NF_Security

BIO

Mi chiamo Nicolas Fasolo, ho 24 anni ed attualmente lavoro come Etical Hacker & SOC Manager presso Lan & Wan Solutions. Ricordo che da piccolo mi venne chiesto cosa avrei voluto fare da grande, avevo le idee già molto chiare: io sarei diventato un "Hacker".

Per vari problemi che la vita mi ha riservato non ho potuto seguire un percorso di studi superiore in modo continuativo, di conseguenza tutto il mio tempo venne dedicato allo studio di ciò che amavo di più: la Cybersecurity.

Nel 2015 mi diplomai seguendo un corso triennale in Elettronica, non essendo soddisfatto delle nozioni ricevute durante il triennio decisi di iscrivermi ad un corso serale in Elettrotecnica per conseguire il diploma quinquennale. Questo percorso di studi mi spinse ad imparare anche come compromettere il mondo dell'hardware approfondendo all'ennesima potenza tutto ciò che veniva accennato durante le lezioni. Ero sicuro che queste skills mi sarebbero tornate utili in futuro.

Nel periodo tra il 2013 ed il 2018 tutto il mio tempo libero viene dedicato allo studio di vari linguaggi di programmazione che pochi mesi dopo l'inizio di questo difficile percorso imparai ad utilizzare in modo così naturale che mi era permesso creare qualsiasi automatismo, anche molto complesso. Questo periodo fu il più estenuante della mia vita. Mentre lavoravo full time come operaio nel settore dell'estrusione plastica cambiando azienda di mese in mese grazie alle agenzie del lavoro, ogni giorno seguivo anche le lezioni dalle 18:00 alle 23:30 del corso serale. Per poi studiare fino a notte inoltrata.

Nel 2016 sfruttando un paio di mesi senza occupazione mi addentrai nel mondo dei Malware ed Exploits studiando tutto quello che mi capitava sotto mano: Assembler (per il Reverse Engineering), metodi d'offuscazione, encryption, persistence, privilege escalation techniques, architettura dei sistemi operativi e molto altro ancora. Poco dopo, sempre più conscio dei problemi che ogni giorno incontrano i difensori nel campo della Cybersecurity cominciai il progetto "Threat Feed Service".

Nel 2018 conseguo il diploma in "Perito Elettrotecnico" non mollando mai la passione per la Cybersecurity che nel corso degli anni era, ed è ancora il mio unico obiettivo di carriera.

La Passione

Il percorso che ho seguito non è stato accademico e fù molto tortuoso, questa parte di BIO la dedico sopratutto a chi vuole inizare e non ha idea da dove farlo.

Non è semplice battere la concorrenza nel campo della sicurezza come in tutti gli altri, molti ci lavorano da anni e nel contempo le persone che ti circondano possono condizionarti scoraggiandoti.

Quando mi accorsi che per me non era importante la sicurezza informatica, bensì lo era quello che questa materia scatenava dentro di me: una sensazione di enorme potere, come se avessi le chiavi del mondo in mano.

Ci volle davvero poco per comprendere che questo potere era reale e non andava sfruttato in nessun modo che potesse nuocere, anche se la tentazione era davvero molto forte.

Cominciai a leggere e studiare sempre di più, tutto ciò che mi passava tra le mani veniva letto, analizzato ed assimilato in pochissimo tempo.

Era, ed è ancora, una droga.

C'era una volta...

All'inizio, attorno ai 10/12 anni quando ai miei occhi l'hacker veniva identificato come un'entità sovrannaturale (pensiero alimentato grazie al supporto della TV) chiesi ai Nonni se mi avrebbero lasciato usare il loro vecchio computer ogni tanto; loro acconsentirono, a patto che io studiassi per almeno 3 ore al giorno un libro a mia scelta dalla libreria. Ma nulla era più forte del desiderio di comprendere come funzionasse, quindi pur di utilizzarlo, accettai il patto, ricordo ancora il Windows 2000 ed il "case" che faceva il rumore di un 747 in "Full throttle" [Grazie Nonni].

Avendo ora lo strumento a disposizione, ma non avendo internet... mi lessi tutto ciò che era possibile leggere offline nel sistema operativo ed appena qualcosa non mi era chiara me la appuntavo su un libricino per poi sfruttare i pochi minuti di libertà alla fine delle lezini nell'unica ora di informatica settimanale alle scuole medie, in questa piccola ma indispensabile finestra di tempo potevo accedere ad internet, avevo le chiavi del mondo.

C'erano delle limitazioni però, purtroppo le mie chiavi del mondo non aprivano tutte le porte. E quelle limitazioni sulla navigazione mi stavano spesso strette, così mi concentrai nel trovare un modo per eluderle o aggirarle. In questa occasione hackerai la mia professoressa (spero che tu possa leggere prima o poi questa BIO) per la prima volta nella vita con una tecnica che ora conosco con il suo vero nome "Shoulder Surfing", così ottenni la password per cercare quello che volevo.

The stairway to Cybersecurity

Da qui in poi il percorso diventò una montagna da scalare, e ad ogni argomento assimilato mi trovavo spiazzato da quanti altri dovevo ancora solo comprendere, o per continuare la metafora; ad ogni zona di sosta in cui ero sicuro di non cadere la mia visione si estendeva su altri picchi alti 10 volte il percorso appena concluso.

Non ho mai smesso di scalare, ed ancora oggi vedo questi piccoli traguardi come punti che mi mostrano una nuova catena di montagne da conquistare.

Il tempo passa e dopo varie peripezie che la vita mi riserva arrivò l'ora di indirizzare il mio percorso seguendo il mio sogno; quello che da bambino avevo già identificato, la Cybersecurity.

Dopo mesi in cui dovevo adattarmi a fare diversi lavori saltuari e perlopiù manuali, vidi un'annuncio di lavoro in cui stavano cercando un'analista di "Malware Informatici e Supporto Tecnico IT", questo era il mio posto, ovviamente dopo pochi secondi invai il Curriculum ed una volta passato il colloquio pratico ed orale riuscii ad entrare nell'azienda "TG Soft".

Il primo lavoro

Entrai senza pretese, anche perchè le mie conoscenze erano completamente autodidatte e con zero knowhow accademico. Qui imparai molto, e questo contesto mi diede l'opportunità di comprendere altri ambiti di cui prima non avevo nemmeno idea che esistessero. L'azienda non aveva un programma di formazione ma in ogni caso l'essere esposto a situazioni tipo: "15/20 Infezioni di Malware diversi al giorno da rimuovere", "Attacchi Hacker di vario genere", "Analisi di nuovi malware e redazione di articoli sull'analisi dei payloads" mi mostrarono tutti gli ambiti su cui sviluppare la mia vita lavorativa.

Passò un'anno e mezzo e la situazione in azienda divenne un pò stagnante sotto il mio punto di vista, volevo crescere, non mi veniva insegnato nulla che non sapessi già e quindi decisi di cambiare lavoro, questa volta con l'obiettivo di creare il Security Operation Center più performante in Italia (ambizioso, lo so).

**In questa azienda incontrai persone fantastiche (@EnricoVanzetto, @ClaudioSachespi, @PasqualePalladino e @RiccardoMelioli) che mi diedero molto, senza chiedere nulla in cambio, questa menzione è per ringraziarvi per ogni singola parola che mi avete regalato, e che mi ha fatto crescere.

Never Back Down

Entrai in Lan & Wan Solutions, con la stessa passione di prima, ma questa volta, con uno zaino di progetti da sviluppare.

Trovai anche qui fin da subito delle personalità di spicco che mi diedero spinte continue visti i progressi che l'azienda faceva nel campo della CyberSecurity, divisione che cominciò con la mia assunzione, per questo ringrazio (@LuigiPedrotta e @FabioScattolin) per essere sempre disponibili e diretti ed avermi dato tutti gli strumenti per fare qualcosa di grande che ancora oggi cresce, in modo esponenziale.

Dal primo giorno in cui entrai in azienda la vidi come una solida base su cui costruire un grattacielo, ed anche qui menziono persone che mi hanno dato spunti e punti di vista che hanno cambiato totalmente la mia percezione del lavoro e della vita (@SimoneMarcomini, @FedericoGhedin, @PierantonioFanin, @DavidePenello, @JacopoDario e @ChristianFurlan), grazie di cuore.

Tornando al percorso, in "Lan & Wan Solutions" ebbi modo di esprimere tutte le mie idee e progetti facendoli diventare realtà come i servizi di Penetration Testing e tutti i servizi che il Blue Team offre oggi, in parallelo, imparai cos'è un NOC, qual è il suo scopo e cosa non può mancare in una divisione di questo tipo. Il NOC (Network Operation Center) diventò la mia sfida, volevo che fosse più smart ed efficente possibile e sopratutto che Sistemi ed Analisti interagissero piuttosto che lavorare l'uno per l'altro. Nel tempo, fino ad oggi questo è realtà!

Negli ultimi due anni mi occupai principalmente dei Penetration Tests (Etical Hacking), Ricerca e Sviluppo e la gestione del SOC.

Verso la fine del mio percorso in azienda mi accorsi che le possibilità di crescere stavano via via diminuendo, le stesse persone che prima mi supportavano ora non mi spingevano più a migliorare il reparto, tagliando risorse e bocciando continuamente progetti competitivi ed in linea con il mercato.

Decisi quindi di proporre un reparto aziendale dedicato al SOC con le proprie regole, management e risorse; in aggiunta allegando della documentazione specifica per la creazione di uno spin off con simile struttura ma dotato anche delle considerazioni circa reparto commerciale e marketing.

Inutile dire che non ricevetti mai un riscontro, procedetti quindi presentando le mie dimissioni.

In cerca di nuovi stimoli e obbiettivi.

Oggi

Decisi quindi di fare un salto, non nel vuoto, ma in Yarix.

Qui fin da subito ho trovato un ambiente diverso da quello a cui ero abituato, è dinamico, pieno di possibilità e strumenti, ma sopratutto ho avuto il piacere di conoscere Mirko Gatto, il visionario che ha creato questo fantastico contenitore di talenti.

Mi sentii subito nel mio mondo: personale preparato, processi strutturati, una sede accogliente ed il mio obbiettivo di portare il team di Incident Response ad essere uno dei migliori gruppi a livelli internazionali.

Easy, I'm ready as fuck.

Progetti e Vision

La mia visione sulla sicurezza è orizzontale, come l'ambito per l'appunto che non permette di sottovalutare nessun fattore in gioco. Sono necessari ricercatori che si dedichino a coprire tutte quelle piccole falle che se notate e/o sfruttate possono rovinare vite, far chiudere aziende, fare male a persone.

A questo dedico il mio tempo, creare soluzioni e metodi per abbassare quel numero di persone che vengono attaccate con successo ogni giorno da altre persone senza scrupoli che molto spesso senza curarsi delle conseguenze nella vita reale danneggiàno terzi, trovando la forza di attaccare sistemi informatci ignorando che dietro al sistema c'è vita ed in alcuni casi dopo un'attacco, disperazione.

La Cyberwarfare è tra uomini, non tra macchine. Le macchine sono solo i nuovi fucili ed il web il nuovo campo di battaglia.