Molto spesso il costo di down/perditadati/furtodati non viene considerato. Fortuna (?) vuole che in molte aziende han inserito ruoli dedicati che così punzecchiano l’IT che per anni è stato sempre visto (o si son fatti sempre vedere) come un costo
se non vendi software, l’IT è sempre un costo in quanto staff.
Alla stregua del legal, del finance, del facility, etc etc.
questi stanno prendendo letteralmente la regola dell’hardware refresh ogni 3 anni perche’ cosi’ si ammortizza senza pero’ avere cognizione di causa 
ruba tutto quello che puoi perche’ clienti cosi’ ce ne sono veramente pochi (qui sono riuscito forse a farli passare alle nuove versione di VMware/Nutanix durante il consolidamento di uno dei loro datacentre)
esatto. unica cosa positiva
che poi non capisco come non faccia a risultare che comunque sta spendendo un boato di soldi lo stesso le macchine cloud che rimangono accese di produzione e non scalano a seconda del workload, i consulenti che lavorano/lavoravano vanno pagati, le licenze della roba che prima hai scelto e mo dismetti anche etc etc etc.
non voglio sembrare presuntuoso ma un CV come il mio e alla mia età difficilmente lo vedi ovviamente ci saranno persone che ne sanno sicuramente più di me eh.
prima o poi qualcuno uscira’ discendo che il reparto IT e’ quello che spende di piu’ e allora inizieranno i cazzi
a quel punto un buon IT manager inizia a chiudere i rubinetti, fare un sizing intelligente delle macchine invece di ventordici cores e quintali di ram anche per macchine ti testing (true story visto io piu’ volte) e la situazione si normalizzera’… oppure taglieranno gente e server di backup perche’ non e’ mai successo niente (cit.) 
Sono attivo su HackerOne e Intigriti, ma ho un account pure su BugCrowd. Ma spesso ho accesso a private programs fuori di queste platforms grazie a vari contatti nel mio network. Preferisco lavorare su questi perche’ c’e’ meno competizione, o almeno sui programmi privati di queste platforms.
Faccio bug bounties da 7-8 anni, i tre anni a cui mi riferivo era per dire che in questi ultimi anni ho fatto progressi enormi per quanto riguarda il tipo di severity e rewards per le vulnerabilita’ che cerco. Prima spendevo piu’ tempo con “low hanging fruit” cosi’ per dire, mentre negli ultimi anni mi sono specialissato in roba pou’ complicata che la maggior parte degli ethical hackers neanche prova. La maggior parte di loro si ferma alla canonical OWASP top 10, mentre io vado oltre di proposito. In questo modo trovo meno vulnerabilita’ di altri, ma con severity piu’ alta.
Visto che parlate di VMWare. Uno degli hack migliori che ho fatto l’anno scorso era per un grande cloud provider europeo (provate ad indovinare quale), che usa sia VMWare che OpenStack per due diversi offerings di virtual servers. La vulnerabilita’ che trovai mi fu pagata 15K con CVSS 9.8 perche’ i tizi che creavano i templates per le VMs avevano dimenticato di fare la rotation automatica delle host keys :D Praticamente una volta scoperto questo, mi bastava creare una VM per poter compromettere praticamente tutte le VMs dei clienti con root access Questo e’ un esempio di come uno stupido errore in una procedura senza verifica da persone sufficientemente competenti puo’ tradursi in vulnerabilita’ serie.
1 Like
Ha per caso preso fuoco un po’ di tempo fa?
1 Like
Non sto capendo un cazzo, ma sembra una cosa fighissima 
1 Like
Non quello ma ci sei vicino
io skylinx me lo immagino come mr robot
Mr Robot mi piace un sacco. E’ l’unico TV show che mostra roba molto realistica. Non penso di aver visto un altro TV show o movie su hacking che avesse roba realistica come questo. Quando mostrano comandi, devices, tools etc sono veri, non sciocchezze inventate :)
1 Like
forse anche su Breaking In dove c’era sempre Christian Slater mi viene in mente qualcosa di molto vicino alla realtà sull’argomento
Uhm non credo di averlo visto. Note taken
ah si? e io che pensavo fossero realistici
7 Likes
Typing a quattro mani e’ incredibile
riesci a farlo solo quando diventi un super saiyan dell’hacking
Ah perché voi pair programming non lo fate così?
Veramente interessante la lettura, grazie!
Cmq per me la rappresentazione piu’ bella di hacking e’ nello spettacolare Hackers movie del '95, dove fanno vedere gli attachi come scenari 3D. Spettacolo puro
3 Likes