button class=fixed-button title="Torna all'inizio"><i class="fas fa-arrow-up fa-fw"></i> | ||
|
|
||
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
|
|
@@ -13,7 +13,7 @@ | |
| <i class="fas fa-adjust fa-fw"></i> | ||
| <select class=color-theme-select id=theme-select-mobile title="Cambiare il tema"><option value=light>Light</option><option value=dark>Dark</option><option value=black>Black</option><option value=auto>Auto</option></select> | ||
| </a><a href=javascript:void(0); class=menu-item title="Scegliere la lingua">Italiano<i class="fas fa-chevron-right fa-fw"></i> | ||
| <select class=language-select title="Scegliere la lingua" onchange="location=this.value"><option value=/posts/security-theatre/>English</option><option value=/it/posts/security-theatre/ selected>Italiano</option></select></a></div></div></header><div class="search-dropdown desktop"><div id=search-dropdown-desktop></div></div><div class="search-dropdown mobile"><div id=search-dropdown-mobile></div></div><main class=main><div class=container><div class=toc id=toc-auto><h2 class=toc-title>Contenuti</h2><div class=toc-content id=toc-content-auto><nav id=TableOfContents><ul><li><a href=#cosa-e-il-security-theatre>Cosa e’ il Security Theatre</a></li><li><a href=#cause>Cause</a></li><li><a href=#tirando-le-somme>Tirando le somme</a></li></ul></nav></div></div><script>document.getElementsByTagName("main")[0].setAttribute("autoTOC","true")</script><article class="page single"><h1 class="single-title animate__animated animate__flipInX">Security Theatre? Direi quasi Security Circus</h1><div class=post-meta><div class=post-meta-line><span class=post-author><span class="author fas fa-user-circle fa-fw"></span><a href=/it/ title=Author rel=author class=author>himazawa</a> | ||
| <select class=language-select title="Scegliere la lingua" onchange="location=this.value"><option value=/posts/security-theatre/>English</option><option value=/it/posts/security-theatre/ selected>Italiano</option></select></a></div></div></header><div class="search-dropdown desktop"><div id=search-dropdown-desktop></div></div><div class="search-dropdown mobile"><div id=search-dropdown-mobile></div></div><main class=main><div class=container><div class=toc id=toc-auto><h2 class=toc-title>Contenuti</h2><div class="toc-content always-active" id=toc-content-auto><nav id=TableOfContents><ul><li><a href=#cosa-e-il-security-theatre>Cosa e’ il Security Theatre</a></li><li><a href=#cause>Cause</a></li><li><a href=#tirando-le-somme>Tirando le somme</a></li></ul></nav></div></div><script>document.getElementsByTagName("main")[0].setAttribute("autoTOC","true")</script><article class="page single"><h1 class="single-title animate__animated animate__flipInX">Security Theatre? Direi quasi Security Circus</h1><div class=post-meta><div class=post-meta-line><span class=post-author><span class="author fas fa-user-circle fa-fw"></span><a href=/it/ title=Author rel=author class=author>himazawa</a> | ||
| </span> <span class=post-category>included in </span> <span class=post-category>incluso in <a href=/it/categories/general-knowledge/><i class="far fa-folder fa-fw"></i>General-Knowledge</a></span></div><div class=post-meta-line><i class="far fa-calendar-alt fa-fw"></i> <time datetime=2023-02-13>2023-02-13</time> <i class="far fa-edit fa-fw"></i> <time datetime=2024-03-30>2024-03-30</time> <i class="fas fa-pencil-alt fa-fw"></i> 444 parole <i class="far fa-clock fa-fw"></i> 3 minuti </div></div><div class=featured-image><img loading=eager src=/posts/security-theatre/cargocult.jpg srcset="/posts/security-theatre/cargocult.jpg, /posts/security-theatre/cargocult.jpg 1.5x, /posts/security-theatre/cargocult.jpg 2x" sizes=auto alt=/posts/security-theatre/cargocult.jpg title=/posts/security-theatre/cargocult.jpg height=700 width=1920></div><div class="details toc" id=toc-static kept><div class="details-summary toc-title"><span>Contenuti</span> | ||
| <span><i class="details-icon fas fa-angle-right"></i></span></div><div class="details-content toc-content" id=toc-content-static><nav id=TableOfContents><ul><li><a href=#cosa-e-il-security-theatre>Cosa e’ il Security Theatre</a></li><li><a href=#cause>Cause</a></li><li><a href=#tirando-le-somme>Tirando le somme</a></li></ul></nav></div></div><div class=content id=content><p>Lavorando nel campo, ho visto molte organizzazioni investire una quantita’ significativa di tempo e risorse (che si traduce in persone e soldi), in misure che garantiscono poca se non zero, reale sicurezza.</p><p>Ho assistito a organizzazioni che si esibiscono in un eterno clown show nel nome della security.</p><p>Questo fenomeno e’ comunemente chiamato “security theatre”.</p><h2 id=cosa-e-il-security-theatre class=headerLink><a href=#cosa-e-il-security-theatre class=header-mark></a>1 Cosa e’ il Security Theatre</h2><p>Il security theatre, nella sua forma piu’ semplice, e’ una grande illusione. E’ l’insieme di misure di sicurezza messe in piedi non perche’ prevengano realmente i data breach, ma solo perche’ sulla carta sembrano buoni, tranquillizzano gli stakeholders e fanno sentire tutti come se stessero davvero facendo qualcosa di utile per proteggersi.</p><p><a href="https://www.youtube.com/watch?v=MzQPTdDwtVk" target=_blank rel="noopener noreferrer">Lo senti? Lo senti l’odore? <em>compliance</em> figliolo, non c’e’ nient’altro al mondo che odora cosi’. </a>.</p><p>Come esempio, prendiamo il requisito di avere password complesse che devono essere regolarmente cambiate. Questo e’ il classico esempio di security theatre.</p><p>Per quanto possa sembrare una buona fa molto poco per prevenire un data breach. E non dimentichiamoci il downside principale: la cosiddetta “password fatigue”, che porta i dipendenti a usare password che sono piu’ facili da ricordare o sempli variazioni di quelle usate in precedenza. Del resto c’e’ un motivo (molti in realta’) se <a href=https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/expansion-of-fido-standard-and-new-updates-for-microsoft/ba-p/3290633 target=_blank rel="noopener noreferrer">Microsoft</a>, <a href=https://blog.google/technology/safety-security/one-step-closer-to-a-passwordless-future/ target=_blank rel="noopener noreferrer">Google</a> ed <a href=https://www.apple.com/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ target=_blank rel="noopener noreferrer">Apple</a> vogliono abbandonare del tutto le password.</p><figure><img src=https://imgs.xkcd.com/comics/password_strength.png><figcaption><h4>sistema la tua password policy</h4></figcaption></figure><p>Un altro esempio di security theatre e’ il fatto di implementare sistemi che dovrebbero dare un livello aggiuntivo di sicurezza come firewall, IDS e IP (in realta’ potremmo aprire un dibattito sul fatto che aumentino o diminuiscano la superficie d’attacco), per poi non aggiornali.</p><h2 id=cause class=headerLink><a href=#cause class=header-mark></a>2 Cause</h2><p>Quindi, cosa possono fare le aziende per evitare questo circo infinito? Prima di tutto dovrebbero capire quali sono i veri rischi che corrono e implementare contromisure che li indirizzino in maniera adeguata. Questo deve includere in primo luogo la formazione dei dipendenti su come riconoscere e rispondere ad un attacco.</p><p>Dopotutto, la cybersecurity non e’ altro che la Corsa all’Oro 2.0, ci sono moltissimi soldi sul tavolo e tutti ne vogliono una fetta, questo causa pero’ difficolta’ nel trovare genete realmente preparata e se per caso ci si volesse affidare a dei consulenti esterni sarebbe ancora peggio, in quanto si dipenderebbe completamente da un’entita’ esterna per la propria Security Posture.</p><h2 id=tirando-le-somme class=headerLink><a href=#tirando-le-somme class=header-mark></a>3 Tirando le somme</h2><p>In conclusione, il security theatre e’ un problema comune nel mondo dell’IT Security. Per evitare di far parte di questo pessimo show le organizzazioni dovrebbero concentrarsi nell’implementare controlli funzionia, nel testarne regolarmente l’efficacia e nell’avere un piano di risposta comprensivo. | ||
| A, per favore, smettiamola con le policy inutili.</p><div class="details admonition tip open"><div class="details-summary admonition-title"><i class="icon fas fa-lightbulb fa-fw"></i>Tip<i class="details-icon fas fa-angle-right fa-fw"></i></div><div class=details-content><div class=admonition-content><a href=https://www.philvenables.com/post/ceremonial-security-and-cargo-cults target=_blank rel="noopener noreferrer">Qui</a> puoi trovare un articolo di Phil Venables, CISO di Google, sulla Cerimonial Security e i Cargo Cults.</div></div></div></div><div class=post-footer id=post-footer><div class=post-info><div class=post-info-line><div class=post-info-mod><span>Aggiornato il 2024-03-30 <a class=git-hash href=https://github.com/homazawa/himazawa.github.io/commit/ca570335e2297ac0e2aa33b5d30d06d66c7007ff target=_blank title="commit by himazawa([email protected]) ca570335e2297ac0e2aa33b5d30d06d66c7007ff: blog: new article on CVE-2024-3094, removed unused config data" rel="noopener noreferrer"> | ||
|
|
||
Oops, something went wrong.