Gli esperti di sicurezza di 0din hanno individuato una falla critica in Google Gemini for Workspace, la quale permette ai malintenzionati di inserire direttive malevole all’interno delle email. L’attacco sfrutta la funzionalità “Riepiloga questa email” dell’assistente AI per visualizzare avvisi di sicurezza inventati che sembrano provenire da Google stessa, portando potenzialmente al furto di credenziali e ad attacchi di ingegneria sociale .

Gli aggressori incorporano istruzioni nei tag utilizzando stili CSS come il testo bianco su bianco o la dimensione del carattere zero per rendere il contenuto invisibile ai destinatari. A differenza dei tradizionali tentativi di phishing, questo attacco non richiede link, allegati o script esterni, ma solo testo appositamente formattato nascosto nel corpo dell’e-mail.

La vulnerabilità scoperta dai ricercatori rappresenta una forma di iniezione indiretta di prompt (IPI), in cui il contenuto esterno fornito al modello di intelligenza artificiale contiene istruzioni nascoste che diventano parte del prompt effettivo. Gli esperti di sicurezza classificano questo attacco nella tassonomia “Stratagemmi → Meta-Prompting → Formattazione ingannevole” con un punteggio di impatto sociale moderato.

Quando le vittime cliccano sulla funzione “Riepiloga questa e-mail” di Gemini, l’assistente AI elabora la direttiva nascosta come un comando di sistema legittimo e riproduce fedelmente l’avviso di sicurezza inventato dall’aggressore nel suo output di riepilogo. Un esempio proof-of-concept dimostra come gli aggressori possano inserire intervalli invisibili contenenti istruzioni di tipo amministrativo che indirizzano Gemini ad aggiungere avvisi di sicurezza urgenti ai riepiloghi delle email.

Questi avvisi in genere invitano i destinatari a chiamare numeri di telefono specifici o a visitare siti web, consentendo così la raccolta di credenziali o truffe di phishing vocale. La vulnerabilità si estende oltre Gmail e può potenzialmente compromettere l’integrazione di Gemini con Google Workspace, incluse le funzionalità di ricerca di Documenti, Presentazioni e Drive. Ciò crea una significativa superficie di attacco multiprodotto, in cui qualsiasi flusso di lavoro che coinvolga contenuti di terze parti elaborati da Gemini potrebbe diventare un potenziale vettore di iniezione.

Gli esperti di sicurezza avvertono che gli account SaaS compromessi potrebbero trasformarsi in “migliaia di beacon di phishing” tramite newsletter automatizzate, sistemi CRM ed e-mail di ticketing. La tecnica solleva anche preoccupazioni circa i futuri “worm AI” che potrebbero autoreplicarsi nei sistemi di posta elettronica, passando da singoli tentativi di phishing alla propagazione autonoma.

Si consiglia ai team di sicurezza di implementare diverse misure difensive, tra cui il linting HTML in entrata per rimuovere lo stile invisibile, configurazioni del firewall LLM e filtri di post-elaborazione che analizzano l’output di Gemini alla ricerca di contenuti sospetti. Le organizzazioni dovrebbero inoltre migliorare la formazione degli utenti in materia di sensibilizzazione, per sottolineare che i riepiloghi dell’IA sono puramente informativi e non avvisi di sicurezza autorevoli.

L'articolo Vulnerabilità in Google Gemini: Attacchi di Phishing tramite messaggi nascosti all’interno delle Email proviene da il blog della sicurezza informatica.

Jack Dorsey, co-fondatore di Twitter e a capo di Block, ha recentemente presentato il suo nuovo progetto: Bitchat, il messenger concepito come un mezzo di comunicazione completamente decentralizzato e indipendente da Internet. Invece delle reti tradizionali, l’applicazione utilizza Bluetooth e crittografia end-to-end. L’attenzione principale è rivolta alla privacy e alla resistenza alla sorveglianza.

Secondo Dorsey, Bitchat intende rappresentare un’alternativa affidabile ai servizi di messaggistica tradizionali, soprattutto in situazioni in cui l’accesso online è limitato o controllato dall’alto. L’annuncio pubblicato descrive l’architettura, la crittografia e i meccanismi di sicurezza proposti. Il messaggio principale del testo è che il sistema non si basa su server centralizzati e “dà priorità alla sicurezza”.

Tuttavia, subito dopo il rilascio, è apparso un chiarimento nella descrizione del progetto su GitHub: il codice non era ancora stato sottoposto a un audit indipendente. Pochi giorni dopo, gli sviluppatori hanno aggiunto un avviso: “Questo software non è stato sottoposto a revisione esterna e potrebbe contenere vulnerabilità. Non utilizzarlo in scenari di produzione”. In seguito, hanno aggiunto: “Lavori in corso”.

Le critiche non si sono fatte attendere. Il ricercatore Alex Radozea, ad esempio, ha scoperto una grave vulnerabilità nel sistema di identificazione. L’app memorizza una coppia digitale – una chiave univoca e un ID dispositivo – che dovrebbe confermare che l’utente ha già verificato e si fida di un contatto specifico. Questi interlocutori appaiono nell’elenco come “preferiti” e sono contrassegnati da un’icona a forma di stella.

Tuttavia, a quanto pare, un aggressore può intercettare la coppia e usarla per impersonare un altro partecipante alla chat. Di conseguenza, il destinatario avrà la certezza di comunicare con una persona verificata, anche se in realtà al suo posto c’è uno sconosciuto. Radocea ha cercato di capire come segnalare correttamente la vulnerabilità e ha creato un ticket su GitHub. Dorsey inizialmente lo ha chiuso senza fornire spiegazioni, ma due giorni dopo lo ha riaperto, scrivendo che i problemi di sicurezza possono essere segnalati direttamente tramite quella piattaforma.

Alcuni sviluppatori hanno messo in dubbio la pretesa di supportare la forward secrecy, una tecnologia che rende impossibile decifrare vecchi messaggi anche in caso di fuga di informazioni. Secondo loro, l’attuale implementazione in Bitchat probabilmente non rispetta questo principio: le chiavi di sessione potrebbero non essere aggiornate come previsto, il che riduce la resistenza della corrispondenza agli attacchi informatici.

Alcuni sottolineano anche una potenziale vulnerabilità chiamata buffer overflow, un bug che potrebbe causare il sovraccarico della memoria e interferire con il funzionamento del dispositivo. Secondo Radocea,”la sicurezza è una buona strategia di marketing, ma almeno bisogna verificare che le chiavi funzionino come pubblicizzato”. Ha anche criticato la posizione di Dorsey: se si afferma che l’applicazione non è stata sottoposta a verifica, allora le prime vulnerabilità trovate hanno già avviato il processo. E i risultati, a suo parere, “sembrano allarmanti”.

Dorsey stesso non ha commentato la situazione in alcun modo, né sui social media né in risposta alle richieste della stampa. L’applicazione rimane disponibile come progetto open source. Tuttavia, non è ancora chiaro se verrà rielaborata e sottoposta a una revisione completa.

L'articolo Bitchat: anche una guerra nucleare non potrà fermare il messenger di Jack Dorsey che funziona via Bluetooth proviene da il blog della sicurezza informatica.

We’re probably all familiar with adding wood dust, hemp and carbon fibers to PLA filament, but there are so many other fillers one could add. During the completely unrelated recent heatwave in Germany, [Stefan] from CNCKitchen decided to give a new type of biodegradable filler type a shot by scooping some freshly dried cow patties off the very picturesque grazing fields near his place. In the resulting video a number of questions are answered about this ‘PooLA’ that nobody was asking, such as whether it makes for a good filler, and whether it smells bad while printing.

Perhaps unsurprisingly to those who have spent any amount of time around large herbivores like cows, cow dung doesn’t smell bad since it’s mostly composed of the grass fibers that are left over after the cow’s multiple stomachs and repeated chewing have done their thing. As [Stefan] and his colleagues thus found out was that printing with PooLA smells like printing with grass.

As for the practical benefits of PooLA, it adds a nice coloring, but like other ‘reinforced’ PLA filaments seems to trade flexibility for stiffness, so that at ratios of cow dung powder between 5 to 20% added to the PLA powder the test parts would break faster. Creating the filament was also a bit of a chore, for reasons that [Stefan] still has to figure out.

That said, aside from the technically unneeded bacterial corpses and other detritus in cow patties, using grass fibers in FDM filament isn’t a crazy idea, and might fit right in there with other fibers.

youtube.com/embed/GmUPN2Nww6Q?…

hackaday.com/2025/07/14/introd…

There was a time when all the cool kids had a 45 RPM record player. [RF Burns] picked up a 1950s-era player from RCA. However, it needed a lot of work. The good news? We get to see the teardown and the result in a two-part video series, which you can see below. If you are looking for the schematic, you’ll have to wait for the second video.

These were made to be cheap, so there were many parts that needed replacement or, at least TLC. The automation of the record changer was all done with an eccentric wheel, which is satisfyingly low-tech. We were surprised that it still seemed to work after everything was cleaned up.

Inside were two active tubes and a rectifier tube to amplify the signal from the needle. A coat of paint made it look great, and a polarized power cord made it safer.

There was also an unamplified version of the player you can see at the end of the second video. All the same things except for the tube amplifier, of course.

If you are too young to have fond memories of 45s, here’s a primer on how records work. The record player we really want is mobile.

youtube.com/embed/dKFLEtAHhk4?…

youtube.com/embed/PORBDf1STtQ?…

hackaday.com/2025/07/14/record…

If you are looking for the perfect instrument to start a biological horror show in our age of AI, you have come to the right place. Researchers at Johns Hopkins University have successfully used AI-guided robotics to perform surgical procedures. So maybe a bit less dystopian, but the possibilities are endless.

Pig parts are used as surrogate human gallbladders to demonstrate cholecystectomies. The skilled surgeon is replaced with a Da Vinci research kit, similarly used in human controlled surgeries.

Researchers used an architecture that uses live imaging and human corrections to input into a high-level language model, which feeds into the controlling low-level model. While there is the option to intervene with human input, the model is trained to and has demonstrated the ability to self-correct. This appears to work fairly well with nothing but minor errors, as shown in an age-restricted YouTube video. (NOTE: SURGICAL IMAGERY WATCH AT YOUR OWN RISK)

It’s noted that the robot performed slower than a traditional surgeon, trading time for precision. As always, when talking about anything medical, it’s not likely we will be seeing it on our own gallbladders anytime soon, but maybe within the next decade. If you want to read more on the specific advancements, check out the paper here.

Medical hacking isn’t always the most appealing for anyone with a weak stomach. For those of us with iron guts make sure to check out this precision tendon tester!

hackaday.com/2025/07/14/do-you…

A man named [Jim Valvano] once said “There are 86,400 seconds in a day. It’s up to you to decide what to do with them.” — while we couldn’t tell you who [Jim Valvano] was without a google search*, his math checks out. The quote was sufficiently inspirational to inspire [danjovic] to create a clock count those seconds precisely.

It’s a simple project, both conceptually and electrically. All it does is keep time and count the seconds in the day– a button press switches between counting down, counting up, and HH:MM:SS. In every mode, though, the number displayed will change at one Hertz, which we appreciate as being in the spirit of the challenge. There are only four components: an Arduino Nano, a DS3231 RTC module, a SSD1306 128×64 OLED module, and a momentary pushbutton. At the moment it appears this project is only on breadboard, which is a shame– we think it deserves to have a fancy enclosure and pride of place on the wall. Wouldn’t you be more productive if you could watch those 86,400 seconds ticking away in real time? We think it would be motivating.

Perhaps it will motivate you to create something for our One Hertz Challenge. Plenty of seconds to go until the deadline on August 19th, after all. If you’d rather while away the time reading, you can check out some of [danjovic]’s other projects, like this Cistertian-inspired clock, or this equally-inscruitable timekeeper that uses binary-coded octal.

*Following a google search, he was an American college basketball coach in the mid-20th century.

hackaday.com/2025/07/14/2025-o…

There’s something ominous about robots taking over jobs that humans are suited to do. Maybe you don’t want a job turning a wrench or pushing a broom, but someone does. But then there are the jobs no one wants to do or physically can’t do. Robots fighting fires, disarming bombs, or cleaning up nuclear reactors is something most people will support. But can you climb through a water pipe from the inside? No? There are robots that are available from several commercial companies and others from university researchers from multiple continents.

If you think about it, it makes sense. For years, companies that deal with pipes would shoot large slugs, or “pigs”, through the pipeline to scrape them clean. Eventually, they festooned some pigs with sensors, and thus was born the smart pig. But now that it is possible to make tiny robots, why not send them inside the pipe to inspect and repair?

Why?

It makes sense that anything you can do from inside the pipe is probably going to be cheaper than digging up buried pipe and either repairing or replacing it. For example, 4 cm robots from the University of Sheffield can inspect pipes from inside, cooperate in swarms, and locate leaks that would be nearly impossible to find conventionally.

In fact, robots inside pipes aren’t a totally new idea. But in the past, the pipes had to be very large to fit the robot. This newer class of pipe inspecting and repairing robots can fit inside smaller pipes like you might find in a city’s water supply. For example, the Easy-Sight X5 (see the video below) fits in a 100 mm pipe, and it is big when compared to some of the newer competitors.

youtube.com/embed/2-V6veJiqdI?…

Not Just Inspection

The Carnegie Mellon robot is modular, so it can handle different kinds of jobs. A mobility module has two-inch wheels and can haul up to sixty pounds of payload. One of those payloads is an applicator for a special resin that can repair leaks.

The resin starts out with the consistency of soft-serve ice cream but quickly hardens as it shoots out of a spinning nozzle that creates a spring-like inner coating spiraling around the inside of the pipe.

The robot’s no speed demon. It can inspect about nine miles of pipe in eight hours. However, when repairing, the same time period is sufficient to fix 1.8 miles of pipe. Even big names like GE are working on similar technology that will spray epoxy to form a new pipe inside an old pipe.

youtube.com/embed/_Um9bD3VLLM?…

DIY

Could you do this yourself? There’s no reason you couldn’t make an inspection robot. [Stargate Systems] did using a Raspberry Pi Zero, and you can check it out in the video below. Repair might be a bit more complex, but might be workable with a little ingenuity.

youtube.com/embed/adGp3PADKsk?…

Dirty Jobs

Even if you and your submarine were shrunk down, you probably don’t want this job. There are probably dozens of jobs you can’t or don’t want to do. Will you build a robot to do it? Let us know in the comments or — better — built it and leave us a tip.

We wonder why these robots don’t look more like snakes.

hackaday.com/2025/07/14/robots…

It is virtually a rite of passage for C programmers to realize that they can write their own cooperative multitasking system. C is low-level enough, and there are several ways to approach the problem, so, like Jedi light sabers, each one is a little bit different. [Christoph Wolcher] took his turn, and not only is his system an elegant hack, if that’s not an oxymoron, it is also extremely well documented.

Before you dig in, be warned. [Christoph] fully admits that you should use an RTOS. Or Rust. Besides, after he finished, he discovered the protothreads library, which does a similar task in a different way that is both more cool and more terrible all at the same time.

Once you dig in, though, you’ll see the system relies on state machines. Just to prove the point, he writes a basic implementation, which is fine, but hard to parse and modify. Then he shows a simple implementation using FreeRTOS, which is fine except for, you know, needing FreeRTOS.

Using a simple set of macros, it is possible to get something very similar to the RTOS version that runs independently, like the original version. Most of the long code snippets show you what code the macros generate. The real code is short and to the point.

Multiprocessing is a big topic. You can have processes, threads, fibers, and coroutines. Each has its pros and cons, and each has its place in your toolbox.

hackaday.com/2025/07/14/corout…

La Giornata Mondiale degli scimpanzé (World Chimpanzee Day) viene celebrata ogni anno il 14 settembre. È una data dedicata alla sensibilizzazione sull'importanza di proteggere queste specie in via di estinzione; è stata istituita nel 2017 dall'organizzazione internazionale "Jane Goodall Institute" per richiamare l'attenzione sulla situazione critica in cui si trovano le scimmie antropomorfe, in particolare i cebi e i scimpanzé.

Gli scimpanzé condividono circa il 98,7% del loro DNA con gli esseri umani: possono imparare il linguaggio dei segni, risolvere problemi e persino costruire utensili. Eppure, nonostante la loro intelligenza e lo stretto legame con noi, gli scimpanzé sono ora classificati come specie in pericolo nella Lista Rossa (Red List) IUCN, con popolazioni in continuo declino a causa della perdita di habitat e del commercio illegale di fauna selvatica.

La Red List IUCN

L'Unione Internazionale per la Conservazione della Natura (IUCN, International Union for Conservation of Nature), fondata oltre 60 anni fa, ha la missione di "influenzare, incoraggiare e assistere le società in tutto il mondo a conservare l'integrità e diversità della natura e di assicurare che ogni utilizzo delle risorse naturali sia equo e ecologicamente sostenibile". La IUCN conta oggi oltre 1000 membri tra stati, agenzie governative, agenzie non governative e organizzazioni internazionali: in Italia ne fanno parte la Direzione per la Protezione della Natura del Ministero dell'Ambiente, le principali organizzazioni non governative per la protezione dell'ambiente, enti di ricerca e alcune aree protette. Alla IUCN è affiliata una rete di oltre 10000 ricercatori che contribuiscono come volontari alle attività scientifiche e di conservazione.
Il mantenimento e l'aggiornamento periodico della IUCN Red List of Threatened Species o Lista Rossa IUCN delle Specie Minacciate (iucnredlist.org) è l'attività più influente condotta dalla Species Survival Commission della IUCN. Attiva da 50 anni, la Lista Rossa IUCN è il più completo inventario del rischio di estinzione delle specie a livello globale. Inizialmente la Lista Rossa IUCN raccoglieva le valutazioni soggettive del livello di rischio di estinzione secondo i principali esperti delle diverse specie. Dal 1994 le valutazioni sono basate su un sistema di categorie e criteri quantitativi e scientificamente rigorosi, la cui ultima versione risale al 2001. Queste categorie e criteri, applicabili a tutte le specie viventi a eccezione dei microorganismi, rappresentano lo standard mondiale per la valutazione del rischio di estinzione. Per l'applicazione a scala non globale, inclusa quella nazionale, esistono delle linee guida ufficiali.

La Convenzione CITES

Gli scimpanzé (Pan troglodytes) sono elencati nell'Appendice I della Convenzione sul Commercio Internazionale delle Specie di Fauna e Flora Selvatiche Minacciate di Estinzione (CITES).

Questo significa che:

- Il commercio internazionale di scimpanzé e dei loro prodotti derivati (come pelli, ossa, ecc.) è vietato, a meno che non ci sia un'autorizzazione speciale per scopi non commerciali, come la ricerca scientifica.

- Ogni trasferimento internazionale di scimpanzé deve essere autorizzato con appositi permessi CITES rilasciati dalle autorità nazionali competenti.

- I paesi aderenti alla CITES sono tenuti a vietare il commercio di scimpanzé e a prendere misure per proteggere queste specie a rischio di estinzione.

Una specie primata a rischio

Le informazioni della Wildlife Justice Commission rivelano una tattica inquietante utilizzata dai trafficanti: l'abuso della documentazione CITES. Permessi falsificati o ottenuti fraudolentemente vengono utilizzati per mascherare il commercio illegale di scimpanzé selvatici come legale. Questo sfruttamento del sistema consente alle reti organizzate di trarne profitto, mentre le popolazioni di scimpanzé selvatici continuano a soffrire.
Sussiste l’urgente necessità di rafforzare l’applicazione della legge e di smantellare le reti di traffico che sfruttano questa specie vulnerabile.

Cosa può la cooperazione di polizia?
La cooperazione internazionale di polizia svolge un ruolo importante nella difesa degli scimpanzé, soprattutto per contrastare il bracconaggio e il traffico illegale di questi primati. Ecco alcune delle principali azioni intraprese:

- Operazioni congiunte transfrontaliere:

Le forze di polizia di diversi paesi coordinano operazioni per individuare e fermare i trafficanti che spostano illegalmente gli scimpanzé attraverso i confini.
Vengono effettuati controlli e ispezioni mirate nei porti, negli aeroporti e lungo le rotte di traffico.
Scambio di informazioni e intelligence:

Le agenzie di polizia condividono informazioni sui gruppi criminali coinvolti nel traffico di scimpanzé, sulle loro rotte e sui metodi utilizzati.
Ciò permette di anticipare e intervenire tempestivamente per sventare i traffici.

- Formazione e capacity building:

La cooperazione internazionale supporta la formazione degli agenti di polizia locali sui metodi di riconoscimento, cattura e gestione degli scimpanzé.
Vengono fornite competenze per indagare e raccogliere prove sui crimini legati al traffico di fauna selvatica.
Assistenza legale e giudiziaria:

Quando vengono effettuati arresti, le autorità collaborano per assicurare i trafficanti alla giustizia attraverso procedure legali coordinate.
Vengono forniti supporto e consulenza legale per garantire condanne adeguate.

- Sensibilizzazione e coinvolgimento delle comunità:

Vengono realizzate campagne di sensibilizzazione nelle aree a rischio per scoraggiare la domanda di scimpanzé e altri animali selvatici.
Le comunità locali sono coinvolte nella sorveglianza e nella segnalazione di attività sospette.
Questa cooperazione internazionale multi-agenzia è fondamentale per contrastare efficacemente il bracconaggio e il traffico illegale degli scimpanzé, contribuendo così alla loro protezione e conservazione.

Risorse per approfondire:

Jane Goodall Institute: www.janegoodall.it
World Chimpanzee Day: www.worldchimpanzeeday.org

#scimpanzé #CITES #IUCN #WildlifeJusticeCommission

@Scienze

A cura di Bianca Amico di Meane (Head of Marketing Nais), Ivana Genestrone (Avvocato e DPO per Nais) e Riccardo Margarito (Cyber Security Expert, Red Team Nais)

Nel panorama attuale della cybersicurezza, il detto “una catena è forte quanto il suo anello più debole” non è mai stato così pertinente. Gli attacchi informatici alla supply chain sono in costante aumento, dimostrando come la sicurezza di un’organizzazione non dipenda più solo dalle sue difese interne, ma anche da quelle dei suoi fornitori e partner.

Un esempio emblematico è il recente attacco a Ingram Micro, distributore globale di tecnologia, che il 5 luglio 2025 ha confermatodi aver subito un attacco ransomware che ha colpito gravemente i suoi sistemi interni. Non ci sono ancora conferme ufficiali su eventuali furti di dati o sul gruppo criminale responsabile, ma fonti non verificate attribuiscono l’attacco al ransomware SafePay.

Un singolo incidente ha generato conseguenze drammatiche, paralizzando intere filiere produttive e di servizio, bloccando ordini, spedizioni e servizi in centinaia di Paesi.

Questo evento sottolinea drammaticamente come le interdipendenze digitali nella supply chain siano oggi riconosciute dalla direttiva NIS2 come un vettore di rischio sistemico. Il caso dimostra impietosamente la fragilità dell’equilibrio tra efficienza operativa e sicurezza, specialmente quando i servizi digitali sono erogati in modalità “as-a-Service” e risultano profondamente interconnessi.

Governance del Rischio: Luci e Ombre nella Risposta

L’incidente di Ingram Micro ha messo in luce una duplice realtà: da un lato, un’organizzazione capace di attivare prontamente un piano di risposta agli incidenti; dall’altro, la dolorosa constatazione che tale capacità non è stata sufficiente a impedire la compromissione di sistemi mission-critical. Questo scenario rafforza l’imperativo imposto dalla direttiva NIS2: ogni soggetto “essenziale” (categoria in cui rientrerebbe Ingram Micro se fosse un’entità europea) deve dimostrare di possedere un sistema di gestione del rischio formalizzato, continuo e supervisionato a livello dirigenziale. Inoltre, è fondamentale integrare piani di continuità operativa e disaster recovery nei modelli di governance aziendali.

Per affrontare questa sfida complessa, bilanciando conformità legale e preparazione tecnica, sono intervenuti l’avvocato Ivana Genestrone, consulente per Nais, e Riccardo Margarito, esperto del Red Team diNais, offrendo una prospettiva completa su come garantire una governance della sicurezza efficace.

In questo articolo, esploreremo le implicazioni della Direttiva NIS 2 e delleLinee Guida ENISA, analizzando l’approccio diNais, realtà 100% italiana specializzata nei servi Gestiti Cyber e IT nel supportare le aziende in questo percorso di adattamento.

NIS 2 e ENISA: Il Nuovo Paradigma per la Sicurezza della Supply Chain

La Direttiva NIS 2 (Direttiva UE 2022/2555) e il Regolamento di Implementazione UE 2024/2690 del 17 ottobre 2024, con le relative “Technical Implementation Guidance” di ENISA, rappresentano un punto di svolta per la cybersicurezza in Europa.

Queste normative non si limitano a imporre requisiti tecnici e organizzativi stringenti per la gestione dei rischi, ma introducono anche una responsabilità esplicita per la sicurezza della supply chain. L’Avvocato Ivana Genestrone sottolinea come “Le nuove normative europee, in particolare la Direttiva NIS 2 e le Linee Guida ENISA, segnano un cambio di paradigma significativo. Non si tratta più solo di proteggere i propri asset interni, ma di estendere questa responsabilità all’intera catena di fornitura. Questo significa che le aziende devono adottare una supply chain security policy ben definita, che governi le relazioni con i fornitori diretti e i service provider per mitigare i rischi identificati. La policy deve chiarire ruoli e responsabilità e comunicare i requisiti di sicurezza attesi ai fornitori.Non solo: è fondamentale assicurare che i contratti includano clausole adeguate per audit e verifiche periodiche, garantendo che i requisiti di sicurezza siano mantenuti nel tempo. Questo è un aspetto cruciale perché la conformità deve essere dinamica, non statica.”

Le Linee Guida ENISA, in particolare, stabiliscono criteri specifici per la selezione, la valutazione e il monitoraggio dei partner tecnologici. Questo include:

• La valutazione delle loro capacità di garantire la cybersicurezza.
• Il possesso di certificazioni riconosciute (come ISO/IEC 27001, GCIH, GSOC, CEH, CompTIA Security+, CompTIA CySA+).
• La conformità a standard internazionali.

Vengono suggeriti anche criteri aggiuntivi come:

• La stabilità finanziaria del fornitore.
• La sua reputazione nel mercato.
• La capacità di fornire supporto in caso di incidenti.

La valutazione dovrebbe essere documentata e aggiornata periodicamente, con una classificazione dei fornitori basata su:

• Criticità degli asset.
• Volume degli asset acquistati da un medesimo fornitore.
• Disponibilità di intervento e supporto.
• Valutazione dei rischi.

Esempi di classificazione includono:

• Critico: con impatto significativo sulle operazioni del soggetto NIS 2.
• Strategico: partner ad alto valore che contribuisce agli asset basati sulle informazioni (es. cloud provider, fornitori di analisi sui dati, sviluppatori di software e fornitori di servizi di telecomunicazioni).
• Di routine: con minimo impatto sul soggetto NIS 2.

Adversary Simulation: Misurare la Resilienza Tecnica con il Red Team NAIS

Mentre la normativa definisce il “cosa”, l’aspetto tecnico si concentra sul “come” garantire l’effettiva robustezza della supply chain. È qui che entrano in gioco metodologie avanzate come l’Adversary Simulation, che vanno oltre i tradizionali penetration test.

Riccardo Margarito, specialista sul campo e membro del Red Team di Nais, spiega che “L’approccio di Nais è evolvere il tradizionale Penetration Testing verso un modello di sicurezza continuoe adattivo. Il Threat Led Penetration Testing (TLPT), servizio integrato a Fluxstorm Prevent, è la nostra chiave di volta in quanto ci permette di testare la capacità reale dello stack di sicurezza (includendo sia tecnologia che risorse), di gestire e rispondere a ‘eventi avversi non standard’,ed essere compliant alle direttive europee come la NIS2.”

“Come Red Team non ci limitiamo a individuare le falle di sicurezza: simuliamo attacchi reali con exploit ‘harmless’ e PoC custom sviluppate internamente, per misurare l’efficacia operativa dello stack di sicurezza (EDR, SIEM, IDS/IPS, XDR) e in particolare del servizio SOC già presente come la SOC Assurance:questo include la valutazione dei tempi di detection, presa in carico e gestione degli incidenti, e l’analisi della capacità di generare evidenze tecniche in un report efficace e concreto.”

Nais, con oltre 30 anni di esperienza nella sicurezza Cyber, IT & OT, vanta due competence center (NOC e SOC) e un team di oltre 100 ingegneri specializzati. Lato Red Team, le metodologie si basano su standard come PTES, OSSTMM, OWASP e MITRE ATT&CK, permettendo di identificare vulnerabilità critiche in sistemi complessi e di fornire piani di Remediation e Patch Management dettagliati.

L’obiettivo è ottenere un miglioramento misurabile delle KPI principali:

• Riduzione delle Vulnerabilità High/Critical tra una scansione e la successiva (Post Remediation).
• Diminuzione del MTTR (Mean Time To Remediation) per le successive scansioni.
• Aumento della Copertura Sicurezza e Resilienza, anche in termini di consapevolezza.
• Conformità alla RoadMap NIS2.

Governance della Sicurezza: L’Integrazione Cruciale tra Aspetti Legali e Tecnici

La vera sfida per le aziende è integrare i requisiti legali e organizzativi con le capacità tecniche, trasformando le direttive in azioni concrete, pianificate e misurabili. Questo richiede una sinergia tra tutti i dipartimenti aziendali, a partire da un forte coordinamento tra legale, IT e di sicurezza. L’Avvocato Ivana Genestrone chiarisce che “La gestione del ciclo di vita del rapporto con i fornitori, come suggerito da ENISA, deve essere strutturata e prevedere:

• Assessment regolari (es. meeting con i fornitori), tenendo conto di eventuali disallineamenti dagli SLA pattuiti.
• Definizione chiara di ruoli e responsabilità per il mantenimento dei servizi, le operazioni e la proprietà degli asset.
• Controlli periodici sulla qualità del prodotto/servizio, intensificando i controlli con il passare del tempo.
• Rivalutazione del fornitore anche sotto il profilo della sua compliance.

Inoltre, il tracciamento degli incidenti di sicurezza collegati al/causati dal fornitore è essenziale per una rivalutazione immediata, così come la gestione della fase di conclusione del rapporto, con clausole contrattualiche disciplinino la transizione da un fornitore all’altro, il diritto di accesso ai dati e l’assistenza garantita dal fornitore.

Tutto ciò non è meramente burocratico; è la base per una Governance robusta che riduca l’esposizione al rischio dell’intera filiera ed aumenti la consapevolezza ad un approccio standard di alto livello. Attenzione perché violare i requisiti di Governance della NIS 2 può comportare sanzioni importanti non soltanto a carico delle entità ma anche degli amministratori e degli organi direttivi”

Dal punto di vista tecnico, Riccardo Margarito aggiunge che “l’integrazione con l’aspetto legale è essenziale. Le simulazioni che eseguiamo non solo identificano le vulnerabilità, ma forniscono anche le ‘evidenze tecniche’ necessarie per dimostrare la conformità ai requisiti normativi e agli SLA dichiarati dai SOC provider. I nostri report strutturati sui piani di remediation e patch management diventano strumenti operativi per le aziende per rispondere in modo proattivo alle indicazioni normative e supportare il team tecnico interno. L’approccio di Nais al Vulnerability Management e all’Adversary Simulation si estende a diverse aree:

• Perimetro Interno: Network Sniffing e tentativi di compromissione su Switch, Camera, Firewall, Endpoint, Users, Servers. Vengono condotti Vulnerability Assessment (VA) su CVE, Active Directory, misconfigurazioni, e Penetration Testing (PT) e Breach Simulation su evidenze trovate con elevazione dei privilegi (in modo controllato e senza interruzione dei servizi).
• Perimetro Esterno: Enumerazione asset esposti, IP pubblici, DNS, servizi perimetrali. Si effettuano VA su enumerazione servizi, analisi patch, fingerprinting e mappatura superfici d’attacco, e PT con evasione firewall, Brute Force su servizi critici, test di intrusioni su endpoint pubblici.
• WebApp: Applicazioni Web e Mobile, API integration,architettura backend, frameworks, middleware e infrastruttura sottostante. Vengono identificate Vulnerabilità OWASP Top 10 (SQLI, XSS, SSRF, IDOR, manipolazione sessione…), e si eseguono in contesti statici (SAST) e dinamici (DAST).

Implicazioni per le Aziende Italiane: Progettare la Cybersicurezza Strategicamente

In Italia, l’applicazione di tutte le norme che richiedono un rafforzamento, a vari livelli, della capacità di proteggere i dati, richiede alle aziende, in particolare quelle operanti nel mid-market e i fornitori di servizi critici, un approccio strategico e integrato alla cybersicurezza. Non si tratta di un mero esercizio di conformità, ma di un investimento nella resilienza operativa e nella tutela del business.L’Avvocato Ivana Genestrone conclude che “I requisiti organizzativi e tecnici dell’Art. 21 della Direttiva NIS 2, sviluppati dal Regolamento e dalle Linee Guida ENISA, impongono al management delle aziende di adottare un approccio alla cybersicurezza che sia integrato e strategico. La capacità di predeterminare le caratteristiche di incidente e di crisi, con ruoli, responsabilità e procedure chiare, è di importanza strategica per la governance di un soggetto NIS 2. È richiesto l’adozione di un vero e proprio sistema di gestione, che includa, tra l’altro, misure specifiche per:

• La selezione e il monitoraggio dei fornitori che possono avere un impatto rilevante sulla cybersicurezza del soggetto NIS 2.
• La gestione della fine dei rapporti contrattuali.

La sicurezza della supply chain, infatti, rappresenta una specifica responsabilità degli organi amministrativi e di direzione del soggetto NIS 2. In questo contesto, tutti i processi, ruoli, misure devono risultare parte di un ‘tutto’ coerente ed integrato. Diversamente, il soggetto NIS 2 potrebbe fallire di essere in grado di dimostrare di avere posto in essere misure adeguate a soddisfare i requisiti di resilienza cyber richiesti dalla direttiva, con ciò generando conseguenze pesanti per enti e management.”

Verso un Ecosistema Digitale più Sicuro: La Collaborazione tra Legalità e Tecnica

L’era delle interdipendenze digitali richiede un’evoluzione nella gestione della cybersicurezza. Le direttive europee, supportate da metodologie tecniche avanzate come quelle proposte da Nais, offrono un percorso chiaro per le aziende che vogliono non solo essere conformi, ma costruire una resilienza intrinseca. La collaborazione tra esperti legali e tecnici è la chiave per tradurre i requisiti normativi in piani d’azione efficaci, garantendo che ogni anello della catena di fornitura sia forte abbastanza da resistere alle minacce del panorama cyber attuale.

L'articolo La Supply Chain è sotto attacco! Le lezioni chiave per l’era della Direttiva NIS2 proviene da il blog della sicurezza informatica.