🇮🇹 Conosciamo Edoardo Ottavianelli – Penetration Tester
Non proverò a farvi tornare alla memoria la vostra infanzia da nerd, i primi computer o con quale software vi siete approcciati all’informatica (io non mi ricordo ad essere onesto, qualcosa come Bearshare o MSN…). Preferisco piuttosto parlare degli errori che ho fatto, cosa faccio oggi e dove spero di arrivare tra qualche anno. Buona lettura 🙂
Nasco nel dicembre del 1997, ho toccato il mio primo computer nel 2006, mi sono collegato ad Internet per la prima volta il 14 febbraio 2007 (quindi si, può essere anche per quello che mi sono innamorato dell’Informatica).
edoardo@hacktivesecurity:~$ cat ~/history/career.log
2007 - First packets sent on the Internet🎉
2016 - Started a Bachelor's Degree in Computer Science
2018 - Signed up on GitHub
2020 - CTFs, code, CTFs, code…
2021 - Bug Bounty, open source offensive tooling
2022 - Started looking for undetected vulnerabilities in open source software
2023 - Master’s Degree in Cybersecurity, Research grant and satellite networks research
2024 - Joined the Hacktive Security TeamBug, errori, exploit e patch personali
La cosa che più mi rimprovero è di non essere mai troppo paziente.
La crescita è una strada lunga e non si può ottenere un grande risultato in tempi brevi. Se non hai sudato, allora l’obiettivo non era abbastanza ambizioso. Che tanto poi è proprio la fatica che ti mette nella condizione di apprezzare i risultati che ottieni. Scrivere un programma in Python non ti rende un #pydev🐍, rimani una persona con un file contenente codice (probabilmente buggato, dato che ti sei fermato al programma e hai scritto zero test). Capire come funziona la logica degli algoritmi, strutture dati, reti e sistemi operativi invece apre a molte più possibilità, ma purtroppo… esatto: richiede molto tempo. E passione. E curiosità. Quest’ultime non sono solo il carburante principale per la conoscenza, ma servono anche a non fermarsi al primo risultato utile, servono a perfezionare, a scoprire problemi che non pensavi di avere e se sei abbastanza fortunato e ci sbatti la testa tante volte anche a trovare una soluzione a quei problemi.
Una caratteristica che al contrario della pazienza credo di aver fatto mia è la capacità di adattarmi. Ogni cliente, progetto o infrastruttura ha esigenze diverse e spesso non ci sono playbook già pronti. Comprendere la funzione dei target sotto il punto di vista tecnico e contestualizzarli all’interno del sistema/azienda in cui sono utilizzati fa si ché si ha poi chiara la ragione per cui sono stati progettati in un determinato modo anziché nell’altro; e questo ovviamente aiuta nel test, nel report e nella comunicazione con il cliente. La maggior parte del tempo lo spendo parlando con i computer, ma ovviamente c’è anche una componente umana nel nostro lavoro, e quindi bisogna anche saper gestire le ambiguità, cercare di essere il più chiari possibile e utilizzare “linguaggi” differenti.
Cosa faccio in Hacktive Security
Principalmente mi occupo di penetration testing:
- Parlo con i clienti per comprendere quali sono gli obiettivi, i requisiti e la strategia di test migliore per loro e i loro sistemi IT
- Eseguo test su applicazioni web, API e infrastrutture di rete
- Consegno i report ai clienti e cerco di spiegare quali sono i problemi e come risolverli
- Ricerca di vulnerabilità in prodotti open source
- E … studio. Leggo paper e ultime novità dell’industria, analizzo patch di sicurezza, provo a riprodurre CVE.
Stile di lavoro
Amo il full remote perché mi permette di lavorare nei momenti in cui sono davvero concentrato e non nei momenti in cui “bisogna essere in ufficio”. Posso stare immerso su un’attività senza interruzioni inutili con una caffettiera sui fornelli e un blocco note accanto. Ma soprattutto mi fa sentire responsabile del mio tempo: non mi interessa lavorare tanto, mi interessa lavorare bene.
Il cliente deve comprendere la situazione attuale in merito alla sicurezza delle sue risorse attraverso un report, si deve essere più chiari possibile. Il report è un documento tecnico, ma deve essere anche uno strumento di comunicazione efficace. Il cliente deve leggerlo e capire cosa rischia, perché, e cosa può fare per ridurre quel rischio.
È inutile scrivere ‘CVSS 9.8 !!!!☢️’ se poi nessuno capisce dove intervenire. La sicurezza non è (solo) trovare problemi: è aiutare a risolverli.
Passioni
Mi alleno 4-5 volte a settimana, per la maggior parte Cross training, ma alcune volte vado anche a correre. Sto fin troppo tempo seduto davanti allo schermo, l’allenamento mi da il modo per pulire la mente da tutti i pensieri e ricaricare le energie. Mi piace molto camminare nella natura. Un ulteriore vantaggio del full remote è spegnere il laptop, mettersi le scarpe da trekking e incamminarsi qua dentro.
Domani
Vorrei migliorare e approfondire di più il mondo della code review.
Scrivo codice da quasi dieci anni e anche se non mi reputo un ottimo programmatore (forse arrivo al decente), mi diverte un sacco leggere, capire, scrivere codice e ovviamente trovare i modi per sfruttare i bug all’interno. Alla fine, fare code review significa imparare costantemente: ogni progetto è diverso, ogni stile di scrittura ti insegna qualcosa. Un domani vorrei arrivare non solo a trovare problemi, ma a proporre soluzioni robuste, a discutere architetture sicure.
Potete scrivermi ovunque mi troviate, un saluto 👋
edoardo@hacktivesecurity:~$ tail .bashrc
# life moves on and so should we.
alias links="open https://edoardottt.com"