diff --git a/it/index.html b/it/index.html
index 83f35f4..cab6209 100644
--- a/it/index.html
+++ b/it/index.html
@@ -15,7 +15,7 @@
 </a><a href=javascript:void(0); class=menu-item title="Scegliere la lingua">Italiano<i class="fas fa-chevron-right fa-fw"></i>
 <select class=language-select title="Scegliere la lingua" onchange="location=this.value"><option value=/>English</option><option value=/it/ selected>Italiano</option></select></a></div></div></header><div class="search-dropdown desktop"><div id=search-dropdown-desktop></div></div><div class="search-dropdown mobile"><div id=search-dropdown-mobile></div></div><main class=main><div class=container><div class="page home" posts><div class=home-profile><div class=home-avatar><a href=/it/posts/ title=Post><img loading=eager src=/images/logo.png srcset="/images/logo.png, /images/logo.png 1.5x, /images/logo.png 2x" sizes=auto alt=/images/logo.png title=/images/logo.png height=100 width=100></a></div><h2 class=home-subtitle>A space where I talk about Application Security & other stuff</h2><div class=links><a href=https://github.com/himazawa title=GitHub target=_blank rel="noopener noreferrer me"><span class="fab fa-github-alt fa-fw"></span></a><a href=https://infosec.exchange/@himazawa title=Mastodon target=_blank rel="noopener noreferrer me"><span class="fab fa-mastodon fa-fw"></span></a><a href=/it/index.xml title=RSS target=_blank rel="noopener noreferrer me"><span class="fas fa-rss fa-fw"></span></a></div><h3 class=home-disclaimer>Opinions are my own</h3></div><article class="single summary" itemscope itemtype=http://schema.org/Article><div class=featured-image-preview><a href=/it/posts/xz-backdoor/ aria-label="La backdoor di xz dalla prospettiva di un Security Engineer"><img loading=eager src=/posts/xz-backdoor/xz.png srcset="/posts/xz-backdoor/xz.png, /posts/xz-backdoor/xz.png 1.5x, /posts/xz-backdoor/xz.png 2x" sizes=auto alt=/posts/xz-backdoor/xz.png title=/posts/xz-backdoor/xz.png height=112 width=950></a></div><h1 class=single-title itemprop="name headline"><a href=/it/posts/xz-backdoor/>La backdoor di xz dalla prospettiva di un Security Engineer</a></h1><div class=post-meta><span class=post-author><span class="author fas fa-user-circle fa-fw"></span><a href=/it/ title=Author rel=author class=author>himazawa</a>
 </span>&nbsp;<span class=post-publish>pubblicato su <time datetime=2024-03-30>2024-03-30</time></span></div><div class=content><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
-Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p><p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p><p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href=https://nvd.nist.gov/vuln/detail/CVE-2024-3094 target=_blank rel="noopener noreferrer">CVE-2024-3094</a>.</p></div><div class=post-footer><a href=/it/posts/xz-backdoor/>Leggi di più</a><div class=post-tags><i class="fas fa-tags fa-fw"></i>&nbsp;<a href=/it/tags/backdoor/>Backdoor</a>,&nbsp;<a href=/it/tags/cve-2024-3094/>CVE-2024-3094</a>,&nbsp;<a href=/it/tags/xz/>Xz</a>,&nbsp;<a href=/it/tags/liblzma/>Liblzma</a>,&nbsp;<a href=/it/tags/supply-chain/>Supply-Chain</a>,&nbsp;<a href=/it/tags/security-engineering/>Security-Engineering</a></div></div></article><article class="single summary" itemscope itemtype=http://schema.org/Article><div class=featured-image-preview><a href=/it/posts/security-theatre/ aria-label="Security Theatre? Direi quasi Security Circus"><img loading=eager src=/posts/security-theatre/cargocult.jpg srcset="/posts/security-theatre/cargocult.jpg, /posts/security-theatre/cargocult.jpg 1.5x, /posts/security-theatre/cargocult.jpg 2x" sizes=auto alt=/posts/security-theatre/cargocult.jpg title=/posts/security-theatre/cargocult.jpg height=700 width=1920></a></div><h1 class=single-title itemprop="name headline"><a href=/it/posts/security-theatre/>Security Theatre? Direi quasi Security Circus</a></h1><div class=post-meta><span class=post-author><span class="author fas fa-user-circle fa-fw"></span><a href=/it/ title=Author rel=author class=author>himazawa</a>
+Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p><p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p><p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href=https://nvd.nist.gov/vuln/detail/CVE-2024-3094 target=_blank rel="noopener noreferrer">CVE-2024-3094</a>.</p></div><div class=post-footer><a href=/it/posts/xz-backdoor/>Leggi di più</a><div class=post-tags><i class="fas fa-tags fa-fw"></i>&nbsp;<a href=/it/tags/backdoor/>Backdoor</a>,&nbsp;<a href=/it/tags/cve-2024-3094/>CVE-2024-3094</a>,&nbsp;<a href=/it/tags/xz/>Xz</a>,&nbsp;<a href=/it/tags/liblzma/>Liblzma</a>,&nbsp;<a href=/it/tags/supply-chain/>Supply-Chain</a>,&nbsp;<a href=/it/tags/security-engineering/>Security-Engineering</a></div></div></article><article class="single summary" itemscope itemtype=http://schema.org/Article><div class=featured-image-preview><a href=/it/posts/security-theatre/ aria-label="Security Theatre? Direi quasi Security Circus"><img loading=eager src=/posts/security-theatre/cargocult.jpg srcset="/posts/security-theatre/cargocult.jpg, /posts/security-theatre/cargocult.jpg 1.5x, /posts/security-theatre/cargocult.jpg 2x" sizes=auto alt=/posts/security-theatre/cargocult.jpg title=/posts/security-theatre/cargocult.jpg height=700 width=1920></a></div><h1 class=single-title itemprop="name headline"><a href=/it/posts/security-theatre/>Security Theatre? Direi quasi Security Circus</a></h1><div class=post-meta><span class=post-author><span class="author fas fa-user-circle fa-fw"></span><a href=/it/ title=Author rel=author class=author>himazawa</a>
 </span>&nbsp;<span class=post-publish>pubblicato su <time datetime=2023-02-13>2023-02-13</time></span>&nbsp;<span class=post-category>included in </span>&nbsp;<span class=post-category>incluso in <a href=/it/categories/general-knowledge/><i class="far fa-folder fa-fw"></i>General-Knowledge</a></span></div><div class=content><p>Lavorando nel campo, ho visto molte organizzazioni investire una quantita&rsquo; significativa di tempo e risorse (che si traduce in persone e soldi), in misure che garantiscono poca se non zero, reale sicurezza.</p></div><div class=post-footer><a href=/it/posts/security-theatre/>Leggi di più</a><div class=post-tags><i class="fas fa-tags fa-fw"></i>&nbsp;<a href=/it/tags/security-theatre/>Security Theatre</a>,&nbsp;<a href=/it/tags/infosec/>Infosec</a>,&nbsp;<a href=/it/tags/rants/>Rants</a></div></div></article><article class="single summary" itemscope itemtype=http://schema.org/Article><div class=featured-image-preview><a href=/it/posts/long-time-no-see/ aria-label="Tanto tempo che non ci si vede"><img loading=eager src=/posts/long-time-no-see/header.jpg srcset="/posts/long-time-no-see/header.jpg, /posts/long-time-no-see/header.jpg 1.5x, /posts/long-time-no-see/header.jpg 2x" sizes=auto alt=/posts/long-time-no-see/header.jpg title=/posts/long-time-no-see/header.jpg height=455 width=728></a></div><h1 class=single-title itemprop="name headline"><a href=/it/posts/long-time-no-see/>Tanto tempo che non ci si vede</a></h1><div class=post-meta><span class=post-author><span class="author fas fa-user-circle fa-fw"></span><a href=/it/ title=Author rel=author class=author>himazawa</a>
 </span>&nbsp;<span class=post-publish>pubblicato su <time datetime=2023-02-06>2023-02-06</time></span></div><div class=content><p>Tanto tempo che non ci si vede, eh? Sono successe tante cose dall&rsquo;ultimo post nel 2018 sul <a href=https://bsod.dev target=_blank rel="noopener noreferrer">vecchio blog</a>.</p></div><div class=post-footer><a href=/it/posts/long-time-no-see/>Leggi di più</a><div class=post-tags><i class="fas fa-tags fa-fw"></i>&nbsp;<a href=/it/tags/updates/>Updates</a></div></div></article></div></div></main></div><div id=fixed-buttons><a href=#back-to-top id=back-to-top-button class=fixed-button title="Torna all'inizio"><i class="fas fa-arrow-up fa-fw"></i>
 </a><a href=# id=view-comments class=fixed-button title="Vedi commenti"><i class="fas fa-comment fa-fw"></i></a></div><div class=assets><script type=text/javascript>window.config={code:{copyTitle:"Copia negli appunti",maxShownLines:10},search:{distance:100,findAllMatches:!0,fuseIndexURL:"/it/index.json",highlightTag:"em",ignoreFieldNorm:!1,ignoreLocation:!0,isCaseSensitive:!1,location:0,maxResultLength:10,minMatchCharLength:2,noResultsFound:"Nessun risultato trovato",snippetLength:300,threshold:.1,type:"fuse",useExtendedSearch:!1},table:{sort:!0}}</script><script type=text/javascript src=/lib/tablesort/tablesort.min.23640461c9e6941882f50f4208436e1932c806bcc32323a34ff378781204951e05534a0bbc3c1e401d111aa22a26ecc5d4f2cfb43af59d94da8a24f2b8ef8506.js integrity="sha512-I2QEYcnmlBiC9Q9CCENuGTLIBrzDIyOjT/N4eBIElR4FU0oLvDweQB0RGqIqJuzF1PLPtDr1nZTaiiTyuO+FBg=="></script><script type=text/javascript src=/lib/clipboard/clipboard.min.b08a94127467df50609e03e61edd897a7ce57830ec5f060efa2caf438e8cc3a44bfae7405198f69ffbbf3c663cd0dc51c729ceed1f71206c792c4cf0e0835625.js integrity="sha512-sIqUEnRn31BgngPmHt2JenzleDDsXwYO+iyvQ46Mw6RL+udAUZj2n/u/PGY80NxRxynO7R9xIGx5LEzw4INWJQ=="></script><script type=text/javascript src=/js/theme.min.js defer></script></div></body></html>
\ No newline at end of file
diff --git a/it/index.json b/it/index.json
index a2b0a02..c89d25c 100644
--- a/it/index.json
+++ b/it/index.json
@@ -1 +1 @@
-[{"categories":null,"content":"Come probablilmente già sai, xz è stato compromesso. Per i non addetti ai lavori xz è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux. Il pacchetto è stato usato come entrypoint per l’injection di codice malevolo in sshd, modificandone il flusso di autenticatione. Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come CVE-2024-3094. Note La situazione si sta ancora evolvendo, maggiori dettagli emergeranno nel prossimo futuro e aggiornerò il post di conseguenza. Si tratta probabilmente di un’operazione a tutti gli effetti vista la metodologia e la durata (quasi due anni), ma non sono la persona giusta per parlare di attributions, OpSec e Threat Actors. Nella sezione “Risorse” in fondo alla pagina ci sono link che riportano ad analisi più dettagliate. La situazione non sembra rosea quindi sto provando a scrivere questo blogpost in modo tale da fare un pò di chiarezza. Non voglio trattare aspetti troppo tecnici della compromissione ma voglio guardare alla issue dalla prospettiva di un Security Engineer, riassumendo cosa è andato storto e quali sono le possibili remediation a questo problema. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:0:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#"},{"categories":null,"content":" 1 Timeline Note Controlla la sezione Risorse per i link ad una timeline più dettagliata 2023: Un nuovo maintainer appare sul progetto xz A new maintainer shows up in the xz project 29 Mar 2024: Andres Freund invia un’email alla mailing list oss-security che riguarda una backdoor in xz/liblzma. Stava ottimizzando la sua infrastruttura e si è accorto che ssh era “sospettosamente” lento (parliamo di 400ms di differenza, difficilmente notabili a meno che non si stia facendo micro ottimizzazione). Qualche debug dopo si è accorto che la problmatica di performace era probabilmente causata dal codice della backdoor. L’analisi iniziale è stata fatta con l’aiuto di Florian Weimer. Le distribuzioni impattate (che quindi contenevano il pacchetto xz) hanno cominciato a rilasciare patch di downgrade a una versione precedente 30 Mar 2024: GitHub ha bloccato l’accesso al repository e ha sospeso l’account di entrambi i maintainer di xz Un comunicato ufficiale è stato rilasciato dal maintainer del progetto ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:1:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#timeline"},{"categories":null,"content":" 2 Componenti impattateL’estensione di questo breach è ancora poco chiaro di seguito è riportata una (parziale) lista dei componenti che contiengono la versione malevola di xz: Distribuzioni: Arch Debian Sid Gentoo Fedora 40 Manjaro Testing Parabola NixOS Unstable Slackware SUSE Tumbleweed Kali Linux Il pacchetto con la backdoor è inoltre contenuto nei seguenti package manager: Homebrew MacPorts pkgsrc Al momento sappiamo che ci sono dei controlli nel codice della backdoor che riguardano specificatamente le istanze di Linux x86_64/amd64 quindi il numero dei target effettivi potrebbe essere ridotto (relativamente) ma la situazione è poco chiara, non raccomanderei di tenere un pacchetto compromesso sul sistema. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:2:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#componenti-impattate"},{"categories":null,"content":" 3 Considerazioni","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:3:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#considerazioni"},{"categories":null,"content":" 3.1 Il comportamento di GitHubLe ragioni dietro il blocco dei repository di xz è ancora un mistero per me, specialmente sapendo che con il codice disponibile è possibile anche fare ulteriori analisi e avere uno scenario più chiaro della compromissione. Il blocco dell’accesso ai sortgenti di xz è un fattore che rallenterà l’arrivo delle analisi, che è un male in una situazione time-critical come questa. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:3:1","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#il-comportamento-di-github"},{"categories":null,"content":" 3.2 I downgradeLa patch strategy per praticamente tutti è stata di forzare il downgrade dalle versioni 5.6.0-5.6.1 ad una precedente. Qualcuno(homebrew, per esempio), ha forzato il downgrade alla versione 5.4.6. Questo è interessante perchè sicurametne sappiamo che c’è una backdoor sulle versioni 5.6.0-5.6.1, ma sappiamo anche che l’attaccante ha lavorato sul repository per più di due anni. La versione 5.4.6, ad esempio, è stata anch’essa compilata dall’attaccante e non dovrebbe essere considerata safe. Ancora una volta, grazie GitHub per aver bloccato l’accesso ai sorgenti e contribuito a far capire ancora meno la situazione. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:3:2","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#i-downgrade"},{"categories":null,"content":" 4 Come si previene questo fenomeno?Come ho detto all’inizio del post, non voglio scendere troppo in profondità con l’analisi tecnica della backdoor, per due ragioni principali: con l’accesso al codice sorgente bloccato solo un archivio (al momento della scrittura) è disponibile, le informazioni sono incomplete e non vorrei davvero reversare il binario di xz. Inoltre, e questo è il motivo più importante, persone con più conoscienze di me sul modo di operare dei Threat Actors ci stanno già lavorando. Non appena verranno pubblicati i primi articoli tecnici saranno disponibili nella sezione “Risorse”, in fondo alla pagina Una cosa che però posso fare qui è mostrare il punto di vista di un Security Engineer sul problema, come avrei mitigato la situazione e quali step sono andati storti. Note TL;DR: non esiste una reale soluzione al problema ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#come-si-previene-questo-fenomeno"},{"categories":null,"content":" 4.1 Problemi di fiducia xz è un software mantenuto (fino al 2023) da una singola persona. Successivamente un altro maintainer è arrivato ma sfortunatamente per noi, è la stessa persona che ha inviato la backdoor upstream. Questo ovviamente va in conflitto col fatto che xz sia un pacchetto incredbilimente popolare in tantissime distribuzioni e parte delle dipednenze di numerosi software. Probabilmente questo è stato visto dall’attaccante come una miniera d’oro dal momento che risultava facile riuscire a farsi affidare il ruolo di maintainer e pubblicare codice malevolo. Dovendo fare affidamento a codice di terze parti per la supply chain, è necessario avere fiducia in qualcuno a un certo punto. Quando si parla di Supply Chain security, le raccomandazioni sono sempre le stesse: pin degli hash e verifica delle firme. Questo funziona fino a quando ci troviamo in scenari dove un attaccante ha compromesso la CICD della dipedenza e invia build malevole, un account è stato compromesso etc. Ma cosa si può fare se, tutto a un tratto, un maintainer fidato si rivela malevolo? Da utente standard, a meno che tu non voglia (e sia capace) di fare code review a ogni singolo commit di ogni singolo pezzo di software con cui interagisce il tuo sistema operativo: più o meno nulla. Dall’altro lato, i developers e gli owner dei repsitory dovrebbero aumentare i controlli della loro supply chain includendo metriche più strette al fine di escludere pacchetti con alto rischio. Una delle cose più ricorrenti che si sentono quando si parla si Open Source e Security sono le persone che credono che, dal momento che il codice sorgente è disponibile, magicamente risulta sicuro. Uno dei fattori spesso trascurato è l’assunzione che avere accesso al sorgente si traduce automaticamente in un pool maggiore di occhi che cercano problemi e vulnerabilità. L’efficacia di queste review dipende principamente dal livello di coinvolgimento della community e dall’esperienza delle persone che poi quel codice effettivamente lo leggono, e di solito non è tanto. Molti progetti ricevono pochissima attenzione e solo pochi contribuiscono attivamente ai processi di review. Come risultato, le vulnerabilità (intenzionali o meno) possono passare inosservate per lunghi periodi di tempo, creando un rischio significante per gli utenti. Ogni volta che una discussione come questa si riapre, mi torna in mente il “Mese di Kali” di InfosectCBR, dove Silvio Cesare ha passato un mese a trovare e pubblicare vulnerabilità nei software contenuti nei repository di Kali Linux. Di seguito riporto una lista (parziale) di fattori che potrebbero contribuire a ridurre il rischio: ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:1","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#problemi-di-fiducia"},{"categories":null,"content":" 4.2 Statistiche di GitHubGiusto per essere chiaro fin dall’inizio: No, non si può fare affidamento su queste metriche. Esiste un mercato sulla compravendita di statistiche di GitHub come stelle, fork etc. Puoi trovare un buon articolo qui: https://dagster.io/blog/fake-stars ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:2","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#statistiche-di-github"},{"categories":null,"content":" 4.3 Engagement della communityValutare sempre la dimensione e l’engagement della community che circonda il progetto. Una community grande ed attiva può fornire occhi aggiuntivi sulle code review, i bug report etc. xz aveva letteralmente 2 maintainers e uno dei due è risultato essere l’attore malevolo. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:3","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#engagement-della-community"},{"categories":null,"content":" 4.4 Fondi e supportoCondsiderare sempre l’aspetto economico del progetto e da chi sta venendo finanziato. I progetti con dei fondi dedicati tendono ad avere risorse aggiuntive per i security audit e la manutenzione del codice e soprattutto è meno probabile che vengano abbandonati. Tip Ricorda: si vuole fare affidamento su quel codice per l’intera settimana, non solo durante il tempo libero del maintainer. I progetti con un buon supporto finanziario è molto più probabile divengano lavori a tempo pieno che solo hobby da portare avanti sporadicamente. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:4","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#fondi-e-supporto"},{"categories":null,"content":" 4.5 SDLCUna buona porzione della valutazione dovrebbe concentrarsi sul ciclo si sviluppo del software per assicurarsi che i gate (di sicurezza e qualità più in generale) siano implementati correttamente, le pull request abbiano bisogno di approvazione e ci siano delle pratiche sane che non permettano ad un singolo contributor di inviare codice malevolo senza approvazione. Inoltre è necessario tenere in cosiderazione che siamo umani e commettiamo errori. Passare una code review non significa automaticamente che il codice sia sicuro, come ho detto prima: non esiste una vera soluzione al problema, solo modi per abbassare la probabilità che le cose brutte accadano. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:5","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#sdlc"},{"categories":null,"content":" 4.6 Enterprise vs IndividualQuesto è un argomento abbastanza controverso perchè ci sono progetti mantenuti da persone individuali che sono ben strutturati. Di solito però, utilizzando cdice prodotto da (grandi) aziende renderà più probabile l’avere delle best practice di sviluppo, avere un continuo stream di fondi per mantenere il progetto in piedi e soprattuto difficilmente una grande azienda metterebbe una backdoor di proposito nel proprio codice. Di nuovo, questo aumenta solo le probabilità, non va preso come concetto assoluto ;) ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:6","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#enterprise-vs-individual"},{"categories":null,"content":" 5 Risorse OSS-Security List: https://www.openwall.com/lists/oss-security/2024/03/29/4 Comprehensive timeline: https://boehs.org/node/everything-i-know-about-the-xz-backdoor Compromise link roundup: https://shellsharks.com/xz-compromise-link-roundup Obfuscation Analysis: https://gynvael.coldwind.pl/?lang=en\u0026id=782 ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:5:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#risorse"},{"categories":["general-knowledge"],"content":"Lavorando nel campo, ho visto molte organizzazioni investire una quantita’ significativa di tempo e risorse (che si traduce in persone e soldi), in misure che garantiscono poca se non zero, reale sicurezza. Ho assistito a organizzazioni che si esibiscono in un eterno clown show nel nome della security. Questo fenomeno e’ comunemente chiamato “security theatre”. ","date":"2023-02-13","objectID":"/it/posts/security-theatre/:0:0","series":null,"tags":["security theatre","infosec","rants"],"title":"Security Theatre? Direi quasi Security Circus","uri":"/it/posts/security-theatre/#"},{"categories":["general-knowledge"],"content":" 1 Cosa e’ il Security TheatreIl security theatre, nella sua forma piu’ semplice, e’ una grande illusione. E’ l’insieme di misure di sicurezza messe in piedi non perche’ prevengano realmente i data breach, ma solo perche’ sulla carta sembrano buoni, tranquillizzano gli stakeholders e fanno sentire tutti come se stessero davvero facendo qualcosa di utile per proteggersi. Lo senti? Lo senti l’odore? compliance figliolo, non c’e’ nient’altro al mondo che odora cosi’. . Come esempio, prendiamo il requisito di avere password complesse che devono essere regolarmente cambiate. Questo e’ il classico esempio di security theatre. Per quanto possa sembrare una buona fa molto poco per prevenire un data breach. E non dimentichiamoci il downside principale: la cosiddetta “password fatigue”, che porta i dipendenti a usare password che sono piu’ facili da ricordare o sempli variazioni di quelle usate in precedenza. Del resto c’e’ un motivo (molti in realta’) se Microsoft, Google ed Apple vogliono abbandonare del tutto le password. sistema la tua password policy Un altro esempio di security theatre e’ il fatto di implementare sistemi che dovrebbero dare un livello aggiuntivo di sicurezza come firewall, IDS e IP (in realta’ potremmo aprire un dibattito sul fatto che aumentino o diminuiscano la superficie d’attacco), per poi non aggiornali. ","date":"2023-02-13","objectID":"/it/posts/security-theatre/:1:0","series":null,"tags":["security theatre","infosec","rants"],"title":"Security Theatre? Direi quasi Security Circus","uri":"/it/posts/security-theatre/#cosa-e-il-security-theatre"},{"categories":["general-knowledge"],"content":" 2 CauseQuindi, cosa possono fare le aziende per evitare questo circo infinito? Prima di tutto dovrebbero capire quali sono i veri rischi che corrono e implementare contromisure che li indirizzino in maniera adeguata. Questo deve includere in primo luogo la formazione dei dipendenti su come riconoscere e rispondere ad un attacco. Dopotutto, la cybersecurity non e’ altro che la Corsa all’Oro 2.0, ci sono moltissimi soldi sul tavolo e tutti ne vogliono una fetta, questo causa pero’ difficolta’ nel trovare genete realmente preparata e se per caso ci si volesse affidare a dei consulenti esterni sarebbe ancora peggio, in quanto si dipenderebbe completamente da un’entita’ esterna per la propria Security Posture. ","date":"2023-02-13","objectID":"/it/posts/security-theatre/:2:0","series":null,"tags":["security theatre","infosec","rants"],"title":"Security Theatre? Direi quasi Security Circus","uri":"/it/posts/security-theatre/#cause"},{"categories":["general-knowledge"],"content":" 3 Tirando le sommeIn conclusione, il security theatre e’ un problema comune nel mondo dell’IT Security. Per evitare di far parte di questo pessimo show le organizzazioni dovrebbero concentrarsi nell’implementare controlli funzionia, nel testarne regolarmente l’efficacia e nell’avere un piano di risposta comprensivo. A, per favore, smettiamola con le policy inutili. Tip Qui puoi trovare un articolo di Phil Venables, CISO di Google, sulla Cerimonial Security e i Cargo Cults. ","date":"2023-02-13","objectID":"/it/posts/security-theatre/:3:0","series":null,"tags":["security theatre","infosec","rants"],"title":"Security Theatre? Direi quasi Security Circus","uri":"/it/posts/security-theatre/#tirando-le-somme"},{"categories":null,"content":"Tanto tempo che non ci si vede, eh? Sono successe tante cose dall’ultimo post nel 2018 sul vecchio blog. Sfortunatamente non ho scritto molto, sia per mancanza di tempo sia per l’impossibilita’ di condivider cio’ che ho imparato. Questo post contiene un’introduzione a questo nuovo sito e come funzionera’ d’ora in poi. Innanzitutto, sono ancora nel campo della security, ma mi sono spostato alla parte di Product Security (di piu’ su questo argomento piu’ avanti ma TL;DR: noia, carriera e opportunita’ di cresita, frustrazione e paura di andare in burnout). Fortunatamente nel mio attuale lavoro mi vengono concessi tempo e risorse per fare anche vulnerability research quindi occasionalmente postero’ alcune vulnerabilita’ interessanti che ho trovato. Vorrei inoltre parlare degli aspetti dell’Application Security a applicata al SDLC, vedremo se funzionera'. ","date":"2023-02-06","objectID":"/it/posts/long-time-no-see/:0:0","series":null,"tags":["updates"],"title":"Tanto tempo che non ci si vede","uri":"/it/posts/long-time-no-see/#"},{"categories":null,"content":" 1 Il funzionamento di questo blogIl setup e’ molto semplice, uso hugo per buildare pagine statiche che vengono pubblicate su una GithubPage. C’e’ una Github Action che builda e deploya le pagine ogni volta che una Pull Request viene approvata sul branch main. Un grafico che rappresenta il flusso logico dietro il sistema di deployment del blog Il tema che uso e’ LoveIt. E’ molto carino e ricco di funzionalita’ ma ha alcuni bug che devono essere fixati; per esempio, se stai leggendo questa pagina in Italiano ti sarai accorto che l’header ha le traduzioni abbastanza fatte a caso. La localization del tema e’ una feature molto carina ma dover riscrivere ogni volta lo stesso post per ogni linguaggio e’ abbastanza tedioso quindi penso che aggiungero’ il supporto a DeepL. Infine, il blog ha un nuovo logo: appsec.space logo E’ stato generato da Midjourney e non significa assolutamente nulla! ","date":"2023-02-06","objectID":"/it/posts/long-time-no-see/:1:0","series":null,"tags":["updates"],"title":"Tanto tempo che non ci si vede","uri":"/it/posts/long-time-no-see/#il-funzionamento-di-questo-blog"},{"categories":null,"content":" 2 Il futuroHo intenzione di cambiare molte cose: prima di tutto vorrei migrare tutti i post del vecchio blog perche’ vorreri mantenere un archivio. Successivamente potro’ cominciare a scrivere nuovi post. Note Se il vecchio blog risponde con un redirect a quello nuovo significa che la migrazione e’ stata completata. Nonostante il nome sia appsec.space mi piacerebbe parlare di diversi argomenti, spaziando dall’Application security, al Malware Development (a scopo formativo, ovviamente), al mio setup per la produttivita’ a lamentele varie. Il prossimo post sara’ sul Security Theater quindi, come diceva qualcuno, ci vediamo li. ","date":"2023-02-06","objectID":"/it/posts/long-time-no-see/:2:0","series":null,"tags":["updates"],"title":"Tanto tempo che non ci si vede","uri":"/it/posts/long-time-no-see/#il-futuro"}]
\ No newline at end of file
+[{"categories":null,"content":"Come probablilmente già sai, xz è stato compromesso. Per i non addetti ai lavori xz è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux. Il pacchetto è stato usato come entrypoint per l’injection di codice malevolo in sshd, modificandone il flusso di autenticazione. Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come CVE-2024-3094. Note La situazione si sta ancora evolvendo, maggiori dettagli emergeranno nel prossimo futuro e aggiornerò il post di conseguenza. Si tratta probabilmente di un’operazione a tutti gli effetti vista la metodologia e la durata (quasi due anni), ma non sono la persona giusta per parlare di attributions, OpSec e Threat Actors. Nella sezione “Risorse” in fondo alla pagina ci sono link che riportano ad analisi più dettagliate. La situazione non sembra rosea quindi sto provando a scrivere questo blogpost in modo tale da fare un pò di chiarezza. Non voglio trattare aspetti troppo tecnici della compromissione ma voglio guardare alla issue dalla prospettiva di un Security Engineer, riassumendo cosa è andato storto e quali sono le possibili remediation a questo problema. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:0:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#"},{"categories":null,"content":" 1 Timeline Note Controlla la sezione Risorse per i link ad una timeline più dettagliata 2023: Un nuovo maintainer appare sul progetto xz A new maintainer shows up in the xz project 29 Mar 2024: Andres Freund invia un’email alla mailing list oss-security che riguarda una backdoor in xz/liblzma. Stava ottimizzando la sua infrastruttura e si è accorto che ssh era “sospettosamente” lento (parliamo di 400ms di differenza, difficilmente notabili a meno che non si stia facendo micro ottimizzazione). Qualche debug dopo si è accorto che la problmatica di performace era probabilmente causata dal codice della backdoor. L’analisi iniziale è stata fatta con l’aiuto di Florian Weimer. Le distribuzioni impattate (che quindi contenevano il pacchetto xz) hanno cominciato a rilasciare patch di downgrade a una versione precedente 30 Mar 2024: GitHub ha bloccato l’accesso al repository e ha sospeso l’account di entrambi i maintainer di xz Un comunicato ufficiale è stato rilasciato dal maintainer del progetto ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:1:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#timeline"},{"categories":null,"content":" 2 Componenti impattateL’estensione di questo breach è ancora poco chiaro di seguito è riportata una (parziale) lista dei componenti che contiengono la versione malevola di xz: Distribuzioni: Arch Debian Sid Gentoo Fedora 40 Manjaro Testing Parabola NixOS Unstable Slackware SUSE Tumbleweed Kali Linux Il pacchetto con la backdoor è inoltre contenuto nei seguenti package manager: Homebrew MacPorts pkgsrc Al momento sappiamo che ci sono dei controlli nel codice della backdoor che riguardano specificatamente le istanze di Linux x86_64/amd64 quindi il numero dei target effettivi potrebbe essere ridotto (relativamente) ma la situazione è poco chiara, non raccomanderei di tenere un pacchetto compromesso sul sistema. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:2:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#componenti-impattate"},{"categories":null,"content":" 3 Considerazioni","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:3:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#considerazioni"},{"categories":null,"content":" 3.1 Il comportamento di GitHubLe ragioni dietro il blocco dei repository di xz è ancora un mistero per me, specialmente sapendo che con il codice disponibile è possibile anche fare ulteriori analisi e avere uno scenario più chiaro della compromissione. Il blocco dell’accesso ai sortgenti di xz è un fattore che rallenterà l’arrivo delle analisi, che è un male in una situazione time-critical come questa. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:3:1","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#il-comportamento-di-github"},{"categories":null,"content":" 3.2 I downgradeLa patch strategy per praticamente tutti è stata di forzare il downgrade dalle versioni 5.6.0-5.6.1 ad una precedente. Qualcuno(homebrew, per esempio), ha forzato il downgrade alla versione 5.4.6. Questo è interessante perchè sicurametne sappiamo che c’è una backdoor sulle versioni 5.6.0-5.6.1, ma sappiamo anche che l’attaccante ha lavorato sul repository per più di due anni. La versione 5.4.6, ad esempio, è stata anch’essa compilata dall’attaccante e non dovrebbe essere considerata safe. Ancora una volta, grazie GitHub per aver bloccato l’accesso ai sorgenti e contribuito a far capire ancora meno la situazione. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:3:2","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#i-downgrade"},{"categories":null,"content":" 4 Come si previene questo fenomeno?Come ho detto all’inizio del post, non voglio scendere troppo in profondità con l’analisi tecnica della backdoor, per due ragioni principali: con l’accesso al codice sorgente bloccato solo un archivio (al momento della scrittura) è disponibile, le informazioni sono incomplete e non vorrei davvero reversare il binario di xz. Inoltre, e questo è il motivo più importante, persone con più conoscienze di me sul modo di operare dei Threat Actors ci stanno già lavorando. Non appena verranno pubblicati i primi articoli tecnici saranno disponibili nella sezione “Risorse”, in fondo alla pagina Una cosa che però posso fare qui è mostrare il punto di vista di un Security Engineer sul problema, come avrei mitigato la situazione e quali step sono andati storti. Note TL;DR: non esiste una reale soluzione al problema ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#come-si-previene-questo-fenomeno"},{"categories":null,"content":" 4.1 Problemi di fiducia xz è un software mantenuto (fino al 2023) da una singola persona. Successivamente un altro maintainer è arrivato ma sfortunatamente per noi, è la stessa persona che ha inviato la backdoor upstream. Questo ovviamente va in conflitto col fatto che xz sia un pacchetto incredbilimente popolare in tantissime distribuzioni e parte delle dipednenze di numerosi software. Probabilmente questo è stato visto dall’attaccante come una miniera d’oro dal momento che risultava facile riuscire a farsi affidare il ruolo di maintainer e pubblicare codice malevolo. Dovendo fare affidamento a codice di terze parti per la supply chain, è necessario avere fiducia in qualcuno a un certo punto. Quando si parla di Supply Chain security, le raccomandazioni sono sempre le stesse: pin degli hash e verifica delle firme. Questo funziona fino a quando ci troviamo in scenari dove un attaccante ha compromesso la CICD della dipedenza e invia build malevole, un account è stato compromesso etc. Ma cosa si può fare se, tutto a un tratto, un maintainer fidato si rivela malevolo? Da utente standard, a meno che tu non voglia (e sia capace) di fare code review a ogni singolo commit di ogni singolo pezzo di software con cui interagisce il tuo sistema operativo: più o meno nulla. Dall’altro lato, i developers e gli owner dei repsitory dovrebbero aumentare i controlli della loro supply chain includendo metriche più strette al fine di escludere pacchetti con alto rischio. Una delle cose più ricorrenti che si sentono quando si parla si Open Source e Security sono le persone che credono che, dal momento che il codice sorgente è disponibile, magicamente risulta sicuro. Uno dei fattori spesso trascurato è l’assunzione che avere accesso al sorgente si traduce automaticamente in un pool maggiore di occhi che cercano problemi e vulnerabilità. L’efficacia di queste review dipende principamente dal livello di coinvolgimento della community e dall’esperienza delle persone che poi quel codice effettivamente lo leggono, e di solito non è tanto. Molti progetti ricevono pochissima attenzione e solo pochi contribuiscono attivamente ai processi di review. Come risultato, le vulnerabilità (intenzionali o meno) possono passare inosservate per lunghi periodi di tempo, creando un rischio significante per gli utenti. Ogni volta che una discussione come questa si riapre, mi torna in mente il “Mese di Kali” di InfosectCBR, dove Silvio Cesare ha passato un mese a trovare e pubblicare vulnerabilità nei software contenuti nei repository di Kali Linux. Di seguito riporto una lista (parziale) di fattori che potrebbero contribuire a ridurre il rischio: ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:1","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#problemi-di-fiducia"},{"categories":null,"content":" 4.2 Statistiche di GitHubGiusto per essere chiaro fin dall’inizio: No, non si può fare affidamento su queste metriche. Esiste un mercato sulla compravendita di statistiche di GitHub come stelle, fork etc. Puoi trovare un buon articolo qui: https://dagster.io/blog/fake-stars ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:2","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#statistiche-di-github"},{"categories":null,"content":" 4.3 Engagement della communityValutare sempre la dimensione e l’engagement della community che circonda il progetto. Una community grande ed attiva può fornire occhi aggiuntivi sulle code review, i bug report etc. xz aveva letteralmente 2 maintainers e uno dei due è risultato essere l’attore malevolo. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:3","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#engagement-della-community"},{"categories":null,"content":" 4.4 Fondi e supportoCondsiderare sempre l’aspetto economico del progetto e da chi sta venendo finanziato. I progetti con dei fondi dedicati tendono ad avere risorse aggiuntive per i security audit e la manutenzione del codice e soprattutto è meno probabile che vengano abbandonati. Tip Ricorda: si vuole fare affidamento su quel codice per l’intera settimana, non solo durante il tempo libero del maintainer. I progetti con un buon supporto finanziario è molto più probabile divengano lavori a tempo pieno che solo hobby da portare avanti sporadicamente. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:4","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#fondi-e-supporto"},{"categories":null,"content":" 4.5 SDLCUna buona porzione della valutazione dovrebbe concentrarsi sul ciclo si sviluppo del software per assicurarsi che i gate (di sicurezza e qualità più in generale) siano implementati correttamente, le pull request abbiano bisogno di approvazione e ci siano delle pratiche sane che non permettano ad un singolo contributor di inviare codice malevolo senza approvazione. Inoltre è necessario tenere in cosiderazione che siamo umani e commettiamo errori. Passare una code review non significa automaticamente che il codice sia sicuro, come ho detto prima: non esiste una vera soluzione al problema, solo modi per abbassare la probabilità che le cose brutte accadano. ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:5","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#sdlc"},{"categories":null,"content":" 4.6 Enterprise vs IndividualQuesto è un argomento abbastanza controverso perchè ci sono progetti mantenuti da persone individuali che sono ben strutturati. Di solito però, utilizzando cdice prodotto da (grandi) aziende renderà più probabile l’avere delle best practice di sviluppo, avere un continuo stream di fondi per mantenere il progetto in piedi e soprattuto difficilmente una grande azienda metterebbe una backdoor di proposito nel proprio codice. Di nuovo, questo aumenta solo le probabilità, non va preso come concetto assoluto ;) ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:4:6","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#enterprise-vs-individual"},{"categories":null,"content":" 5 Risorse OSS-Security List: https://www.openwall.com/lists/oss-security/2024/03/29/4 Comprehensive timeline: https://boehs.org/node/everything-i-know-about-the-xz-backdoor Compromise link roundup: https://shellsharks.com/xz-compromise-link-roundup Obfuscation Analysis: https://gynvael.coldwind.pl/?lang=en\u0026id=782 ","date":"2024-03-30","objectID":"/it/posts/xz-backdoor/:5:0","series":null,"tags":["backdoor","CVE-2024-3094","xz","liblzma","supply-chain","security-engineering"],"title":"La backdoor di xz dalla prospettiva di un Security Engineer","uri":"/it/posts/xz-backdoor/#risorse"},{"categories":["general-knowledge"],"content":"Lavorando nel campo, ho visto molte organizzazioni investire una quantita’ significativa di tempo e risorse (che si traduce in persone e soldi), in misure che garantiscono poca se non zero, reale sicurezza. Ho assistito a organizzazioni che si esibiscono in un eterno clown show nel nome della security. Questo fenomeno e’ comunemente chiamato “security theatre”. ","date":"2023-02-13","objectID":"/it/posts/security-theatre/:0:0","series":null,"tags":["security theatre","infosec","rants"],"title":"Security Theatre? Direi quasi Security Circus","uri":"/it/posts/security-theatre/#"},{"categories":["general-knowledge"],"content":" 1 Cosa e’ il Security TheatreIl security theatre, nella sua forma piu’ semplice, e’ una grande illusione. E’ l’insieme di misure di sicurezza messe in piedi non perche’ prevengano realmente i data breach, ma solo perche’ sulla carta sembrano buoni, tranquillizzano gli stakeholders e fanno sentire tutti come se stessero davvero facendo qualcosa di utile per proteggersi. Lo senti? Lo senti l’odore? compliance figliolo, non c’e’ nient’altro al mondo che odora cosi’. . Come esempio, prendiamo il requisito di avere password complesse che devono essere regolarmente cambiate. Questo e’ il classico esempio di security theatre. Per quanto possa sembrare una buona fa molto poco per prevenire un data breach. E non dimentichiamoci il downside principale: la cosiddetta “password fatigue”, che porta i dipendenti a usare password che sono piu’ facili da ricordare o sempli variazioni di quelle usate in precedenza. Del resto c’e’ un motivo (molti in realta’) se Microsoft, Google ed Apple vogliono abbandonare del tutto le password. sistema la tua password policy Un altro esempio di security theatre e’ il fatto di implementare sistemi che dovrebbero dare un livello aggiuntivo di sicurezza come firewall, IDS e IP (in realta’ potremmo aprire un dibattito sul fatto che aumentino o diminuiscano la superficie d’attacco), per poi non aggiornali. ","date":"2023-02-13","objectID":"/it/posts/security-theatre/:1:0","series":null,"tags":["security theatre","infosec","rants"],"title":"Security Theatre? Direi quasi Security Circus","uri":"/it/posts/security-theatre/#cosa-e-il-security-theatre"},{"categories":["general-knowledge"],"content":" 2 CauseQuindi, cosa possono fare le aziende per evitare questo circo infinito? Prima di tutto dovrebbero capire quali sono i veri rischi che corrono e implementare contromisure che li indirizzino in maniera adeguata. Questo deve includere in primo luogo la formazione dei dipendenti su come riconoscere e rispondere ad un attacco. Dopotutto, la cybersecurity non e’ altro che la Corsa all’Oro 2.0, ci sono moltissimi soldi sul tavolo e tutti ne vogliono una fetta, questo causa pero’ difficolta’ nel trovare genete realmente preparata e se per caso ci si volesse affidare a dei consulenti esterni sarebbe ancora peggio, in quanto si dipenderebbe completamente da un’entita’ esterna per la propria Security Posture. ","date":"2023-02-13","objectID":"/it/posts/security-theatre/:2:0","series":null,"tags":["security theatre","infosec","rants"],"title":"Security Theatre? Direi quasi Security Circus","uri":"/it/posts/security-theatre/#cause"},{"categories":["general-knowledge"],"content":" 3 Tirando le sommeIn conclusione, il security theatre e’ un problema comune nel mondo dell’IT Security. Per evitare di far parte di questo pessimo show le organizzazioni dovrebbero concentrarsi nell’implementare controlli funzionia, nel testarne regolarmente l’efficacia e nell’avere un piano di risposta comprensivo. A, per favore, smettiamola con le policy inutili. Tip Qui puoi trovare un articolo di Phil Venables, CISO di Google, sulla Cerimonial Security e i Cargo Cults. ","date":"2023-02-13","objectID":"/it/posts/security-theatre/:3:0","series":null,"tags":["security theatre","infosec","rants"],"title":"Security Theatre? Direi quasi Security Circus","uri":"/it/posts/security-theatre/#tirando-le-somme"},{"categories":null,"content":"Tanto tempo che non ci si vede, eh? Sono successe tante cose dall’ultimo post nel 2018 sul vecchio blog. Sfortunatamente non ho scritto molto, sia per mancanza di tempo sia per l’impossibilita’ di condivider cio’ che ho imparato. Questo post contiene un’introduzione a questo nuovo sito e come funzionera’ d’ora in poi. Innanzitutto, sono ancora nel campo della security, ma mi sono spostato alla parte di Product Security (di piu’ su questo argomento piu’ avanti ma TL;DR: noia, carriera e opportunita’ di cresita, frustrazione e paura di andare in burnout). Fortunatamente nel mio attuale lavoro mi vengono concessi tempo e risorse per fare anche vulnerability research quindi occasionalmente postero’ alcune vulnerabilita’ interessanti che ho trovato. Vorrei inoltre parlare degli aspetti dell’Application Security a applicata al SDLC, vedremo se funzionera'. ","date":"2023-02-06","objectID":"/it/posts/long-time-no-see/:0:0","series":null,"tags":["updates"],"title":"Tanto tempo che non ci si vede","uri":"/it/posts/long-time-no-see/#"},{"categories":null,"content":" 1 Il funzionamento di questo blogIl setup e’ molto semplice, uso hugo per buildare pagine statiche che vengono pubblicate su una GithubPage. C’e’ una Github Action che builda e deploya le pagine ogni volta che una Pull Request viene approvata sul branch main. Un grafico che rappresenta il flusso logico dietro il sistema di deployment del blog Il tema che uso e’ LoveIt. E’ molto carino e ricco di funzionalita’ ma ha alcuni bug che devono essere fixati; per esempio, se stai leggendo questa pagina in Italiano ti sarai accorto che l’header ha le traduzioni abbastanza fatte a caso. La localization del tema e’ una feature molto carina ma dover riscrivere ogni volta lo stesso post per ogni linguaggio e’ abbastanza tedioso quindi penso che aggiungero’ il supporto a DeepL. Infine, il blog ha un nuovo logo: appsec.space logo E’ stato generato da Midjourney e non significa assolutamente nulla! ","date":"2023-02-06","objectID":"/it/posts/long-time-no-see/:1:0","series":null,"tags":["updates"],"title":"Tanto tempo che non ci si vede","uri":"/it/posts/long-time-no-see/#il-funzionamento-di-questo-blog"},{"categories":null,"content":" 2 Il futuroHo intenzione di cambiare molte cose: prima di tutto vorrei migrare tutti i post del vecchio blog perche’ vorreri mantenere un archivio. Successivamente potro’ cominciare a scrivere nuovi post. Note Se il vecchio blog risponde con un redirect a quello nuovo significa che la migrazione e’ stata completata. Nonostante il nome sia appsec.space mi piacerebbe parlare di diversi argomenti, spaziando dall’Application security, al Malware Development (a scopo formativo, ovviamente), al mio setup per la produttivita’ a lamentele varie. Il prossimo post sara’ sul Security Theater quindi, come diceva qualcuno, ci vediamo li. ","date":"2023-02-06","objectID":"/it/posts/long-time-no-see/:2:0","series":null,"tags":["updates"],"title":"Tanto tempo che non ci si vede","uri":"/it/posts/long-time-no-see/#il-futuro"}]
\ No newline at end of file
diff --git a/it/index.xml b/it/index.xml
index 7848822..144da29 100644
--- a/it/index.xml
+++ b/it/index.xml
@@ -2,7 +2,7 @@
                 <img src="/posts/xz-backdoor/xz.png" referrerpolicy="no-referrer">
             </div><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
 Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p>
-<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p>
+<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p>
 <p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-3094" target="_blank" rel="noopener noreferrer">CVE-2024-3094</a>.</p>
 <div class="details admonition tip open">
         <div class="details-summary admonition-title">
diff --git a/it/posts/index.xml b/it/posts/index.xml
index a423c83..fbf1aad 100644
--- a/it/posts/index.xml
+++ b/it/posts/index.xml
@@ -2,7 +2,7 @@
                 <img src="/posts/xz-backdoor/xz.png" referrerpolicy="no-referrer">
             </div><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
 Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p>
-<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p>
+<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p>
 <p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-3094" target="_blank" rel="noopener noreferrer">CVE-2024-3094</a>.</p>
 <div class="details admonition tip open">
         <div class="details-summary admonition-title">
diff --git a/it/posts/xz-backdoor/index.html b/it/posts/xz-backdoor/index.html
index abbbed2..292ed19 100644
--- a/it/posts/xz-backdoor/index.html
+++ b/it/posts/xz-backdoor/index.html
@@ -1,11 +1,11 @@
 <!doctype html><html lang=it><head><meta charset=utf-8><meta name=viewport content="width=device-width,initial-scale=1"><meta name=robots content="noodp"><title>La backdoor di xz dalla prospettiva di un Security Engineer - appsec & stuff</title><meta name=Description content><meta property="og:title" content="La backdoor di xz dalla prospettiva di un Security Engineer">
 <meta property="og:description" content="Come probablilmente già sai, xz è stato compromesso.
 Per i non addetti ai lavori xz è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.
-Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in sshd, modificandone il flusso di autenticatione.
-Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come CVE-2024-3094."><meta property="og:type" content="article"><meta property="og:url" content="https://appsec.space/it/posts/xz-backdoor/"><meta property="og:image" content="https://appsec.space/images/logo.png"><meta property="article:section" content="posts"><meta property="article:published_time" content="2024-03-30T19:49:24+01:00"><meta property="article:modified_time" content="2024-03-31T10:22:20+02:00"><meta property="og:site_name" content="appsec.space"><meta name=twitter:card content="summary_large_image"><meta name=twitter:image content="https://appsec.space/images/logo.png"><meta name=twitter:title content="La backdoor di xz dalla prospettiva di un Security Engineer"><meta name=twitter:description content="Come probablilmente già sai, xz è stato compromesso.
+Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in sshd, modificandone il flusso di autenticazione.
+Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come CVE-2024-3094."><meta property="og:type" content="article"><meta property="og:url" content="https://appsec.space/it/posts/xz-backdoor/"><meta property="og:image" content="https://appsec.space/images/logo.png"><meta property="article:section" content="posts"><meta property="article:published_time" content="2024-03-30T19:49:24+01:00"><meta property="article:modified_time" content="2024-03-31T10:25:51+02:00"><meta property="og:site_name" content="appsec.space"><meta name=twitter:card content="summary_large_image"><meta name=twitter:image content="https://appsec.space/images/logo.png"><meta name=twitter:title content="La backdoor di xz dalla prospettiva di un Security Engineer"><meta name=twitter:description content="Come probablilmente già sai, xz è stato compromesso.
 Per i non addetti ai lavori xz è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.
-Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in sshd, modificandone il flusso di autenticatione.
-Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come CVE-2024-3094."><meta name=application-name content="appsec & stuff"><meta name=apple-mobile-web-app-title content="appsec & stuff"><meta name=theme-color content="#f8f8f8"><link rel="shortcut icon" type=image/x-icon href=/favicon.ico><link rel=icon type=image/png sizes=32x32 href=/favicon-32x32.png><link rel=icon type=image/png sizes=16x16 href=/favicon-16x16.png><link rel=apple-touch-icon sizes=180x180 href=/apple-touch-icon.png><link rel=canonical href=https://appsec.space/it/posts/xz-backdoor/><link rel=prev href=https://appsec.space/it/posts/security-theatre/><link rel=stylesheet href=/css/main.b86bec8a7c1321e2b5e187a36d45cf663cb7b452290988619ab647973ec932afb7b7a921ce9c74fe7748384c262951a8db5334e017a020de16436470a45f21e1.css integrity="sha512-uGvsinwTIeK14YejbUXPZjy3tFIpCYhhmrZHlz7JMq+3t6khzpx0/ndIOEwmKVGo21M04BegIN4WQ2RwpF8h4Q=="><link rel=stylesheet href=/lib/normalize/normalize.min.8235a67a2521ef99fb1e455a5891b022af1653b4ede3cfffcac4e473beee88fbcc1a36bbb3cfdd75fd6df46732032f9d96e30adae9c88b769e1fbf7945cd27e0.css integrity="sha512-gjWmeiUh75n7HkVaWJGwIq8WU7Tt48//ysTkc77uiPvMGja7s8/ddf1t9GcyAy+dluMK2unIi3aeH795Rc0n4A=="><link rel=stylesheet href=/css/color.346090a8e4618da38ff45853421bbd1d5ffa3c25e678a3f0131c9f7d5300e15669f91c74f1ed5fab76e7424a2a6a5619a9dc45f99e04f246e37d8af51295b6ae.css integrity="sha512-NGCQqORhjaOP9FhTQhu9HV/6PCXmeKPwExyffVMA4VZp+Rx08e1fq3bnQkoqalYZqdxF+Z4E8kbjfYr1EpW2rg=="><link rel=stylesheet href=/css/style.min.576f64e626e323b8a4701fb2c2d135ec573b32168ff045421aa6092cf2fd42b2664350a8d27e76f5d1843ca3f40e7eb247bf05283550cfc42275cfa9a68fbfa7.css integrity="sha512-V29k5ibjI7ikcB+ywtE17Fc7MhaP8EVCGqYJLPL9QrJmQ1Co0n529dGEPKP0Dn6yR78FKDVQz8Qidc+ppo+/pw=="><link rel=preload as=style onload='this.onload=null,this.rel="stylesheet"' href=/lib/fontawesome-free/all.min.eb8387c9eb0ab6d4fa4d7ad397d15df13b92c009a1eb221b757dd1ecfccabc78a4c5b681847a7f4198ff7cd60abed8300508c9dea138cd1f4a85f09f09b2092a.css integrity="sha512-64OHyesKttT6TXrTl9Fd8TuSwAmh6yIbdX3R7PzKvHikxbaBhHp/QZj/fNYKvtgwBQjJ3qE4zR9KhfCfCbIJKg=="><noscript><link rel=stylesheet href=/lib/fontawesome-free/all.min.eb8387c9eb0ab6d4fa4d7ad397d15df13b92c009a1eb221b757dd1ecfccabc78a4c5b681847a7f4198ff7cd60abed8300508c9dea138cd1f4a85f09f09b2092a.css integrity="sha512-64OHyesKttT6TXrTl9Fd8TuSwAmh6yIbdX3R7PzKvHikxbaBhHp/QZj/fNYKvtgwBQjJ3qE4zR9KhfCfCbIJKg=="></noscript><link rel=preload as=style onload='this.onload=null,this.rel="stylesheet"' href=/lib/animate/animate.min.738daa4d2c3fc0f677ff92c1cc3f81c397fb6d2176a31a2eeb011bf88fe5a9e68a57914321f32fbd1a7bef6cb88dc24b2ae1943a96c931d83f053979d1f25803.css integrity="sha512-c42qTSw/wPZ3/5LBzD+Bw5f7bSF2oxou6wEb+I/lqeaKV5FDIfMvvRp772y4jcJLKuGUOpbJMdg/BTl50fJYAw=="><noscript><link rel=stylesheet href=/lib/animate/animate.min.738daa4d2c3fc0f677ff92c1cc3f81c397fb6d2176a31a2eeb011bf88fe5a9e68a57914321f32fbd1a7bef6cb88dc24b2ae1943a96c931d83f053979d1f25803.css integrity="sha512-c42qTSw/wPZ3/5LBzD+Bw5f7bSF2oxou6wEb+I/lqeaKV5FDIfMvvRp772y4jcJLKuGUOpbJMdg/BTl50fJYAw=="></noscript><script type=application/ld+json>{"@context":"http://schema.org","@type":"BlogPosting","headline":"La backdoor di xz dalla prospettiva di un Security Engineer","inLanguage":"it","mainEntityOfPage":{"@type":"WebPage","@id":"https:\/\/appsec.space\/it\/posts\/xz-backdoor\/"},"genre":"posts","keywords":"backdoor, CVE-2024-3094, xz, liblzma, supply-chain, security-engineering","wordcount":1514,"url":"https:\/\/appsec.space\/it\/posts\/xz-backdoor\/","datePublished":"2024-03-30T19:49:24+01:00","dateModified":"2024-03-31T10:22:20+02:00","publisher":{"@type":"Organization","name":"himazawa"},"author":{"@type":"Person","name":"himazawa"},"description":""}</script><script src=//instant.page/5.2.0 defer type=module integrity=sha384-jnZyxPjiipYXnSU0ygqeac2q7CVYMbh84q0uHVRRxEtvFPiQYbXWUorga2aqZJ0z></script></head><body header-desktop=fixed header-mobile=auto><script type=text/javascript>function setTheme(e){document.body.setAttribute("theme",e),document.documentElement.style.setProperty("color-scheme",e==="light"?"light":"dark"),window.theme=e,window.isDark=window.theme!=="light"}function saveTheme(e){window.localStorage&&localStorage.setItem("theme",e)}function getMeta(e){const t=document.getElementsByTagName("meta");for(let n=0;n<t.length;n++)if(t[n].getAttribute("name")===e)return t[n];return""}if(window.localStorage&&localStorage.getItem("theme")){let e=localStorage.getItem("theme");e==="light"||e==="dark"||e==="black"?setTheme(e):setTheme(window.matchMedia&&window.matchMedia("(prefers-color-scheme: dark)").matches?"dark":"light")}else"auto"==="light"||"auto"==="dark"||"auto"==="black"?(setTheme("auto"),saveTheme("auto")):(saveTheme("auto"),setTheme(window.matchMedia&&window.matchMedia("(prefers-color-scheme: dark)").matches?"dark":"light"));let metaColors={light:"#f8f8f8",dark:"#252627",black:"#000000"};getMeta("theme-color").content=metaColors[document.body.getAttribute("theme")],window.switchThemeEventSet=new Set</script><div id=back-to-top></div><div id=mask></div><div class=wrapper><header class=desktop id=header-desktop><div class=header-wrapper><div class=header-title><a href=/it/ title="appsec & stuff"><img class=logo loading=lazy src=/images/circle_cropped_logo.png srcset="/images/circle_cropped_logo.png, /images/circle_cropped_logo.png 1.5x, /images/circle_cropped_logo.png 2x" sizes=auto alt=/images/circle_cropped_logo.png title=/images/circle_cropped_logo.png></a></div><div class=menu><div class=menu-inner><a class=menu-item href=/it/posts/>Post </a><a class=menu-item href=/it/categories/>Categorie </a><a class=menu-item href=/it/about/>About me </a><span class="menu-item delimiter"></span><a href=javascript:void(0); class="menu-item language" title="Scegliere la lingua">Italiano<i class="fas fa-chevron-right fa-fw"></i>
+Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in sshd, modificandone il flusso di autenticazione.
+Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come CVE-2024-3094."><meta name=application-name content="appsec & stuff"><meta name=apple-mobile-web-app-title content="appsec & stuff"><meta name=theme-color content="#f8f8f8"><link rel="shortcut icon" type=image/x-icon href=/favicon.ico><link rel=icon type=image/png sizes=32x32 href=/favicon-32x32.png><link rel=icon type=image/png sizes=16x16 href=/favicon-16x16.png><link rel=apple-touch-icon sizes=180x180 href=/apple-touch-icon.png><link rel=canonical href=https://appsec.space/it/posts/xz-backdoor/><link rel=prev href=https://appsec.space/it/posts/security-theatre/><link rel=stylesheet href=/css/main.b86bec8a7c1321e2b5e187a36d45cf663cb7b452290988619ab647973ec932afb7b7a921ce9c74fe7748384c262951a8db5334e017a020de16436470a45f21e1.css integrity="sha512-uGvsinwTIeK14YejbUXPZjy3tFIpCYhhmrZHlz7JMq+3t6khzpx0/ndIOEwmKVGo21M04BegIN4WQ2RwpF8h4Q=="><link rel=stylesheet href=/lib/normalize/normalize.min.8235a67a2521ef99fb1e455a5891b022af1653b4ede3cfffcac4e473beee88fbcc1a36bbb3cfdd75fd6df46732032f9d96e30adae9c88b769e1fbf7945cd27e0.css integrity="sha512-gjWmeiUh75n7HkVaWJGwIq8WU7Tt48//ysTkc77uiPvMGja7s8/ddf1t9GcyAy+dluMK2unIi3aeH795Rc0n4A=="><link rel=stylesheet href=/css/color.346090a8e4618da38ff45853421bbd1d5ffa3c25e678a3f0131c9f7d5300e15669f91c74f1ed5fab76e7424a2a6a5619a9dc45f99e04f246e37d8af51295b6ae.css integrity="sha512-NGCQqORhjaOP9FhTQhu9HV/6PCXmeKPwExyffVMA4VZp+Rx08e1fq3bnQkoqalYZqdxF+Z4E8kbjfYr1EpW2rg=="><link rel=stylesheet href=/css/style.min.576f64e626e323b8a4701fb2c2d135ec573b32168ff045421aa6092cf2fd42b2664350a8d27e76f5d1843ca3f40e7eb247bf05283550cfc42275cfa9a68fbfa7.css integrity="sha512-V29k5ibjI7ikcB+ywtE17Fc7MhaP8EVCGqYJLPL9QrJmQ1Co0n529dGEPKP0Dn6yR78FKDVQz8Qidc+ppo+/pw=="><link rel=preload as=style onload='this.onload=null,this.rel="stylesheet"' href=/lib/fontawesome-free/all.min.eb8387c9eb0ab6d4fa4d7ad397d15df13b92c009a1eb221b757dd1ecfccabc78a4c5b681847a7f4198ff7cd60abed8300508c9dea138cd1f4a85f09f09b2092a.css integrity="sha512-64OHyesKttT6TXrTl9Fd8TuSwAmh6yIbdX3R7PzKvHikxbaBhHp/QZj/fNYKvtgwBQjJ3qE4zR9KhfCfCbIJKg=="><noscript><link rel=stylesheet href=/lib/fontawesome-free/all.min.eb8387c9eb0ab6d4fa4d7ad397d15df13b92c009a1eb221b757dd1ecfccabc78a4c5b681847a7f4198ff7cd60abed8300508c9dea138cd1f4a85f09f09b2092a.css integrity="sha512-64OHyesKttT6TXrTl9Fd8TuSwAmh6yIbdX3R7PzKvHikxbaBhHp/QZj/fNYKvtgwBQjJ3qE4zR9KhfCfCbIJKg=="></noscript><link rel=preload as=style onload='this.onload=null,this.rel="stylesheet"' href=/lib/animate/animate.min.738daa4d2c3fc0f677ff92c1cc3f81c397fb6d2176a31a2eeb011bf88fe5a9e68a57914321f32fbd1a7bef6cb88dc24b2ae1943a96c931d83f053979d1f25803.css integrity="sha512-c42qTSw/wPZ3/5LBzD+Bw5f7bSF2oxou6wEb+I/lqeaKV5FDIfMvvRp772y4jcJLKuGUOpbJMdg/BTl50fJYAw=="><noscript><link rel=stylesheet href=/lib/animate/animate.min.738daa4d2c3fc0f677ff92c1cc3f81c397fb6d2176a31a2eeb011bf88fe5a9e68a57914321f32fbd1a7bef6cb88dc24b2ae1943a96c931d83f053979d1f25803.css integrity="sha512-c42qTSw/wPZ3/5LBzD+Bw5f7bSF2oxou6wEb+I/lqeaKV5FDIfMvvRp772y4jcJLKuGUOpbJMdg/BTl50fJYAw=="></noscript><script type=application/ld+json>{"@context":"http://schema.org","@type":"BlogPosting","headline":"La backdoor di xz dalla prospettiva di un Security Engineer","inLanguage":"it","mainEntityOfPage":{"@type":"WebPage","@id":"https:\/\/appsec.space\/it\/posts\/xz-backdoor\/"},"genre":"posts","keywords":"backdoor, CVE-2024-3094, xz, liblzma, supply-chain, security-engineering","wordcount":1514,"url":"https:\/\/appsec.space\/it\/posts\/xz-backdoor\/","datePublished":"2024-03-30T19:49:24+01:00","dateModified":"2024-03-31T10:25:51+02:00","publisher":{"@type":"Organization","name":"himazawa"},"author":{"@type":"Person","name":"himazawa"},"description":""}</script><script src=//instant.page/5.2.0 defer type=module integrity=sha384-jnZyxPjiipYXnSU0ygqeac2q7CVYMbh84q0uHVRRxEtvFPiQYbXWUorga2aqZJ0z></script></head><body header-desktop=fixed header-mobile=auto><script type=text/javascript>function setTheme(e){document.body.setAttribute("theme",e),document.documentElement.style.setProperty("color-scheme",e==="light"?"light":"dark"),window.theme=e,window.isDark=window.theme!=="light"}function saveTheme(e){window.localStorage&&localStorage.setItem("theme",e)}function getMeta(e){const t=document.getElementsByTagName("meta");for(let n=0;n<t.length;n++)if(t[n].getAttribute("name")===e)return t[n];return""}if(window.localStorage&&localStorage.getItem("theme")){let e=localStorage.getItem("theme");e==="light"||e==="dark"||e==="black"?setTheme(e):setTheme(window.matchMedia&&window.matchMedia("(prefers-color-scheme: dark)").matches?"dark":"light")}else"auto"==="light"||"auto"==="dark"||"auto"==="black"?(setTheme("auto"),saveTheme("auto")):(saveTheme("auto"),setTheme(window.matchMedia&&window.matchMedia("(prefers-color-scheme: dark)").matches?"dark":"light"));let metaColors={light:"#f8f8f8",dark:"#252627",black:"#000000"};getMeta("theme-color").content=metaColors[document.body.getAttribute("theme")],window.switchThemeEventSet=new Set</script><div id=back-to-top></div><div id=mask></div><div class=wrapper><header class=desktop id=header-desktop><div class=header-wrapper><div class=header-title><a href=/it/ title="appsec & stuff"><img class=logo loading=lazy src=/images/circle_cropped_logo.png srcset="/images/circle_cropped_logo.png, /images/circle_cropped_logo.png 1.5x, /images/circle_cropped_logo.png 2x" sizes=auto alt=/images/circle_cropped_logo.png title=/images/circle_cropped_logo.png></a></div><div class=menu><div class=menu-inner><a class=menu-item href=/it/posts/>Post </a><a class=menu-item href=/it/categories/>Categorie </a><a class=menu-item href=/it/about/>About me </a><span class="menu-item delimiter"></span><a href=javascript:void(0); class="menu-item language" title="Scegliere la lingua">Italiano<i class="fas fa-chevron-right fa-fw"></i>
 <select class=language-select title="Scegliere la lingua" id=language-select-desktop onchange="location=this.value"><option value=/posts/xz-backdoor/>English</option><option value=/it/posts/xz-backdoor/ selected>Italiano</option></select>
 </a><span class="menu-item search" id=search-desktop><input type=text placeholder="Cerca il titolo o il contenuto dell'articolo ..." id=search-input-desktop>
 <a href=javascript:void(0); class="search-button search-toggle" id=search-toggle-desktop title=Cerca><i class="fas fa-search fa-fw"></i>
@@ -21,7 +21,7 @@
 </a><a href=javascript:void(0); class=menu-item title="Scegliere la lingua">Italiano<i class="fas fa-chevron-right fa-fw"></i>
 <select class=language-select title="Scegliere la lingua" onchange="location=this.value"><option value=/posts/xz-backdoor/>English</option><option value=/it/posts/xz-backdoor/ selected>Italiano</option></select></a></div></div></header><div class="search-dropdown desktop"><div id=search-dropdown-desktop></div></div><div class="search-dropdown mobile"><div id=search-dropdown-mobile></div></div><main class=main><div class=container><div class=toc id=toc-auto><h2 class=toc-title>Contenuti</h2><div class=toc-content id=toc-content-auto><nav id=TableOfContents><ul><li><a href=#timeline>Timeline</a></li><li><a href=#componenti-impattate>Componenti impattate</a></li><li><a href=#considerazioni>Considerazioni</a><ul><li><a href=#il-comportamento-di-github>Il comportamento di GitHub</a></li><li><a href=#i-downgrade>I downgrade</a></li></ul></li><li><a href=#come-si-previene-questo-fenomeno>Come si previene questo fenomeno?</a><ul><li><a href=#problemi-di-fiducia>Problemi di fiducia</a></li><li><a href=#statistiche-di-github>Statistiche di GitHub</a></li><li><a href=#engagement-della-community>Engagement della community</a></li><li><a href=#fondi-e-supporto>Fondi e supporto</a></li><li><a href=#sdlc>SDLC</a></li><li><a href=#enterprise-vs-individual>Enterprise vs Individual</a></li></ul></li><li><a href=#risorse>Risorse</a></li></ul></nav></div></div><script>document.getElementsByTagName("main")[0].setAttribute("autoTOC","true")</script><article class="page single"><h1 class="single-title animate__animated animate__flipInX">La backdoor di xz dalla prospettiva di un Security Engineer</h1><h2 class=single-subtitle>L'ennesimo attacco alla supply chain</h2><div class=post-meta><div class=post-meta-line><span class=post-author><span class="author fas fa-user-circle fa-fw"></span><a href=/it/ title=Author rel=author class=author>himazawa</a></span></div><div class=post-meta-line><i class="far fa-calendar-alt fa-fw"></i>&nbsp;<time datetime=2024-03-30>2024-03-30</time>&nbsp;<i class="far fa-edit fa-fw"></i>&nbsp;<time datetime=2024-03-31>2024-03-31</time>&nbsp;<i class="fas fa-pencil-alt fa-fw"></i>&nbsp;1514 parole&nbsp;<i class="far fa-clock fa-fw"></i>&nbsp;8 minuti&nbsp;</div></div><div class=featured-image><img loading=eager src=/posts/xz-backdoor/xz.png srcset="/posts/xz-backdoor/xz.png, /posts/xz-backdoor/xz.png 1.5x, /posts/xz-backdoor/xz.png 2x" sizes=auto alt=/posts/xz-backdoor/xz.png title=/posts/xz-backdoor/xz.png height=112 width=950></div><div class="details toc" id=toc-static kept><div class="details-summary toc-title"><span>Contenuti</span>
 <span><i class="details-icon fas fa-angle-right"></i></span></div><div class="details-content toc-content" id=toc-content-static><nav id=TableOfContents><ul><li><a href=#timeline>Timeline</a></li><li><a href=#componenti-impattate>Componenti impattate</a></li><li><a href=#considerazioni>Considerazioni</a><ul><li><a href=#il-comportamento-di-github>Il comportamento di GitHub</a></li><li><a href=#i-downgrade>I downgrade</a></li></ul></li><li><a href=#come-si-previene-questo-fenomeno>Come si previene questo fenomeno?</a><ul><li><a href=#problemi-di-fiducia>Problemi di fiducia</a></li><li><a href=#statistiche-di-github>Statistiche di GitHub</a></li><li><a href=#engagement-della-community>Engagement della community</a></li><li><a href=#fondi-e-supporto>Fondi e supporto</a></li><li><a href=#sdlc>SDLC</a></li><li><a href=#enterprise-vs-individual>Enterprise vs Individual</a></li></ul></li><li><a href=#risorse>Risorse</a></li></ul></nav></div></div><div class=content id=content><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
-Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p><p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p><p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href=https://nvd.nist.gov/vuln/detail/CVE-2024-3094 target=_blank rel="noopener noreferrer">CVE-2024-3094</a>.</p><div class="details admonition tip open"><div class="details-summary admonition-title"><i class="icon fas fa-lightbulb fa-fw"></i>Note<i class="details-icon fas fa-angle-right fa-fw"></i></div><div class=details-content><div class=admonition-content>La situazione si sta ancora evolvendo, maggiori dettagli emergeranno nel prossimo futuro e aggiornerò il post di conseguenza.</div></div></div><p>Si tratta probabilmente di un&rsquo;operazione a tutti gli effetti vista la metodologia e la durata (quasi due anni), ma non sono la persona giusta per parlare di attributions, OpSec e Threat Actors.
+Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p><p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p><p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href=https://nvd.nist.gov/vuln/detail/CVE-2024-3094 target=_blank rel="noopener noreferrer">CVE-2024-3094</a>.</p><div class="details admonition tip open"><div class="details-summary admonition-title"><i class="icon fas fa-lightbulb fa-fw"></i>Note<i class="details-icon fas fa-angle-right fa-fw"></i></div><div class=details-content><div class=admonition-content>La situazione si sta ancora evolvendo, maggiori dettagli emergeranno nel prossimo futuro e aggiornerò il post di conseguenza.</div></div></div><p>Si tratta probabilmente di un&rsquo;operazione a tutti gli effetti vista la metodologia e la durata (quasi due anni), ma non sono la persona giusta per parlare di attributions, OpSec e Threat Actors.
 Nella sezione &ldquo;Risorse&rdquo; in fondo alla pagina ci sono link che riportano ad analisi più dettagliate.</p><p>La situazione non sembra rosea quindi sto provando a scrivere questo blogpost in modo tale da fare un pò di chiarezza.</p><p>Non voglio trattare aspetti troppo tecnici della compromissione ma voglio guardare alla issue dalla prospettiva di un Security Engineer, riassumendo cosa è andato storto e quali sono le possibili remediation a questo problema.</p><h2 id=timeline class=headerLink><a href=#timeline class=header-mark></a>1 Timeline</h2><div class="details admonition tip open"><div class="details-summary admonition-title"><i class="icon fas fa-lightbulb fa-fw"></i>Note<i class="details-icon fas fa-angle-right fa-fw"></i></div><div class=details-content><div class=admonition-content>Controlla la sezione Risorse per i link ad una timeline più dettagliata</div></div></div><ul><li><p><strong>2023</strong>:</p><ul><li>Un nuovo maintainer appare sul progetto <code>xz</code></li><li>A new maintainer shows up in the <code>xz</code> project</li></ul></li><li><p><strong>29 Mar 2024</strong>:</p><ul><li><p>Andres Freund invia un&rsquo;email alla mailing list oss-security che riguarda una backdoor in <code>xz/liblzma</code>.
 Stava ottimizzando la sua infrastruttura e si è accorto che ssh era &ldquo;sospettosamente&rdquo; lento (parliamo di 400ms di differenza, difficilmente notabili a meno che non si stia facendo micro ottimizzazione). Qualche debug dopo si è accorto che la problmatica di performace era probabilmente causata dal codice della backdoor. L&rsquo;analisi iniziale è stata fatta con l&rsquo;aiuto di Florian Weimer.</p></li><li><p>Le distribuzioni impattate (che quindi contenevano il pacchetto <code>xz</code>) hanno cominciato a rilasciare patch di downgrade a una versione precedente</p></li></ul></li><li><p><strong>30 Mar 2024</strong>:</p><ul><li><p>GitHub ha bloccato l&rsquo;accesso al repository e ha sospeso l&rsquo;account di entrambi i maintainer di <code>xz</code></p></li><li><p>Un <a href=https://tukaani.org/xz-backdoor/ target=_blank rel="noopener noreferrer">comunicato ufficiale</a> è stato rilasciato dal maintainer del progetto</p></li></ul></li></ul><h2 id=componenti-impattate class=headerLink><a href=#componenti-impattate class=header-mark></a>2 Componenti impattate</h2><p>L&rsquo;estensione di questo breach è ancora poco chiaro di seguito è riportata una (parziale) lista dei componenti che contiengono la versione malevola di <code>xz</code>:</p><p>Distribuzioni:</p><ul><li>Arch</li><li><a href=https://security-tracker.debian.org/tracker/CVE-2024-3094 target=_blank rel="noopener noreferrer">Debian Sid</a></li><li>Gentoo</li><li><a href=https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users target=_blank rel="noopener noreferrer">Fedora 40</a></li><li>Manjaro Testing</li><li>Parabola</li><li>NixOS Unstable</li><li>Slackware</li><li><a href=https://news.opensuse.org/2024/03/29/xz-backdoor/ target=_blank rel="noopener noreferrer">SUSE Tumbleweed</a></li><li><a href=https://infosec.exchange/@kalilinux/112180505434870941 target=_blank rel="noopener noreferrer">Kali Linux</a></li></ul><p>Il pacchetto con la backdoor è inoltre contenuto nei seguenti package manager:</p><ul><li>Homebrew</li><li>MacPorts</li><li>pkgsrc</li></ul><p>Al momento sappiamo che ci sono dei controlli nel codice della backdoor che riguardano <a href=https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27#design target=_blank rel="noopener noreferrer">specificatamente le istanze di Linux x86_64/amd64</a> quindi il numero dei target effettivi potrebbe essere ridotto (relativamente) ma la situazione è poco chiara, non raccomanderei di tenere un pacchetto compromesso sul sistema.</p><h2 id=considerazioni class=headerLink><a href=#considerazioni class=header-mark></a>3 Considerazioni</h2><h3 id=il-comportamento-di-github class=headerLink><a href=#il-comportamento-di-github class=header-mark></a>3.1 Il comportamento di GitHub</h3><p>Le ragioni dietro il blocco dei repository di <code>xz</code> è ancora un mistero per me, specialmente sapendo che con il codice disponibile è possibile anche fare ulteriori analisi e avere uno scenario più chiaro della compromissione.</p><p>Il blocco dell&rsquo;accesso ai sortgenti di <code>xz</code> è un fattore che rallenterà l&rsquo;arrivo delle analisi, che è un male in una situazione time-critical come questa.</p><h3 id=i-downgrade class=headerLink><a href=#i-downgrade class=header-mark></a>3.2 I downgrade</h3><p>La patch strategy per praticamente tutti è stata di forzare il downgrade dalle versioni <code>5.6.0</code>-<code>5.6.1</code> ad una precedente.
 Qualcuno(homebrew, per esempio), ha forzato il downgrade alla versione <code>5.4.6</code>.</p><p>Questo è interessante perchè sicurametne sappiamo che c&rsquo;è una backdoor sulle versioni <code>5.6.0</code>-<code>5.6.1</code>, ma sappiamo anche che l&rsquo;attaccante ha lavorato sul repository per più di due anni.</p><p>La versione <code>5.4.6</code>, ad esempio, è stata anch&rsquo;essa compilata dall&rsquo;attaccante e non dovrebbe essere considerata safe.
@@ -29,6 +29,6 @@
 Non appena verranno pubblicati i primi articoli tecnici saranno disponibili nella sezione &ldquo;Risorse&rdquo;, in fondo alla pagina</p><p>Una cosa che però posso fare qui è mostrare il punto di vista di un Security Engineer sul problema, come avrei mitigato la situazione e quali step sono andati storti.</p><div class="details admonition tip open"><div class="details-summary admonition-title"><i class="icon fas fa-lightbulb fa-fw"></i>Note<i class="details-icon fas fa-angle-right fa-fw"></i></div><div class=details-content><div class=admonition-content>TL;DR: non esiste una reale soluzione al problema</div></div></div><h3 id=problemi-di-fiducia class=headerLink><a href=#problemi-di-fiducia class=header-mark></a>4.1 Problemi di fiducia</h3><p><figure><a class=lightgallery href=https://imgs.xkcd.com/comics/dependency_2x.png title=https://imgs.xkcd.com/comics/dependency_2x.png data-thumbnail=https://imgs.xkcd.com/comics/dependency_2x.png><img loading=lazy src=https://imgs.xkcd.com/comics/dependency_2x.png srcset="https://imgs.xkcd.com/comics/dependency_2x.png, https://imgs.xkcd.com/comics/dependency_2x.png 1.5x, https://imgs.xkcd.com/comics/dependency_2x.png 2x" sizes=auto alt=https://imgs.xkcd.com/comics/dependency_2x.png></a></figure></p><p><code>xz</code> è un software mantenuto (fino al 2023) da una singola persona. Successivamente un altro maintainer è arrivato ma sfortunatamente per noi, è la stessa persona che ha inviato la backdoor upstream. Questo ovviamente va in conflitto col fatto che <code>xz</code> sia un pacchetto incredbilimente popolare in tantissime distribuzioni e parte delle dipednenze di numerosi software.</p><p>Probabilmente questo è stato visto dall&rsquo;attaccante come una miniera d&rsquo;oro dal momento che risultava facile riuscire a farsi affidare il ruolo di maintainer e pubblicare codice malevolo.</p><p>Dovendo fare affidamento a codice di terze parti per la supply chain, è necessario avere fiducia in qualcuno a un certo punto.
 Quando si parla di Supply Chain security, le raccomandazioni sono sempre le stesse: pin degli hash e verifica delle firme.</p><p>Questo funziona fino a quando ci troviamo in scenari dove un attaccante ha compromesso la CICD della dipedenza e invia build malevole, un account è stato compromesso etc.</p><p>Ma cosa si può fare se, tutto a un tratto, un maintainer fidato si rivela malevolo?</p><p>Da utente standard, a meno che tu non voglia (e sia capace) di fare code review a ogni singolo commit di ogni singolo pezzo di software con cui interagisce il tuo sistema operativo: più o meno nulla.</p><p>Dall&rsquo;altro lato, i developers e gli owner dei repsitory dovrebbero aumentare i controlli della loro supply chain includendo metriche più strette al fine di escludere pacchetti con alto rischio.</p><p>Una delle cose più ricorrenti che si sentono quando si parla si Open Source e Security sono le persone che credono che, dal momento che il codice sorgente è disponibile, magicamente risulta sicuro.</p><p>Uno dei fattori spesso trascurato è l&rsquo;assunzione che avere accesso al sorgente si traduce automaticamente in un pool maggiore di occhi che cercano problemi e vulnerabilità.</p><p>L&rsquo;efficacia di queste review dipende principamente dal livello di coinvolgimento della community e dall&rsquo;esperienza delle persone che poi quel codice effettivamente lo leggono, e di solito non è tanto. Molti progetti ricevono pochissima attenzione e solo pochi contribuiscono attivamente ai processi di review. Come risultato, le vulnerabilità (intenzionali o meno) possono passare inosservate per lunghi periodi di tempo, creando un rischio significante per gli utenti.</p><p>Ogni volta che una discussione come questa si riapre, mi torna in mente il <a href=https://blog.infosectcbr.com.au/2018/11/pitfalls-using-strcat.html target=_blank rel="noopener noreferrer">&ldquo;Mese di Kali&rdquo; di InfosectCBR</a>, dove <a href=https://twitter.com/silviocesare target=_blank rel="noopener noreferrer">Silvio Cesare</a> ha passato un mese a trovare e pubblicare vulnerabilità nei software contenuti nei repository di Kali Linux.</p><p>Di seguito riporto una lista (parziale) di fattori che potrebbero contribuire a ridurre il rischio:</p><h3 id=statistiche-di-github class=headerLink><a href=#statistiche-di-github class=header-mark></a>4.2 Statistiche di GitHub</h3><p>Giusto per essere chiaro fin dall&rsquo;inizio: No, non si può fare affidamento su queste metriche.</p><p>Esiste un mercato sulla compravendita di statistiche di GitHub come stelle, fork etc.
 Puoi trovare un buon articolo qui: <a href=https://dagster.io/blog/fake-stars target=_blank rel="noopener noreferrer">https://dagster.io/blog/fake-stars</a></p><h3 id=engagement-della-community class=headerLink><a href=#engagement-della-community class=header-mark></a>4.3 Engagement della community</h3><p>Valutare sempre la dimensione e l&rsquo;engagement della community che circonda il progetto.</p><p>Una community grande ed attiva può fornire occhi aggiuntivi sulle code review, i bug report etc.</p><p><code>xz</code> aveva letteralmente 2 maintainers e uno dei due è risultato essere l&rsquo;attore malevolo.</p><h3 id=fondi-e-supporto class=headerLink><a href=#fondi-e-supporto class=header-mark></a>4.4 Fondi e supporto</h3><p>Condsiderare sempre l&rsquo;aspetto economico del progetto e da chi sta venendo finanziato. I progetti con dei fondi dedicati tendono ad avere risorse aggiuntive per i security audit e la manutenzione del codice e soprattutto è meno probabile che vengano abbandonati.</p><div class="details admonition tip open"><div class="details-summary admonition-title"><i class="icon fas fa-lightbulb fa-fw"></i>Tip<i class="details-icon fas fa-angle-right fa-fw"></i></div><div class=details-content><div class=admonition-content>Ricorda: si vuole fare affidamento su quel codice per l&rsquo;intera settimana, non solo durante il tempo libero del maintainer. I progetti con un buon supporto finanziario è molto più probabile divengano lavori a tempo pieno che solo hobby da portare avanti sporadicamente.</div></div></div><h3 id=sdlc class=headerLink><a href=#sdlc class=header-mark></a>4.5 SDLC</h3><p>Una buona porzione della valutazione dovrebbe concentrarsi sul ciclo si sviluppo del software per assicurarsi che i gate (di sicurezza e qualità più in generale) siano implementati correttamente, le pull request abbiano bisogno di approvazione e ci siano delle pratiche sane che non permettano ad un singolo contributor di inviare codice malevolo senza approvazione.</p><p>Inoltre è necessario tenere in cosiderazione che siamo umani e commettiamo errori. Passare una code review non significa automaticamente che il codice sia sicuro, come ho detto prima: non esiste una vera soluzione al problema, solo modi per abbassare la probabilità che le cose brutte accadano.</p><h3 id=enterprise-vs-individual class=headerLink><a href=#enterprise-vs-individual class=header-mark></a>4.6 Enterprise vs Individual</h3><p>Questo è un argomento abbastanza controverso perchè ci sono progetti mantenuti da persone individuali che sono ben strutturati.
-Di solito però, utilizzando cdice prodotto da (grandi) aziende renderà più probabile l&rsquo;avere delle best practice di sviluppo, avere un continuo stream di fondi per mantenere il progetto in piedi e soprattuto difficilmente una grande azienda metterebbe una backdoor di proposito nel proprio codice. Di nuovo, questo aumenta solo le probabilità, non va preso come concetto assoluto ;)</p><h2 id=risorse class=headerLink><a href=#risorse class=header-mark></a>5 Risorse</h2><ul><li>OSS-Security List: <a href=https://www.openwall.com/lists/oss-security/2024/03/29/4 target=_blank rel="noopener noreferrer">https://www.openwall.com/lists/oss-security/2024/03/29/4</a></li><li>Comprehensive timeline: <a href=https://boehs.org/node/everything-i-know-about-the-xz-backdoor target=_blank rel="noopener noreferrer">https://boehs.org/node/everything-i-know-about-the-xz-backdoor</a></li><li>Compromise link roundup: <a href=https://shellsharks.com/xz-compromise-link-roundup target=_blank rel="noopener noreferrer">https://shellsharks.com/xz-compromise-link-roundup</a></li><li>Obfuscation Analysis: <a href="https://gynvael.coldwind.pl/?lang=en&amp;id=782" target=_blank rel="noopener noreferrer">https://gynvael.coldwind.pl/?lang=en&id=782</a></li></ul></div><div class=post-footer id=post-footer><div class=post-info><div class=post-info-line><div class=post-info-mod><span>Aggiornato il 2024-03-31&nbsp;<a class=git-hash href=https://github.com/homazawa/himazawa.github.io/commit/4b37ca1cbc936af1b44f700abc1343be2579db26 target=_blank title="commit by himazawa(73994521+himazawa@users.noreply.github.com) 4b37ca1cbc936af1b44f700abc1343be2579db26: chore: fixed typo" rel="noopener noreferrer">
-<i class="fas fa-hashtag fa-fw"></i>4b37ca1</a></span></div><div class=post-info-license></div></div><div class=post-info-line><div class=post-info-md><span><a class=link-to-mardown href=/it/posts/xz-backdoor/index.md target=_blank rel="noopener noreferrer">Leggi Markdown</a></span></div><div class=post-info-share></div></div></div><div class=post-info-more><section class=post-tags><i class="fas fa-tags fa-fw"></i>&nbsp;<a href=/it/tags/backdoor/>Backdoor</a>,&nbsp;<a href=/it/tags/cve-2024-3094/>CVE-2024-3094</a>,&nbsp;<a href=/it/tags/xz/>Xz</a>,&nbsp;<a href=/it/tags/liblzma/>Liblzma</a>,&nbsp;<a href=/it/tags/supply-chain/>Supply-Chain</a>,&nbsp;<a href=/it/tags/security-engineering/>Security-Engineering</a></section><section><span><a href=javascript:void(0); onclick=window.history.back()>Indietro</a></span>&nbsp;|&nbsp;<span><a href=/it/>Home</a></span></section></div><div class=post-nav><a href=/it/posts/security-theatre/ class=prev rel=prev title="Security Theatre? Direi quasi Security Circus"><i class="fas fa-angle-left fa-fw"></i>Security Theatre? Direi quasi Security Circus</a></div></div></article></div></main></div><div id=fixed-buttons><a href=#back-to-top id=back-to-top-button class=fixed-button title="Torna all'inizio"><i class="fas fa-arrow-up fa-fw"></i>
+Di solito però, utilizzando cdice prodotto da (grandi) aziende renderà più probabile l&rsquo;avere delle best practice di sviluppo, avere un continuo stream di fondi per mantenere il progetto in piedi e soprattuto difficilmente una grande azienda metterebbe una backdoor di proposito nel proprio codice. Di nuovo, questo aumenta solo le probabilità, non va preso come concetto assoluto ;)</p><h2 id=risorse class=headerLink><a href=#risorse class=header-mark></a>5 Risorse</h2><ul><li>OSS-Security List: <a href=https://www.openwall.com/lists/oss-security/2024/03/29/4 target=_blank rel="noopener noreferrer">https://www.openwall.com/lists/oss-security/2024/03/29/4</a></li><li>Comprehensive timeline: <a href=https://boehs.org/node/everything-i-know-about-the-xz-backdoor target=_blank rel="noopener noreferrer">https://boehs.org/node/everything-i-know-about-the-xz-backdoor</a></li><li>Compromise link roundup: <a href=https://shellsharks.com/xz-compromise-link-roundup target=_blank rel="noopener noreferrer">https://shellsharks.com/xz-compromise-link-roundup</a></li><li>Obfuscation Analysis: <a href="https://gynvael.coldwind.pl/?lang=en&amp;id=782" target=_blank rel="noopener noreferrer">https://gynvael.coldwind.pl/?lang=en&id=782</a></li></ul></div><div class=post-footer id=post-footer><div class=post-info><div class=post-info-line><div class=post-info-mod><span>Aggiornato il 2024-03-31&nbsp;<a class=git-hash href=https://github.com/homazawa/himazawa.github.io/commit/df2c2ba7955eea2e038747d3eb9fa05791e1634d target=_blank title="commit by himazawa(73994521+himazawa@users.noreply.github.com) df2c2ba7955eea2e038747d3eb9fa05791e1634d: chore: fixed typo" rel="noopener noreferrer">
+<i class="fas fa-hashtag fa-fw"></i>df2c2ba</a></span></div><div class=post-info-license></div></div><div class=post-info-line><div class=post-info-md><span><a class=link-to-mardown href=/it/posts/xz-backdoor/index.md target=_blank rel="noopener noreferrer">Leggi Markdown</a></span></div><div class=post-info-share></div></div></div><div class=post-info-more><section class=post-tags><i class="fas fa-tags fa-fw"></i>&nbsp;<a href=/it/tags/backdoor/>Backdoor</a>,&nbsp;<a href=/it/tags/cve-2024-3094/>CVE-2024-3094</a>,&nbsp;<a href=/it/tags/xz/>Xz</a>,&nbsp;<a href=/it/tags/liblzma/>Liblzma</a>,&nbsp;<a href=/it/tags/supply-chain/>Supply-Chain</a>,&nbsp;<a href=/it/tags/security-engineering/>Security-Engineering</a></section><section><span><a href=javascript:void(0); onclick=window.history.back()>Indietro</a></span>&nbsp;|&nbsp;<span><a href=/it/>Home</a></span></section></div><div class=post-nav><a href=/it/posts/security-theatre/ class=prev rel=prev title="Security Theatre? Direi quasi Security Circus"><i class="fas fa-angle-left fa-fw"></i>Security Theatre? Direi quasi Security Circus</a></div></div></article></div></main></div><div id=fixed-buttons><a href=#back-to-top id=back-to-top-button class=fixed-button title="Torna all'inizio"><i class="fas fa-arrow-up fa-fw"></i>
 </a><a href=# id=view-comments class=fixed-button title="Vedi commenti"><i class="fas fa-comment fa-fw"></i></a></div><div class=assets><script type=text/javascript>window.config={code:{copyTitle:"Copia negli appunti",maxShownLines:10},comment:{},search:{distance:100,findAllMatches:!0,fuseIndexURL:"/it/index.json",highlightTag:"em",ignoreFieldNorm:!1,ignoreLocation:!0,isCaseSensitive:!1,location:0,maxResultLength:10,minMatchCharLength:2,noResultsFound:"Nessun risultato trovato",snippetLength:300,threshold:.1,type:"fuse",useExtendedSearch:!1},table:{sort:!0}}</script><script type=text/javascript src=/lib/tablesort/tablesort.min.23640461c9e6941882f50f4208436e1932c806bcc32323a34ff378781204951e05534a0bbc3c1e401d111aa22a26ecc5d4f2cfb43af59d94da8a24f2b8ef8506.js integrity="sha512-I2QEYcnmlBiC9Q9CCENuGTLIBrzDIyOjT/N4eBIElR4FU0oLvDweQB0RGqIqJuzF1PLPtDr1nZTaiiTyuO+FBg=="></script><script type=text/javascript src=/lib/clipboard/clipboard.min.b08a94127467df50609e03e61edd897a7ce57830ec5f060efa2caf438e8cc3a44bfae7405198f69ffbbf3c663cd0dc51c729ceed1f71206c792c4cf0e0835625.js integrity="sha512-sIqUEnRn31BgngPmHt2JenzleDDsXwYO+iyvQ46Mw6RL+udAUZj2n/u/PGY80NxRxynO7R9xIGx5LEzw4INWJQ=="></script><script type=text/javascript src=/js/theme.min.js defer></script></div></body></html>
\ No newline at end of file
diff --git a/it/posts/xz-backdoor/index.md b/it/posts/xz-backdoor/index.md
index 9055216..527868a 100644
--- a/it/posts/xz-backdoor/index.md
+++ b/it/posts/xz-backdoor/index.md
@@ -4,7 +4,7 @@
 Come probablilmente già sai, `xz` è stato compromesso.
 Per i non addetti ai lavori `xz` è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.
 
-Il pacchetto è stato usato come entrypoint per l'injection di codice malevolo in `sshd`, modificandone il flusso di autenticatione.
+Il pacchetto è stato usato come entrypoint per l'injection di codice malevolo in `sshd`, modificandone il flusso di autenticazione.
 
 Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come [CVE-2024-3094](https://nvd.nist.gov/vuln/detail/CVE-2024-3094).
 <!--more--> 
diff --git a/it/sitemap.xml b/it/sitemap.xml
index a60a6e0..c583dcd 100644
--- a/it/sitemap.xml
+++ b/it/sitemap.xml
@@ -1 +1 @@
-<urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9" xmlns:xhtml="http://www.w3.org/1999/xhtml"><url><loc>https://appsec.space/it/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/"/></url><url><loc>https://appsec.space/it/tags/backdoor/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/backdoor/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/backdoor/"/></url><url><loc>https://appsec.space/it/tags/cve-2024-3094/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/cve-2024-3094/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/cve-2024-3094/"/></url><url><loc>https://appsec.space/it/posts/xz-backdoor/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/posts/xz-backdoor/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/posts/xz-backdoor/"/></url><url><loc>https://appsec.space/it/tags/liblzma/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/liblzma/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/liblzma/"/></url><url><loc>https://appsec.space/it/posts/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/posts/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/posts/"/></url><url><loc>https://appsec.space/it/tags/security-engineering/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/security-engineering/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/security-engineering/"/></url><url><loc>https://appsec.space/it/tags/supply-chain/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/supply-chain/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/supply-chain/"/></url><url><loc>https://appsec.space/it/tags/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/"/></url><url><loc>https://appsec.space/it/tags/xz/</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/xz/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/xz/"/></url><url><loc>https://appsec.space/it/categories/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/categories/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/categories/"/></url><url><loc>https://appsec.space/it/categories/general-knowledge/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/categories/general-knowledge/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/categories/general-knowledge/"/></url><url><loc>https://appsec.space/it/tags/infosec/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/infosec/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/infosec/"/></url><url><loc>https://appsec.space/it/tags/rants/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/rants/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/rants/"/></url><url><loc>https://appsec.space/it/tags/security-theatre/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/security-theatre/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/security-theatre/"/></url><url><loc>https://appsec.space/it/posts/security-theatre/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/posts/security-theatre/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/posts/security-theatre/"/></url><url><loc>https://appsec.space/it/posts/long-time-no-see/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/posts/long-time-no-see/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/posts/long-time-no-see/"/></url><url><loc>https://appsec.space/it/tags/updates/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/updates/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/updates/"/></url><url><loc>https://appsec.space/it/about/</loc><lastmod>2023-03-21T22:11:59+01:00</lastmod><changefreq>weekly</changefreq><priority>0.5</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/about/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/about/"/></url></urlset>
\ No newline at end of file
+<urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9" xmlns:xhtml="http://www.w3.org/1999/xhtml"><url><loc>https://appsec.space/it/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/"/></url><url><loc>https://appsec.space/it/tags/backdoor/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/backdoor/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/backdoor/"/></url><url><loc>https://appsec.space/it/tags/cve-2024-3094/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/cve-2024-3094/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/cve-2024-3094/"/></url><url><loc>https://appsec.space/it/posts/xz-backdoor/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/posts/xz-backdoor/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/posts/xz-backdoor/"/></url><url><loc>https://appsec.space/it/tags/liblzma/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/liblzma/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/liblzma/"/></url><url><loc>https://appsec.space/it/posts/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/posts/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/posts/"/></url><url><loc>https://appsec.space/it/tags/security-engineering/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/security-engineering/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/security-engineering/"/></url><url><loc>https://appsec.space/it/tags/supply-chain/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/supply-chain/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/supply-chain/"/></url><url><loc>https://appsec.space/it/tags/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/"/></url><url><loc>https://appsec.space/it/tags/xz/</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/xz/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/xz/"/></url><url><loc>https://appsec.space/it/categories/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/categories/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/categories/"/></url><url><loc>https://appsec.space/it/categories/general-knowledge/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/categories/general-knowledge/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/categories/general-knowledge/"/></url><url><loc>https://appsec.space/it/tags/infosec/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/infosec/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/infosec/"/></url><url><loc>https://appsec.space/it/tags/rants/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/rants/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/rants/"/></url><url><loc>https://appsec.space/it/tags/security-theatre/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/security-theatre/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/security-theatre/"/></url><url><loc>https://appsec.space/it/posts/security-theatre/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/posts/security-theatre/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/posts/security-theatre/"/></url><url><loc>https://appsec.space/it/posts/long-time-no-see/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/posts/long-time-no-see/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/posts/long-time-no-see/"/></url><url><loc>https://appsec.space/it/tags/updates/</loc><lastmod>2024-03-30T22:00:02+01:00</lastmod><changefreq>weekly</changefreq><priority>1</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/tags/updates/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/tags/updates/"/></url><url><loc>https://appsec.space/it/about/</loc><lastmod>2023-03-21T22:11:59+01:00</lastmod><changefreq>weekly</changefreq><priority>0.5</priority><xhtml:link rel="alternate" hreflang="en" href="https://appsec.space/about/"/><xhtml:link rel="alternate" hreflang="it" href="https://appsec.space/it/about/"/></url></urlset>
\ No newline at end of file
diff --git a/it/tags/backdoor/index.xml b/it/tags/backdoor/index.xml
index 0c94e27..12b7c9d 100644
--- a/it/tags/backdoor/index.xml
+++ b/it/tags/backdoor/index.xml
@@ -2,7 +2,7 @@
                 <img src="/posts/xz-backdoor/xz.png" referrerpolicy="no-referrer">
             </div><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
 Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p>
-<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p>
+<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p>
 <p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-3094" target="_blank" rel="noopener noreferrer">CVE-2024-3094</a>.</p>
 <div class="details admonition tip open">
         <div class="details-summary admonition-title">
diff --git a/it/tags/cve-2024-3094/index.xml b/it/tags/cve-2024-3094/index.xml
index bf578de..e0ec7ba 100644
--- a/it/tags/cve-2024-3094/index.xml
+++ b/it/tags/cve-2024-3094/index.xml
@@ -2,7 +2,7 @@
                 <img src="/posts/xz-backdoor/xz.png" referrerpolicy="no-referrer">
             </div><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
 Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p>
-<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p>
+<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p>
 <p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-3094" target="_blank" rel="noopener noreferrer">CVE-2024-3094</a>.</p>
 <div class="details admonition tip open">
         <div class="details-summary admonition-title">
diff --git a/it/tags/liblzma/index.xml b/it/tags/liblzma/index.xml
index c3204da..9ca6726 100644
--- a/it/tags/liblzma/index.xml
+++ b/it/tags/liblzma/index.xml
@@ -2,7 +2,7 @@
                 <img src="/posts/xz-backdoor/xz.png" referrerpolicy="no-referrer">
             </div><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
 Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p>
-<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p>
+<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p>
 <p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-3094" target="_blank" rel="noopener noreferrer">CVE-2024-3094</a>.</p>
 <div class="details admonition tip open">
         <div class="details-summary admonition-title">
diff --git a/it/tags/security-engineering/index.xml b/it/tags/security-engineering/index.xml
index 733c6d6..5f1ac7f 100644
--- a/it/tags/security-engineering/index.xml
+++ b/it/tags/security-engineering/index.xml
@@ -2,7 +2,7 @@
                 <img src="/posts/xz-backdoor/xz.png" referrerpolicy="no-referrer">
             </div><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
 Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p>
-<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p>
+<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p>
 <p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-3094" target="_blank" rel="noopener noreferrer">CVE-2024-3094</a>.</p>
 <div class="details admonition tip open">
         <div class="details-summary admonition-title">
diff --git a/it/tags/supply-chain/index.xml b/it/tags/supply-chain/index.xml
index 356ff03..d646855 100644
--- a/it/tags/supply-chain/index.xml
+++ b/it/tags/supply-chain/index.xml
@@ -2,7 +2,7 @@
                 <img src="/posts/xz-backdoor/xz.png" referrerpolicy="no-referrer">
             </div><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
 Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p>
-<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p>
+<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p>
 <p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-3094" target="_blank" rel="noopener noreferrer">CVE-2024-3094</a>.</p>
 <div class="details admonition tip open">
         <div class="details-summary admonition-title">
diff --git a/it/tags/xz/index.xml b/it/tags/xz/index.xml
index dba1719..d9c535f 100644
--- a/it/tags/xz/index.xml
+++ b/it/tags/xz/index.xml
@@ -2,7 +2,7 @@
                 <img src="/posts/xz-backdoor/xz.png" referrerpolicy="no-referrer">
             </div><p>Come probablilmente già sai, <code>xz</code> è stato compromesso.
 Per i non addetti ai lavori <code>xz</code> è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.</p>
-<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticatione.</p>
+<p>Il pacchetto è stato usato come entrypoint per l&rsquo;injection di codice malevolo in <code>sshd</code>, modificandone il flusso di autenticazione.</p>
 <p>Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-3094" target="_blank" rel="noopener noreferrer">CVE-2024-3094</a>.</p>
 <div class="details admonition tip open">
         <div class="details-summary admonition-title">
diff --git a/sitemap.xml b/sitemap.xml
index 0e3c975..b32dd23 100644
--- a/sitemap.xml
+++ b/sitemap.xml
@@ -1 +1 @@
-<?xml version="1.0" encoding="utf-8" standalone="yes"?><sitemapindex xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"><sitemap><loc>https://appsec.space/en/sitemap.xml</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod></sitemap><sitemap><loc>https://appsec.space/it/sitemap.xml</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod></sitemap></sitemapindex>
\ No newline at end of file
+<?xml version="1.0" encoding="utf-8" standalone="yes"?><sitemapindex xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"><sitemap><loc>https://appsec.space/en/sitemap.xml</loc><lastmod>2024-03-31T10:22:20+02:00</lastmod></sitemap><sitemap><loc>https://appsec.space/it/sitemap.xml</loc><lastmod>2024-03-31T10:25:51+02:00</lastmod></sitemap></sitemapindex>
\ No newline at end of file