Hello CVEs, my old friends
I've come to deal with you again
Because a backdoor softly creeping...

Ops, scusate, stavamo cantando a voce alta. È qualcosa che facciamo ogni volta che una nuova vulnerabilità irrompe nella nostra routine quotidiana. Ultimamente e sempre più spesso, ci è capitato di farlo per colpa delle dipendenze del nostro software. Log4J, dite? Oh, beh, non dimentichiamoci di XZUtils! Attacchi alla supply chain, li chiamano. Abbiamo iniziato ad affrontarli al ritmo di SLSA (leggi "salsa"), ma poi abbiamo notato che si poteva fare di più. Molto più! E abbiamo trasformato i nostri binari malevoli in... beh, forme d'onda, musica. E abbiamo iniziato a farci del rock! Leggendo questi binari come se fossero normali forme d'onda musicali e analizzandoli con un po' di matematica (Cepstum, serie di Fourier, ecc.) abbiamo creato un modello che mira a rilevare se una dipendenza è dannosa. E classificarlo in base al tipo di malware. Affascinante, vero? The sound of malware...