Durante l’Italian Tech Week di Torino, Jeff Bezos, fondatore di Amazon e uno degli uomini più ricchi al mondo (con un patrimonio stimato di 235,4 miliardi di dollari secondo Forbes Real-Time), ha definito l’attuale entusiasmo per l’intelligenza artificiale (IA) come una “bolla”.

“Sebbene l’IA in questo momento sia una bolla, è davvero una di quelle tecnologie destinate a cambiare tutto. Come l’aratro, come l’elettricità”

Bezos ha spiegato che in momenti di grande euforia come quello attuale, “ogni esperimento viene finanziato, ogni azienda riceve fondi, indipendentemente dalla qualità delle idee”. Secondo il miliardario, questo scenario rende difficile per gli investitori distinguere tra progetti validi e iniziative destinate al fallimento, sottolineando come molte società ottengano finanziamenti miliardari prima ancora di lanciare un prodotto sul mercato.

Nonostante i rischi, Bezos ritiene che la cosiddetta “bolla industriale” dell’IA possa avere effetti positivi nel lungo periodo. Ha ricordato l’esempio della bolla biotecnologica degli anni ’90, quando numerose aziende fallirono e molti investitori persero denaro, ma da quel fermento nacquero anche farmaci salvavita. “Quando tutto si sarà stabilizzato, emergeranno i veri vincitori, e la società beneficerà delle loro innovazioni”, ha dichiarato, aggiungendo che l’intelligenza artificiale trasformerà ogni settore e aumenterà la produttività di tutte le imprese nel mondo.

Bezos non è l’unico a mettere in guardia contro una possibile sopravvalutazione del mercato dell’IA. Sam Altman, CEO di OpenAI (con un patrimonio stimato di 2,3 miliardi di dollari secondo Forbes Real-Time), aveva espresso un’opinione analoga ad agosto. In un’intervista a The Verge, Altman ha affermato che “le bolle nascono quando persone intelligenti si entusiasmano troppo per una verità di fondo”, pur riconoscendo che l’IA rappresenta “l’innovazione più importante degli ultimi tempi”.

Anche Elon Musk, fondatore di Tesla e SpaceX e attualmente l’uomo più ricco del mondo (481,9 miliardi di dollari secondo Forbes Real-Time), ha espresso preoccupazione per la rapidità dei progressi dell’intelligenza artificiale. A luglio, su X (ex Twitter), Musk ha scritto che l’IA ha già superato la maggior parte delle capacità umane e che entro cinque anni potrebbe diventare più intelligente di qualsiasi essere umano.

Il dibattito sulla “bolla dell’intelligenza artificiale” sembra quindi destinato a proseguire, alimentato dalle opinioni divergenti dei leader tecnologici che, pur riconoscendone i rischi, ne intravedono un potenziale trasformativo senza precedenti.

L'articolo Jeff Bezos, fondatore di Amazon: l’entusiasmo per l’IA è una bolla! proviene da il blog della sicurezza informatica.

Con la determinazione del 19 settembre 2025, ACN introduce con l’art. 7 la figura del referente CSIRT all’interno degli adempimenti previsti dalla NIS 2. O, per meglio dire, dal decreto di recepimento della direttiva in Italia.

Mentre il punto di contatto è la persona fisica designata dal soggetto NIS che ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso, il referente CSIRT è una persona delegata da questi che ha il compito di interloquire con lo CSIRT Italia, e di effettuare le notifiche degli incidenti e delle informazioni pertinenti.

Le qualità professionali di questa figura consistono nel possesso di competenze di base in materia di sicurezza informatica e gestione degli incidenti informatici, oltre che di una conoscenza approfondita dei sistemi informativi e di rete del soggetto NIS. Tali requisiti devono essere intesi come un presupposto necessario affinché la designazione possa dirsi valida, dal momento che questi è chiamato a svolgere un ruolo eminentemente operativo.

Quali sono gli adempimenti previsti?

La designazione del referente CSIRT avviene a cura del punto di contatto del soggetto NIS attraverso la procedura telematica del Portale ACN fra il 20 novembre e il 31 dicembre 2025. In modo analogo a quanto avviene per i sostituti punto di contatto, è possibile che vengano indicati uno o più sostituti referente CSIRT.

L’art. 7 co. 3 della citata determinazione, stabilisce infatti che:

Al fine di assicurare il tempestivo svolgimento dei compiti del referente CSIRT, con particolare riferimento alla notifica degli incidenti significativi di cui all’articolo 25 del decreto NIS e relativi seguiti, con le medesime modalità di cui al comma 1, possono essere designati uno o più sostituti referente CSIRT.

Questi sostituti, qualora designati, fungono da supporto per il referente CSIRT nell’esercizio delle proprie funzioni e hanno la facoltà di svolgerle per suo conto, dal momento che devono possedere i medesimi requisiti soggettivi di conoscenze e competenze di questi.

A differenza dei sostituti punto di contatto, per i quali la designazione è da intendersi come generalmente obbligatoria a meno che il soggetto NIS non versi “nell’impossibilità materiale di effettuare tale adempimento, in quanto il punto di
contatto è l’unica persona fisica operante nell’organizzazione“, la previsione in organigramma di sostituti CSIRT è una facoltà dell’organizzazione. Ovviamente, l’organizzazione dovrà comunque essere in grado di mantenere la capacità di notificare gli incidenti significativi secondo le previsioni dell’art. 25 del decreto di recepimento della NIS 2.

Il referente CSIRT può essere esterno?

Mentre la deliberazione è chiara nell’escludere che il punto di contatto possa essere un soggetto esterno (il quale ovviamente può ben avvalersi di consulenti e supporto esterni), la stessa previsione non ricorre con riferimento al referente CSIRT.

Pertanto, si può ritenere che, salvo precisazioni di contrario avviso, questa funzione possa essere esternalizzata, sebbene tale opzione debba logicamente prevedere una chiara definizione dei livelli di servizio, nonché valutare che sussistano le capacità adeguate per ricoprire tale ruolo. Capacità che non possono certo limitarsi al possesso di competenze e conoscenze richieste per la funzione, ma che devono presentare evidenze circa la garanzia di un’interlocuzione efficace e tempestiva con lo CSIRT Italia. Soprattutto per la gestione tempestiva degli incidenti.

L'articolo NIS 2: arriva il referente CSIRT, il vero braccio operativo della sicurezza informatica italiana proviene da il blog della sicurezza informatica.

Siamo ancora qui a parlare di chatControl, una cosa che solo in Cina e Corea del Nord.
Non è questione di schieramenti, affondatelo e non parliamone più.
Per votare a favore della sorveglianza generalizzata della popolazione con la scusa di proteggere i picciriddi occorre essere idioti, o in malafede, o entrambe le cose.

spreaker.com/episode/dk-10x05-…

Every Thursday of the week, Bastian’s Night is broadcast from 21:30 CEST (new time).

Bastian’s Night is a live talk show in German with lots of music, a weekly round-up of news from around the world, and a glimpse into the host’s crazy week in the pirate movement.

If you want to read more about @BastianBB: –> This way

piratesonair.net/bastians-nigh…

Although largely recognizable to anyone who had a video game console in the 80s or 90s, cartridges have long since disappeared from the computing world. These squares of plastic with a few ROM modules were a major route to get software for a time, not only for consoles but for PCs as well. Perhaps most famously, the Commodore VIC-20 and Commodore 64 had cartridge slots for both gaming and other software packages. As part of the Chip Hall of Fame created by IEEE Spectrum, [James] found himself building a Commodore cartridge more than three decades after last working in front of one of these computers.

[James] points out that even by the standards of the early 80s the Commodore cartridges were pretty low on specs. They’re limited to 16 kB, which means programming in assembly and doing things like interacting with video hardware directly. Luckily there’s a treasure trove of documentation about the C64 nowadays as well as a number of modern programming tools for them, in contrast to the 80s when tools and documentation were scarce or nonexistent. Hardware these days is cheap as well; the cartridge PCB and other hardware cost only a few dollars, and the case for it can easily be 3D printed.

Burning the software to the $3 ROM chip was straightforward as well with a TL866 programmer, although [James] left a piece of memory management code in the first pass which caused the C64 to lock up. Removing this code and flashing the chip again got the demo up and running though, and it’ll be on display at their travelling “Chips that Changed the World” exhibit. If you find yourself in the opposite situation, though, we’ve also seen projects that cleverly pull the data off of ancient C64 ROM chips for preservation.

hackaday.com/2025/10/06/a-new-…

Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema host sottostante.

Il problema di sicurezza, è stato contrassegnato come CVE-2025-49844 ed è stato rilevato da Wiz Research. A questo problema è stato assegnato il massimo livello di gravità secondo la scala CVSS, con un punteggio di 10,0, una valutazione che indica le vulnerabilità di sicurezza più critiche.

l’analisi condotta da Wiz Research ha rivelato un’ampia superficie di attacco, con circa 330.000 istanze Redis esposte a Internet. È allarmante notare che circa 60.000 di queste istanze non hanno alcuna autenticazione configurata.

La falla di sicurezza, viene causata da un errore di tipo Use-After-Free (UAF) nella gestione della memoria, è presente nel codice di Redis da circa tredici anni. Questa vulnerabilità può essere sfruttata da un utente malintenzionato, dopo aver completato l’autenticazione, attraverso l’invio di uno script Lua appositamente realizzato.

Poiché lo scripting Lua è una funzionalità predefinita, l’aggressore può uscire dall’ambiente sandbox Lua per ottenere l’esecuzione di codice arbitrario sull’host Redis.

Il controllo completo viene garantito all’aggressore a questo livello di accesso, permettendogli di dirottare le risorse di sistema per attività come il mining di criptovalute, di muoversi lateralmente sulla rete, nonché di rubare, eliminare o crittografare i dati.

Il potenziale impatto è amplificato dall’ubiquità di Redis. Si stima che il 75% degli ambienti cloud utilizzi l’archivio dati in-memory per la memorizzazione nella cache, la gestione delle sessioni e la messaggistica.

Il flusso di attacco inizia con l’invio da parte dell’aggressore di uno script Lua dannoso all’istanza vulnerabile di Redis. Dopo aver sfruttato con successo il bug UAF per uscire dalla sandbox, l’aggressore può stabilire una reverse shell per l’accesso persistente. Da lì, possono compromettere l’intero host rubando credenziali come chiavi SSH e token IAM, installando malware ed esfiltrando dati sensibili sia da Redis che dalla macchina host.

Il 3 ottobre 2025, Redis ha rilasciato un avviso di sicurezza e versioni patchate per risolvere il problema CVE-2025-49844. Si consiglia vivamente a tutti gli utenti Redis di aggiornare immediatamente le proprie istanze, dando priorità a quelle esposte a Internet o prive di autenticazione.

L'articolo RediShell: una RCE da score 10 vecchia di 13 anni è stata aggiornata in Redis proviene da il blog della sicurezza informatica.