L’Open Web Application Security Project (OWASP) è un’organizzazione senza scopo di lucro che sviluppa standard di sicurezza per le applicazioni e le API (Application Programming Interface). I suoi progetti, tra cui la “Top Ten”, sono utilizzati come riferimento per la sicurezza applicativa a livello mondiale.

La OWASP Top Ten più famosa e storicamente significativa è la lista dei 10 principali rischi di sicurezza per le applicazioni web. Lanciata nel 2003 e aggiornata periodicamente, è uno degli standard di riferimento più conosciuti nel campo della sicurezza informatica.

Oggi, con la diffusione dei modelli linguistici di grandi dimensioni (LLM, Large Language Models), OWASP ha introdottouna nuova lista Top Ten specifica per aiutare a identificare e mitigare i rischi di sicurezza unici di questi modelli. Gli LLM, come GPT, sono suscettibili a nuove vulnerabilità, che vanno dall’esfiltrazione di dati sensibili alla manipolazione delle risposte. Comprendere e mitigare tali rischi è fondamentale, soprattutto per applicazioni critiche e sensibili.

OWASP LLM Top Ten

Vediamo subito quali sono i rischi principali, sulla base della versione 1.1, la più recente di OWASP LLM Top Ten:

• Prompt Injection: input maligni progettati per indurre l’LLM a comportarsi in modi non previsti, con il rischio di esporre dati sensibili o attivare azioni non autorizzate.
• Insecure Output Handling: rischi derivanti dal fatto che l’output degli LLM non viene adeguatamente sanitizzato, causando potenziali problemi di sicurezza come attacchi XSS (cross-site scripting) o esecuzione remota di codice.
• Training Data Poisoning: avvelenamento dei dati usati per addestrare o affinare i modelli, con il rischio di compromettere la sicurezza, l’etica o le performance del modello stesso.
• Model Denial of Service: gli attaccanti causano operazioni che richiedono molte risorse sui modelli di linguaggio di grandi dimensioni, portando a una degradazione del servizio o a costi elevati.
• Supply Chain Vulnerabilities: rischi legati a componenti di terze parti, come plugin o modelli pre-addestrati, che potrebbero introdurre minacce o vulnerabilità esterne.
• Sensitive Information Disclosure: rischio che gli LLM rivelino accidentalmente informazioni riservate, come dati proprietari o personali, soprattutto se i prompt degli utenti vengono riutilizzati nei dati di addestramento.
• Insecure Plugin Design: vulnerabilità derivanti dall’uso di plugin che accettano input non validati, che potrebbero consentire attacchi di tipo prompt injection o l’esecuzione remota di codice.
• Excessive Agency: si può verificare quando gli LLM vengono dotati di troppo potere o autonomia, con conseguenti rischi per la sicurezza e il controllo.
• Overreliance: pericolo derivante dall’affidarsi ciecamente agli output degli LLM senza verificarne la validità, con il rischio di prendere decisioni errate basate su informazioni inaccurate o talvolta inventate.
• Model Theft: rischio che i modelli vengano rubati da parte di attaccanti che sfruttano vulnerabilità nell’infrastruttura che li ospita.

Come mitigare i rischi

Al di là della lista, ciò che serve è acquisire dimestichezza e conoscenza su questi rischi e gestirli, occorre dunque capire come possono essere mitigati.

Per ognuno dei dieci rischi elencati nella Top Ten esistono metodi più o meno efficaci per la mitigazione. Se pensiamo alla prompt injection, il rischio numero uno nella top ten LLM, la metodologia di mitigazione più efficace consiste nell’implementare filtri di input avanzati per rilevare e bloccare potenziali attacchi.

Per mitigare i rischi legati alla gestione insicura dell’output (Insecure Output Handling), è fondamentale applicare alcune pratiche di sicurezza. In primis, l’output generato deve essere sanitizzato per evitare che contenga codice dannoso, come quello usato negli attacchi XSS. Inoltre, l’adozione di filtri linguistici è cruciale per bloccare contenuti inappropriati o dannosi, regolando i termini o le frasi che possono essere generati. Un’altra misura importante è l’uso di una struttura di risposta predeterminata, che garantisce che l’output segua un formato sicuro e controllato, riducendo il rischio di generare risposte non sicure. Infine, è essenziale implementare monitoraggio e logging delle risposte prodotte dal modello, per rilevare attività sospette e prevenire attacchi futuri.

Per contrastare il rischio di avvelenamento dei dati di addestramento (Training Data Poisoning), è essenziale adottare misure di protezione rigorose. Una pratica fondamentale è la verifica dei dati, assicurando che provengano da fonti affidabili e non siano stati manipolati, tramite tecniche di autenticazione. Inoltre, il monitoraggio della qualità dei dati è cruciale per individuare e rimuovere dati anomali o dannosi, mantenendo l’integrità del modello. È importante anche applicare tecniche di differenziazione dei dati, come la privacy differenziale, per proteggere le informazioni sensibili durante l’addestramento. Infine, è essenziale controllare le dipendenze esterne, garantendo che le fonti di dati, inclusi i modelli pre-addestrati, siano sicure e prive di vulnerabilità.

Tra le raccomandazioni generali, valide dunque per tutti, si ricorda che è bene realizzare audit regolari del modello, controlli di accesso e valutazioni di vulnerabilità.

La sicurezza degli LLM richiede il coinvolgimento di ingegneri, sviluppatori e team di sicurezza per affrontare in modo olistico i rischi.

Progetti e iniziative europee

In ambito europeo si sta cercando di gestire meglio questi nuovi rischi. Il progetto KINAITICS è un’iniziativa finanziata dall’Unione Europea che si concentra sull’analisi e la gestione delle minacce cyber-cinetiche, in particolare quelle che coinvolgono sistemi cyber-fisici e intelligenza artificiale.

Questo progetto, lanciato nell’ottobre 2022, riunisce partner da cinque Paesi europei tra cui l’Italia, include istituzioni come il Commissariat à l’Énergie Atomique (CEA) che agisce da coordinatore del progetto, oltre a diversi partner privati, per migliorare la sicurezza dei sistemi interconnessi che impiegano AI per il controllo e l’elaborazione dati.

KINAITICS si distingue per il suo approccio innovativo nello sviluppo di una matrice di minacce specifica, adattata a mitigare i rischi derivanti dall’integrazione dell’intelligenza artificiale in contesti industriali e cyber-fisici. Il progetto mira a prevenire attacchi sofisticati, come quelli basati sui digital twin di una fabbrica, che consentono a un attaccante di identificare punti vulnerabili nei cicli di produzione e introdurre misure di disturbo per sabotare i sistemi di controllo.

Un digital twin è una replica virtuale di un sistema fisico, e se compromesso, può portare a guasti nei cicli produttivi reali, manipolando i dati che alimentano i modelli. Questi attacchi dimostrano quanto sia cruciale proteggere i modelli AI avanzati, che, se vulnerabili, possono compromettere l’intero sistema cyber-fisico.

KINAITICS sviluppa tecnologie e metodologie per rilevare e difendersi da tali attacchi, creando una matrice di minacce mirata a rafforzare la sicurezza nei settori industriali. L’obiettivo complessivo è creare difese più resilienti attraverso strumenti e metodologie avanzate, integrando standard legali ed etici per garantire un uso sicuro dell’AI in vari settori industriali.

Conclusione

La sicurezza dei modelli di intelligenza artificiale, in particolare quelli linguistici avanzati, è un ambito in continua evoluzione, con rischi specifici come gli attacchi attraverso i digital twins che possono compromettere interi sistemi cyber-fisici. L’integrazione crescente dell’AI in contesti industriali e quotidiani richiede soluzioni proattive per proteggere le infrastrutture e garantire un uso sicuro delle tecnologie. L’OWASP LLM Top Ten offre una guida per identificare e mitigare i principali rischi, ma è essenziale una gestione continua e approfondita.

Poiché le minacce evolvono rapidamente, la sicurezza degli LLM non può essere considerata un compito da eseguire una sola volta, ma deve essere un processo continuo. L’adozione di misure di protezione specifiche è essenziale, ma la gestione delle vulnerabilità richiede una vigilanza costante e l’implementazione di aggiornamenti regolari, audit di sicurezza e valutazioni dei rischi. Un approccio olistico alla sicurezza, che coinvolga ingegneri, sviluppatori e team di sicurezza in un ciclo continuo di monitoraggio e miglioramento, è cruciale per prevenire nuove vulnerabilità e garantire che le tecnologie emergenti siano sempre protette da potenziali attacchi. Solo così si potrà garantire l’integrità dei modelli e proteggere le applicazioni sensibili da rischi imprevisti.

Progetti come KINAITICS, con il loro approccio innovativo alla protezione contro le minacce cyber-cinetiche, rappresentano un passo cruciale nel rafforzamento della sicurezza, mirando a prevenire attacchi sofisticati e a sviluppare difese resilienti. La sensibilizzazione dei professionisti della sicurezza è fondamentale per ridurre le vulnerabilità e assicurare che queste tecnologie avanzate siano utilizzate in modo sicuro e responsabile.

L'articolo OWASP LLM Top Ten: La Nuova Frontiera della Sicurezza per i Large Language Model! proviene da il blog della sicurezza informatica.

On November 5th, the United States launched an LGM-30G Minuteman III ICBM from Vandenberg Space Force Base in California. Roughly 30 minutes later the three warheads onboard struck their targets 4,200 miles (6,759 km) away at the Reagan Test Site in the Marshall Islands. What is remarkable about this test is not that one of these ICBMs was fired — as this is regularly done to test the readiness of the US’ ICBMs — but rather that it carried three warheads instead of a single one.

Originally the Minuteman III ICBMs were equipped with three warheads, but in 2014 this was reduced to just one as a result of arms control limits agreed upon with Russia. This New Start Treaty expires in 2026 and the plan is to put three warheads back in the 400 operational Minuteman III ICBMs in the US’ arsenal. To this end a validation test had to be performed, yet a 2023 launch failed. So far it appears that this new launch has succeeded.

Although the three warheads in this November 5 launch were not nuclear warheads but rather Joint Test Assemblies, one of them contained more than just instrumentation to provide flight telemetry. In order to test the delivery vehicle more fully a so-called ‘high-fidelity’ JTA was also used which is assembled much like a real warhead, including explosives. The only difference being that no nuclear material is present, just surrogate materials to create a similar balance as the full warhead.

Assuming the many gigabytes of test data checks out these Minuteman III ICBMs should be ready to serve well into the 2030s at which point the much-delayed LGM-35 Sentinel should take over.

hackaday.com/2024/11/12/minute…

Le organizzazioni di tutto il mondo devono stare in allerta: è in corso uno sfruttamento attivo di una vulnerabilità critica nel software Veeam Backup & Replication per distribuire una nuova variante di ransomware, chiamata “Frag”. Questo nuovo attacco dimostra ancora una volta come i criminali informatici stiano diventando sempre più abili nel prendere di mira i sistemi di backup, vitali per il recupero dei dati e la continuità operativa.

La vulnerabilità

Identificata come CVE-2024-40711, la vulnerabilità consente l’esecuzione di codice remoto senza autenticazione. Con un punteggio di gravità impressionante di 9.8 su 10 nella scala CVSS, il rischio di compromissione è elevato, tanto da fare di Veeam un obiettivo altamente appetibile per i cybercriminali. Il bug affligge Veeam Backup & Replication versione 12.1.2.172 e le versioni precedenti. Nonostante Veeam abbia rilasciato delle patch correttive già da settembre 2024, numerose organizzazioni non le hanno ancora applicate.

La minaccia è stata collegata a un gruppo noto come STAC 5881, una “unità d’azione” che ha già sfruttato VPN compromesse per ottenere un accesso iniziale ai network target. Una volta penetrati, i malintenzionati fanno leva sulla vulnerabilità di Veeam per creare account amministrativi non autorizzati e proseguire con le loro operazioni malevole. STAC 5881, che in passato ha distribuito varianti di ransomware come Akira e Fog, ha ora sfoderato Frag, una versione mai vista prima, capace di colpire rapidamente e con precisione chirurgica.

Il ransomware Frag viene eseguito da riga di comando e permette agli attaccanti di specificare la percentuale di crittografia dei file. Una volta colpiti, i file assumono l’estensione “.frag”, segnando visibilmente i danni inflitti. Con l’analisi dei Sophos X-Ops, è stato possibile individuare similitudini tra Frag e le varianti precedenti, suggerendo che potrebbe trattarsi di un “nuovo attore” che adotta tattiche già consolidate. Ancora una volta, il modus operandi ruota attorno alla massimizzazione dei danni alle infrastrutture di backup, al fine di costringere le vittime a pagare il riscatto.

Perché i backup sono sotto attacco?

I backup sono una risorsa critica: permettono alle organizzazioni di ripristinare i dati senza soccombere alle richieste dei cybercriminali. Tuttavia, se questi sistemi vengono compromessi, le possibilità di recupero crollano drasticamente, aumentando la pressione sul pagamento del riscatto. Gli attacchi mirati a backup e sistemi di ripristino, come dimostrato da Frag, si stanno trasformando in una tattica prediletta dagli attori malevoli, che colpiscono il punto nevralgico della resilienza aziendale.

Consigli per difendersi

1. Applicare subito le patch per le versioni vulnerabili di Veeam Backup & Replication.
2. Isolare i server di backup da Internet, dove possibile, per ridurre l’esposizione a potenziali attacchi.
3. Implementare l’autenticazione multi-fattore per accedere ai sistemi di gestione dei backup, aumentando così le barriere di sicurezza.
4. Attivare un monitoraggio continuo per rilevare attività sospette o comportamenti anomali, fondamentali per intercettare i segnali di un potenziale attacco.

Conclusioni

Con varianti come Frag e gruppi come STAC 5881 in circolazione, le organizzazioni devono reagire con rapidità e rigore. I criminali informatici si evolvono senza tregua, pronti a colpire infrastrutture critiche e, in questo caso, i sistemi di backup su cui molte aziende fanno affidamento per sopravvivere. Il messaggio è chiaro: non possiamo permetterci di abbassare la guardia. Una patch trascurata o una protezione obsoleta possono significare il crollo dei sistemi, la perdita di dati critici e, inevitabilmente, gravi danni reputazionali e finanziari.

Per gli amministratori IT, è tempo di agire, aggiornare e proteggere – e farlo subito!

L'articolo Attacco in Corso: Frag Ransomware Sfrutta la Vulnerabilità di Veeam per Colpire i Backup proviene da il blog della sicurezza informatica.

According to [MTSI], if you used a Z80 chip back in the 1980s, it almost certainly passed through the sole Fairchild Sentry 610 system that gave it the seal of approval.

The Sentry was big iron for its day. The CPU was a 24-bit device and ran at a blistering 250 kHz. Along with a tape drive and a specialized test bed, it could test Z80s, F8s, and other Mostek products of the day. There was a disk drive, too. The 26-inch platters stored under 10 kilobytes. Despite the relatively low speed of the CPU, the Sentry could test devices running up to 10 MHz, which was plenty for the CPUs it was testing. The actual test interface ran at 11 MHz and used an exotic divider to generate slower frequencies.

According to the post, an informal count of the number of chips in the device came up with around 60,000. That, as you might expect, took a huge power supply, too.

From some 1975 corporate literature:

“Optimized for engineering, sophisticated production needs, QA and test center operations, the Sentry 610 is the most versatile analytical tester available for engineering and production. It can perform the widest range of tests for the broadest range of components. At user option, the Sentry 610 can perform high-speed MaS/LSI, PCB, and bipolar tests simultaneously. It offers complete testing at the wafer level and through automatic handlers at full-rated device speeds up to 10 MHz. The wide choice of peripherals gives the Sentry 610 system massive data handling capacity to manipulate, analyze, compute and generate reports on test procedures in analyzing MaS/LSI.”

These days, you are as likely to stick test hardware on the IC as have a big machine on the outside. And even then, you probably wouldn’t have something this elaborate. But in its day, this was high-tech for sure.

The Z80 sure has had a long lifespan. It shouldn’t surprise you that Z80s need to be tested, just like everything else.

hackaday.com/2024/11/12/z80-te…

Come abbiamo visto recentemente, un attacco informatico ha coinvolto Amazon, confermato dal portavoce dell’azienda Adam Montgomery.

Un utente sotto lo pseudonimo di “Nam3L3ss” avrebbe sfruttato una vulnerabilità critica in MOVEit, un software di trasferimento file, esponendo potenzialmente i dati di dipendenti di aziende di primo piano come Amazon, McDonald’s, HSBC e oltre un migliaio di altre. Il risultato? Presumibilmente, una delle fughe di informazioni aziendali più devastanti dell’ultimo anno, con settori chiave come finanza, sanità, tecnologia e retail colpiti profondamente.
Post su BreachForums relativo alla rivendicazione del threat actors Nam3L3ss dei dati di McDonalds dell11 ottobre 2024

Cos’è un attacco alla Supply chain

In questo periodo storico, molto spesso stiamo assistendo a continue perdite “collaterali” dovute a problemi nella supply-chain. Si tratta di esfiltrazioni che non avvengono direttamente dalle infrastrutture IT delle aziende, ma da aziende di terze parti che collaborano con l’azienda.

Tutto questo ci porta all’attenzione che i fornitori possono essere oggi il “tallone di Achille” della cybersecurity. Sia nella produzione che nella sicurezza informatica aziendale, oggi occorre prestarne la massima attenzione su questo genere di attacchi. Gli attacchi supply chain possono avvenire in variegate forme: vulnerabilità sui sistemi, malware, impiegati infedeli. Possono portare anche a problemi del fermo delle linee produttive causando danni in cascata con ricadute devastanti.

Le attività di controllo pertanto si estendono non solo alle infrastruttura IT dell’azienda, ma anche alle infrastrutture IT di partner e fornitori. Occorre quindi prevedere nei contratti delle apposite clausole contrattuali che regolamentino la sicurezza informatica. Ne consegue che oggi più che mai occorre investire sull’approfondire tutto questo. Il problema è che sui giornali generalmente ci va il brand dell’azienda cliente (come in questo caso Amazon), e non sempre il fornitore.
Post su BreachForums relativo alla rivendicazione del threat actors Nam3L3ss dei dati di British Telecom dell11 ottobre 2024

La vulnerabilità Sfruttata: Una Breccia Fatale

La vulnerabilità, come precedentemente riportato, è stata scoperta a metà del 2023 e avrebbe aperto un varco pericoloso in MOVEit, consentendo agli hacker di aggirare i sistemi di autenticazione per accedere a dati sensibili. I cybercriminali hanno sfruttato rapidamente la falla, innescando una serie di violazioni che avrebbero portato a un’esfiltrazione massiccia di informazioni riservate di dipendenti e clienti in tutto il mondo.

Le informazioni per azienda, datate maggio 2023, mettono in luce la vastità dell’incidente e i pericoli legati alla mancata applicazione tempestiva delle patch di sicurezza. Di seguito, un elenco delle aziende presumibilmente colpite e il numero di record trafugati:

• Amazon — 2,861,111 record
• MetLife — 585,130 record
• Cardinal Health — 407,437 record
• HSBC — 280,693 record
• Fidelity (fmr.com) — 124,464 record
• U.S. Bank — 114,076 record
• HP — 104,119 record
• Canada Post — 69,860 record
• Delta Airlines — 57,317 record
• Applied Materials (AMAT) — 53,170 record
• Leidos — 52,610 record
• Charles Schwab — 49,356 record
• 3M — 48,630 record
• Lenovo — 45,522 record
• Bristol Myers Squibb — 37,497 record
• Omnicom Group — 37,320 record
• TIAA — 23,857 record
• UBS — 20,462 record
• Westinghouse — 18,193 record
• Urban Outfitters (URBN) — 17,553 record
• Rush University — 15,853 record
• British Telecom (BT) — 15,347 record
• Firmenich — 13,248 record
• City National Bank (CNB) — 9,358 record
• McDonald’s — 3,295 record

Dati Dettagliati e Conseguenze di Sicurezza

Le informazioni esposte includerebbero dettagli precisi per ciascuna azienda. I record di Amazon, ad esempio, potrebbero contenere campi come: last_name, first_name, display_name, cost_center_code, cost_center_name, phone, email, e title.

Analogamente, i dati di HSBC includerebbero informazioni come user_id, first_name, last_name, email_address, employee_status, company_code, city e state. Questi dettagli, se confermati, rappresenterebbero un serio rischio, offrendo ai cybercriminali un punto di partenza per sofisticati attacchi di social engineering.

L’Incredibile Fuga di Dati Aziendali Rivelata da Nam3L3ss

Dietro questa fuga di dati vi sarebbe Nam3L3ss, che avrebbe pubblicato i file su un noto forum di cybercrime. In un messaggio, l’hacker ha esortato le aziende a “fare attenzione” alla portata di questi leak, sottolineando il livello di dettaglio dei dati, inclusi codici dei centri di costo e, in alcuni casi, l’intera struttura organizzativa. Ecco un esempio del messaggio pubblicato da Nam3L3ss:

“Ragazzi, FATE ATTENZIONE, queste sono directory dei dipendenti aziendali, alcuni siti includono la struttura organizzativa e altri file.”

Il messaggio dell’hacker sembra voler lanciare un avvertimento alle aziende sui rischi e le debolezze nei loro sistemi, ma al contempo espone i dati per agevolare potenziali attori malevoli interessati a sfruttarli.

Rischi e Conseguenze Potenziali

La presunta violazione solleva serie preoccupazioni per le aziende e per i dipendenti i cui dati sono stati compromessi. Ecco i principali rischi:

1. Attacchi di Phishing e Social Engineering: Con dettagli come contatti, nomi e strutture organizzative, i criminali informatici possono creare email di phishing estremamente credibili, che possono aggirare i controlli di sicurezza.
2. Spionaggio Aziendale: La visibilità sulle strutture gerarchiche e sui dettagli dei dipendenti offre un vantaggio competitivo per lo spionaggio aziendale, consentendo a concorrenti o attori malintenzionati di ottenere informazioni sulle operazioni interne.
3. Danno Reputazionale: Aziende di alto profilo come Amazon, HSBC e MetLife sono particolarmente vulnerabili al danno reputazionale, con clienti sempre più preoccupati per la sicurezza dei dati.
4. Furti e Frodi Finanziarie: I dati del settore finanziario, come quelli di Cardinal Health e UBS, sono particolarmente attrattivi per i crimini finanziari, poiché le informazioni dei dipendenti e i canali di comunicazione possono agevolare schemi di frode sofisticati.

Passi di Mitigazione e Migliori Pratiche di Sicurezza

Questo presunto incidente è un richiamo per tutte le aziende che utilizzano MOVEit o software simili. Ecco alcune azioni preventive: Ecco alcune azioni chiave per prevenire violazioni simili:

• Applicare Immediatamente le Patch di Sicurezza: MOVEit ha rilasciato patch per risolvere la CVE-2023–34362. È cruciale che le organizzazioni le applichino senza indugi.
• Condurre un Audit di Sicurezza Completo: Le aziende colpite o che utilizzano MOVEit dovrebbero condurre un audit di sicurezza per identificare eventuali vulnerabilità che potrebbero portare a ulteriori esposizioni.
• Sensibilizzazione e Formazione dei Dipendenti: I dipendenti rappresentano la prima linea di difesa contro gli attacchi di social engineering. Le aziende devono intensificare la formazione su come riconoscere il phishing, gestire i dati in sicurezza e comunicare in modo protetto.
• Limitare l’Accesso e Implementare la Segmentazione dei Dati: Limitando l’accesso ai dati in base ai ruoli e implementando una robusta segmentazione dei dati, le organizzazioni possono ridurre la quantità di informazioni sensibili accessibili in caso di accesso non autorizzato.

Conclusione

La presunta violazione legata alla vulnerabilità MOVEit dimostra ancora una volta che nessuna azienda, anche la più potente e strutturata, è immune dagli attacchi informatici. I dati di milioni di dipendenti, tra cui nomi noti come Amazon, HSBC e McDonald’s, sono stati presumibilmente esposti, mettendo a rischio informazioni preziose per cybercriminali pronti a sfruttarle. Questa fuga di informazioni è un campanello d’allarme forte e chiaro: la sicurezza informatica non può essere un ripensamento, ma deve essere al centro delle strategie aziendali.

Non è più solo una questione di prevenire accessi indesiderati: la posta in gioco è la fiducia dei clienti, la reputazione costruita in anni di lavoro e la sicurezza delle persone che, ogni giorno, rendono queste aziende grandi. Senza un’azione decisa e una vigilanza costante, incidenti come questo continueranno a minare la stabilità del mondo digitale, trasformando ogni vulnerabilità non risolta in un potenziale disastro.

L'articolo Violazione di Amazon e Attacchi alla Supply Chain. I Rischi Potenziali per oltre 1000 aziende proviene da il blog della sicurezza informatica.

Questo post sarà lungo e articolato, ma l’obiettivo che mi sono prefissato è quello di aiutare gli utenti a conoscere il Web sociale e a farlo nel modo più semplice attraverso l’ingresso nel Fediverso. Questa prima parte si concentra su un’introduzione generale al Web sociale e a fornire una prima visione “stereoscopica” del Fediverso attraverso due esperienze totalmente diverse: Mastodon e…

Source

Luke is a homeless #cat in Iran. He was found dragging himself along the street, crying for help. Many people contributed to his treatment and surgery to help him get back on his feet. He’s a fighter, and he powered through. 😻
Although he’s made significant progress in his recovery, he still needs a home, as he’s too vulnerable to live on the streets. Luke has come a long way because he loves life. If you want to witness and share in that passion for life, bring him into your home.
For information: Shima +39 389 603 7889

Luke è un #gatto randagio in Iran. È stato trovato mentre si trascinava per strada, piangendo per chiedere aiuto. Tante persone hanno contribuito alle sue cure e all’intervento per aiutarlo a rimettersi in piedi. È un combattente e ha lottato con tutte le sue forze. 😻
Anche se ha fatto grandi progressi nella sua guarigione, ha ancora bisogno di una casa, poiché è troppo vulnerabile per vivere in strada. Luke ha fatto tanta strada perché ama la vita. Se vuoi condividere e ammirare questa passione per la vita, accoglilo nella tua casa.
Per informazioni: Shima +39 389 603 7889

Alcuni Procuratori della Procura Speciale contro la corruzione ed il Crimine Organizzato (SPAK) e alti Ufficiali della Polizia albanese (ASP) hanno effettuato una visita di studio in Italia.

La SPAK è un'entità giudiziaria indipendente, incaricata di indagare sulla corruzione e sulla criminalità organizzata ai più alti livelli del governo e della società in Albania. È composto dall'Ufficio investigativo nazionale, dalla Procura speciale e dai tribunali speciali.

La delegazione albanese ha condotto, nel nostro Paese, una visita studio sugli aspetti operativi delle investigazioni finanziarie.

L’attività è stata curata dalla Direzione Investigativa Antimafia (DIA) e organizzata dalla presenza OSCE in Albania nonché dall’Ufficio del Coordinatore per le attività economiche ed ambientali ed il Dipartimento per le minacce transnazionali del Segretariato OSCE, con il supporto dell’Esperto per la Sicurezza e dell’Esperto della Guardia di Finanza presso l’Ambasciata d’Italia a Tirana e del Servizio per la Cooperazione Internazionale di Polizia.

Il principale obiettivo del training è stato quello di sostenere l’Autorità Giudiziaria e la Polizia albanese nelle attività di contrasto al riciclaggio dei capitali illecitamente acquisti, nel settore delle misure di prevenzione patrimoniali in un’ottica di potenziamento e del rafforzamento della lotta al crimine organizzato transnazionale.

La delegazione è stata ricevuta dal Direttore della DIA, Generale di Corpo d’Armata della Guardia di Finanza Michele Carbone (immagine sopra) che nel corso del suo intervento ha sottolineato l’importanza di tali attività perché consentono la conoscenza interpersonale e il rafforzamento della fiducia reciproca, presupposto indispensabile per valorizzare la cooperazione in un settore tanto delicato, come quello del contrasto al crimine organizzato ed all’individuazione dei patrimoni illecitamente accumulati.

Nel corso delle attività è stata riaffermata l’efficacia dell’azione di contrasto alla criminalità organizzata nell’ambito della cooperazione tra i due Paesi, entrambi membri OSCE.

La visita rientra nelle attività svolte dalla presenza OSCE in Albania nel programma di supporto al sistema di law enforcement albanese e del progetto regionale OSCE per rafforzare le capacità di contrasto ai crimini finanziari.

#SPAK #ASP #OSCE #ALBANIA #DIA #GUARDIADIFINANZA #GDF

L'esploratore Henry Stanley saluta David Livingstone, di cui si era posto alla ricerche alla sorgente del fiume Nilo, con la famosa frase “Dr. Livingstone, immagino?"

@Storia
#otd