Due gravi vulnerabilità nel sistema operativo AIX di IBM potrebbero permettere a malintenzionati remoti di eseguire comandi a loro scelta sui sistemi colpiti, motivo per il quale l’azienda ha pubblicato importanti aggiornamenti di sicurezza.

Entrambe le vulnerabilità rappresentano vettori di attacco per dei bug precedentemente affrontati all’interno delle CVE-2024-56347 e CVE-2024-56346. Questo purtroppo indica che le patch precedenti di IBM potrebbero non aver eliminato completamente tutti i percorsi di sfruttamento, rendendo necessari questi aggiornamenti di sicurezza aggiuntivi.

Il bug più grave, monitorato con il CVE-2025-36250, colpisce il servizio server NIM (nimesis), precedentemente noto come NIM master. Questa falla è ancora più critica, avendo ottenuto un punteggio CVSS perfetto di 10,0.

L’altra falla critica, identificata è monitorata con il CVE-2025-36251, ed interessa il servizio Nimsh e le relative implementazioni SSL/TLS. Gli aggressori remoti potrebbero sfruttare questa vulnerabilità per eludere i controlli di sicurezza e conseguentemente eseguire comandi senza autorizzazione. La vulnerabilità ha un punteggio base CVSS di 9,6, che indica un rischio elevato per i sistemi accessibili tramite rete. L’attacco richiede l’accesso alla rete, ma non l’autenticazione o l’interazione dell’utente, il che lo rende particolarmente pericoloso per i sistemi esposti.

Entrambi i bug sono classificati nella categoria CWE-114: Process Control, una categoria di debolezza incentrata sulla gestione impropria dei processi e delle relative autorizzazioni. Lo sfruttamento potrebbe compromettere completamente il sistema, con accessi non autorizzati ai dati, modifiche e attacchi denial-of-service .

Gli amministratori IBM AIX dovrebbero dare priorità all’immediata correzione di queste vulnerabilità. I servizi NIM sono componenti essenziali utilizzati per la gestione e l’implementazione dei sistemi IBM AIX in ambienti aziendali.

Lo sfruttamento potrebbe consentire agli aggressori di ottenere il controllo di più sistemi contemporaneamente. Le organizzazioni che utilizzano IBM AIX dovrebbero rivedere i livelli di patch correnti e applicare gli ultimi aggiornamenti di sicurezza di IBM.

Inoltre, l’implementazione della segmentazione della rete e la limitazione dell’accesso ai servizi NIM e nimsh alle reti attendibili possono fornire una mitigazione temporanea. I team di sicurezza dovrebbero individuare attività insolite e utilizzare strumenti per rilevare gli attacchi. Queste vulnerabilità sottolineano l’importanza di mantenere aggiornati i livelli di patch sui componenti critici delle infrastrutture.

Le organizzazioni che dipendono da IBM AIX dovrebbero stabilire procedure di aggiornamento della sicurezza regolari e monitorare attentamente gli avvisi di sicurezza IBM per individuare le minacce emergenti.

L'articolo IBM AIX: 2 bug critici permettono l’esecuzione di comandi arbitrari (Score 10 e 9,6) proviene da Red Hot Cyber.

La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe mai immaginato di finire qui, unite da un’unica cosa: essere state scosse, raggirate, derubate da chi, dietro la tastiera, non ha nulla da perdere.

Dopo Pasquale, Simone e Gianni, una donna prende fiato, sistema la sciarpa e si alza.

È il suo turno.

“Ciao… io sono Nicoletta”

«Ciao a tutti, mi chiamo Nicoletta» dice con un mezzo sorriso tirato. «Ho 42 anni, lavoro come impiegata amministrativa in uno studio notarile… e sì, sono stata truffata.»

Il cerchio annuisce, qualcuno sussurra “ciao Nicoletta”. Lei inspira profondamente, come se dovesse immergersi in acqua gelida.

«Doveva essere una giornata qualunque. Non dormivo bene da qualche giorno e la testa non era proprio al massimo. Verso le 11 mi arriva una chiamata dalla mia banca. Lo diceva anche il display.»

Fa un gesto con la mano, come per scacciare un pensiero fastidioso.

«Mi dicono che la mia nuova carta evolution, quella sostitutiva, era finalmente stata presa in carico e serviva completare l’attivazione. La stavo aspettando da tempo quella carta, perché la mia era in scadenza. Tutto sembrava normale. Niente richieste strane. Niente codici da dare. Mi dicevano solo di confermare sull’app alcune notifiche… Confermare, capite?»

Un silenzio pesante si posa sul gruppo. Nicoletta continua:

«Nemmeno avevo in mano la carta nuova, non sapevo nemmeno il numero! E questo mi ha fregata! Perché quando vedi che loro sanno tutto, pensi che sia tutto regolare. Così eseguo quello che mi chiedono.»

Abbassa lo sguardo.

«Due minuti dopo… mi accorgo che il conto era stato svuotato. Non alleggerito. Svuotato. Zero.»

La corsa nel vuoto

«Sono partita come una furia verso i Carabinieri. Mi hanno spiegato che potevo denunciare e sperare nel rimborso, oppure tentare di avviare un’indagine più approfondita… ma che “tanto è difficile che li prendiamo”.»

Le virgolette le pronuncia con amarezza.

«Poi in banca ho scoperto un dettaglio che mi ha gelata: la mia carta non era “in consegna”.
Era sparita. Persa durante la consegna. La mia carta nuova era finita nelle mani di qualcuno prima ancora che arrivasse nella mia cassetta.»

Qualcuno nel cerchio mormora incredulo.

«E qui arriva la parte che mi tiene sveglia la notte. Mi hanno detto che il truffatore ha prelevato contanti in un ATM, e che un complice ha attivato la carta dal sito. Come se avessero tutto pianificato: la carta sottratta, i miei dati già pronti, la telefonata sincronizzata.»

Nicoletta si siede. La sua voce trema un istante.

Il colpo di scena

«Il giorno dopo, non so perché ma ho deciso di controllare l’app delle consegne.
E ho trovato qualcosa.»

Il gruppo si raddrizza sulle sedie.

«La mia carta risultava consegnata due giorni prima della telefonata. Ma io non avevo ricevuto niente. Nessun avviso, nessun postino. Zero.»

Un paio di persone sussultano.

«Ho chiesto alle banca di vedere la foto della consegna. Sapete quella che scattano ormai per dimostrare l’avvenuta consegna?»

Annuisce lentamente.

«Mi aspettavo una firma falsa. Una foto del portone. Un buco. E invece… nella foto c’era una mano.
Una mano che mi diceva qualcosa. Non la mia. Ma…» sospira, quasi incredula, «…ma quella mano l’avevo già vista.»

Il gruppo trattiene il fiato.

«Era la mano del postino che serve il mio palazzo da anni. Il mio postino. Lui ha consegnato la carta… a qualcuno che non ero io.»

La stanza esplode in un brusio incredulo.

«Ho capito che non era una truffa qualunque. Era qualcosa costruito in silenzio, con qualcuno che conosceva le mie abitudini, sapeva che aspettavo la carta, sapeva quando sarebbe arrivata… e ha agito.»

Nicoletta stringe la sciarpa.

«Forse non saprò mai se il postino è complice o se è stato raggirato. Ma ora almeno so una cosa: non era un furto casuale. Era un colpo su misura.»

Lesson Learned

Da questa storia abbiamo imparato tre lezioni fondamentali:

1 .Denuncia il fatto alla Polizia Postale

Quando ci si trova di fronte a una truffa, la prima cosa da fare è denunciarla immediatamente alle autorità competenti: Polizia Postale o Carabinieri. Questo passaggio è fondamentale per due motivi: permette alle forze dell’ordine di avviare gli accertamenti necessari e, allo stesso tempo, consente alla vittima di avviare le procedure ufficiali per un eventuale rimborso o recupero dei fondi. Agire tempestivamente aumenta le possibilità che la truffa venga tracciata, documentata e, quando possibile, fermata prima che possa colpire altre persone.

2. La truffa non avviene solo al telefono o online. Può iniziare molto prima.

La frode di Nicoletta è partita fisicamente, con la sottrazione della carta prima della consegna.
Questo dimostra che i criminali non agiscono solo digitalmente: spesso combinano mondo reale e digitale per rendere l’attacco più credibile.

3. Le chiamate verosimili sono le più pericolose.

Il truffatore non ha chiesto codici insoliti, non ha parlato in modo sospetto.
Ha solo guidato Nicoletta a confermare notifiche sull’app. E questo è esattamente ciò che molte vittime non si aspettano: una truffa che non richiede dati sensibili, ma sfrutta ciò che già possiedono.

4. Prevenire è possibile: basta conoscere gli indicatori chiave.

• Nessuna banca o servizio postale attiva una carta tramite telefonata.
• Le notifiche push che prevedono conferme dovrebbero essere trattate come “operazioni bancarie”: se non sei tu ad avviarle, non le confermi.
• Ogni consegna di carte o documenti sensibili deve essere monitorata, chiedendo sempre la prova di consegna.
• Se la carta non arriva nei tempi previsti, bisogna allertare subito l’ente emittente.

Genesi dell’articolo

L’articolo è stato ispirato da una truffa reale, condivisa da un utente su Reddit.

A questa persona va tutto il nostro conforto: il suo coraggio nel raccontare ciò che ha vissuto permette ad altri di riconoscere i segnali, proteggersi e imparare dall’esperienza che ha affrontato.

L'articolo Shakerati Anonimi: l’esperienza di Nicoletta e il thriller della carta di credito proviene da Red Hot Cyber.

Un attacco DDoS di enormi proporzioni, è stato neutralizzato da Microsoft Azure il 24 ottobre. Un solo endpoint situato in Australia è stato preso di mira dall’attacco, che ha raggiunto una velocità massima di 15,72 terabit al secondo (Tbps) e ha comportato la gestione di quasi 3,64 miliardi di pacchetti al secondo.

Il sistema di difesa automatica contro gli attacchi DDoS di Azure è rapidamente intervenuto, assicurando tempi di inattività nulli per i carichi di lavoro dei clienti colpiti grazie alla sua capacità di filtrare il traffico dannoso. L’attacco, protrattosi per diverse ore, è stato lanciato dalla nota botnet Aisuru, una versione del malware Mirai che è ormai un elemento comune nell’arsenale degli attacchi DDoS.

Ricordiamo che recentemente Cloudflare ha neutralizzato un attacco di enorme portata, ha raggiunto un picco senza precedenti di 22,2 terabit al secondo (Tbps) e 10,6 miliardi di pacchetti al secondo, stabilendo un nuovo e allarmante punto di riferimento per la portata delle minacce informatiche.

Aisuru infetta principalmente i dispositivi vulnerabili dell’Internet of Things (IoT), come i router domestici e le telecamere di sicurezza, trasformandoli in enormi eserciti di zombie. In questo caso, la botnet ha mobilitato oltre 500.000 indirizzi IP sorgente univoci di provider di servizi Internet residenziali (ISP) negli Stati Uniti e in altre regioni.

Gli attacchi consistevano in flood UDP (User Datagram Protocol) ad alta velocità, mirati a uno specifico indirizzo IP pubblico, utilizzando uno spoofing IP sorgente minimo e porte casuali per eludere un facile rilevamento e tracciamento.

La risposta di Azure ha sfruttato i suoi centri di scrubbing distribuiti a livello globale, che hanno ripulito il traffico in tempo reale e reindirizzato i pacchetti puliti alla vittima. “Le nostre capacità di monitoraggio continuo e mitigazione adattiva sono state fondamentali per neutralizzare questo volume senza precedenti senza compromettere il servizio”, ha dichiarato Microsoft .

Mentre la stagione degli acquisti natalizi si avvicina, gli specialisti della sicurezza online raccomandano alle società di potenziare le difese per le applicazioni connesse a Internet. “Prima di subire un attacco, occorre valutare la propria capacità di resistenza”, suggerisce Sarah Lin, esperta di minacce di una nota società di sicurezza.

L'articolo Microsoft Azure blocca un attacco DDoS di 15,72 terabit al secondo proviene da Red Hot Cyber.

Masimo, azienda americana che sviluppa tecnologie di monitoraggio medico, ha vinto un altro round nella sua lunga controversia con Apple. Una giuria federale le ha riconosciuto un risarcimento di 634 milioni di dollari per aver violato un brevetto su una tecnologia di lettura del livello di ossigeno nel sangue.

Secondo Reuters, una giuria ha stabilito che la modalità allenamento e le notifiche sulla frequenza cardiaca dell’Apple Watch violavano la tecnologia brevettata di Masimo. Il tribunale ha stimato che le funzioni di pulsossimetria fossero implementate in circa 43 milioni di dispositivi. La giuria ha respinto la richiesta di Apple di limitare i danni a un importo compreso tra 3 e 6 milioni di dollari. Masimo ha chiesto un risarcimento danni compreso tra 634 e 749 milioni di dollari, e il tribunale ha infine concesso il risarcimento più basso tra tali importi.

Apple ha già annunciato l’intenzione di presentare ricorso contro la decisione. Masimo, d’altra parte, ha definito il verdetto “una vittoria significativa nei nostri continui sforzi per proteggere l’innovazione e la proprietà intellettuale, fondamentali per lo sviluppo di tecnologie che aiutano i pazienti”. L’azienda ha inoltre sottolineato che continuerà a perseguire la tutela dei propri diritti.

La controversia tra le aziende è in corso dal 2020. Successivamente, Masimo, con sede in California, ha fatto causa ad Apple, accusandola di aver utilizzato illegalmente la tecnologia della pulsossimetria nell’Apple Watch, di aver venduto orologi con questa funzionalità tra il 2020 e il 2022, di aver sottratto dipendenti e di aver rubato sviluppi chiave.

Nel 2023, la Commissione per il Commercio Internazionale degli Stati Uniti ha emesso una sentenza che vietava di fatto l’importazione di Apple Watch con funzionalità di misurazione dell’ossigeno nel sangue, inclusi i modelli Series 9 e Ultra 2. Successivamente, Apple ha disattivato la funzione di pulsossimetria per i dispositivi sul mercato statunitense prima di introdurre una versione aggiornata dell’orologio, annunciata nell’agosto di quest’anno.

Masimo riteneva che l’approvazione dei dispositivi aggiornati da parte della U.S. Customs and Border Protection (DCO) violasse la sentenza della commissione e ha intentato una causa separata contro l’agenzia. L’azienda ritiene che la U.S. Customs and Border Protection dovrebbe far rispettare i divieti della ITC piuttosto che cercare soluzioni alternative che rendano tali misure inefficaci.

Masimo continua a chiedere un’ingiunzione contro l’utilizzo da parte di Apple della controversa tecnologia negli Stati Uniti.

L'articolo Apple condannata a pagare 634 milioni di dollari a Masimo per violazione di brevetto proviene da Red Hot Cyber.

Podcast/ Algoritmi truffatori: come l’AI traveste i criminali da persone fidate

Una voce ordina al direttore finanziario un bonifico urgente: sembra l’amministratore delegato, ma è la sua perfetta imitazione digitale.

Un messaggio disperato convince una madre a inviare soldi al figlio in difficoltà: ma non era lui, era la sua voce clonata in pochi secondi.

Un software manomesso addestra l’algoritmo antifrode della banca a considerare leciti bonifici che sono invece fraudolenti, una goccia di veleno finita nel pozzo dei dati.

Sono solo tre volti dei nuovi rischi informatici realizzati con l’intelligenza artificiale generativa: truffe credibili, identità sintetiche e manipolazioni invisibili che scavalcano le nostre difese più umane.

Di questo abbiamo parlato nel nuovo episodio di Pillole di Eta Beta, condotto da Massimo Cerofolini con la regia di Mimmi Micocci, e con la partecipazione di Beta, l’intelligenza artificiale parlante.

Grazie Massimo Cerofolini e Radio1 di avermi invitato a parlarne.
Per ascoltare il podcast:

raiplaysound.it/programmi/pill…

dicorinto.it/tipologia/intervi…

The Political Tech Summit is organised by Partisan, a Berlin-based hub for political professionals working at the intersection of tech, campaigning, and democracy. Through events, research, and community-building, Partisan brings together practitioners from across Europe to share tools, strategies, and insights that shape modern politics.

The post Political Tech Summit appeared first on European Digital Rights (EDRi).

The conference will reflect on the DSA and European platform regulation, including in its broader legal and political context, under the overall theme of platform governance and democracy.

The post The DSA and Platform Regulation Conference 2026 appeared first on European Digital Rights (EDRi).

@Signor Amministratore ⁂ ciao Super Admin, volevo sapere come mai non ci sono nuove versioni del software di friendica... ? Anche la release installata su poliverso.org è di dicembre 2024. Ho visto au GitHub che negli anni precedenti c'erano sempre varie release durante l'anno, ma nel 2025 nessuna! Ho visto che c'è un branch di luglio 2025, ho anche visto una sua preview su friendica.world e devo dire che è molto buona... Molto più usabile, accessibile e ottimizzata per smartphone. Resto in attesa ciao

#friendica #release #a11y #mobile