Posts

Vulnerabilita 2022

La tecnologia continua ad evolversi e di conseguenza le minacce informatiche fanno lo stesso. Stare al passo con le ultime vulnerabilità è fondamentale per i team che si occupano di sicurezza in senso stretto ma lo è altrettanto per chi gestisce le infrastrutture. Ripercorriamo insieme questo 2022. Continua a leggere

January 21, 2023 Leggi

Crowdsec e Fortinet

E’ notizia di poche settimane fa, una falla in FortiOS, FortiProxy e FortiSwitchManager (CVE-2022-40684) è ancora sfruttabile e permette ad un utente malintenzionato un accesso shell privilegiato. Continua a leggere

December 11, 2022 Leggi

Mitigazione DDOS L7

Come promesso, pubblico il post del talk che non è stato scelto all’HackInBo. In questo post vedremo come mitigare gli attacchi DDOS Layer 7 con Crowdsec e Cloudflare. Continua a leggere

December 8, 2022 Leggi

VPS

Era il lontano 2016 e mi presentavo come ospite e relatore ad un Linux day. Il mio talk era incentrato su come muovere i primi passi e mettere in sicurezza un VPS in quanto stava diventando molto semplice acquistare un istanza a buon mercato (con 2 o 3 € al mese). Continua a leggere

November 19, 2022 Leggi

Crowdsec TLS

Puntiamo ad una maggiore sicurezza utilizzando il TLS per le comunicazioni tra LAPI e gli agenti e buttafuori. Continua a leggere

September 24, 2022 Leggi

Crowdsec e Cloudflare

Installare e configurare il buttafuori di Cloudflare. Utilizzeremo le regole firewall per inserire una challenge e verificare l’autenticità delle richieste. Continua a leggere

June 3, 2022 Leggi

Crowdsec Docker Compose

Proteggiamo i nostri stack docker con CrowdSec e il bouncer sulla macchina host. File docker-compose.yml di riferimento version: '3' services: #the application itself : static html served by apache2. #the html can be found in ./app/ app: image: httpd:alpine restart: unless-stopped volumes: - ./app/:/usr/local/apache2/htdocs/ networks: - crowdsec_test #the reverse proxy that will serve the application #you can see nginx's config in ./reverse-proxy/nginx.conf reverse-proxy: image: nginx:alpine restart: unless-stopped ports: - 8000:80 depends_on: - 'app' volumes: - .

February 26, 2022 Leggi

Crowdsec e Pwnkit

Brutta vulnerabilità Per voi che siete già passati a Crowdsec esiste uno scenario ad hoc. Lo scenario non permette di bloccare chi sfrutta questa vulnerabilità ma possiamo ricevere un avviso immediato. Approfondisci

January 27, 2022 Leggi

Crowdsec Centralizzato

Il runtime di CrowdSec ruota attorno ad alcuni semplici concetti: vengono letti i log (file system, journald, docker, ecc); i log vengono analizzati tramite parser; i log normalizzati vengono confrontati con gli scenari; quando uno scenario viene “attivato”, CrowdSec genera un avviso ed eventualmente una o più decisioni: l’avviso viene tracciato e rimarrà anche dopo la scadenza della decisione; la decisione d’altra parte, è di breve durata e indica quale azione dovrebbe essere intrapresa contro l’ip offensivo.

January 26, 2022 Leggi

Crowdsec e log4j

Installiamo lo scenario per capire se qualcuno sta tentando di sfruttare la vulnerabilità. # cscli hub update # cscli scenarios install crowdsecurity/apache_log4j2_cve-2021-44228 # systemctl reload crowdsec Lanciamo una scansione manuale e verifichiamo i risultati # crowdsec --dsn "file:///var/log/nginx/access.log" -no-api --type nginx # cscli alerts list --scenario crowdsecurity/apache_log4j2_cve-2021-44228 Approfondisci

January 21, 2022 Leggi

Crowdsec

Crowdsec è un progetto open-source che si pone come obiettivo quello di combattere i cybercriminali. Un progetto fatto dalla comunità per la comunità dove tutti posso partecipare attivamente. Il funzionamento che sta alla base è molto semplice: tutti condividono i risultati dei vari scan e così facendo si crea una lista globale degli ip utilizzati dagli attaccanti per sfruttare vulnerabilità o causare delle interruzioni di servizio (attacchi DDOS). Crowdsec si integra con iptable e nftables, AWS, Cloudflare, GCP e molto altro, quindi alla componente “core” possiamo installare un “bouncer” (buttafuori) che ci serve per bloccare le richieste provenienti dagli ip presenti in blacklist.

December 25, 2021 Leggi

Varie ed eventuali

In questa sezione vorrei parlare di sicurezza sotto diversi punti di vista.

December 25, 2021 Leggi