Questo articolo mira a esplorare il fenomeno del breadcrumbing da una prospettiva psicologica, collegandolo in modo metaforico alle strategie insidiose che gli attaccanti usano nella cybersecurity.

Scopriremo come la comprensione delle dinamiche relazionali umane può offrirci strumenti preziosi per difenderci nel complesso panorama digitale. Dimenticate l’immagine dell’hacker che sfonda le porte. Il panorama delle minacce informatiche del 2025 è dominato da una strategia ben più insidiosa, mutuata direttamente dalle dinamiche più oscure della psicologia umana: il breadcrumbing.

Immaginatelo come la tecnica di un pescatore esperto: non getta una rete enorme, ma lancia piccole, allettanti esche – briciole di pane – per tenere i pesci nel suo raggio d’azione, incuriositi e speranzosi, senza mai dargli una preda vera e propria. Questa tecnica, che in ambito relazionale consiste nel lasciare “briciole” di attenzione per tenere una vittima legata senza un impegno reale, trova una risonanza spaventosa nel modus operandi delle minacce persistenti avanzate. Descrive una realtà relazionale che ha effetti palpabili sul benessere psicologico individuale. È, in essenza, la manipolazione della speranza.

Un inganno emotivo

Per capire il breadcrumbing, dobbiamo addentrarci nei meandri della nostra psiche. Noi esseri umani siamo cablati per la connessione e per la ricerca di significato. Quando entriamo in relazione con qualcuno, sviluppiamo naturalmente aspettative, desideri e una proiezione verso un futuro condiviso. Questo processo è alimentato dalla speranza, un meccanismo psicologico fondamentale che ci spinge a persistere di fronte alle difficoltà, a investire energie e ad anticipare ricompense.

Nel contesto del breadcrumbing, questa sana speranza viene distorta. La persona che “lancia le briciole” non offre una ricompensa concreta, ma solo la promessa di una potenziale ricompensa futura. Questo attiva un potente meccanismo psicologico noto come rinforzo intermittente, ampiamente studiato in psicologia comportamentale. Immaginate un giocatore d’azzardo: la vincita occasionale e imprevedibile lo tiene attaccato al gioco molto più di una vincita garantita o di una perdita costante. Allo stesso modo, un messaggio casuale dopo giorni di silenzio, o un complimento inaspettato, agisce come una “vincita” emotiva, riaccendendo la speranza e giustificando l’attesa. Questo ciclo crea una vera e propria dipendenza emotiva. La vittima inizia a monitorare ogni segnale, ogni “briciola”, interpretandola come prova che “forse questa volta cambierà”, o “forse è solo impegnato/a”. Si entra in uno stato di ipervigilanza relazionale, un’ansia sottile ma costante, dove l’attenzione è tutta proiettata sull’altro, nella vana attesa di una conferma che non arriva mai pienamente.

Perché succede

Possiamo intravedere diverse dinamiche sottostanti:

• Paura dell’intimità e dell’impegno: per alcuni, l’intimità profonda è terrificante. Il breadcrumbing permette di mantenere una connessione a distanza di sicurezza, evitando la vulnerabilità che deriva da un impegno reale. Ciò può essere legato a stili di attaccamento insicuri (evitante, disorganizzato) sviluppati nell’infanzia, dove l’intimità era associata al dolore o alla perdita.
• Bisogno di attenzione e controllo: dispensare briciole permette di sentirsi desiderati e di avere “opzioni aperte”, alimentando l’ego senza dover dare nulla in cambio. È una forma di controllo sulla disponibilità emotiva dell’altro, un modo per sentirsi potenti.
• Narcisismo e mancanza di empatia: in casi più estremi, il breadcrumbing può essere una manifestazione di tratti narcisistici, dove l’altro è visto come un’estensione per soddisfare i propri bisogni, senza una vera considerazione per i suoi sentimenti.
• Difficoltà a comunicare e stabilire limiti: a volte, è semplicemente la difficoltà a dire “no”, a essere onesti sulle proprie intenzioni, o a gestire il disagio di una chiusura definitiva.

Dal punto di vista della vittima, le vulnerabilità sono altrettanto profonde: una bassa autostima può renderci più propensi ad accontentarci delle briciole; la paura della solitudine può farci aggrappare a qualsiasi barlume di connessione; e schemi relazionali passati (magari con genitori emotivamente non disponibili) possono renderci “programmati” a cercare amore in situazioni che offrono solo frammenti.

Il Breadcrumbing una similitudine con il Digitale

Questo stesso schema di manipolazione della speranza e di rinforzo intermittente si riflette in modo sorprendente nel mondo della cybersecurity. Non è solo una metafora; è una comprensione profonda delle vulnerabilità psicologiche che vengono sfruttate.

Pensate alle minacce persistenti avanzate. Raramente si tratta di un’unica, clamorosa irruzione. Piuttosto, gli attaccanti adottano una strategia di breadcrumbing digitale. Non un’email palesemente truffaldina, ma una ben costruita, con un link o un allegato che sembra quasi legittimo. Questa è la prima “briciola”, progettata per ottenere un piccolo accesso, per seminare un malware latente. I cybercriminali non cercano il “botto”, ma la persistenza. Dopo un primo accesso, l’attaccante non agisce subito. Si muove “lateralmente” nella rete, raccogliendo informazioni con attività a basso impatto, quasi invisibili. Ogni file esaminato, ogni credenziale catturata è una “briciola” di conoscenza, accumulata senza destare sospetti, proprio come il breadcrumber raccoglie informazioni su di te senza un vero impegno. Gli attacchi possono rimanere dormienti per mesi o anni, esfiltrando dati lentamente, seminando malware che si attiva solo in condizioni specifiche. Non c’è una “rottura” o un attacco diretto, ma una disponibilità latente, un po’ come la relazione di breadcrumbing che non finisce mai del tutto, ma non evolve nemmeno.

Le vulnerabilità psicologiche

Il legame tra il breadcrumbing emotivo e quello cibernetico risiede nelle nostre vulnerabilità più profonde:

• La paura di perdere: sia in una relazione che nella sicurezza, tendiamo a sottovalutare i segnali deboli per paura di perdere qualcosa (la relazione, l’accesso, i dati).
• La tendenza a normalizzare: “È solo un ritardo”, “È solo un picco di traffico”. Siamo inclini a normalizzare comportamenti anomali, sia da parte di una persona che da parte di un sistema.
• La difficoltà di riconoscere l’assenza: il breadcrumbing è l’assenza di impegno mascherata da presenza. Nell’IT, l’assenza di un attacco clamoroso può mascherare una violazione continua e silenziosa.

Impatti Psicologici

Vivere in un ciclo di breadcrumbing lascia profonde cicatrici:

• Ansia e stress continui: la costante incertezza genera uno stato di allerta permanente, che può manifestarsi fisicamente e mentalmente.
• Deterioramento dell’autostima: la vittima inizia a chiedersi “Cosa c’è di sbagliato in me?”, “Perché non sono abbastanza?”. La percezione di non meritare un amore pieno e autentico si rafforza.
• Difficoltà a fidarsi: una volta usciti da questa dinamica, la capacità di fidarsi di nuove persone può essere compromessa, rendendo difficile formare relazioni sane.
• Spreco di tempo ed energie: l’investimento prolungato in una relazione senza futuro prosciuga risorse che potrebbero essere impiegate in modo più costruttivo.
• Isolamento: la persona può ritirarsi, concentrando tutta l’energia su questa relazione disfunzionale e trascurando amicizie o altri interessi.

La consapevolezza è la chiave

Se la psicologia del breadcrumbing ci insegna qualcosa, è che la consapevolezza è la nostra arma più potente.

A livello Personale

• Educazione emotiva: comprendere le dinamiche relazionali disfunzionali e i propri schemi di attaccamento.
• Costruzione dell’autostima: una forte autostima è il miglior antidoto contro la necessità di “briciole”.
• Confini solidi: imparare a dire “no”, a chiedere ciò che si merita e a ritirarsi quando i propri bisogni non sono soddisfatti.

A livello di Cybersecurity

• Human Firewall: la formazione e la consapevolezza degli utenti sono cruciali. Insegnare a riconoscere il phishing, le tecniche di social engineering e i tentativi di manipolazione è come addestrare la mente a riconoscere i segnali del breadcrumbing emotivo.
• Monitoraggio comportamentale: non basta rilevare malware noti. Bisogna monitorare le “briciole” di attività anomale, i pattern comportamentali insoliti dei sistemi e degli utenti. Soluzioni di monitoraggio avanzato diventano i nostri “terapeuti” digitali, aiutandoci a identificare schemi disfunzionali prima che diventino crisi.
• Approccio Zero Trust: non fidarsi implicitamente di nulla, nemmeno all’interno della rete. Ogni “briciola” di accesso deve essere verificata e limitata al minimo indispensabile.
• Resilienza e Disaster Recovery: accettare che la compromissione è possibile e quindi occorre avere piani robusti per minimizzare i danni e ripristinare i sistemi. Non vivere nella vana speranza che l’attacco non arriverà mai.

Conclusione

Il cuore umano, nella sua complessità, è un ecosistema di speranze e paure, di connessioni e vulnerabilità. E, sorprendentemente, in questo studio sulle “briciole” dell’anima, abbiamo scoperto che le nostre reti digitali non sono poi così diverse.

Abbiamo esplorato come la psicologia della manipolazione emotiva si traduce in tattiche di cybersecurity, rivelando che il breadcrumbing è molto più di un fenomeno relazionale: è una lezione fondamentale sulla resilienza digitale.

La nostra capacità di difenderci non dipende solo dagli strumenti che impieghiamo, ma dalla prontezza con cui riconosciamo i segnali deboli, quelle anomalie minute, quei sussurri digitali che, accumulati, dipingono il quadro di un’invasione imminente.

È tempo di superare la superficialità e adottare una mentalità di ipersensibilità ai segnali: solo così potremo distinguere le false promesse digitali dalle vere intenzioni, trasformando le nostre vulnerabilità psicologiche in robustezza cibernetica. La guerra cyber non si vince con attacchi clamorosi, ma decifrando ogni singolo, microscopico frammento. Non lasciatevi ingannare dalle briciole; sono solo l’inizio.

E allora vi chiedo, con l’umiltà di chi osserva le fragilità umane e digitali:Siamo davvero i custodi attenti del nostro confine, sia esso emotivo o informatico?

Abbiamo il coraggio di esigere chiarezza e impegno, rifiutandole “briciole” che minacciano la vostra integrità?

E, in un mondo sempre più interconnesso, quanto siamo pronti a riconoscere che la vera forza risiede non solo nel codice più robusto, ma nella consapevolezza più profonda?

L'articolo Breadcrumbing: capire la manipolazione emotiva per difendersi meglio nel dominio digitale proviene da il blog della sicurezza informatica.

Sebbene siano molto diffuse, le estensioni dei browser Web non sono necessariamente sicure. Proprio come qualsiasi altro software che si possa installare sul computer, le estensioni possono contenere codice dannoso progettato per arrecare ingenti danni ai pc dei malcapitati. L’ultima dimostrazione dei potenziali danni delle estensioni arriva sotto forma di un attacco malware proof-of-concept (PoC). I ricercatori di sicurezza hanno sviluppato “Cookie-Bite”, che mostra come le estensioni di Chrome possano dirottare furtivamente i token di sessione.

I threat actor spesso utilizzano gli infostealer per estrarre i token di autenticazione direttamente dal computer della vittima o acquistarli direttamente attraverso i Dark Market, consentendo agli avversari di dirottare le sessioni cloud attive senza attivare l’MFA. Iniettando questi cookie e imitando il sistema operativo, il browser e la rete della vittima, gli aggressori possono eludere le politiche di accesso condizionato (CAP) e mantenere un accesso persistente.

In parole povere, ciò significa che i malintenzionati possono accedere a quasi tutti i siti come impersonando la vittima. Tutto ciò che devono fare è ingannare gli utenti e spingerli ad installare un’estensione del browser apparentemente innocua. Oppure, se hanno ottenuto l’accesso al computer, possono installare l’estensione dannosa senza che gli utenti se ne accorgano. In questo documento verrà rappresentata una PoC di come funziona l’attacco.

Come vengo estratti i cookie dagli infostealer

Il malware Infostealer è emerso come un avversario formidabile, abile nel rubare dati sensibili, compresi i cookie di autenticazione. Questi programmi dannosi si infiltrano nei sistemi per esfiltrare le credenziali di accesso, i cookie di sessione e i token di autenticazione che vengono poi inviati a server remoti controllati dai criminali informatici.

Con i cookie rubati, gli aggressori possono dirottare le sessioni attive degli utenti, impersonare utenti legittimi e aggirare completamente l’MFA. Rubano, rubano la nostra identità. La maggior parte dei pirati informatici non utilizza direttamente i dati rubati. Operano invece nell’ambito di un modello di Malware-as-a-Service (MaaS), in cui diversi attori svolgono ruoli specializzati. Questi ruoli possono includere

Operatori di infostealer che sviluppano e distribuiscono malware per infettare il maggior numero possibile di vittime. Tracer (affiliati) che diffondono il malware attraverso tattiche di phishing, annunci malevoli o crack di software. Mercati darknet che fungono da hub in cui i criminali informatici vendono in massa cookie, credenziali e impronte digitali del browser rubati Gli acquirenti (da broker di accesso iniziale e gruppi di ransomware) acquistano queste credenziali per ottenere un accesso non autorizzato a servizi cloud, VPN aziendali e piattaforme sensibili.

Una volta venduti, i cookie di autenticazione rubati consentono agli aggressori di accedere come la vittima, spesso aggirando l’MFA. Questa tecnica, nota come session hijacking, è ampiamente sfruttata per violazioni aziendali, frodi finanziarie e spionaggio.

Le modalità di furto dei cookie

Nel panorama in evoluzione del dirottamento di sessione, gli aggressori utilizzano diverse tecniche per rubare i cookie di autenticazione, consentendo loro di bypassare l’MFA e di impersonare utenti legittimi.

I principali metodi utilizzati per rubare i cookie di autenticazione

Adversary-in-the-Middle

Gli attacchi di phishing AITM vanno oltre il tradizionale furto di credenziali intercettando i token di autenticazione e i cookie di sessione in tempo reale. Gli aggressori utilizzano strumenti di reverse proxy (ad esempio, Evilginx, Modlishka, Muraena) per interporsi tra la vittima e il servizio di autenticazione legittimo (ad esempio, Microsoft 365, Google).

Quando la vittima effettua l’accesso, il proxy cattura le credenziali, i token MFA e i cookie di sessione, consentendo all’aggressore di bypassare l’MFA e dirottare la sessione senza richiedere nuovamente la password dell’utente. Questa tecnica è ampiamente utilizzata per compromettere gli account cloud e aggirare le moderne difese di autenticazione.

Figura 1 AITM Flow

Dumping della memoria del processo del browser

Gli infiltrati sfruttano il fatto che i browser decifrano i cookie durante le sessioni attive, memorizzandoli per un accesso rapido. Il malware può iniettare codice nei processi del browser in esecuzione (ad esempio, chrome.exe, msedge.exe) per leggere questo spazio di memoria ed estrarre i cookie in chiaro. Questo approccio aggira la necessità di decriptare i cookie dal disco, poiché vi accede dopo la decriptazione durante l’uso attivo.

Estensioni del browser dannose

Le estensioni dannose del browser consentono agli aggressori di accedere direttamente ai cookie di autenticazione e ai token di sessione operando nel contesto di sicurezza del browser. Queste estensioni, spesso camuffate da strumenti legittimi, richiedono autorizzazioni eccessive che consentono loro di interagire con le sessioni Web, modificare il contenuto delle pagine ed estrarre i dati di autenticazione memorizzati. Una volta installate, possono accedere all’API di archiviazione del browser, intercettare le richieste di rete o iniettare JavaScript dannoso nelle sessioni attive per rubare i cookie di sessione in tempo reale.

A differenza del malware tradizionale, non è necessaria l’iniezione di processi o la decrittazione del disco, rendendo questa tecnica più difficile da rilevare a livello di endpoint. I token di autenticazione rubati vengono esfiltrati sul server dell’aggressore, dove possono essere riprodotti per aggirare l’MFA e impersonare la vittima.

Di solito, i browser memorizzano le estensioni nel seguente percorso (Chrome):

Windows: C:\Users\AppData\Local\Google\Chrome\Dati_Utente\Default\Extensions

Linux:

~/.config/google-chrome/Default/Extensions/

MacOS:

~/Libreria/Supporto Applicazioni/Google/Chrome/Default/Estensioni

Le estensioni personalizzate del browser che non sono firmate possono essere caricate in modalità sviluppatore e poi caricate.

Figura 2 Estensione cookie-stealer caricata in Chrome

Decifrare i cookie memorizzati localmente

I browser memorizzano i cookie di autenticazione in database SQLite crittografati per mantenere la persistenza della sessione e proteggere i dati sensibili dell’utente. Tuttavia, gli aggressori possono estrarre e decifrare questi cookie ottenendo sia il database dei cookie memorizzati sia la chiave di crittografia utilizzata per proteggerli.

Il metodo varia a seconda del sistema operativo e del modello di sicurezza del browser: Windows si affida alla crittografia DPAPI, mentre Linux e macOS utilizzano meccanismi di keychain specifici del sistema.

Ad esempio:

I cookie di sessione memorizzati su Mac possono trovarsi in “/Library/Application Support/Google/Chrome/Default/Cookies”, limitati da Transparency, Consent and Control (TCC).

Su Windows, i browser basati su Chromium (Chrome, Edge, Brave, ecc.) memorizzano i cookie di autenticazione in Dati utente/…/Rete/Cookies il database SQLite principale contiene cookie crittografati AESStato locale → Memorizza la chiave di crittografia AES, che è a sua volta crittografata utilizzando WindowsData Protection API (DPAPI)

Poiché DPAPI vincola la crittografia al profilo utente e al computer, gli aggressori non possono decifrare facilmente i cookie al di fuori del sistema della vittima. Per aggirare questo problema, gli infiltrati devono:

Decifrare la chiave AES localmente utilizzando DPAPI (CryptUnprotectData()) all’interno della sessione infetta.

Rubare la chiave master DPAPI (C:\Users\…\AppData\Roaming\Microsoft\Protect) per tentare la decrittazione offline. La chiave master è crittografata con la password dell’utente (utente locale).

la password dell’utente (utente locale o utente AD) oppure

il segreto DPAPI_SYSTEM, nel caso di un sistema integrato.

Figura 3 Decriptare il blob usando DPAPI

Quali sono i cookie più preziosi?

Quando compromettono un dispositivo, gli aggressori danno priorità ai cookie in base al loro potenziale di ulteriore sfruttamento. Il valore dei cookie rubati dipende sia dalle motivazioni degli aggressori sia dalla domanda del mercato. Nella maggior parte dei casi, i cookie più preziosi sono quelli che forniscono un accesso a lungo termine ad account di alto valore o che consentono profonde opportunità di post-sfruttamento.

I cookie di sessione legati agli account dei social media (ad esempio, Facebook, Instagram, Twitter) possono essere redditizi, soprattutto se l’account ha un grande seguito, un’influenza commerciale o l’accesso a conti per la spesa pubblicitaria. Tuttavia, la loro utilità dipende dallo stato dell’account e dal valore di rivendita.

D’altro canto, i cookie delle sessioni cloud aziendali attive, come Microsoft 365, Google Workspace o AWS, sono spesso più interessanti per uno sfruttamento mirato successivo. Una sessione aziendale dirottata può consentire agli aggressori di accedere alle e-mail interne, esfiltrare dati sensibili, aumentare i privilegi o persino spostarsi lateralmente attraverso un’intera rete aziendale, portando potenzialmente a una completa compromissione dell’azienda.

Dirottare l’autenticazione di Azure

Questa ricerca si concentra su ESTSAUTH e ESTSAUTHPERSISTENT, due cookie di autenticazione critici utilizzati da Azure Entra ID (precedentemente AAD). Questi cookie mantengono le sessioni cloud autenticate e consentono l’accesso a Microsoft 365, Azure Portal e altre applicazioni aziendali.

Dirottando questi token di sessione, gli aggressori possono aggirare l’MFA, impersonare gli utenti e spostarsi lateralmente tra gli ambienti cloud, rendendoli uno degli obiettivi più preziosi per i ladri di informazioni e gli attori delle minacce.

Figura 4 Altri fornitori cloud Cookie di autenticazione

Nota: l’articolo si concentra principalmente sui cookie relativi all’autenticazione di Azure, ma le tecniche e gli approcci condivisi possono essere applicati anche ad altre piattaforme e servizi cloud elencati nella tabella precedente. I risultati pratici possono variare a seconda dell’ambiente di destinazione e delle sue difese, poiché ogni servizio ha una propria architettura di cookie, gestione delle sessioni e sicurezza.

Ruolo dei token ESTSAUTH e ESTSAUTHPERSISTENT

Nell’autenticazione web di Azure Entra ID, ESTSAUTH e ESTSAUTHPERSISTENT sono importanti token di sessione memorizzati come cookie del browser che rappresentano la sessione autenticata dell’utente:

ESTSAUTH: è il cookie di sessione principale di Azure Entra ID. “Contiene le informazioni sulla sessione dell’utente per facilitare l’SSO”. Si tratta di un token di sessione transitorio, cioè valido per la durata della sessione del browser. Se l’utente chiude il browser e non ha scelto un login persistente, il cookie ESTSAUTH viene distrutto, richiedendo un nuovo login la volta successiva. Per impostazione predefinita, un cookie ESTSAUTH (sessione non persistente) ha una validità massima di 24 ore, trascorse le quali l’utente dovrà effettuare una nuova autenticazione.

ESTSAUTHPERSISTENT: si tratta di una versione persistente del cookie di sessione Azure Entra ID. Contiene anche informazioni di sessione per l’SSO, ma è memorizzato come cookie persistente che rimane anche dopo la chiusura del browser. Questo cookie viene impostato quando un utente sceglie di “rimanere connesso” o quando viene applicata la funzione “Keep Me Signed In” (KMSI) di Azure Entra ID. Un token di sessione persistente consente all’utente di rimanere connesso anche dopo il riavvio del browser per un periodo prolungato. Per impostazione predefinita, il cookie ESTSAUTHPERSISTENT può rimanere valido per 90 giorni (il periodo di accesso predefinito di Azure Entra ID) o per la durata specificata dal criterio. Ciò significa che se un’utente scegliesse di rimanere connesso, potrebbe non essere richiesto di nuovo di fornire le credenziali o l’MFA per un massimo di 90 giorni su quel dispositivo. Il progetto di Azure Entra ID prevede che non venga richiesta una nuova autenticazione a meno che la sicurezza della sessione non cambi (ad esempio, modifica della password, disconnessione esplicita, modifica dei criteri).

Figura 5 Stay-signed-in

Questi cookie svolgono un ruolo fondamentale nell’equilibrio tra sicurezza e usabilità di Azure Entra ID. Essi contengono una forma di credenziale di sessione che dimostra che l’utente si è recentemente autenticato e, se applicabile, ha soddisfatto i requisiti MFA. Ad esempio, dopo un’autenticazione riuscita, Azure Entra ID può impostare un cookie ESTSAUTHPERSISTENT se l’utente ha fatto clic su “Sì” per rimanere connesso. Nei successivi accessi, la presenza di questo cookie consente ad Azure Entra ID di autenticare istantaneamente l’utente senza un’altra richiesta MFA. In altre parole, il cookie serve a dimostrare che “l’utente ha già eseguito l’MFA su questo browser, quindi non richiede un’altra richiesta” e garantisce l’accesso immediato.

In sintesi, i token ESTSAUTH(PERSISTENT) sono essenzialmente le “chiavi del regno” per quella sessione utente: provano che l’MFA è stato aggirato e consentono l’accesso continuo. Se un utente malintenzionato riesce a ottenere questi token, può impersonare la sessione dell’utente e bypassare l’intero processo di login (compreso l’MFA) perché Azure Entra ID considererà la sua sessione come già autenticata. Le sezioni seguenti analizzano come gli aggressori riescono a ottenere questo risultato e come difendersi da esso.

Figura 6 Cookie salvati in sessione

Questi cookie sono memorizzati localmente nel database SQLite di Chrome, situato all’indirizzo:

%LOCALAPPDATA%\Google\Chrome\Dati dell’utente\Default\Network\Cookies 

Chrome cripta i valori dei cookie utilizzando DPAPI, che lega la crittografia al profilo Windows dell’utente corrente.

Figura 7 Cookie ESTS salvati localmente e valore dei dati binari ESTSAUTH (blob)

Creazione di un cookie stealer personalizzato: In questa proof-of-concept, è stato creato un cookie stealer persistente che estrae i cookie di autenticazione da una sessione attiva del browser e li esfiltra ogni volta che la vittima accede al portale di autenticazione Microsoft. Questo attacco aggira l’MFA sfruttando i cookie di sessione, consentendo l’accesso continuo ai servizi cloud senza richiedere le credenziali dell’utente. Invece di un furto di cookie una tantum, questo metodo garantisce che i cookie di sessione validi vengano estratti ogni volta che l’utente accede, mantenendo l’accesso non autorizzato a lungo termine. Al termine di questa PoC, si avrà:

• Un’estensione Chrome personalizzata che monitora gli eventi di autenticazione e cattura i cookie
• Uno script di PowerShell che automatizza l’implementazione dell’estensione e ne garantisce la persistenza
• Un semplice meccanismo di esfiltrazione per inviare i cookie a un punto di raccolta esterno Un’estensione complementare per iniettare in modo fluido i cookie catturati nel browser dell’attaccante, facilitando un dirottamento di sessione immediato e furtivo

Flow

Il diagramma seguente illustra il flusso end-to-end della Proof of Concept, dimostrando come gli aggressori catturino, esfiltrano e riutilizzino silenziosamente i cookie di autenticazione per dirottare le sessioni cloud delle vittime:

Figura 8 Diagramma della PoC

Fase 1:

Creazione dell’estensione Chrome per l’estrazione dei cookie Innanzitutto, si crea un’estensione Chrome che ascolta gli eventi di autenticazione e ruba i cookie di sessione quando la vittima accede a login.microsoftonline.com.

1. Configurazione della directory dell’estensione

Creazione una nuova directory chiamata CookieStealer Extension. All’interno di questa directory, si creino due file:

• manifest.json (Definisce permessi e comportamenti)
• background.js (Gestisce l’estrazione e l’esfiltrazione dei cookie)

1. Configurazione di manifest.json

Il file manifest definisce il comportamento dell’estensione, i permessi richiesti e gli script in background. Crea manifest.json all’interno della directory dell’estensione:

Figura 9 estensione manifest

Cosa fa:

Concede l’autorizzazione ad accedere a cookie, schede e richieste web. Limita l’esecuzione a login.microsoftonline.com. Carica background.js come servizio in background da eseguire in modo persistente.

1. Scrittura della logica di estrazione dei cookie (background.js)

L’estensione estrae i cookie ogni volta che la vittima accede al portale di autenticazione di Microsoft. Crea background.js e aggiungi quanto segue:

Figura 10 Estensione cookie durante l’accesso

L’estensione ascolta le richieste di autenticazione su login.microsoftonline.com. Quando si verifica un accesso, estrae i cookie (inclusi ESTSAUTH ed ESTSAUTHPERSISTENT). E’ stato scelto di esfiltrare i cookie in modo silenzioso tramite Moduli Google, direttamente sul Drive personale:

Figura 11Cookie Exfiltration attraverso google forms

Con l’estensione pronta, il passo successivo è automatizzarne la distribuzione. Dopo aver compresso l’estensione in un file CRX e averlo caricato su VirusTotal, il risultato mostra che nessun fornitore di sicurezza la rileva attualmente come dannosa.

Faese2: Automazione della distribuzione con PowerShell

Per automatizzare il caricamento dell’estensione, verrà creato uno script di PowerShell che la caricherà nel profilo utente predefinito di Chrome. Ecco una parte del codice che l’ha eseguita:

Questo script di PowerShell carica l’estensione in un processo di Chrome appena avviato. Tuttavia, l’estensione rimane attiva solo per la durata di questa sessione di Chrome. Una volta chiuso Chrome, l’estensione verrà rimossa automaticamente.

Pertanto, è consigliabile pianificare l’esecuzione periodica di questo script (ad esempio, ogni poche ore o quotidianamente, operazione eseguibile tramite un’attività pianificata o una cartella di avvio). Sebbene esistano metodi per caricare le estensioni in modo persistente, come l’utilizzo di policy basate sul registro o l’iniezione dell’estensione direttamente nel file Secure Preferences di Chrome bypassando il Message Authentication Code (MAC), questi approcci sono più complessi e in genere richiedono privilegi amministrativi.

Le aziende potrebbero limitare l’uso degli script di PowerShell. In questi casi, sarà necessario trovare alternative, come Python, VBScript o macro, per ottenere risultati simili.

Fase 3: Iniezione dei cookie

Dopo aver rubato i cookie di sessione, il passaggio successivo consiste nell’iniettarli nel browser dell’attaccante per ottenere l’accesso desiderato. Per raggiungere questo scopo, è stata utilizzata un’estensione di Chrome chiamata Cookie-Editor (ID: hlkenndednhfkekhgcdicdfddnkalmdm), disponibile sul Chrome Web Store.

Figura 12 Editor di cookie legittimo

Per prima cosa, si copino i dati dei cookie restituiti dal modulo Google, che sono già in formato JSON.

Figura 13 Cookie estratti da Google Forms C2

Successivamente verranno importati i dati dei cookie copiati nell’estensione Cookie-Editor.

Infine, si aggiorni la pagina per accedere al portale cloud della vittima di destinazione. E’ stato osservato, nel registro di accesso di Azure, che sono riuscite due autenticazioni con lo stesso ID sessione da posizioni e versioni del browser diverse in un breve lasso di tempo: Il vantaggio di questo approccio è che garantisce una sessione valida all’infrastruttura Azure dell’utente di destinazione. Questa rimane valida indipendentemente dal fatto che la durata della sessione sia scaduta o sia stata revocata, poiché l’estensione persiste e viene attivata ogni volta che viene avviato l’accesso Microsoft.

Conclusioni

Questo PoC dimostra come un aggressore possa creare un ladro di cookie persistente utilizzando solo un’estensione del browser e l’automazione di PowerShell. Sfruttando gli hook degli eventi di autenticazione, l’attacco garantisce che i cookie di sessione validi vengano estratti continuamente, garantendo un accesso non autorizzato a lungo termine.

Questa tecnica non richiede un’infezione da malware, ma un semplice script, rendendola più difficile da rilevare. La persistenza viene ottenuta tramite il browser stesso, evitando modifiche al sistema. Gli aggressori possono aggirare l’MFA rubando i cookie di sessione a ogni tentativo di accesso.

L'articolo “Cookie-Bite”: L’attacco Segreto che Usa le Estensioni per Dirottare le Tue Sessioni Online proviene da il blog della sicurezza informatica.

In questo quarto episodio ci occupiamo dell'organizzazione della giornata utilizzando l'intelligenza artificiale generativa.

zerodays.podbean.com/e/io-e-ch…

When seeing a story from MIT’s Lincoln Labs that promises 3D printing glass, our first reaction was that it might use some rare or novel chemicals, and certainly a super-high-tech printer. Perhaps it was some form of high-temperature laser sintering, unlikely to be within the reach of mere mortals. How wrong we were, because these boffins have developed a way to 3D print a glass-like material using easy-to-source materials and commonly available equipment.

The print medium is sodium silicate solution, commonly known as waterglass, mixed with silica and other inorganic nanoparticles. It’s referred to as an ink, and it appears to be printed using a technique very similar to the FDM printers we all know. The real magic comes in the curing process, though, because instead of being fired in a special furnace, these models are heated to 200 Celsius in an oil bath. They can then be solvent cleaned and are ready for use. The result may not be the fine crystal glass you may be expecting, but we can certainly see plenty of uses for it should it be turned into a commercial product. Certainly more convenient than sintering with a laser cutter.

hackaday.com/2025/06/22/3d-pri…

Hold onto your hats, everyone — there’s stunning news afoot. It’s hard to believe, but it looks like over-reliance on chatbots to do your homework can turn your brain into pudding. At least that seems to be the conclusion of a preprint paper out of the MIT Media Lab, which looked at 54 adults between the ages of 18 and 39, who were tasked with writing a series of essays. They divided participants into three groups — one that used ChatGPT to help write the essays, one that was limited to using only Google search, and one that had to do everything the old-fashioned way. They recorded the brain activity of writers using EEG, in order to get an idea of brain engagement with the task. The brain-only group had the greatest engagement, which stayed consistently high throughout the series, while the ChatGPT group had the least. More alarmingly, the engagement for the chatbot group went down even further with each essay written. The ChatGPT group produced essays that were very similar between writers and were judged “soulless” by two English teachers. Go figure.

The most interesting finding, though, was when 18 participants from the chatbot and brain-only groups were asked to rewrite one of their earlier essays, with the added twist that the chatbot group had to do it all by themselves, while the brainiacs got to use ChatGPT. The EEGs showed that the first group struggled with the task, presumably because they failed to form any deep memory of their previous work thanks to over-reliance on ChatGPT. The brain-only folks, however, did well at the task and showed signs of activity across all EEG bands. That fits well with our experience with chatbots, which we use to help retrieve specific facts and figures while writing articles, especially ones we know we’ve seen during our initial scan of the literature but can’t find later.

Does anyone remember Elektro? We sure do, although not from personal experience, since the seven-foot-tall automaton built by Westinghouse for the World’s Fair in New York City in 1939 significantly predates our appearance on the planet. But still, the golden-skinned robot that made its living by walking around, smoking, and cracking wise at the audience thanks to a 78-rpm record player in its capacious chest, really made an impression, enough that it toured the country for the better part of 30 years and made the unforgettable Sex Kittens Go to College in 1960 before fading into obscurity. At some point, the one-of-a-kind robot was rescued from a scrap heap and restored to its former glory, and now resides in the North Central Ohio Industrial Museum in Mansfield, very close to the Westinghouse facility that built it. If you need an excuse to visit North Central Ohio, you could do worse than a visit to see Elektro.

youtube.com/embed/AuyTRbj8QSA?…

It was with some alarm that we learned this week from Al Williams that mtrek.com 1701 appeared to be down. For those not in the know, mtrek is a Telnet space combat game inspired by the Star Trek franchise, which explains why Al was in such a tizzy about not being able to connect; huge Trek nerd, our Al. Anyway, it appears Al’s worst fears were unfounded, as we were able to connect to mtrek just fine. But in the process of doing so, we stumbled across this collection of Telnet games and demos that’s worth checking out. The mtrek, of course, as well as Telnet versions of chess and backgammon, and an interactive world map that always blows our mind. The site also lists the Telnet GOAT, the Star Wars Asciimation; sadly, that one does seem to be down, at least for us. Sure, you can see it in a web browser, but it’s not the same as watching it in a terminal over Telnet, is it?

And finally, if you’ve got 90 minutes or so to spare, you could do worse than to spend it with our friend Hash as he reverse engineers an automotive ECU. We have to admit that we haven’t indulged yet — it’s on our playlist for this weekend, because we know how to party. But from what Hash tells us, this is the tortured tale of a job that took far, far longer to complete than expected. We have to admit that while we’ll gladly undertake almost any mechanical repair on most vehicles, automotive ECUs and other electronic modules are almost a bridge too far for us, at least in terms of cracking them open to make even simple repairs. Getting access to them for firmware extraction and parameter fiddling sounds like a lot of fun, and we’re looking forward to hearing what Hash has to say about the subject.

youtube.com/embed/0tkdst3JE0g?…

hackaday.com/2025/06/22/hackad…

Look out of a window, ask yourself the question, “Has a nuke gone off?”. Maybe, maybe not, and all of us here at Hackaday need to know the answer to these important questions! Introducing the hasanukegoneoff.com Indicator from [bigcrimping] to answer our cries.

An ESP32 running a MicroPython script handles the critical checks from hasanukegoneoff.com for any notification of nuclear mayhem. This will either power the INS-1 neon bulb, indicating “no” or “yes” in the unfortunate case of a blast. Of course, there is also the button required for testing the notification lights; no chance of failure can be left. All of this is fitted onto a custom dual-sided PCB and placed inside a custom 3D-printed enclosure.

Hasanukegoneoff.com’s detection system, covered before here, relies on an HSN-1000L Nuclear Event Detector to check for neutrons coming from the blast zone. [bigcrimping] also provides the project plans for your own blast detector to answer the critical question of “has a nuke gone off” from anywhere other than the website’s Chippenham, England location.

This entire project is open sourced, so keep sure to check out [bigcrimping]’s GitHub for both portions of this project on the detector and receiver. While this project provides some needed dark humor, nukes are still scary and especially so when disarming them with nothing but a hacksaw and testing equipment.

Thanks to [Daniel Gooch] for the tip.

hackaday.com/2025/06/22/has-a-…

PALERMO, 19 GIUGNO 2025 – Dopo le difficoltà operative registrate negli ultimi giorni, l’Azienda Sanitaria Provinciale di Palermo ha confermato ufficialmente di essere stata colpita da un attacco informatico. Il comunicato, pubblicato sul sito istituzionale dell’ente, chiarisce che l’incidente si è verificato il 18 giugno 2025 e ha coinvolto circa 45 postazioni di lavoro aziendali.

Secondo quanto dichiarato, non è ancora possibile individuare con certezza tutte le strutture aziendali collegate alle postazioni compromesse.
Descrizione
L'Azienda Sanitaria Provinciale di Palermo informa i propri utenti che in data 18 giugno 2025 ha subito un attacco informatico che ha interessato circa 45 postazioni di lavoro aziendali; non è ancora possibile individuare con certezza tutte le strutture aziendali collegate alle postazioni di lavoro eventualmente compromesse.

TIPOLOGIE DI DATI POTENZIALMENTE COINVOLTI:

Dati Anagrafici e Identificativi
Dati di contatto
Dati relativi a pratiche amministrative
Altri Dati in fase di individuazione
L'identificazione puntuale dei soggetti coinvolti non è al momento integralmente possibile.

La presente comunicazione ha quindi valore di misura alternativa di notifica, ai sensi dell'Art. 34, paragrafo 3, Lettera C) del GDPR.

MISURE ADOTTATE DALL' AZIENDA:

Immediato isolamento delle postazioni compromesse;
Attivazione delle procedure interne di sicurezza e analisi forense;
Notifica dell'incidente al Garante per la Protezione dei Dati Personali, come previsto dall'Articolo 33 del GDPR;
Collaborazione con le Autorità competenti per le indagini in corso;
RACCOMANDAZIONI AGLI UTENTI POTENZIALMENTE INTERESSATI:

Non rispondere a messaggi sospetti;
Verificare attentamente l'indirizzo e-mail del mittente e l'oggetto del messaggio;
Si consiglia, inoltre, di monitorare attentamente i propri account e di segnalare eventuali attività sospette;
Prestare particolare attenzione a comunicazioni inattese che richiedono informazioni personali, specialmente via e-mail o telefono;
In caso di dubbi o sospetti, contattare direttamente l'ASP di Palermo.
Per ulteriori informazioni o chiarimenti, è possibile contattare l'ASP di Palermo ai seguenti recapiti:

Responsabile della Protezione dei Dati (RPD)
E-mail: rpd@asppalermo.org
L'Azienda Sanitaria Provinciale di Palermo si scusa per l'accaduto e assicura la massima trasparenza, adottando tutte le misure necessarie per la tutela dei dati personali.

Ultimo aggiornamento: 20/06/2025, 14:51

Tipologie di dati potenzialmente coinvolti

L’ASP di Palermo ha specificato che i dati che potrebbero essere stati esfiltrati includono:

• Dati anagrafici e identificativi
• Dati di contatto
• Dati relativi a pratiche amministrative
• Altri dati in fase di individuazione

Al momento, non è possibile identificare puntualmente i soggetti coinvolti, motivo per cui – in conformità all’Art. 34, par. 3, lett. C del GDPR – la comunicazione pubblica assume valore di notifica alternativa.

Misure adottate dall’ASP

Per contenere l’attacco e prevenirne l’ulteriore diffusione, l’Azienda ha avviato una serie di misure immediate:

• Isolamento delle postazioni compromesse
• Attivazione delle procedure di sicurezza informatica e analisi forense
• Notifica dell’incidente al Garante per la Protezione dei Dati Personali (Art. 33 del GDPR)
• Collaborazione con le autorità competenti per le indagini in corso

Raccomandazioni agli utenti potenzialmente coinvolti

L’ASP di Palermo invita l’utenza a mantenere la massima prudenza, fornendo alcune precauzioni fondamentali:

• Non rispondere a messaggi sospetti
• Verificare l’indirizzo e-mail e l’oggetto di eventuali comunicazioni
• Monitorare i propri account e segnalare eventuali attività anomale
• Prestare attenzione a richieste di dati personali via email o telefono
• In caso di dubbi, contattare direttamente l’ASP

Per chiarimenti o ulteriori informazioni, è possibile contattare il Responsabile della Protezione dei Dati (RPD) dell’Azienda all’indirizzo e-mail: rpd@asppalermo.org.

L’ASP di Palermo si scusa per l’accaduto e assicura la massima trasparenza, ribadendo il proprio impegno nel garantire la sicurezza e la tutela dei dati personali degli utenti.

L'articolo Attacco informatico alla ASP Palermo. Dopo i disservizi, il comunicato dell’organizzazione proviene da il blog della sicurezza informatica.

Maybe your goal is to preserve the heyday of rail travel with a precise scale replica of a particular railroad station. Maybe you’re making a hyper-local edition of Monopoly in which the houses and hotels are the actual houses and hotels in your hometown.

Whatever the reason, if you have need for shrinkifying a building or other reasonably large object, there is (at least) one sure-fire way to do it, and [ nastideplasy ] is your guide with this tutorial on drone photogrammetry.

The process is essentially the same as any other photogrammetry you may have seen before—take lots of overlapping photos of an object from many different angles around it, stitch those photos together, make a 3D mesh by triangulating corresponding points from multiple photos—but this time the photos are captured by drone, allowing for much larger subjects, so long as you can safely and legally fly a drone around it.

The challenge, of course, is capturing a sufficient number of overlapping photos such that your reconstruction software can process them into a clean 3D mesh. Where purpose-built 3D scanners, automatic turntables, or a steady hand and lots of patience worked well at a smaller scale, skill with a pair of control sticks is the key to getting a good scan of a house.

[ nastideplasy ] also points out the importance of lighting. Direct sunlight and deep shadows can cause issues when processing the images, and doing this at night is almost certainly out of the question. Overcast days are your best bet for a clean scan.

The tutorial calls for software from Autodesk to stitch photos and clean up 3D meshes. We’ve also seen some excellent results with open source options like Meshroom as well.

hackaday.com/2025/06/22/photog…

As far as giving mechanical instruments electronic control goes, drums are probably the best candidate for conversion; learning to play them is challenging and loud for a human, but they’re a straightforward matter for a microcontroller. [Jeremy Cook]’s latest project takes this approach by using an Arduino Opta to play a tongue drum.

[Jeremy]’s design far the drum controller was inspired by the ring-shaped arrangement of the Cray 2 supercomputer. A laser-cut MDF frame forms a C-shape around the tongue drum, and holds eight camera mount friction arms. Each friction arm holds a solenoid above a different point on the drum head, making it easy to position them. A few supports were 3D-printed, and some sections of PVC tubing form pivots to close the ring frame. [Jeremy] found that the the bare metal tips of the solenoids made a harsh sound against the drum, so he covered the tips of six solenoids with plastic caps, while the other two uncoated tips provide an auditory contrast.

The Arduino Opta is an open-source programmable logic controller normally intended for industrial automation. Here, its silent solid-state relays drive the solenoids, as [Jeremy]’s done before in an earlier experiment. The Opta is programmed to accept MIDI input, which [Jeremy] provided from two of the MIDI controllers which we’ve seen him build previously. He was able to get it working in time for the 2024 Orlando Maker Faire, which was the major time constraint.

Of course, for a project like this you need a MIDI controller, and we’ve previously seen [Jeremy] convert a kalimba into such a controller. We’ve seen this kind of drum machine at least once before, but it’s more common to see a purely electronic implementation.

youtube.com/embed/bK5F8mKTI4w?…

hackaday.com/2025/06/22/giving…

Over on his YouTube channel our hacker [CircuitValley] repairs an old TDS8000 scope.

The TDS8000 was manufactured by Tektronix circa 2001 and was also marketed as the CSA8000 Communications Signal Analyzer as well as the TDS8000 Digital Sampling Oscilloscope. Tektronix is no longer manufacturing and selling these scopes but the documentation is still available from their website, including the User Manual (268 page PDF), the Service Manual (198 page PDF), and some basic specs (in HTML).

You can do a lot of things with a TDS8000 scope but particularly its use case was Time-Domain Reflectometry (TDR). A TDR scope is the time-domain equivalent of a Vector Network Analyzer (VNA) which operates in the frequency-domain.

The TDS8000 needs sampling heads attached and it has two large slots on the front for optical sampling heads and four smaller slots for electrical sampling heads. In this video we don’t see any sampling heads actually used, the only thing we see in this video is troubleshooting and repair of the TDS8000 itself. The effective bandwidth of the scope is limited by the capabilities of the sampling heads but according to its datasheet can extend up to 50 GHz, which is seriously large, especially by the standards of 2001!

[CircuitValley] cleans, replaces, upgrades, and fixes a bunch of things during the service of this TDS8000 and documents the process in this YouTube video. In the end he seems to have fixed the problem the scope had in the beginning, where it would hang while loading its main application. We’d love to hear from [CircuitValley] again some time to see a complete system operating with sampling heads attached.

If you’re interested in old scope repair too, then how far back in time did you want to go? Maybe you could start at Recovering An Agilent 2000a/3000a Oscilloscope With Corrupt Firmware NAND Flash and then work your way back to Repairing An Old Heathkit ‘Scope.

youtube.com/embed/t57sRd7kp1Y?…

hackaday.com/2025/06/22/repair…

If you’ve put in all the necessary practice to learn bike tricks, you’d probably like an appropriately dramatic soundtrack to accompany your stunts. A team of students working on a capstone project at the University of Washington took this natural desire a step further with the Music Bike, a system that generates adaptive music in response to the bike’s motion.

The Music Bike has a set of sensors controlled by an ESP32-S3 mounted beneath the bike seat. The ESP32 transmits the data it collects over BLE to an Android app, which in turn uses the FMOD Studio adaptive sound engine to generate the music played. An MPU9250 IMU collects most position and motion data, supplemented by a hall effect sensor which tracks wheel speed and direction of rotation.

When the Android app receives sensor data, it performs some processing to detect the bike’s actions, then uses these to control FMOD’s output. The students tried using machine learning to detect bike tricks, but had trouble with latency and accuracy, so they switched to a threshold classifier. They were eventually able to detect jumps, 180-degree spins, forward and reverse motion, and wheelies. FMOD uses this information to modify music pitch, alter instrument layering, and change the track. The students gave an impressive in-class demonstration of the system in the video below (the demonstration begins at 4:30).

Surprisingly enough, this isn’t the first music-producing bike we’ve featured here. We’ve also seen a music-reactive bike lighting system.

youtube.com/embed/FAYNOim8kmM?…

Thanks to [Blake Hannaford] for the tip!

hackaday.com/2025/06/22/an-ada…

Microsoft ha segnalato la presenza di un bug rilevante che interessa gli account personali di OneDrive, causando la mancata visualizzazione dei risultati durante le ricerche. Questo impedisce agli utenti di trovare file che sanno essere presenti nel proprio spazio cloud, compromettendo l’efficacia della funzionalità di ricerca.

L’azienda ha avviato un’indagine per identificare le cause del malfunzionamento, che sembra colpire solo una parte degli utenti. Anche se i file restano accessibili attraverso la navigazione manuale, non vengono restituiti nelle query di ricerca, provocando disagi significativi a privati e aziende che utilizzano OneDrive per accedere rapidamente ai propri documenti.

Ciò ha creato notevoli interruzioni del flusso di lavoro per privati ​​e aziende che fanno affidamento sulle funzionalità di ricerca di OneDrive per individuare rapidamente documenti e file multimediali. Alcuni utenti riscontrano problemi con i collegamenti alle cartelle condivise di OneDrive, che vengono visualizzati erroneamente come collegamenti Internet (file .url) anziché come cartelle effettive.

Purtroppo, l’azienda ha dichiarato che al momento non è disponibile alcuna soluzione alternativa, lasciando agli utenti interessati opzioni limitate oltre alla consultazione manuale delle strutture dei file per individuare i documenti necessari. Il bug di ricerca non è l’unico problema che affligge attualmente gli utenti di OneDrive. Microsoft ha identificato diversi altri problemi che compromettono la funzionalità del servizio di archiviazione cloud.

Quando gli utenti tentano di aprire queste scorciatoie, vengono reindirizzati a pagine web e potrebbe essere richiesto loro di effettuare nuovamente l’accesso, anziché accedere al contenuto della cartella previsto. Un altro problema diffuso riguarda i problemi di accesso quando gli utenti cliccano sui link a file o cartelle condivisi. Microsoft ha fornito una soluzione alternativa per questo specifico problema, consigliando agli utenti di accedere a onedrive.com prima di cliccare sui link di condivisione per evitare errori di autenticazione.

Microsoft ha riconosciuto il notevole impatto che questi problemi stanno avendo sugli utenti e ha sottolineato che i team stanno lavorando con urgenza per risolvere i problemi il più rapidamente possibile. L’azienda ha evidenziato in particolare il bug della funzionalità di ricerca come una priorità, riconoscendo che l’impossibilità di individuare i file tramite la ricerca rappresenta un’interruzione fondamentale della produttività degli utenti.news.google.com/publications/C…

L’azienda ha iniziato a distribuire una correzione per questo problema e ha fornito soluzioni alternative immediate, tra cui la modifica delle impostazioni della lingua del profilo dell’account Microsoft in modo che corrispondano alle impostazioni del PC o la ridenominazione della cartella Personal Vault per sincronizzare le preferenze della lingua.

L'articolo Un bug critico colpisce OneDrive: file scomparsi dalle ricerche e login continui proviene da il blog della sicurezza informatica.

Una vulnerabilità critica è stata scoperta nel driver di offload del canale dati di OpenVPN per Windows, che può essere sfruttata da attaccanti locali per mandare in crash i sistemi. Il bug, classificato come CVE-2025-50054, è un buffer overflow che colpisce le versioni 1.3.0 e precedenti del driver o[url=https://www.redhotcyber.com/linksSk2L/vpn]vpn[/url]-dco-win, oltre alle versioni di OpenVPN fino alla 2.5.8, dove tale driver veniva utilizzato come scheda di rete virtuale predefinita.

“Quando si utilizza ovpn-dco-win, il software OpenVPN non invia traffico dati avanti e indietro tra utente e spazio kernel per la crittografia, la decrittografia e il routing, ma le operazioni sul payload avvengono nel kernel di Windows”, secondo la documentazione rilasciata da OpenVPN .

Secondo i ricercatori, un processo utente privo di privilegi può inviare messaggi di controllo con buffer troppo grandi al driver del kernel, generando una condizione di overflow che porta al blocco del sistema (crash). Il problema evidenzia i rischi legati alla gestione della memoria nei driver di basso livello, spesso sfruttabili anche senza privilegi elevati.

Ciò può consentire ai malintenziona5ti di generare una negazione del servizio per i sistemi interessati, poiché gli aggressori potrebbero ripetutamente bloccare i computer Windows che eseguono installazioni OpenVPN vulnerabili. Se sfruttata, questa vulnerabilità influisce sulla disponibilità del sistema senza compromettere la riservatezza o l’integrità dei dati.

Il team del progetto della community OpenVPN ha risposto rilasciando OpenVPN 2.7_alpha2, che include una correzione per CVE-2025-50054, tra diversi altri miglioramenti. Sebbene si tratti di una versione alpha non destinata all’uso in produzione, la correzione di sicurezza risolve la vulnerabilità critica che colpisce le versioni stabili ampiamente distribuite.

Il driver ovpn-dco-win, acronimo di “OpenVPN Data Channel Offload for Windows”, rappresenta un significativo miglioramento architettonico rispetto alle precedenti implementazioni di driver. A differenza degli approcci tradizionali, il driver DCO elabora il traffico VPN direttamente nel kernel di Windows anziché inviare dati avanti e indietro tra l’utente e lo spazio del kernel, con conseguente miglioramento sostanziale delle prestazioni.

Il driver è sviluppato utilizzando framework moderni, tra cui WDF e NetAdapterCx, rendendolo più semplice da gestire rispetto ai driver miniport NDIS esistenti. Con la versione 2.7_alpha2, OpenVPN ha ufficialmente rimosso il supporto per il driver wintun, rendendo win-dco quello predefinito, mentre tap-windows6 funge da fallback per i casi d’uso non coperti da win-dco.

Gli esperti di sicurezza raccomandano agli utenti delle versioni interessate di eseguire l’aggiornamento alle versioni patchate non appena saranno disponibili le versioni stabili. Fino ad allora, gli amministratori dovrebbero valutare l’implementazione di misure di mitigazione per limitare l’accesso locale alle interfacce del driver OpenVPN.

L'articolo Crash di massa su Windows: la falla in OpenVPN che può mandare KO le infrastrutture proviene da il blog della sicurezza informatica.

Molti possessori di sistemi operativi per Smart TV si trovano sempre più spesso al centro di un conflitto che divampa tra il desiderio di preservare la privacy degli spettatori e la pressione dell’industria pubblicitaria. Il punto è che i produttori di TV e gli sviluppatori di software embedded puntano sempre più non sulla qualità dell’immagine o sulle funzionalità, ma anche sulla capacità di raccogliere dati degli utenti e, di conseguenza, vendere pubblicità.

Alla conferenza StreamTV Show di Denver, il vicepresidente di Samsung TV Plus, Takashi Nakano, ha ammesso senza mezzi termini che il settore è in uno stato di costante conflitto interno. Da una parte ci sono gli utenti che non vogliono che nessuno sappia cosa hanno guardato o, come dice scherzosamente Nakano, “cosa hanno mangiato a colazione”. Dall’altra ci sono gli inserzionisti, per i quali tali dati sono una miniera d’oro.

Non si tratta solo di semplici metriche di visualizzazione. I sistemi operativi stanno cercando di apprendere tutto sugli utenti, dalle preferenze alle emozioni. Ad esempio, LG ha recentemente annunciato che il suo webOS utilizzerà un modello di intelligenza artificiale che determina le preferenze degli utenti in base al loro umore e alle loro convinzioni. Questo consente un targeting più preciso degli annunci, ma allo stesso tempo sfuma i confini di ciò che è accettabile. Gli esperti si chiedono sempre più spesso: tutte le informazioni raccolte sono davvero necessarie?

Secondo Nakano, il flusso di dati raccolti è spesso ridondante. Allo stesso tempo, le esigenze del settore pubblicitario portano alla creazione di un ecosistema complesso in cui si verificano numerosi trasferimenti intermedi di informazioni, molti dei quali, come ha ammesso il top manager, non sono necessari. Ciò crea non solo costi tecnici, ma anche nuovi rischi per la privacy.

Nonostante ciò, le aziende continuano a fare affidamento sul software. Produttori come Samsung, LG, Roku, Vizio, Amazon e persino Walmart considerano sempre più il sistema operativo la principale fonte di profitto. Dopotutto, in un contesto di bassi margini di profitto sulle vendite dei televisori stessi, è la monetizzazione attraverso la pubblicità a dare speranza di crescita. Secondo le previsioni di WPP Media, nel 2025 la pubblicità sulla TV in streaming genererà 41,8 miliardi di dollari, per poi raggiungere i 71,9 miliardi di dollari entro il 2030. Questo denaro non finisce solo nelle tasche delle agenzie pubblicitarie, ma diventa anche un incentivo per lo sviluppo aggressivo di meccanismi pubblicitari sui televisori stessi.

Ma questo crea un nuovo problema. Quando scelgono un televisore, gli utenti si concentrano principalmente su marca, qualità dell’immagine e prezzo. Firmware, facilità d’uso e persino i suggerimenti integrati sono secondari. Ma dopo l’acquisto, diventano il canale di interazione tra l’utente e l’intero ecosistema digitale. Secondo Catherine Pond di Vizio, la concorrenza tra i sistemi operativi termina nel momento in cui il televisore viene venduto, e inizia la battaglia per l’attenzione dell’utente.

Roku sottolinea l’importanza di coinvolgere l’utente nella visione il più rapidamente possibile. Per raggiungere questo obiettivo, utilizza motori di raccomandazione, algoritmi di ricerca, personalizzazione e analisi comportamentale. Prima lo spettatore inizia a guardare contenuti tramite il sistema operativo “nativo”, maggiori sono le probabilità che rimanga all’interno dell’infrastruttura pubblicitaria che il brand sta costruendo.

Nel frattempo, la minaccia per questi ecosistemi è già visibile. Se il software televisivo continua a promuovere pubblicità o a raccogliere quantità eccessive di dati, gli spettatori potrebbero semplicemente sostituirlo con dispositivi esterni, come Apple TV o box di streaming di terze parti. Questi dispositivi offrono maggiore controllo e sono spesso percepiti come alternative più riservate.

L’industria si trova in un circolo vizioso: senza dati, non c’è pubblicità accurata; senza pubblicità, non c’è profitto; ma senza fiducia, non c’è utente. Ciò significa che se i produttori di TV non iniziano a tenere conto degli interessi degli spettatori nella stessa misura in cui tengono conto delle esigenze degli inserzionisti, dovranno pagarne le conseguenze non solo in termini economici, ma anche in termini di perdita di fedeltà.

L'articolo Smart TV o Spie da Salotto? Ecco Come Ti Stanno Monitorando proviene da il blog della sicurezza informatica.

Dal 7 ottobre 2023, Israele ha coltivato una psiche nazionale in cui la sopravvivenza ebraica sembra dipendere dalla distruzione dell'altro.

Di Hanin Majadli - 20 giugno 2025

Mentre mi riparo da un bombardamento missilistico iraniano in un parcheggio sotterraneo, mi siedo e rifletto su come gli anni della mia vita vengano sprecati nelle guerre di Israele, guerre che non mi riguardano. Mi chiedo se siano proprio le provocazioni di Israele, le sue furie sconsiderate, a causare un giorno la mia fine. Sarebbe una triste ironia.

Dal 7 ottobre 2023, Israele ha abbandonato la dottrina della deterrenza, un tempo nota come "Muro di Ferro", in favore di qualcosa di molto più pericoloso: una mentalità di distruzione e annientamento. Forse quell'impulso è sempre stato lì, sepolto sotto la superficie, ma ora è allo scoperto ed esplicitamente dichiarato. Non si tratta di un semplice cambiamento tattico, ma di una profonda trasformazione della coscienza, della visione del mondo, forse persino di una psiche collettiva ferita e segnata.

Quando Israele ha smesso di parlare di contenimento e deterrenza e ha iniziato a parlare invece di Cancellazione? Quando l'obiettivo ha smesso di essere la sicurezza ed è diventato, invece, l'eliminazione dell'altro, la sua esistenza, le sue istituzioni, persino il suo diritto di esistere come nemico?

Secondo questa logica, qualsiasi cosa disturbi la vista degli israeliani, che si tratti di una stazione televisiva, di un'università, di un quartiere residenziale o di una stazione di servizio, diventa un legittimo bersaglio da distruggere. È così che sono state bombardate le università di Gaza e Teheran, e come sono stati uccisi scienziati, giornalisti, artisti e scrittori. Israele non si limita più a obiettivi militari; distrugge le stesse condizioni che sostengono la vita e la possibilità di ricostruire.

Tutto questo avviene in nome dell'"autodifesa". Ma questa non è più una risposta a una minaccia concreta, bensì un'offensiva guidata da una visione del mondo sfrenata, priva di confini morali, legali o persino pragmatici. Israele cerca di essere l'unica Potenza Dominante in Medio Oriente. E se il Diritto Internazionale avesse ancora un peso reale, beh, Israele lo viola ripetutamente a Gaza, in Libano, in Siria e in Iran. Tanto che, con ogni attacco, sega proprio il ramo su cui poggia l'idea del Diritto Internazionale.

Israele rivendica per sé il diritto di violare, colpire e bombardare, ripetutamente, anche coloro che non rappresentano più una minaccia immediata. La continua distruzione di Gaza non fa che sottolineare questo messaggio. Tutto ciò crea un pericoloso precedente con implicazioni di vasta portata: cosa si sentiranno in diritto di fare le altre nazioni nelle loro guerre? Dov'è il confine tra ciò che è permesso e ciò che non lo è? E cosa succede quando altri stati adottano la stessa logica israeliana nei confronti dei loro nemici? Una catastrofe.

E gli israeliani stessi? Fin dalla sua fondazione, e ancor di più dal 7 ottobre 2023, Israele ha coltivato una psiche nazionale in cui la sopravvivenza ebraica sembra dipendere dalla distruzione dell'altro. Cosa farebbero gli israeliani se altri Paesi si prendessero le stesse libertà che Israele si prende per sé? Il linguaggio, le dichiarazioni, il tono di politici, giornalisti e cittadini rivelano tutti la stessa verità: non c'è cura. Gli israeliani sono ciechi, prigionieri e istigati.

E forse la cosa più spaventosa è che questa logica non sembra più estrema, ma è diventata la norma; che la società israeliana, con le sue istituzioni, i suoi consiglieri, i suoi giornalisti, i suoi genitori e i suoi figli, abbia imparato a pensare in questo modo. Il linguaggio stesso è cambiato, e i bambini israeliani cresceranno immersi in esso, ignari dell'esistenza di un'altra strada. Le regole che Israele sta consolidando attraverso la sua aggressiva condotta militare scuoteranno non solo la Regione, ma il mondo intero per molti anni a venire.

*
Traduzione: La Zona Grigia
facebook.com/share/p/1BrN97r1R…

Fonte: archive.md/CaZA8

Vi sarà sicuramente capitato di comprare qualche piccolo oggetto in un negozio Mediaworld, una scheda SD, una chiavetta USB, ecc.

Avete notato quanta plastica ha intorno? Tra l'altro anche una plastica estremamente resistente e difficile da aprire.

La settimana scorsa la porta USB del mio #Fairphone ha cominciato a dare problemi quindi sono andato sul sito e ne ho comprata una nuova (25 €).

È arrivata qualche giorno fa in una ragionevole confezione in cartoncino certificato FSC (Forest Stewardship Council), con stampa in inchiostro di soia (chissà, magari con un filino di olio sopra è pure saporita 😁) e all'interno di una piccola bustina.

Ma quindi si possono vendere cose anche senza inscatolarle in grossi contenitori di plastica antiproiettile?

Beh... se te ne importa qualcosa dell'ambiente evidentemente sì.