Guardo con grande interesse alle svariate vie lungo le quali si sviluppa l’approccio sistemico, alla molteplicità di versioni che ne nascono nelle stanze e nelle pratiche dei colleghi. Guardo con gratitudine al modo in cui tanti clinici, sia più esperti sia più giovani di me, interpretano un modo di lavorare che non s’impone come una dottrina ma si propone come una cornice da riempire nell’incontro con l’unicità di tante storie e nell’esercizio della responsabilità etica ed epistemologica del singolo clinico...

massimogiuliani.it/blog/2025/0…

"Teorie attaccapanni": crisi e creatività nella formazione del terapeuta sistemico - Corpi che parlano, il blog

La formazione sistemica, senza la biografia del clinico, è un attaccapanni vuoto. Riflessioni su creatività e originalità nel percorso formativo.

^{Massimo Giuliani (Corpi che parlano, il blog)}

Lo ha annunciato oggi a Trieste Marco Cappato. Con lui, Claudio Stellari e Matteo D’Angelo, che hanno accompagnato Oppelli in Svizzera, disobbedienti civili come Felicetta Maltese – che ha fornito supporto logistico ed economico per il viaggio – e ad altre 31 persone che hanno preso parte all’azione.

I quattro commentano: “Non ci autodenunciamo: questa volta è Martina Oppelli che denuncia lo Stato. Serve la legge per l’eutanasia legale”

Martina Oppelli, prima di andare in Svizzera, ha depositato, tramite la sua procuratrice speciale Filomena Gallo, avvocata e Segretaria nazionale dell’Associazione Luca Coscioni, una denuncia-querela nei confronti di ASUGI, l’azienda sanitaria locale triestina che per tre volte le ha negato l’accesso al “suicidio medicalmente assistito”.

Lo ha annunciato questa mattina durante una conferenza stampa a Trieste Marco Cappato, Tesoriere dell’Associazione Luca Coscioni e rappresentante legale di Soccorso Civile, l’associazione che organizza le azioni di disobbedienza civile per l’aiuto alla morte volontaria. Oppelli ha contestato due reati principali all’azienda sanitaria: rifiuto di atti d’ufficio e tortura.

In primo luogo ha accusato l’ASUGI e i medici della commissione di aver rifiutato di svolgere atti dovuti per legge. L’azienda sanitaria le aveva, in passato, negato la rivalutazione delle sue condizioni di salute, sostenendo che un nuovo esame sarebbe stato un costo inutile per la pubblica amministrazione. Martina Oppelli aveva dovuto presentare un ricorso d’urgenza nel 2024 presso il tribunale di Trieste che aveva ordinato all’azienda sanitaria nuove verifiche. Inoltre, non le è stato riconosciuto, per oltre due anni, il requisito della “dipendenza da trattamento di sostegno vitale” (uno dei quattro requisiti previsti dalla sentenza 242/2019 della Corte costituzionale “Cappato-Antoniani” per poter accedere legalmente in Italia al suicidio assistito), nonostante dipendesse totalmente non solo dai suoi caregiver per sopravvivere ma anche dalla macchina della tosse e nelle ultime settimane dal catetere vescicale, disapplicando in tal modo il giudicato costituzionale.

Secondo Oppelli, inoltre, l’azienda sanitaria non solo le ha negato un diritto, ma l’ha fatta soffrire inutilmente, causandole danni fisici e psicologici che, per legge, si configurano come una vera e propria forma di tortura. Così ha denunciato di essere stata vittima di un trattamento inumano e degradante da parte delle istituzioni che hanno ignorato le sue sofferenze, constringendola a vivere per anni in una condizione di dolore estremo, aggravata dal rifiuto reiterato e immotivato dell’ASUGI di riconoscerle l’accesso legale alla morte assistita.

Marco Cappato, rappresentante legale di Soccorso Civile e Tesoriere dell’Associazione Luca Coscioni, ha dichiarato: “Seguendo le volontà di Martina, abbiamo agito pubblicamente assumendoci le responsabilità per l’aiuto a lei fornito. Questa volta però, con Claudio Stellari, Matteo D’Angelo e Felicetta Maltese, abbiamo deciso di non recarci dalle forze dell’ordine per autodenunciarci, perché la denuncia c’è già, ed è la denuncia di Martina contro uno Stato che l’ha costretta a subire una vera e propria tortura, contro un Servizio sanitario di Regione Friuli Venezia Giulia che non ha fatto il proprio dovere, in linea con le posizioni politiche del Presidente Fedriga in materia. Siamo comunque a disposizione di eventuali indagini per fornire tutte le informazioni sull’aiuto prestato a Martina. Proseguiremo con le azioni di disobbedienza civile e per chiedere la calendarizzazione della legge di iniziativa popolare per l’Eutanasia legale”.

Le persone che hanno aiutato Martina a coprire le spese del viaggio con un contributo a ciò finalizzato, partecipando in questo modo all’azione di disobbedienza civile sono: Felicetta Maltese, Chiara Lalli, Marco Perduca, Luca Piva, Mariasole Cavarretta, Matteo Giusti, Paola Zaldera, Roberta Pelletta, Tommaso Colombini, Andrea Turi, Maria Raffaella Stacciarini, Carlo Romano, Laura Di Napoli, Françoise Raynaud, Marco Riva Cambrino, Alina Ruxandra Matei, Maria Camilla Tinti, Stefano Anderson, Rossana Penso, Roberta Zanoni, Aldo Abenavoli, Anna Cracolici, Guido Frosina, Marcello Crivellini, Johannes Agterberg, Paolo Calvani, Andrea Ballabeni. Hanno confermato di volere risultare come soci dell’Associazione Soccorso Civile anche dopo essere stati informati dell’aiuto che sarebbe stato fornito a Martina Mino Dentizzi, Renato Michelotti, Matteo Hallissey, Luigi Manconi, Sonia Bellini.

L'articolo Prima di morire, Martina Oppelli ha denunciato per tortura l’azienda sanitaria che le ha negato l’accesso al suicidio assistito proviene da Associazione Luca Coscioni.

Le parole con cui il governo ha commentato l'ennesimo schiaffo sui centri albanesi chiariscono ancora meglio quale enorme problema di Educazione Civica (con le maiuscole perché mi riferisco alla materia che non abbiamo mai fatto a scuola) ci sia in questo paese.

Chi ha commentato la notizia sicuramente conosce bene la questione, ma sa anche che chi ascolta ha idee molto vaghe su come funzioni una democrazia, il nostro paese in particolare, e quindi sa di potergli rifilare qualunque patacca.

Ebbene... no... vincere le elezioni non significa diventare proprietari di un paese intero e poterne fare e disfare a piacimento. Vincere le elezioni significa solo che hai i numeri in Parlamento per fare leggi e per decidere chi dovrà governare il paese.

Ma né il potere di fare leggi né il potere di governare il paese sono poteri senza limiti. Nel fare le leggi hai il limite di poterti muovere solo all'interno del perimetro tracciato dalla Costituzione e nel governare hai il limite di poter agire solo all'interno del perimetro tracciato dalle leggi.

E se esci da questi perimetri trovi il terzo potere che ti ci riporta dentro: il potere giudiziario.

Tutto qui... tre poteri che si bilanciano e nessuno di loro può uscire dai limiti imposti.

Puoi strillare che c'è un complotto, e sicuramente in molti ti crederanno per carità (del resto quanti di loro si sono mai fatti un corso di Educazione Civica?), ma finché non la abbatti, quella è e quella resta.

E' la democrazia, baby.

The Tea app has had a rough week. It’s not an unfamiliar story: Unsecured Firebase databases were left exposed to the Internet without any authentication. What makes this story particularly troubling is the nature of the app, and the resulting data that was spilled.

Tea is a “dating safety” application strictly for women. To enforce this, creating an account requires an ID verification process where prospective users share their government issued photo IDs with the platform. And that brings us to the first Firebase leak. 59 GB of photo IDs and other photos for a large subset of users. This was not the only problem.

There was a second database discovered, and this one contains private messages between users. As one might imagine, given the topic matter of the app, many of these DMs contain sensitive details. This may not have been an unsecured Firebase database, but a separate problem where any API key could access any DM from any user.

This is the sort of security failing that is difficult for a company to recover from. And while it should be a lesson to users, not to trust their sensitive messages to closed-source apps with questionable security guarantees, history suggests that few will learn the lesson, and we’ll be covering yet another train-wreck of similar magnitude in another few months.

The Pi-hole (And Many Others’) Donor Leaks

The folks at Pi-hole are leading the charge in reporting on the leaks of the name and email addresses of donors to that and many other projects. The problem was actually in version 4.6.0 of GiveWP, a popular WordPress plugin.

Well this sucks: @The_Pi_Hole, my favourite maker of network-level blocker of nasty things, has inadvertently been caught up in a data breach by virtue of a WordPress plugin they use for donations: t.co/ANSMIA5u5G

— Troy Hunt (@troyhunt) July 30, 2025

The details of what happened aren’t pretty. The plugin had a bug where it was injecting the entire donor list into the source code of the site using the plugin. The only redeeming element here is that those leaks were strictly limited to name and email address. But of course, that’s enough for bad actors to scrape the lists and start sending spearphishing emails, which has already happened.

One more thing to cover regarding this issue is the response from Impress.org, the makers of the plugin. The problem was fixed within hours of the report on GitHub. This turn-around is great, but the vulnerable plugin was out for a full week before it was disclosed to the authors. The official comments from Impress.org on the GitHub issue linked above fall just a bit short on recognizing the severity of the issue, and taking responsibility. At the same time, it’s extremely challenging to strike the right note when writing up a response to an issue like this.

Pi in the Bank

We’ve covered a case or two where a mysterious Raspberry Pi was discovered on the network, but this one is a bit different. First off, the network in question belongs to a bank. And second, this Pi had a 4G cellular modem strapped to it.

It turns out, this device was dropped as part of a scheme by the cyber crime group tracked as UNC2891. This attack has been reported to have taken place in Asia, with not much more details about the target. It’s believed that this was an attempt to infiltrate the bank’s ATM network, and eventually compromise a Hardware Security Module (HSM), and ultimately steal money from the bank.

This attack was quite sophisticated, with a new technique demonstrated, to hide malicious processes via Linux Bind mounts. This works by bind mounting an existing processes /proc/ folder over that of the process to hide. Many utilities won’t catch the switcherwoo, as the kernel file handling will follow the bind mount over the real files. Though we do take some issue with the write-up referring to a bind mount as an “obscure Linux feature”.

And since we’re talking about banking, do you know how wire transfers actually work? It turns out, it’s an ASCII file just under 1k, sent using SFTP. There are some very old quirks to these files, like the insistence that the number of lines in the file be a multiple of 10, and the padding with 9s.

When you make a Bank ACH transaction, it’s literally just an SFTP upload.

Sent as a NACHA file, it's 940 bytes of ASCII text.

Bank-to-Bank transactions cost ~0.2 cents. As long as it travels via encrypted tunnel; it’s compliant!

Here’s how the quirky system works: pic.twitter.com/NHewY8Ojgn

— LaurieWired (@lauriewired) July 29, 2025

Rooting the Root AIs

There have been a rash of stories recently about what can happen when an agentic AI has too much power and ineffective guard rails. This week is no different, with the first story being about prompt injection in Gemini. This AI agent does have guardrails, in the form of a whitelist of commands that it is allowed to run on the system. The problem is that it’s not always apparent to users what commands have security implications.

Then there is Copilot Enterprise, which gained a Python sandbox and Jupyter Notebook earlier this year. And Copilot is perfectly happy to help the user troubleshoot how to run commands using the %command syntax. That gives just enough purchase to get root access in the Jupyter container, but that’s where this exploitation ends. It is interesting, how often the key to compromising an AI is simply to ask nicely.

Zero-Trust Falls to CSRF

We don’t know the start-up that this penetration test tested, but we do know that they were building a zero-trust platform for secure VPN-like access. The entire stack was defeated by an attack as simple as a Cross-Site Request Forgery (CSRF) and an improper Cross-Origin Resource Sharing (CORS) configuration. JavaScript running on a malicious web page could use these two weaknesses to access an SSH key generation utility on the target infrastructure, and smuggle the key out. This lead to a complete AWS identity takeover and more. It was a complete win for the red team, and immensely valuable to the client to find this vulnerability chain this way, rather than in production.

Nvidia Backdoors?

The other big news this week is what sounds like an accusation from Chinese officials that Nvidia has put a backdoor in its new H20 device. These Enterprise GPUs are engineered specifically for export to China, to meet the current US export restrictions around AI hardware. It’s unclear what exactly is going on here, but it’s not very likely that Nvidia actually put backdoors in their hardware, regardless of the intended market.

Bits and Bytes

CISA has released a new security tool as Open Source. Thorium is a new file analysis tool designed to safely investigate binaries.

CrushFTP has an RCE because of missed authentication check on an endpoint. It allows an XML-RPC call to request the use of system.exec, which does exactly what it says it does. This manages a 9.8 CVSS as it’s unauthenticated, simple to pull off, accessible from the network, and grants RCE.

And finally, what certainly wins the simplest hack of the week award, [Mahmoud El Manzalawy] was looking at a CRM solution, and discovered an HTTP POST call that was replying with a 201 status, indicating it was successfully inserting a record into the remote database. What happens if that POST was changed to a GET and resent? The application responds with a full dump of the user database. It’s not supposed to do that. Which seems to sum up everything we cover in this column.

hackaday.com/2025/08/01/this-w…

Con la crescente integrazione degli strumenti Linux nei sistemi consumer, Apple ha compiuto un passo importante verso i professionisti della sicurezza informatica. Con il rilascio di macOS Sequoia, l’azienda ha introdotto il proprio sistema a container, consentendo alle distribuzioni Linux di funzionare in un ambiente virtuale isolato sui dispositivi Apple Silicon. Una delle prime distribuzioni compatibili è stata Kali Linux, una popolare piattaforma per penetration test e analisi di sicurezza.

Alla WWDC 2025 è stato annunciato un nuovo framework chiamato Container. Questo meccanismo consente a Linux di funzionare all’interno della virtualizzazione integrata in macOS, senza la necessità di installare un hypervisor di terze parti. La tecnologia è disponibile esclusivamente sui computer con processori ARM di Apple, il che la rende non disponibile per i possessori di Mac con processore Intel.

L’ambiente container viene installato tramite Homebrew con il comando brew install –cask container, dopodiché il sistema viene attivato tramite container system start . L’utente può quindi avviare Kali con il comando container run –rm -it kalilinux/kali-rolling , che estrae l’immagine da DockerHub e la esegue all’interno della macchina virtuale macOS. Se necessario, è possibile montare una directory locale all’interno del container utilizzando –volume e –workdir , consentendo a Kali di accedere direttamente ai file host.

Tuttavia, l’implementazione di Apple presenta delle limitazioni. Kali Linux segnala ufficialmente problemi con le interfacce di rete in Sequoia 15: i container potrebbero non avere un indirizzo IP o l’accesso alla rete potrebbe essere completamente bloccato. Il team consiglia di fare affidamento sulla documentazione di Apple per risolvere tali problemi. Inoltre, secondo gli esperti, qualsiasi attività che richieda l’accesso diretto all’hardware fisico non potrà essere eseguita in questa configurazione: i container sono, per definizione, isolati dall’hardware.

Nonostante queste sfumature, la possibilità di eseguire Kali su macOS senza dover configurare una macchina virtuale completa o utilizzare il dual boot semplifica notevolmente il lavoro quotidiano di pentester e analisti. Questo è particolarmente importante per coloro che preferiscono macOS come sistema operativo principale, ma utilizzano regolarmente strumenti Linux. Le funzionalità del nuovo framework rendono l’esecuzione di Kali quasi semplice quanto lavorare con Docker, mantenendo al contempo sicurezza e prestazioni relativamente elevate.

Per Apple, questa mossa segna un più ampio riconoscimento dell’importanza di Linux nei flussi di lavoro professionali. E per la comunità della sicurezza informatica, rappresenta un ulteriore ponte tra due mondi a lungo separati da barriere architettoniche.

L'articolo Kali Linux ora su macOS Sequoia con Apple Silicon! la containerizzazione secondo Apple proviene da il blog della sicurezza informatica.

La Zero Day Initiative (ZDI) di Trend Micro ha annunciato una ricompensa degna da broker zeroday!

Si parla di una ricompensa senza precedenti pari ad 1.000.000 di dollari per chi riuscirà a sviluppare un exploit di esecuzione di codice remoto (RCE) zero-click contro WhatsApp durante l’edizione 2025 di Pwn2Own Ireland.

Questa taglia record, co-finanziata da Meta, segna la più alta vincita singola mai offerta nella storia del concorso e mette in evidenza quanto sia cruciale proteggere la piattaforma di messaggistica più popolare al mondo.

Punti chiave

1. Taglia record di 1 milione di dollari per un exploit zero-click su WhatsApp
2. Concorso articolato in 8 categorie; iscrizioni entro il 16 ottobre 2025
3. L’aumento della ricompensa da 300.000 a 1.000.000 di dollari riflette la crescente minaccia degli attacchi da parte di stati nazionali e attraverso l’utilizzo di spyware

Ricompense per exploit zero-click su WhatsApp

La collaborazione tra Meta e Pwn2Own Ireland 2025 segna un cambio di passo nella strategia dei big tech per incentivare la ricerca sulle vulnerabilità più critiche. Con oltre tre miliardi di utenti, WhatsApp rappresenta un obiettivo privilegiato per attori sponsorizzati da stati nazionali e gruppi APT (Advanced Persistent Threat), che puntano a comprometterla senza bisogno di alcuna interazione dell’utente.

L’incremento della taglia rispetto ai 300.000 dollari dello scorso anno testimonia l’impegno crescente di Meta nella prevenzione proattiva delle minacce più sofisticate. In particolare, il premio da un milione di dollari sarà riservato a exploit zero-click capaci di ottenere l’esecuzione completa di codice remoto.

Saranno comunque previsti premi minori per vulnerabilità che richiedono un’interazione minima o che portano solo a un’escalation di privilegi, come indicato dall’organizzazione. Questo sistema di ricompense a più livelli mira a stimolare la ricerca sull’intera superficie d’attacco dell’app, dai bug di corruzione della memoria a difetti logici nella gestione dei messaggi.

Le altre categorie del concorso

Pwn2Own Ireland 2025 si terrà a Cork dal 21 al 24 ottobre e includerà otto categorie che riflettono il panorama delle minacce moderne. Oltre alla categoria di messaggistica, i ricercatori potranno cimentarsi con:

• Nuovi attacchi tramite porta USB su dispositivi mobili, dimostrando attacchi di prossimità anche contro dispositivi bloccati;
• La categoria SOHO Smashup, che premia con 100.000 dollari e 10 punti “Master of Pwn” chi riuscirà a concatenare exploit su dispositivi di rete domestica nell’arco di 30 minuti;
• Dispositivi domestici smart, sistemi NAS di QNAP e Synology, dispositivi di sorveglianza e la tecnologia indossabile di Meta, come gli occhiali Ray-Ban e i visori Quest 3/3S.

Ogni categoria richiede exploit realistici, basati su superfici d’attacco esposte alla rete, vettori RF o scenari di prossimità.

Iscrizioni e aspettative

Le iscrizioni si chiuderanno alle ore 17:00 (ora irlandese) del 16 ottobre 2025. L’ordine delle dimostrazioni verrà stabilito tramite sorteggio. Nell’edizione 2024, Pwn2Own Ireland aveva premiato vulnerabilità per un valore complessivo di 1.066.625 dollari, riconoscendo oltre 70 exploit zero-day unici.

Con la partnership strategica di Meta e l’ampliamento delle categorie in gara, Pwn2Own Ireland 2025 promette di offrire un palcoscenico alle tecniche di exploit più avanzate, rafforzando la sicurezza globale attraverso la divulgazione responsabile delle vulnerabilità.

L'articolo WhatsApp nel mirino! Al Pwn2Own Ireland 2025, 1 milione di dollari per un exploit RCE zero-click proviene da il blog della sicurezza informatica.

😂😂😂

ilpost.it/2025/08/01/sentenza-…

Sui “paesi sicuri” l’Unione Europea ha dato torto al governo

Con una sentenza della Corte di giustizia che avrà conseguenze soprattutto sui centri in Albania, almeno fino all'anno prossimo

^{Il Post}