Nelle ultime ore è emersa una nuova campagna di phishing mirata contro l’Università degli Studi di Padova, che utilizza una pagina di accesso falsificata per carpire le credenziali di studenti e personale accademico. L’immagine mostra un sito che imita in modo piuttosto fedele il portale di Single Sign-On dell’ateneo, ma ospitato su un dominio sospetto (“hoster-test.ru”), elemento che dovrebbe subito insospettire l’utente attento.

Il layout e i loghi originali sono stati copiati per rendere la truffa più credibile, ma la barra dell’indirizzo e l’assenza di connessione sicura (indicata da “Non sicuro”) rivelano la natura malevola del sito.

L’allarme è stato diramato dal CERT-AgID, e questo attacco sembra ricalcare lo schema di un attacco precedente, con una pagina che replica fedelmente quella istituzionale e punta a sottrarre email e password in chiaro.

L’obiettivo dichiarato dagli esperti è evidente: ottenere accesso non autorizzato alle caselle di posta e ai sistemi interni dell’ateneo, sfruttando le credenziali compromesse per ulteriori attività malevole. La scelta di colpire studenti e personale universitario non è casuale: questi account possono contenere informazioni personali, dati di ricerca e accesso a sistemi sensibili. L’uso di domini esteri e poco affidabili è un chiaro indicatore della natura fraudolenta dell’operazione.

Il CERT-AgID sottolinea che la struttura della campagna lascia ipotizzare “la stessa mano criminale della precedente” e che si tratta di un attacco mirato e organizzato. Il modus operandi include la distribuzione di link ingannevoli tramite email di phishing che inducono l’utente a inserire le proprie credenziali in un portale contraffatto, identico nell’aspetto ma completamente sotto il controllo degli attaccanti.

Per mitigare i danni, l’Università di Padova è stata immediatamente informata della minaccia in corso e degli indirizzi compromessi fino a questo momento. Inoltre, gli Indicatori di Compromissione (IoC) sono stati condivisi con tutti gli enti accreditati, al fine di agevolare il rilevamento e il blocco tempestivo di eventuali tentativi di accesso fraudolento. La condivisione rapida di queste informazioni rappresenta un tassello fondamentale nella difesa collettiva contro il cybercrime.

Gli utenti sono invitati sempre ad aumentare l’attenzione di fronte ad email di dubbia provenienza e a non inserire mai le proprie credenziali in siti che presentano domini sospetti o connessioni non sicure. È buona prassi accedere ai portali universitari esclusivamente tramite link ufficiali e verificare sempre l’URL nella barra degli indirizzi. In caso di dubbio, contattare immediatamente l’help desk dell’ateneo o il CERT-AgID può evitare conseguenze ben più gravi.

L'articolo Università di Padova nel mirino! Una campagna di phishing è in corso avverte il CERT-AgID proviene da il blog della sicurezza informatica.

L’utilizzo di Linux su desktop e laptop aziendali continua a crescere. Un’analisi di quasi 18,5 milioni di dispositivi ha rilevato che la quota di Linux sui dispositivi aziendali è aumentata dall’1,6% di gennaio all’1,9% di giugno 2025. E tra i nuovi asset introdotti dopo il 1° marzo, la percentuale ha raggiunto il 2,5%.

Sebbene i numeri possano sembrare esigui, nell’ordine di un milione di dispositivi, non si tratta più di un fenomeno casuale, afferma Guido Patanella, CTO di Lansweeper. Piuttosto che un’anomalia isolata, afferma, si tratta di una “costante accelerazione” della crescita. Il fattore principale non è tanto la fine del supporto a Windows 10, quanto piuttosto l’aumento dei requisiti di sicurezza.

Patanella sottolinea che “la crescita esponenziale di minacce e attacchi sta destando preoccupazione tra i team IT”. Sebbene Linux non sia immune da vulnerabilità, è spesso percepito come più gestibile in ambienti aziendali dal punto di vista della sicurezza. Questo è particolarmente importante nel contesto dei continui attacchi informatici e dell’aumento dei costi di protezione delle infrastrutture.

Un altro fattore di crescita è stata l’attività dei team di ingegneria e degli specialisti DevOps, che di default preferiscono Linux. La sua popolarità tra gli sviluppatori, la facilità di automazione e la flessibilità sono diventati argomenti chiave a favore della migrazione.

Le aziende europee sono leggermente più avanti rispetto alle aziende nordamericane nell’adozione di Linux, soprattutto nei settori dei servizi pubblici e B2B. In Nord America, Linux è maggiormente utilizzato nel settore tecnologico e delle telecomunicazioni, con una percentuale di quasi il 7%.

Tuttavia, Linux incontra ancora delle barriere sul desktop: la compatibilità software, la formazione dei dipendenti e le abitudini consolidate degli utenti rimangono ostacoli. Nonostante i significativi progressi in termini di usabilità e supporto software, Windows e macOS continuano a dominare.

Secondo Lansweeper, Linux potrebbe presto affermarsi in modo significativo nei settori pubblico e privato. Tuttavia, la motivazione principale non è l’ideologia, bensì la necessità di migliorare la sicurezza.

L'articolo Windows Perde terreno. Linux in crescita sui desktop aziendali, la motivazione è più sicurezza proviene da il blog della sicurezza informatica.

La Corte Suprema tedesca sostiene che la polizia può utilizzare lo spyware solo per indagare su crimini gravi
E’ stato stabilito che le forze dell’ordine non possono utilizzare spyware per monitorare i dispositivi personali nei casi che prevedono una pena massima inferiore ai tre anni.

Il tribunale ha risposto a una causa intentata dall’organizzazione tedesca per le libertà digitali Digitalcourage. Gli attori hanno sostenuto che una modifica alle norme del 2017, che consente alle forze dell’ordine di utilizzare spyware per intercettare chat e piattaforme di messaggistica crittografate, potrebbe esporre ingiustamente le comunicazioni appartenenti a persone che non sono sospettate di reati.

La modifica del 2017 al codice di procedura penale tedesco non era sufficientemente precisa in merito ai casi in cui è consentito l’uso di spyware, ha stabilito la corte, affermando che i software spia sono appropriati solo nelle indagini su casi gravi. Tale sorveglianza provoca una “grave interferenza” nei diritti fondamentali, ha affermato la Corte in un comunicato stampa .

L’uso dello spyware da parte delle forze dell’ordine “consente l’intercettazione e l’analisi di tutti i dati grezzi scambiati e ha quindi una portata eccezionale, soprattutto considerando la realtà della moderna tecnologia informatica e la sua importanza per le relazioni di comunicazione”, si legge nel comunicato stampa.

Il tribunale ha inoltre stabilito che la ricerca segreta di dati memorizzati sui computer e sugli smartphone dei sospettati è in parte incompatibile con la Legge fondamentale, la costituzione di fatto tedesca. “I trojan di Stato vengono installati sfruttando le falle di sicurezza che devono essere presenti in ogni smartphone, computer, tablet e console di gioco”, scrive l’associazione sul suo sito web.

Utilizzando queste backdoor, che potrebbero essere utilizzate anche dai criminali per accedere ai dispositivi, lo Stato viola il suo dovere di protezione, ha affermato l’associazione.

L'articolo Basta Spyware su ogni reato! La Germania dice No per pene inferiori a tre anni proviene da il blog della sicurezza informatica.

Il team di FortiGuard Labs ha pubblicato un’analisi dettagliata di una web shell fortemente offuscata utilizzata per attaccare infrastrutture critiche in Medio Oriente. La ricerca si concentra sullo script UpdateChecker.aspx in esecuzione sulla piattaforma Microsoft IIS. È implementato in C# come pagina ASPX e nasconde il suo contenuto reale dietro uno strato di codice codificato e crittografato. Tutti i nomi di variabili e metodi di classe sono stati generati casualmente e poi codificati in Unicode. Tutte le costanti, incluse stringhe e numeri, sono state crittografate o codificate.

Durante l’analisi, gli esperti hanno deoffuscato il codice e convertito nomi casuali in nomi leggibili. La funzione principale Page_Load viene avviata alla ricezione di un comando dall’attaccante. La shell viene controllata tramite richieste HTTP POST con il contenuto specificato come application/octet-stream. In caso contrario, la richiesta viene rifiutata e viene restituita una pagina di errore.

Il corpo della richiesta viene prima codificato in Base64 e poi decrittografato in più fasi. I primi 16 byte contengono la chiave crittografata, che viene decodificata per produrre 15 byte di chiave e un byte di padding. Questa chiave viene utilizzata per decrittografare il resto dei dati del comando. Anche la risposta della web shell è in formato JSON, quindi crittografata e codificata nuovamente in Base64.

Lo script supporta tre moduli principali di gestione del sistema. Il modulo Base consente di ottenere informazioni sul server, il modulo CommandShell esegue i comandi di sistema nella directory di lavoro specificata e il modulo FileManager consente di interagire con file e directory, tra cui la creazione, la copia, lo spostamento e l’eliminazione dei file di directory, nonché la modifica dei metadati e la visualizzazione dell’elenco dei dischi e della directory web principale.

Per illustrare questo concetto, Fortinet ha sviluppato uno script Python che simula le azioni di un aggressore per inviare comandi alla web shell e visualizzare le risposte. Grazie a questo, è stato possibile dimostrare le capacità della shell, tra cui l’esecuzione di comandi, l’elaborazione di file e la ricezione di varie informazioni dal server.

L’analisi di UpdateChecker.aspx ha contribuito a svelare la complessa architettura della web shell e a mostrare come gli aggressori controllano il sistema in modo occulto e sicuro: lo script memorizza il controllo in formato JSON, il che semplifica l’invio automatico di comandi e la ricezione di risposte.

L'articolo Fortinet scopre una nuova Web Shell Offuscata. Analisi di UpdateChecker.aspx proviene da il blog della sicurezza informatica.

È stata scoperta una grave vulnerabilità nello strumento recentemente rilasciato da Google, Gemini CLI , che consente agli aggressori di eseguire silenziosamente comandi dannosi e di far trapelare dati dai computer degli sviluppatori se determinati comandi sono abilitati sul sistema. La vulnerabilità è stata scoperta da Tracebit appena due giorni dopo il rilascio dello strumento. Il problema è stato immediatamente segnalato a Google e il 25 luglio è stato rilasciato l’aggiornamento 0.1.14, che ha eliminato la vulnerabilità.

Gemini CLI è un’interfaccia a riga di comando per l’interazione con Gemini AI di Google, rilasciata il 25 giugno 2025. Lo strumento è progettato per aiutare gli sviluppatori caricando i file di progetto in un “contesto” e consentendo l’interazione in linguaggio naturale con il modello linguistico. Oltre alla generazione di codice e ai suggerimenti, Gemini CLI può eseguire comandi localmente, previa approvazione dell’utente o automaticamente se il comando è presente in un elenco di comandi consentiti.

Gli specialisti di Tracebit hanno iniziato a studiare lo strumento subito dopo il suo rilascio e hanno scoperto che può essere forzato a eseguire comandi dannosi all’insaputa dell’utente. Il problema risiede nel meccanismo di gestione del contesto: Gemini CLI analizza il contenuto di file come README.md e GEMINI.md, utilizzandoli come suggerimenti per comprendere la struttura del progetto. Tuttavia, possono nascondere istruzioni che portano all’iniezione tramite prompt e all’avvio di comandi esterni.

Gli sviluppatori hanno dimostrato come creare un’applicazione Python innocua con un file README modificato, in cui il primo comando sembra sicuro, ad esempio grep ^Setup README.md. Ma dopo, dopo un punto e virgola, viene inserito un secondo comando, che invia segretamente variabili d’ambiente (che potrebbero contenere segreti) a un server remoto. Poiché grep è consentito dall’utente sul sistema, l’intero comando viene percepito come attendibile e viene eseguito automaticamente.

Questa è l’essenza dell’attacco: a causa di un’analisi debole dei comandi e di un approccio ingenuo all’elenco delle azioni consentite, Gemini CLI interpreta l’intero frammento come un comando “grep” e non chiede conferma. Inoltre, il formato di output può essere mascherato visivamente nascondendo la parte dannosa dietro spazi, in modo che l’utente non si accorga del trucco.

Come prova del concetto, Tracebit ha registrato un video che mostra l’exploit. Sebbene l’attacco richieda il rispetto di alcune condizioni, come il consenso dell’utente all’esecuzione di determinati comandi, la resistenza a tali schemi dovrebbe essere integrata di default, soprattutto negli strumenti che interagiscono con il codice.

Gli sviluppatori di Tracebit sottolineano che questo è un chiaro esempio di quanto gli strumenti di intelligenza artificiale possano essere vulnerabili alla manipolazione. Anche con azioni apparentemente innocue, possono eseguire operazioni pericolose se utilizzati in un ambiente affidabile.

Si consiglia agli utenti di Gemini CLI di aggiornare immediatamente alla versione 0.1.14 ed evitare di analizzare repository non familiari al di fuori di ambienti sandbox. A differenza di Gemini CLI, altri strumenti simili, come OpenAI Codex e Anthropic Claude, si sono dimostrati resistenti a metodi di attacco simili grazie a regole di autorizzazione dei comandi più rigide.

L'articolo Vulnerabilità critica in Gemini CLI di Google: eseguibili comandi dannosi proviene da il blog della sicurezza informatica.

Ora... ognuno può pensarla come vuole e in molti penseranno che quest'uomo è un pazzo.

Ma metti che domani 'sto mostro esce dall'acqua e si fa un giretto sulla terraferma a favore di fotografi.

Steve Feltham potrà sparare un "VE L'AVEVO DETTO, STRONZI!" da cento megatoni.

😁😁😁

L’uomo che da 30 anni cerca il mostro di Loch Ness: ilpost.it/2022/11/10/uomo-cerc…

L’uomo che da 30 anni cerca il mostro di Loch Ness

Steve Feltham è arrivato sul lago scozzese nel 1991 e da allora passa le sue giornate scrutando l'acqua, invano

^{Il Post}