Come avrete ormai capito nella nostra Rubrica WiFi su RedHotCyber, abbiamo intrapreso un viaggio tecnico e pratico nel mondo delle reti wireless, partendo dalla loro origine storica fino ad arrivare agli attacchi reali che colpiscono quotidianamente utenti e infrastrutture.

Dopo aver esplorato:

• la natura delle reti 802.11 e il loro funzionamento di base;
• i falsi miti più diffusi tra gli utenti (HTTPS, VPN, reti nascoste);
• e aver dimostrato sul campo vulnerabilità e tecniche di attacco (sniffing, DNS spoofing, captive portal hijacking),

abbiamo iniziato ad analizzare anche le prime contromisure, come l’introduzione dei sistemi AAA combinati ai captive portal, utili a regolamentare l’accesso e tracciare gli utenti.

Con questo articolo vogliamo fare un passo in più: andare oltre la semplice segmentazione delle reti e affrontare un aspetto spesso trascurato ma fondamentale, ovvero l’isolamento del traffico locale a livello Layer 2. Perché, come vedremo, segmentare senza isolare è come mettere delle porte… ma senza pareti.

Segmentazione L3

In molti articoli di cybersecurity si enfatizza l’importanza della segmentazione a livello Layer 3, ovvero la suddivisione logica del traffico tramite subnet IP e dispositivi di routing come firewall o router di livello 3. In questo approccio, ogni gruppo di utenti o dispositivi viene collocato in una subnet distinta, e il traffico tra i segmenti viene regolato da apposite policy di accesso definite sul firewall perimetrale.

Questa architettura si basa su tre principi fondamentali:

• Privilegio minimo: ogni dispositivo o utente deve poter accedere solo alle risorse strettamente necessarie, riducendo così la superficie di attacco.
• Definizione chiara dei confini: i segmenti devono essere separati da barriere ben definite per impedire movimenti laterali non autorizzati.
• Monitoraggio continuo: è essenziale rilevare tempestivamente attività sospette o traffico anomalo tra i segmenti per reagire rapidamente a eventuali violazioni.

Per applicare correttamente questo tipo di segmentazione, ogni dispositivo deve essere classificato in base alla funzione e al rischio, e assegnato al segmento più appropriato. Un esempio pratico potrebbe essere:

• VLAN X – Guest WiFi → 192.168.X.0/24
• VLAN Y – Uffici → 192.168.Y.0/24
• VLAN Z – Server → 192.168.Z.0/24

Sulla base del principio del privilegio minimo, le policy di firewall potrebbero essere strutturate così:

• VLAN X (Guest): nessuna comunicazione verso altre VLAN; accesso solo a Internet, con limiti di banda e filtraggio contenuti.
• VLAN Y (Uffici): accesso selettivo solo ad alcuni server (es. DNS, posta, file server), e priorità maggiore sulla navigazione rispetto ai guest.

Tuttavia, nelle reti WiFi Guest e BYOD (Bring Your Own Device), la segmentazione L3 non è sufficiente. Anche se i dispositivi sono assegnati a VLAN distinte e soggetti a regole firewall, possono comunque comunicare tra loro a livello Layer 2.

Questo apre la porta e ci espone a diverse tecniche di attacco interne. Non dimentichiamo una delle regole fondamentali della cybersecurity: bloccare la minaccia il più vicino possibile alla fonte. E il Layer 2 è il punto più vicino al dispositivo e all’utente, dove il controllo deve essere immediato e puntuale

Per questo motivo, non basta segmentare: è fondamentale isolare il traffico anche a livello Layer 2, impedendo ogni comunicazione diretta tra dispositivi all’interno dello stesso segmento. Solo così si può garantire una reale sicurezza in ambienti condivisi o ad alto rischio.

Andiamo a capire quindi come possiamo isolare il traffico a livello 2.

Client Isolation su WiFi:

La funzione di Client Isolation, disponibile su molti access point e controller WiFi, è progettata per impedire la comunicazione diretta tra dispositivi wireless connessi allo stesso SSID. Questa misura agisce a livello Layer 2 dell’infrastruttura WiFi, bloccando il traffico locale (come pacchetti ARP, broadcast, o traffico multicast) tra i dispositivi client.

In pratica, quando un dispositivo tenta di comunicare con un altro client sulla stessa rete wireless, i pacchetti vengono intercettati e bloccati direttamente dall’infrastruttura WiFi. Ciò previene attacchi interni come:

Esistono principalmente due modalità operative per implementare il Client Isolation a livello Layer 2:

1. Dinamica basata su DHCP e Default Gateway
   In questa modalità, al momento della connessione alla rete WiFi, il client riceve un indirizzo IP tramite DHCP, e viene automaticamente autorizzato a comunicare esclusivamente con il MAC address del gateway predefinito. L’infrastruttura applica un filtro a livello Layer 2 che blocca qualsiasi altra comunicazione locale.
   
   • ✅ Vantaggi:
     
     • Non richiede configurazioni manuali.
     • Funziona in modo automatico con la maggior parte dei dispositivi.

     
     

   • ⚠️ Limiti:
     
     • Se un dispositivo utilizza un IP statico, potrebbe non essere riconosciuto correttamente e il traffico verrà bloccato.
     • Per evitare queste situazioni, è consigliabile abilitare la funzione di DHCP enforcement a livello di SSID (quando supportata). Ne parleremo in dettaglio nei prossimi articoli.

     
     

   
   

2. Statica basata su whitelist MAC
   In questa modalità, è possibile configurare manualmente una whitelist di indirizzi MAC autorizzati, come ad esempio quelli del gateway o di eventuali dispositivi di servizio specifici. Così facendo, tutte le comunicazioni locali verso dispositivi diversi da quelli in whitelist vengono bloccate.
   
   • ✅ Vantaggi:
     
     • Maggiore controllo e sicurezza: si evitano automatismi e si definisce in modo esplicito con chi i client possono comunicare.

     
     

   • ⚠️ Limiti:
     
     • Richiede una configurazione manuale: qualsiasi cambiamento del MAC del gateway (per esempio in caso di failover o sostituzione del router) impone l’aggiornamento della whitelist.
     • Meno adatta a reti dinamiche o con variazioni frequenti nella topologia.

     
     

   
   

Entrambe le modalità possono essere scelte o combinate in base al livello di controllo desiderato e alle funzionalità disponibili sugli apparati di rete.

In ogni caso, il principio resta invariato: impedire qualsiasi comunicazione diretta tra i client wireless e garantire che ogni flusso di dati passi attraverso un punto di controllo Layer 3, dove possono essere applicate regole e policy centralizzate.

Private Vlan e Port Protect sulla rete di trasporto:

Come accennato in precedenza, l’isolamento del traffico a livello di rete di trasporto è una misura fondamentale per garantire la sicurezza delle comunicazioni, specialmente in contesti in cui si connettono dispositivi non gestiti, come nelle reti WiFi Guest o BYOD. Questo isolamento diventa cruciale per prevenire attacchi interni e ridurre il rischio di compromissioni tra dispositivi collegati alla stessa rete.

Anche quando la Client Isolation è abilitata a livello wireless, il traffico Layer 2 può comunque propagarsi attraverso la rete cablata, se non vengono adottate ulteriori misure. Questo accade, ad esempio, quando abbiamo, più access point che bridgeano localmente il traffico, inoltrandolo direttamente sulle porte di rete degli switch senza tunnelizzarlo verso un controller centralizzato. In questi casi, i dispositivi connessi a diversi AP potrebbero comunque riuscire a comunicare tra loro attraverso la rete di trasporto, vanificando di fatto l’isolamento previsto sulla rete WiFi.

NB: Se l’access point tunnelizza il traffico guest verso un controller centrale (es. CAPWAP o GRE), l’isolamento può essere gestito a monte, rendendo opzionale l’isolamento locale delle porte. In caso di bridge locale, l’isolamento Layer 2 è invece fondamentale.

Per impedire che dispositivi connessi alla stessa infrastruttura possano comunicare direttamente tra loro, è necessario adottare meccanismi di isolamento Layer 2 a livello switch. Le due tecniche principali per raggiungere questo obiettivo sono:

• Private VLAN (PVLAN): Consente di creare segmentazioni avanzate per isolare i dispositivi connessi alla rete.
• Port Protect: Fornisce un’alternativa leggera e semplice per bloccare la comunicazione diretta tra porte configurate sugli switch.

Entrambe le configurazioni aiutano a:

• Limitare la comunicazione diretta: Bloccare il traffico Layer 2 tra dispositivi connessi.
• Proteggere i dispositivi collegati: Prevenire attacchi interni come sniffing, spoofing o man-in-the-middle.
• Migliorare la sicurezza complessiva: Garantire che ogni dispositivo comunichi solo con entità autorizzate o attraverso un controllo Layer 3.

La scelta tra PVLAN e Port Protect dipende da diversi fattori, tra cui la complessità dell’infrastruttura di rete e i requisiti specifici di isolamento.
Le Private VLAN offrono un isolamento più granulare e flessibile, ideale per ambienti complessi, multi-tenant o con alta densità di utenti.
Al contrario, la funzione Port Protect rappresenta una soluzione più semplice e veloce da implementare, perfetta per contesti meno strutturati o dove è richiesta una configurazione rapida.

NB: Inoltre, va considerato che molti switch entry-level supportano solo Port Protect e non le PVLAN. In questi casi, Port Protect diventa l’unica opzione praticabile per garantire un isolamento Layer 2.

Private VLAN (PVLAN)

Per garantire l’isolamento del traffico a livello di rete di trasporto, è altamente consigliato configurare le Private VLAN (PVLAN). Questa tecnica consente di limitare la comunicazione diretta tra porte all’interno della stessa VLAN, permettendo il traffico solo verso porte specifiche come gli uplink.:

Cos’è una PVLAN?

Una Private VLAN è un’estensione delle VLAN tradizionali

Una Primary VLAN può includere diverse Secondary VLAN, che si classificano in due categorie:

• Isolated VLAN
• Community VLAN

A queste si aggiunge la possibilità di assegnare alla Primary VLAN delle Promiscuous Port.

Tipologie di porte in una PVLAN

1. Promiscuous Ports (Porte Promiscue):
   
   • Possono comunicare con tutte le porte ( comprese le isolate e community).
   • Tipicamente utilizzata per uplink verso router, firewall, gateway o server condivisi.

   
   

2. Isolated Ports (Porte Isolate):
   
   • Non può comunicare con altre porte isolate, ma solo con la promiscuous.
   • Ideale per client guest o dispositivi che non devono mai comunicare tra loro (es. le porte che sono verso gli AP).

   
   

3. Community Ports (Porte Comunitarie):
   
   • Può comunicare con altre porte della stessa community e con la promiscuous, ma non con le porte isolate.
   • Utile per piccoli gruppi che condividono risorse, come stampanti o NAS interni. Le porte community solitamente non vengono utilizzate in una rete guest o BYOD.

   
   

Come Funziona una PVLAN

Lo schema rappresenta una configurazione Private VLAN (PVLAN) su uno switch gestito, con porte suddivise in diverse tipologie:

Promiscuous Port (P)

• Situata a sinistra dello switch, è collegata al router/firewall, ovvero il punto di uscita verso la rete esterna.
• Tutti i dispositivi nello schema possono comunicare con questa porta.
• Serve come gateway centralizzato per l’accesso a Internet o a servizi comuni.

Community Ports (C1 e C2)

• I PC grigi in alto sono collegati a porte di tipo C1 (Community 1).
• I PC blu a destra sono collegati a porte di tipo C2 (Community 2).

Comportamento:

• I dispositivi C1 possono comunicare tra loro e con la promiscuous (P), ma non con i dispositivi C2 o I.
• I dispositivi C2 possono comunicare tra loro e con la promiscuous (P), ma non con i dispositivi C1 o I.

👉In questo modo abbiamo più “gruppi di lavoro” indipendenti sulla stessa VLAN, ciascuno isolato dagli altri ma con accesso condiviso a internet.

Isolated Ports (I)

• I tre PC rossi in basso sono connessi a porte isolate.

Comportamento:

• Questi dispositivi non possono comunicare tra loro.
• Possono parlare solo con la porta promiscuous (P), quindi accedere a internet tramite il router/firewall.
• Sono perfetti per ambienti guest WiFi o dispositivi non affidabili che devono essere completamente separati l’uno dall’altro e dagli altri apparati di rete

Collegamento tra Switch

• In basso a sinistra è presente un uplink verso un secondo switch.
• Le porte di uplink tra switch in una rete PVLAN devono essere configurate come trunk, trasportare tutte le VLAN coinvolte (Primary + Secondary), e non devono avere alcun ruolo PVLAN assegnato.
• L’obiettivo è mantenere la struttura di isolamento identica su tutta la dorsale della rete.

Sintesi comportamentale

Questa configurazione garantisce un isolamento di livello 2 molto preciso, mantenendo allo stesso tempo l’accesso centralizzato alle risorse comuni. È particolarmente utile in ambienti ad alta densità, come hotel, data center, coworking o reti BYOD.

Port Protect: l’alternativa semplice alle PVLAN

La funzione Port Protect, disponibile su molti switch gestiti, è una soluzione pratica per impedire la comunicazione diretta tra dispositivi connessi a porte Layer 2 sullo stesso dominio di broadcast.

A differenza delle PVLAN, Port Protect lavora a livello di porta, non richiede configurazione VLAN secondarie e risulta particolarmente utile quando:

• l’infrastruttura non supporta PVLAN
• si opera in ambienti più semplici, dove è sufficiente un isolamento minimo ma efficace .

Possiamo vedere la protect port come una soluzione rapida e semplice da implementare, anche senza policy complesse.

Esempio pratico della port protect

Analizzando lo schema in alto possiamo quindi affermare che tutti PC possono parlare con il router/firewall ma non tra di loro.

Tabella comparativa: PVLAN vs Port Protect

Scenari pratici – quale soluzione adottare?

Conclusioni

Le reti WiFi aperte, per loro natura, nascono come insicure: nessuna autenticazione, traffico in chiaro, utenti non tracciati.
Ma questo non significa che non possiamo fare nulla per migliorare la situazione.

Una delle contromisure più efficaci è l’isolamento del traffico a livello Layer 2.
Bloccare la comunicazione diretta tra dispositivi connessi alla stessa rete – WiFi o cablata – è fondamentale per prevenire attacchi laterali come sniffing, ARP spoofing o accessi non autorizzati.

Tecnologie come le Private VLAN e la Port Protect ci permettono di ottenere questo isolamento in modo efficace e adattabile al tipo di infrastruttura.

Queste soluzioni, insieme ad altre contromisure che stiamo approfondendo nella nostra rubrica (come Captive Portal e AAA), trasformano una WiFi aperta in un ambiente più sicuro.

Non possiamo sempre impedire ad un attaccante di entrare in una rete pubblica aperta.
Ma possiamo – anzi dobbiamo – fare tutto quello che è in nostro potere per evitare che possa nuocere ad altri.

L'articolo Reti WiFi Guest: Segmentare senza isolare è come mettere porte senza pareti. proviene da il blog della sicurezza informatica.

Пиратская партия России, являясь партией-основательницей и неотъемлемой частью международного пиратского движения, публикует заявление пиратского интернационала об эскалации конфликта на Ближнем Востоке.

Мы в Пиратском интернационале с глубокой обеспокоенностью наблюдаем за последней эскалацией между Израилем и Ираном. Израиль заявляет, что нанёс упреждающие удары по ядерным и военным объектам Ирана. Однако режим Нетаньяху уже ведет разрушительную войну в Газе, и его военные действия, похоже, продиктованы в большей степени политическим выживанием и стремлением укрепить своё наследие, чем реальной безопасностью. Международное сообщество вправе требовать четких доказательств и прозрачности в отношении этих атак.

С другой стороны, режим Хаменеи в Иране также правит жестоко. Иран продолжает наносить удары по гражданским объектам, намеренно выбирая цели, далёкие от законных военных объектов. Иранскому режиму необходимо немедленно прекратить разработку ядерного оружия, поддержку терроризма против еврейских общин и поставки вооружения таким группировкам, как хуситы в Йемене и «Хезболла» в Ливане.

Пиратский интернационал подчёркивает, что дипломатические решения должны иметь приоритет над военной агрессией. Мы глубоко обеспокоены конфликтом, который угрожает миллионам невинных жизней, создаёт риск серьёзных ядерных инцидентов и становится всё более непредсказуемым. Общественность справедливо опасается, что ядерные арсеналы уже могут быть задействованы, ставя под угрозу мирных жителей, которые не могут полагаться исключительно на системы ПВО и бомбоубежища.

Мы однозначно призываем к немедленному прекращению огня.

Наше движение объединяет людей по всему миру, включая членов Пиратской партии в Израиле, сочувствующих в Иране и многих выходцев из Ирана, живущих в изгнании. По-настоящему отрадно, что наши израильские и иранские коллеги конструктивно обсуждают этот кризис, открыто исследуя пути к миру. Мы лишь можем пожелать, чтобы политические лидеры, укоренившиеся в обоих правительствах, проявили такую же мудрость и человечность.

Мы выступаем за большую свободу, прозрачность и права человека для всех пострадавших народов. Мы настоятельно призываем к возобновлению диалога на уровне гражданского общества и открытию каналов связи между жителями Израиля и Ирана, которых объединяет общий интерес к миру и согласию. Прошлые попытки объединить эти сообщества напоминают нам, что солидарность и взаимопонимание достижимы.

Мы призываем все стороны ставить жизнь мирных жителей выше любых политических амбиций. Пиратский интернационал твёрдо выступает за мир, прозрачность и силу людей, а не режимов.

Оригинал на английском: pp-international.net/2025/06/i…

Сообщение Заявление Пиратского интернационала об эскалации конфликта на Ближнем Востоке появились сначала на Пиратская партия России | PPRU.

#fiom #Firenze

When [Ben Eater] talks, hackers everywhere listen. In his latest video [Ben] shows us how to make computer noises using square waves and a 6502 microprocessor.

[Ben] uses the timer in the W65C22 Versatile Interface Adapter to generate the square waves which generate a tone. He then adds support for a new BEEP command into his MS BASIC interpreter. We covered [Ben Eater]’s MS BASIC here at Hackaday back in April, so definitely check that out if you missed it.

After checking the frequency of oscillation using his Keysight oscilloscope he then wires in an 8Ω 2W speaker via a LM386 audio amplifier. We can’t use the W65C22 output pin directly because that can only output a few milliwatts of power. [Ben] implements the typical circuit application from the LM386 datasheet to drive the speaker. To complete his video [Ben] writes a program for his BASIC interpreter which plays a tune.

Thanks to [Mark Stevens] for writing in to let us know about this one. If you’re planning to play along at home a good place to start is to build your own 6502, like [Ben] did!

youtube.com/embed/tIOR7kRevPU?…

hackaday.com/2025/06/19/ben-ea…

When we were kids, it was a rite of passage to read the newly arrived Edmund catalog and dream of building our own telescope. One of our friends lived near a University, and they even had a summer program that would help you measure your mirrors and ensure you had a successful build. But most of us never ground mirrors from glass blanks and did all the other arcane steps required to make a working telescope. However, [La3emedimension] wants to tempt us again with a 3D-printable telescope kit.

Before you fire up the 3D printer, be aware that PLA is not recommended, and, of course, you are going to need some extra parts. There is supposed to be a README with a bill of parts, but we didn’t see it. However, there is a support page in French and a Discord server, so we have no doubt it can be found.

It is possible to steal the optics from another telescope or, of course, buy new. You probably don’t want to grind your own mirrors, although good on you if you do! You can even buy the entire kit if you don’t want to print it and gather all the parts yourself.

The scope is made to be ultra-portable, and it looks like it would be a great travel scope. Let us know if you build one or a derivative.

This telescope looks much different than other builds we’ve seen. If you want to do it all old school, we’ve seen a great guide.

hackaday.com/2025/06/19/build-…

Thanks to everyone who helped map surveillance cameras in Harvard Square. We identified nearly 50 surveillance cameras between JFK Street, Mount Auburn Street, Bow Street and Massachusetts Avenue.

Join us this Saturday, June 21st, at the Boxborough Fifers Day. Tell us if you will help us at the table. It is a wonderful event that celebrates our Revolutionary War history.

masspirates.org/blog/2025/06/1…

We’ve seen a lot of projects based on the Pi Pico, but a nuclear reactor simulation is a new one. This project was created by [Andrew Shim], [Tyler Wisniewski] and another group member for Cornell’s ECE 4760 class on embedded design (which should silence naysayers who think the Pi Pico can’t be a “serious” microcontroller), and simulates the infamous soviet RMBK reactor of Chernobyl fame.

The simulation uses a 4-bit color VGA model. The fission model includes uranium fuel, water, graphite moderator, control rods and neutrons. To simplify the math, all decayed materials are treated identically as non-fissile, so no xenon poisoning is going to show up, for example. You can, however, take manual control to both scram the reactor and set it up to melt down with the hardware controller.

The RP2040’s dual-core nature comes in handy here: one core runs the main simulation loop, and the main graphic on the top of the VGA output; the other core generates the plots on the bottom half of the screen, and the Geiger-counter sound effect, and polls the buttons and encoders for user input. This is an interesting spread compared to the more usual GPU/CPU split we see on projects that use the RP2040 with VGA output.

An interesting wrinkle that has been declared a feature, not a bug, by the students behind this project, is that the framebuffer cannot keep up with all the neutrons in a meltdown simulation. Apparently the flickering and stuttering of frame-rate issues is “befitting of the meltdown scenario”. The idea that ones microcontroller melts down along with the simulated reactor is rather fitting, we agree. Check it out in a full walkthrough in the video below, or enjoy the student’s full writeup at the link above.

This project comes to us via Cornell University’s ECE 4760 course, which we’ve mentioned before. Thanks to [Hunter Adams] for the tipoff. You may see more student projects in the coming weeks.

youtube.com/embed/SqB7Jm-Cdmk?…

hackaday.com/2025/06/19/fissio…

It’s sometimes useful for a system to not just have a flat 2D camera view of things, but to have an understanding of the depth of a scene. Dual RGB cameras can be used to sense depth by contrasting the two slightly different views, in much the same way that our own eyes work. It’s considered an economical but limited method of depth sensing, or at least it was before FoundationStereo came along and blew previous results out of the water. That link has a load of interactive comparisons to play with and see for yourself, so check it out.
A box of disordered tools at close range is understood very well, and these results are typical for the system.
The FoundationStereo paper explains how researchers leveraged machine learning to create a system that can not only outperform existing dual RGB camera setups, but even active depth-sensing cameras such as the Intel RealSense.

FoundationStereo is specifically designed for strong zero-shot performance, meaning it delivers useful general results with no additional training needed to handle any particular scene or environment. The framework and models are available from the project’s GitHub repository.

Microsoft may have discontinued the Kinect and Intel similarly discontinued RealSense, but depth sensing remains an enabling technology that opens possibilities and gives rise to interesting projects, like a headset that allows one to see the world through the eyes of a depth sensor.

The ability to easily and quickly gain an understanding of the physical layout of a space is a powerful tool, and if a system like this one can deliver such fantastic results with nothing more than two RGB cameras, that’s a great sign. Watch it in action in the video below.

youtube.com/embed/R7RgHxEXB3o?…

hackaday.com/2025/06/19/dual-r…

Vorrei leggere un libro sulla meccanica quantistica per capirci PER DAVVERO qualcosina ma per farlo bisogna che veda qualche equazione perché le spiegazioni qualitative non mi bastano più.

Quindi, mi servirebbe un libro che sia più dettagliato (anche più tecnico) di un libro divulgativo ma allo stesso tempo meno impegnativo di un testo universitario perché mi manca buona parte della matematica necessaria (sono ingegnere quindi arrivo fino ad Analisi II ma poi lì mi fermo).

Avete letto qualcosa che potrebbe fare al caso mio?

Ho visto che nella serie delle lezioni di Fisica di Feynman c'è un volume, il terzo, dedicato alla meccanica quantistica, l'avete letto? Può essere quello giusto?

("QED", di Feynman, l'ho già letto e ha cambiato il mio modo di guardare il mondo quando apro la finestra 😍)

#Fisica #fisicaDelleParticelle #meccanicaquantistica #scienza