Old website of SerHack

All’inizio, ho sviluppato il mio sito il 14 maggio del 2017 quando è apparso il recente malware Wannacry. Il mio primo post, infatti, era per discutere e analizzare il malware in profondità, spiegando concetti tecnici a persone che non sanno nulla di Windows e SMB.

Nella mia vita, ho incontrato alcune persone che si autodefinivano “esperti” in informatica, ma dopo aver fatto loro alcune domande di base, ho capito che era una bugia. Windows è diventato “il peggior sistema operativo perché, sapete, la RAM non funziona bene su Windows NT”, poi il C++ è stato definito come “Un linguaggio da nerd. Non mi serve per programmare la mia IA (e poi era qualche “se” annidato)”. Per migliorare un po’ questa situazione e condividere le mie conoscenze - anche se non posso essere definito “esperto” (e non lo sarò) - ho iniziato a pensare di scrivere il mio blog.

Nel 2016, ho provato la popolare ed emergente piattaforma di blog chiamata “Medium” che, inizialmente, ho trovato molto interessante. La combinazione di caratteristiche tra cui il supporto di post in markdown mi ha incuriosito. Il primo post è stato un semplice “hello world” che mi descrive e quello che faccio di solito.

Per curiosità, ho letto i loro Termini di servizio e ho scoperto i termini di licenza dei contenuti pubblicati utilizzando la loro piattaforma. Non me l’aspettavo, ma tutti i contenuti appartengono a Medium, una società privata situata a San Francisco, non agli autori. Questo permette loro di fare tutto quello che vogliono con il tuo testo, incluso pubblicizzare Medium con i tuoi contenuti. Naturalmente, “tu possiedi i diritti sul contenuto che crei e pubblichi su Medium”, ma, per esempio, se il loro server va giù, il tuo contenuto è perso. Certo, è possibile salvare l’articolo tramite web.archive.org, ma lasciatemi sottolineare che non tutti sanno questo e non tutti salva più di 100 articoli a Web Archive.

La seconda motivazione potrebbe essere trovata nei concorrenti. Su Medium, sopra il testo dell’articolo di solito viene mostrato qualche articolo scritto da altre persone. Se dovrebbe essere considerato il MIO blog, perché appaiono questi articoli scritti da altri? Ho anche il terrore che il loro team possa cancellare il mio post in qualsiasi momento “senza alcuna ragione specifica”. Una volta che i miei post vengono cancellati, il mio pubblico è finito.

La terza motivazione è che non è personalizzabile e non è possibile applicare i propri stili. Cambiare il carattere non è possibile, avere il titolo più spaziato non è possibile e non si possono modificare i metadati che saranno utilizzati dai motori di ricerca. Ci sono altre motivazioni, esposte in parte dall’articolo “Why you shouldn’t blog on Medium”, ma in generale queste tre motivazioni possono essere applicate a qualsiasi piattaforma di blogging di terze parti.

Da Wordpress a sito web statico

Per prima cosa, quando ho comprato il dominio serhack.me, ho dovuto scegliere una piattaforma per ospitare il mio blog. Naturalmente, Wordpress era la mia prima scelta per avere un blog performante e sicuro. Tuttavia, questi aggettivi sembrano essere più “teorici” che pratici. In tre mesi, il mio sito ha raggiunto quasi 1.000 persone e ci sono stati 137 tentativi di accedere al pannello Wordpress usando la forza bruta.

Il primo articolo pubblicato è stato “Analisi Ransomware WannaCry” (tradotto in inglese: WannaCry Ransomware analysis) e come ho detto prima, quella è stata la mia prima analisi tecnica. Dopo più di due anni, posso confessare che quell’analisi manca di riferimenti e di competenza. Ho dovuto approfondire Wannacry e sarebbe stato interessante se avessi analizzato i dettagli con più attenzione.

The first version of my blog published in 14th May 2017

The first version of my blog published in 14th May 2017

Per quasi cinque mesi, il blog è stato scritto solo in italiano e ho usato Wordpress. Wordpress era facile da usare e da impostare, tuttavia ero molto preoccupato per la sicurezza e le implicazioni in termini di prestazioni. È ben noto come l’aggiornamento di Wordpress sia un processo noioso e a volte il tuo sito potrebbe essere down. Posso anche menzionare tutti i problemi e le incompatibilità dei plugin con una nuova versione di Wordpress. Oltre a questo, ogni visualizzazione del mio blog costava circa ~0,00050% della CPU quindi immaginate cosa potrebbe succedere se 10000 visitatori visitassero simultaneamente il mio sito.

Devo chiarire che non voglio dire che Wordpress non è sicuro, più manterrete il software aggiornato e imposterete una protezione, più sicuro sarà il vostro blog. Come probabilmente molti lettori sanno, non ho troppo tempo per studiare, immaginare per la manutenzione quasi quotidiana della sicurezza e delle prestazioni.

Dopo di che ho scelto di sviluppare il blog modificando manualmente i file HTML. “Dovrebbe essere facile” pensavo, ma oggi ci ripenserei. Dovevo pubblicare un articolo ogni quattro mesi, il modello non sarebbe stato cambiato e non avevo nemmeno un logo. Il mio primo articolo serio scritto in inglese fu su [Envato bug bounty] (/articles/how-i-broke-envato-search-field/) e fu pubblicato due anni fa. Era stato un discreto successo; molte persone si chiedevano perché Envato non mi pagasse e questo ha contribuito alla mia carriera.

The second version of my blog published in September 2017

The second version of my blog published in September 2017

Poi non ho pubblicato nulla fino a quando Telegu issue è apparso sui dispositivi Apple. Ho lavorato con Mitchell P.K-Thayer, uno dei migliori content editor che abbia mai incontrato nella mia carriera. Il tuo aiuto è stato prezioso, Mitchell! MoneroV: la criptovaluta truffa, Hackers could exploit online compilers, MEGA Chrome Extension hack e molti altri hanno contribuito a diffondere il mio blog nel mondo.

Tuttavia il mio sito statico aveva alcuni svantaggi che mi hanno fatto impazzire per migliorare la situazione. Prima di tutto, intrinsecamente il template aveva bisogno di essere aggiornato (ad esempio per aggiungere più voci di menu o per correggere quell’errore grammaticale nel footer) ed era così difficile tenere traccia di tutte le modifiche tra 3 file HTML. In un anno, con più di 25 articoli - scritti in italiano e in inglese - quanto tempo avrei dovuto dedicare a questi. In poco tempo ho dimenticato di aggiornare tutte le pagine e quindi alcuni articoli usavano un vecchio template mentre quelli recenti avevano un design più fresco.

The third version of my blog published in October 2017

The third version of my blog published in October 2017

In uno dei miei numerosi pomeriggi noiosi ho deciso di finire questa cosa. Ho cercato il miglior generatore di siti web statici e ho scelto GoHugo per la sua flessibilità e la sua velocità (una costruzione può richiedere solo 10 secondi - fantastico!). È un progetto in crescita e penso che meriterà più sorprese in termini di caratteristiche.

Molti miglioramenti sono stati implementati mentre si spostava il blog su GoHugo senza codificare tutte le caratteristiche manualmente.

Sintassi automatica per le caselle di codice

Ero stanco di aggiungere la sintassi manualmente o di usare soluzioni di terze parti per farlo. GoHugo abilita di default “Syntax Highlighting” utilizzando un nuovo e veloce motore. Può anche evidenziare le linee sulle caselle di codice. 10/10 lo sceglierei di nuovo.

Aggiungere categorie e tag

Con una riga, GoHugo supporta l’aggiunta di categorie e tag per ogni post. Il momento di modificare manualmente tutte le pagine per includere un nuovo tag potrebbe essere dimenticato. Grazie GoHugo!

Nuove pagine: Pubblicazioni e Home page

Durante tutti questi anni, la mia home era principalmente dedicata agli articoli, e alla loro descrizione. In questo momento, ho voluto cambiare poiché ho pensato che la gente sarebbe venuta in home page per sapere di me e non per cercare un articolo. Per questo, ho aggiunto una biografia, e una sezione su come contattarmi privatamente. Tutti gli articoli si trovano nella pagina blog. Ho anche inserito una nuova pagina chiamata “Pubblicazioni” dove ho scritto tutti gli articoli, i libri e i documenti scritti da me e non ospitati in questo blog.

Il futuro di SerHack

Il mio sito ha quasi 2,5 anni al momento in cui scrivo, e ho pubblicato un articolo ogni tre mesi circa. Il mio impegno sarà quello di pubblicare un articolo quasi ogni mese sugli argomenti più disparati: dalla blockchain, al reverse engineering. Ovviamente, non trascurando le parti teoriche da spiegare ai lettori meno avvezzi. Cercherò anche di scrivere una traduzione in italiano per ogni articolo che ho sul mio blog.

Fatemi sapere se avete suggerimenti o commenti! Ringrazio chiunque mi abbia inviato un feedback sulla grafica, sui contenuti e sul mio stile di scrittura.