AIOps (Artificial Intelligence for IT Operations) è l’applicazione di intelligenza artificiale – come machine learning, elaborazione del linguaggio naturale e analytics avanzati – per automatizzare, semplificare e ottimizzare la gestione dei servizi IT.

Nato per rispondere alla crescente complessità degli ambienti IT moderni, AIOps permette ai team di identificare, diagnosticare e persino risolvere automaticamente i problemi, migliorando così performance, disponibilità e continuità dei servizi.

Con la digital transformation che moltiplica volumi e velocità dei dati generati, le aziende stanno adottando AIOps per distinguere i segnali rilevanti dal “rumore”, correlare eventi, individuare anomalie e reagire in modo proattivo alle criticità, garantendo un’operatività IT più predittiva e meno reattiva. Scopriamo di cosa si tratta.

Come funziona AIOps: dai dati alle azioni automatiche

AIOps, in pratica, è come dare un “cervello digitale” alle operazioni IT. Tutto parte da una grande quantità di dati: log dei sistemi, metriche sulle performance, avvisi, eventi e anche dati esterni che possono influenzare l’infrastruttura, come picchi di traffico o aggiornamenti software.

Questa mole di informazioni viene raccolta in tempo reale e analizzata da algoritmi di intelligenza artificiale e machine learning. L’AI cerca correlazioni e schemi nascosti che, a occhio umano, sarebbero quasi impossibili da individuare. Per esempio, può accorgersi che un calo di performance non è un caso isolato, ma è legato a un aggiornamento avvenuto poche ore prima o a un improvviso aumento degli utenti.

Il passo successivo è il cuore dell’AIOps: trasformare queste analisi in azioni concrete. Se il sistema individua una potenziale anomalia, può generare un avviso mirato, suggerire un intervento oppure – nei casi più evoluti – attivare da solo una correzione: spostare carichi su server meno congestionati, riavviare un servizio, applicare una patch o avviare un rollback.

Il risultato? Meno incidenti, tempi di risoluzione più rapidi e un IT che non si limita a reagire ai problemi, ma li anticipa. In questo modo, i team possono concentrarsi su attività più strategiche e innovative, lasciando all’AI la gestione automatica dei guasti e delle anomalie quotidiane.

Grazie agli algoritmi di machine learning e tecniche di analisi predittiva, questi dati vengono filtrati per distinguere gli eventi realmente critici dalle semplici variazioni di routine.

Le piattaforme AIOps sono quindi in grado di:

• Correlare eventi distribuiti e identificare le cause principali;
• Fornire raccomandazioni o risposte automatiche in tempo reale;
• Imparare in modo continuo dai dati per anticipare problemi simili in futuro.

In pratica, si passa da un modello reattivo (identifico → diagnostico → risolvo) a uno predittivo e proattivo, dove il sistema può prevenire autonomamente molti malfunzionamenti.

Componenti chiave di una piattaforma AIOps

Una soluzione AIOps moderna integra più tecnologie e funzionalità, tra cui:

• Algoritmi e machine learning: definiscono regole, apprendono dai pattern passati, classificano eventi e prevedono anomalie.
• Analytics: trasformano i dati grezzi in insight utilizzabili, per esempio prevedendo picchi di traffico o individuando colli di bottiglia.
• Automazione: consente di applicare azioni correttive o preventive senza intervento umano.
• Osservabilità: offre visibilità completa e in tempo reale sugli stati interni dei sistemi, partendo dagli output esterni.
• Visualizzazione dei dati: dashboard, report e alert che aiutano i team IT a comprendere e gestire meglio le informazioni complesse.

Questi elementi, combinati, trasformano i big data dell’IT in decisioni operative rapide, contestualizzate e, in molti casi, automatiche.

Implementazione: dall’osservabilità alla risposta proattiva

Il percorso verso AIOps inizia tipicamente dall’osservabilità: dotarsi di strumenti che garantiscano una visibilità capillare e in tempo reale su infrastrutture, reti e applicazioni.

In seguito, grazie all’analytics predittiva, i team IT possono prevedere trend, identificare potenziali criticità e dimensionare correttamente le risorse. L’obiettivo finale è raggiungere una risposta proattiva: i sistemi AIOps non solo segnalano i problemi, ma avviano automaticamente procedure correttive (ad esempio, riallocazione dinamica di risorse o apertura di ticket con priorità).

Questo approccio migliora metriche chiave come il mean time to detect (MTTD) e il mean time to resolve (MTTR), riduce i downtime e libera tempo per attività a maggior valore.

AIOps indipendente dal dominio vs incentrato sul dominio

Nel panorama delle piattaforme AIOps, esistono due approcci principali che rispondono a esigenze diverse delle organizzazioni: AIOps indipendente dal dominio e AIOps incentrato sul dominio.

• AIOps indipendente dal dominio: Questo approccio raccoglie, normalizza e correla dati provenienti da una vasta gamma di fonti IT eterogenee – come rete, storage, infrastruttura cloud, applicazioni e sicurezza – senza limitarsi a uno specifico dominio. L’obiettivo è creare una vista olistica e trasversale dell’intero ecosistema IT, individuando correlazioni tra eventi e anomalie anche in ambiti diversi. Ciò permette di diagnosticare e risolvere problemi complessi che possono avere cause distribuite su più livelli dello stack tecnologico. È la scelta ideale per aziende con ambienti IT complessi, distribuiti o multi-cloud, dove le relazioni tra i componenti sono intricate e spesso non immediatamente visibili.
• AIOps incentrato sul dominio: Al contrario, le soluzioni AIOps incentrate sul dominio sono progettate per analizzare in profondità un’area specifica – ad esempio solo la rete, solo le applicazioni o solo l’infrastruttura. Queste piattaforme utilizzano algoritmi e modelli di machine learning ottimizzati per le metriche, i log e i dati caratteristici di quello specifico dominio. Il vantaggio principale è una maggiore precisione e specializzazione nell’individuazione delle anomalie, nella predizione dei guasti e nell’automazione delle risposte, grazie alla conoscenza approfondita del contesto tecnico.

Le piattaforme AIOps indipendenti dal dominio sono più indicate per le organizzazioni che puntano a una gestione end-to-end, proattiva e integrata dei servizi IT, dove le interdipendenze tra diversi domini possono generare incidenti complessi. Quelle incentrate sul dominio, invece, sono più adatte a team specializzati (come i team di networking o di sicurezza) che vogliono migliorare rapidamente l’osservabilità e le performance in un’area specifica.

In molti casi, le organizzazioni mature combinano entrambi gli approcci: utilizzano piattaforme AIOps trasversali per avere una visione complessiva, affiancate da strumenti verticali per analizzare in dettaglio i singoli domini.

Il futuro delle operazioni IT: verso l’autonomia intelligente

L’evoluzione delle operazioni IT sta andando oltre la semplice automazione per abbracciare il concetto di autonomia intelligente. Questo nuovo paradigma, alimentato da piattaforme AIOps avanzate, non si limita a ridurre il carico di lavoro manuale, ma punta a trasformare radicalmente il modo in cui i team IT prevengono, identificano e risolvono i problemi.

Grazie a modelli predittivi e capacità di apprendimento continuo, le piattaforme AIOps saranno sempre più in grado di anticipare le anomalie prima che si traducano in interruzioni o degrado del servizio. La raccolta e correlazione automatica di enormi quantità di dati – metriche, log, tracce, eventi e segnali esterni – permetterà di contestualizzare in tempo reale ciò che accade nell’infrastruttura IT. Questo porterà a una gestione non più reattiva, ma proattiva e, in alcuni scenari, completamente self-healing.

Un esempio concreto? Immagina una piattaforma che rileva un pattern di degrado delle performance, lo associa a un aggiornamento software rilasciato poche ore prima, identifica automaticamente la causa e attiva una serie di azioni correttive – come rollback selettivo o bilanciamento del traffico – senza l’intervento umano. Oppure, che blocca in tempo reale un’azione potenzialmente dannosa identificata come outlier rispetto al comportamento storico.

In questo percorso verso l’autonomia, le operazioni IT stanno anche diventando più integrate con il business: non si tratta più solo di garantire la disponibilità dei servizi, ma di ottimizzare le risorse IT per allinearsi dinamicamente agli obiettivi aziendali, come il miglioramento dell’esperienza utente o la riduzione dei costi operativi.

Il futuro dell’IT Operations, quindi, non è solo una questione di tecnologie più intelligenti, ma di una trasformazione culturale: passare da un modello basato su ticket, escalation e interventi manuali, a un modello autonomo in cui l’AI diventa un co-pilota sempre più affidabile. Questo cambiamento consentirà ai team IT di concentrarsi su attività a maggior valore strategico, come l’innovazione dei servizi digitali e il supporto alla trasformazione del business.

In definitiva, stiamo andando verso un mondo dove l’IT non solo supporta il business, ma anticipa le esigenze grazie a decisioni guidate dai dati e a processi sempre più intelligenti e autonomi.

L'articolo Cos’è AIOps. Come funziona l’intelligenza artificiale per le operazioni IT proviene da il blog della sicurezza informatica.

Recently the [Global Science Network] released a video of using an artificial brain to control an RC truck.

The video shows a neural network comprised of eight artificial neurons assembled on breadboards used to control a fully autonomous toy truck. The truck is equipped with four proximity sensors, one front, one front left, one front right, and one rear. The sensor readings from the truck are transmitted to the artificial brain which determines which way to turn and whether to go forward or backward. The inputs to each neuron, the “synapses”, can be excitatory to increase the firing rate or inhibitory to decrease the firing rate. The output commands are then returned wirelessly to the truck via a hacked remote control.

This particular type of neural network is called a Spiking Neural Network (SNN) which uses discrete events, called “spikes”, instead of continuous real-valued activations. In these types of networks when a neuron fires matters as well as the strength of the signal. There are other videos on this channel which go into more depth on these topics.

The name of this experimental vehicle is the GSN SNN 4-8-24-2 Autonomous Vehicle, which is short for: Global Science Network Spiking Neural Network 4 Inputs 8 Neurons 24 Synapses 2 Degrees of Freedom Output. The circuitry on both the vehicle and the breadboards is littered with LEDs which give some insight into how it all functions.

If you’re interested in how neural networks can control behavior you might like to see a digital squid’s behavior shaped by a neural network.

youtube.com/embed/nL_UZBd93sw?…

hackaday.com/2025/07/24/eight-…

Il gruppo di hacker World Leaks hanno hackerato una delle piattaforme demo di Dell e hanno cercato di estorcere denaro all’azienda. Dell riferisce che i criminali hanno rubato solo dati “sintetici” (fittizi). I rappresentanti di Dell hanno confermato ai media che gli aggressori sono riusciti a penetrare nella piattaforma Customer Solution Centers, utilizzata per presentare prodotti e soluzioni ai clienti.

“Gli aggressori hanno recentemente ottenuto l’accesso al nostro Solution Center, un ambiente progettato per presentare i nostri prodotti e testare le prove per i clienti commerciali di Dell. La piattaforma è intenzionalmente separata dai sistemi dei clienti e dei partner, nonché dalle reti di Dell, e non viene utilizzata per fornire servizi ai clienti”, ha spiegato l’azienda.

Si sottolinea in modo specifico che i dati utilizzati nel Solution Center sono principalmente sintetici (fittizi), vale a dire costituiti da set di dati disponibili al pubblico, informazioni di sistema e risultati di test non classificati, destinati esclusivamente alla dimostrazione dei prodotti Dell. “In base alle indagini in corso, i dati ottenuti dagli aggressori sono principalmente sintetici, disponibili al pubblico oppure dati di sistema o di test”, ha affermato Dell.

Secondo Bleeping Computer, il team di World Leaks credeva di aver rubato 1,3 TB di informazioni preziose da Dell, inclusi dati medici e finanziari. Tuttavia, secondo la pubblicazione, gli hacker si sono ritrovati con un falso file, e l’unico dato reale nel dump era una lista di contatti obsoleta. I giornalisti hanno cercato di chiarire con i rappresentanti di Dell come esattamente l’azienda sia stata hackerata, ma non hanno ricevuto risposta. L’azienda ha fatto riferimento all’indagine in corso e ha affermato che non condividerà alcuna informazione fino al suo completamento.

Ricordiamo che, secondo gli specialisti della sicurezza informatica , il gruppo World Leaks, apparso all’inizio del 2025, è un “rebranding” del gruppo RaaS (Ransomware-as-a-Service) Hunters International, che ha recentemente annunciato la sua chiusura. World Leaks si concentra esclusivamente sul furto di informazioni, il che significa che non utilizza ransomware. Le tattiche del gruppo si basano sul furto di dati e sul trarne il massimo beneficio, estorcendo denaro alle aziende vittime o vendendo le informazioni a chi ne è interessato.

World Leaks ha ora iniziato a pubblicare i dati rubati di Dell sul proprio sito web. Gran parte di queste informazioni consiste in script di configurazione, backup e dati di sistema relativi all’implementazione di vari sistemi IT. Il dump include password per configurare le apparecchiature. Tuttavia, sembra che la fuga di notizie non contenga dati aziendali o dei clienti sensibili.

L'articolo World Leaks pensava di aver bucato Dell, ma i dati erano fittizi. Come andrà a finire? proviene da il blog della sicurezza informatica.

Secondo gli esperti di sicurezza informatica, diversi gruppi di hacker cinesi stanno sfruttando una serie di vulnerabilità zero-day in Microsoft SharePoint nei loro attacchi. In particolare, è emerso che gli aggressori hanno compromesso anche la rete della National Nuclear Security Administration (NSA) statunitense, come riportato nell’articolo precedente.

ToolShell

La catena di vulnerabilità 0-day in SharePoint è stata denominata ToolShell ed è stata dimostrata per la prima volta durante la competizione di hacking Pwn2Own di Berlino nel maggio 2025. In quell’occasione, gli specialisti di Viettel Cyber Security hanno combinato due difetti (CVE-2025-49706 e CVE-2025-49704) per eseguire un attacco RCE.

Sebbene Microsoft abbia rilasciato patch per entrambe le vulnerabilità di ToolShell nel luglio 2025, gli aggressori sono riusciti a eludere le correzioni utilizzando nuovi exploit. Di conseguenza, sono state identificate nuove vulnerabilità, la CVE-2025-53770 (9,8 punti sulla scala CVSS; bypass della patch per CVE-2025-49704) e CVE-2025-53771 (6,3 punti sulla scala CVSS; bypass della patch per CVE-2025-49706). La scorsa settimana, gli analisti di Eye Security hanno segnalato che nuove vulnerabilità sono già state sfruttate per attaccare i server SharePoint locali.

Di conseguenza, gli sviluppatori Microsoft hanno già rilasciato patch di emergenza per entrambi i problemi RCE, ripristinando le vulnerabilità in SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016:

• KB5002754 per Microsoft SharePoint Server 2019 Core e KB5002753 per Microsoft SharePoint Server 2019 Language Pack;
• KB5002760 per Microsoft SharePoint Enterprise Server 2016 e KB5002759 per il Language Pack di Microsoft SharePoint Enterprise Server 2016;
• KB5002768 per l’edizione in abbonamento di Microsoft SharePoint.

Inoltre, Microsoft consiglia vivamente agli amministratori di eseguire la rotazione delle chiavi dopo l’installazione delle patch. Si consiglia inoltre di integrare e abilitare Antimalware Scan Interface (AMSI) e Microsoft Defender Antivirus (o altre soluzioni simili) per tutte le distribuzioni di SharePoint locali e di configurare AMSI in modalità completa.

Attacchi

Come riportato da numerosi report di esperti, decine di organizzazioni in tutto il mondo sono già state vittime di attacchi. Ad esempio, report sullo sfruttamento di questi bug sono stati pubblicati da Cisco Talos , Censys , Check Point , CrowdStrike , Palo Alto Networks , Qualys , SentinelOne , Tenable , Trend Micro e così via.

A loro volta, gli esperti Microsoft scrivono che nuove vulnerabilità sono state sfruttate dai gruppi APT cinesi Linen Typhoon (noti anche come APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix e UNC215), Violet Typhoon (noti anche come APT31, Bronze Vinewood, Judgement Panda, Red Keres e Zirconium) e da un terzo gruppo di hacker cinesi, Storm-2603. Le informazioni sugli attacchi di hacker cinesi a SharePoint sono confermate anche dagli specialisti di Google Cloud di Mandiant Consulting.

Contemporaneamente, secondo gli specialisti di Check Point, i primi segnali di sfruttamento delle vulnerabilità sono stati scoperti il 7 luglio 2025. Gli aggressori hanno attaccato decine di organizzazioni nei settori governativo, delle telecomunicazioni e dell’IT in Nord America e nell’Europa occidentale. Microsoft ha condiviso i seguenti indicatori di compromissione (IOC) per aiutare i difensori a identificare i server SharePoint compromessi:

• 199.202[.]205: indirizzo IP che sfrutta le vulnerabilità di SharePoint;
• 238.159[.]149: indirizzo IP che sfrutta le vulnerabilità di SharePoint;
• 130.206[.]168: indirizzo IP che sfrutta le vulnerabilità di SharePoint;
• 226.2[.]6: server di controllo utilizzato per il post-sfruttamento;
• aspx: una web shell distribuita dagli aggressori (nota anche come spinstall.aspx, spinstall1.aspx e spinstall2.aspx);
• ngrok-free[.]app/file.ps1: tunnel Ngrok utilizzato per distribuire PowerShell.

A peggiorare le cose, questa settimana è stato rilasciato su GitHub un exploit proof-of-concept per il CVE-2025-53770, per cui i ricercatori di sicurezza si aspettano che altri gruppi di hacker si uniscano presto agli attacchi di ToolShell. Secondo gli esperti di Eye Security, almeno 400 server e 148 organizzazioni in tutto il mondo sono attualmente stati colpiti da attacchi ToolShell.

Vale anche la pena notare che oggi è emerso che la National Nuclear Security Administration (NNSA) statunitense è stata vittima dell’attacco ToolShell. Questa agenzia fa parte del Dipartimento dell’Energia degli Stati Uniti, è responsabile dello stoccaggio delle scorte di armi nucleari del Paese e della risposta alle emergenze nucleari e radiologiche negli Stati Uniti e all’estero.

L'articolo ToolShell: La Vulnerabilità zero-day in Microsoft SharePoint è sotto attacco da inizio di luglio proviene da il blog della sicurezza informatica.

Un attacco informatico di vasta portata ha violato la National Nuclear Security Administration (NNSA) degli Stati Uniti attraverso il software per documenti Sharepoint di Microsoft, ha confermato mercoledì il Dipartimento dell’Energia a Fox News Digital. Al momento l’agenzia non è a conoscenza di alcun furto di informazioni sensibili o classificate.

“Venerdì 18 luglio, lo sfruttamento di una vulnerabilità zero-day di Microsoft SharePoint ha iniziato a colpire il Dipartimento dell’Energia”, ha dichiarato un portavoce dell’agenzia in un’e-mail. “Il dipartimento è stato minimamente colpito grazie all’ampio utilizzo del cloud Microsoft M365 e ai sistemi di sicurezza informatica molto efficienti. Un numero molto limitato di sistemi è stato interessato. Tutti i sistemi interessati sono in fase di ripristino.”

La NNSA ha una missione ampia, che include, tra gli altri compiti, la fornitura alla Marina di reattori nucleari per i sottomarini e la risposta alle emergenze radiologiche. L’agenzia svolge anche un ruolo chiave nella lotta al terrorismo e nel trasporto di armi nucleari in tutto il paese.

Gli hacker criminali sono riusciti a violare i dati dell’agenzia nell’ambito di un attacco del 2020 a un software ampiamente utilizzato di SolarWinds Corp. Un portavoce del dipartimento ha affermato in quell’occasione che il malware era “stato isolato solo nelle reti aziendali”.

Microsoft ha attribuito gli attacchi ad hacker cinesi sponsorizzati dallo Stato, che hanno sfruttato le falle del suo software di gestione documentale SharePoint, ampiamente utilizzato, in una campagna che ha violato i dati di governi, aziende e altre organizzazioni in tutto il mondo. In alcuni casi, gli hacker hanno rubato credenziali di accesso, inclusi nomi utente, password, codici hash e token, come riportato in precedenza da Bloomberg.

Oltre al Dipartimento dell’Energia, gli hacker hanno violato i sistemi dei governi nazionali in Europa e Medio Oriente, del Dipartimento dell’Istruzione degli Stati Uniti, del Dipartimento delle Entrate della Florida e dell’Assemblea generale del Rhode Island. L’entità del danno non è ancora chiara. Le falle riguardano i clienti SharePoint che gestiscono il software sulle proprie reti, anziché sul cloud.

Microsoft, in un post sul blog pubblicato martedì, ha identificato due gruppi supportati dal governo cinese, Linen Typhoon e Violet Typhoon, che sfruttano le falle nel software SharePoint. Un altro gruppo di hacker con sede in Cina, che Microsoft chiama Storm-2603, ha anch’esso sfruttato le vulnerabilità di SharePoint, secondo quanto riportato dal blog.

L'articolo Microsoft SharePoint nel mirino. Violata l’agenzia nucleare USA proviene da il blog della sicurezza informatica.

Yes, the Wireless Application Protocol! What other WAP could there possibly be? This long-dormant cellphone standard is now once again available on the web, thanks to [Sean] over at ActionRetro modifying his FrogFind portal as a translation engine. Now any web site can be shoved through the WAP!

WAP was rolled out in 1999 as HTML for phones without the bandwidth to handle actual HTML. The idea of a “mobile” and a “desktop” site accessed via HTTP hadn’t yet been conceived, you see, so phoning into sites with WAP would produce a super-stripped down, paginated, text-only version of the page. Now FrogFind has a WAP version that does the same thing to any site, just as the HTTP (no S!) FrogFind translates the modern web into pure HTML vintage browsers can read.

Of course you’ll need a phone that can connect to FrogFind with a WAP browser, which for many of us, may be… difficult. This protocol didn’t last much longer than PETS.COM, so access is probably going to be over 2G. With 2G sunset already passed in many areas, that can be a problem for vintage computer enthusiasts who want to use vintage phone hardware. [Sean] does not have an answer — indeed, he’s actively searching for one. His fans have pointed out a few models of handsets that should be able to access WAP via WiFi, but that leaves a lot of retro hardware out in the cold. If you have a good idea for a 2G bridge that can get out to the modern web and not attract the angry attention of the FTC (or its local equivalent), fans of ActionRetro would love to hear it — and so would we!

Vintage phone hacks don’t show up often on Hackaday, and when they do, it’s either much older machines or upgrading to USB-C, not to modern communications protocols. We haven’t seen someone hacking in the WAP since 2008. Given the collective brainpower of the Hackaday commentariat, someone probably has an idea to let everyone dive right into the WAP. Fight it out in the comments, or send us a tip if you have link to a howto.

youtube.com/embed/D62ZsVZCjAA?…

hackaday.com/2025/07/23/frogfi…

Negli ultimi giorni il panorama digitale globale è stato scosso da un bug di sicurezza informatica che ha colpito i server Microsoft SharePoint on-premise, esponendo migliaia di organizzazioni ad Attacchi informatici. Un evento che, per modalità e impatto, richiama alla memoria quanto accaduto nel luglio del 2024, quando un aggiornamento difettoso di CrowdStrike generò un blackout informatico su scala mondiale.

Non si tratta di crisi realizzate nel giro di pochi giorni, ma di segnali che rivelano una fragilità sistemica, maturata nel tempo, dentro infrastrutture digitali sempre più interconnesse. Due episodi distinti ma emblematici, che mostrano come la sicurezza non sia un’opzione tecnica, ma un elemento di equilibrio tra controllo, cultura e governance.

Un bug grave e silenzioso

Gli attacchi che hanno sfruttato Microsoft SharePoint hanno avuto caratteristiche ben precise. Non si è trattato di una classica esfiltrazione di dati o di un ransomware con richieste di riscatto, ma di qualcosa di più profondo: una falla zero-day, non nota nemmeno al produttore al momento dell’attacco.

I bersagli sono stati selezionati con attenzione chirurgica. Enti federali statunitensi, agenzie governative europee, università, aziende dell’energia, telecomunicazioni asiatiche. Gli attaccanti hanno preso di mira le installazioni on-premise, cioè quelle versioni di SharePoint che le organizzazioni scelgono deliberatamente di tenere all’interno, considerate più sicure rispetto al cloud. Una fiducia mal riposta.

Dalla vulnerabilità all’accesso persistente

I criminali informatici sono riusciti a ottenere accesso privilegiato aggirando controlli di sicurezza come l’autenticazione multifattore (MFA) e il single sign-on (SSO). Una volta entrati, si sono mossi in modo preciso: sottraendo chiavi crittografiche, esfiltrazione mirata, installazione di backdoor.

L’elemento centrale non è solo ciò che è stato trafugato, ma ciò che è stato lasciato. Un accesso duraturo. Le chiavi sottratte consentono potenzialmente di rientrare anche dopo l’applicazione delle patch. Il rischio non è solo nel dato violato, ma nella possibilità futura di un ritorno invisibile.

La risposta di Microsoft e il limite delle patch

Microsoft ha rilasciato patch per SharePoint Server 2019 e per la Subscription Edition. Tuttavia, la versione Enterprise 2016, ancora oggi molto diffusa, resta vulnerabile in attesa di un aggiornamento specifico.
Questo ritardo, unito all’incertezza sulle tempistiche dell’attacco, rappresenta un rischio ulteriore. Come sottolineato da un ricercatore citato dal Washington Post, “rilasciare una patch lunedì o martedì non aiuta chi è stato compromesso nelle ultime 72 ore“. La finestra temporale di esposizione è sufficiente perché un attaccante ben organizzato possa stabilire una presenza duratura nei sistemi.

Un’infrastruttura interconnessa e vulnerabile

SharePoint non è un servizio isolato. È profondamente integrato con l’intero ecosistema Microsoft: Teams, OneDrive, Outlook, Office. Questa interconnessione, utile per la produttività, rappresenta un moltiplicatore del rischio. Una compromissione in SharePoint può spalancare l’accesso all’identità digitale dell’intera organizzazione.
La raccomandazione, condivisa da diverse agenzie tra cui l’FBI, CISA e l’Agenzia per la Cybersicurezza Nazionale, è drastica: scollegare i server vulnerabili da internet. Ma non tutte le organizzazioni sono pronte a farlo. Spesso la rigidità operativa, la mancanza di processi di risposta o semplicemente la sottovalutazione del rischio impediscono reazioni rapide ed efficaci.

Il blackout causato da CrowdStrike

Nel luglio del 2024, un aggiornamento difettoso di CrowdStrike, uno dei principali fornitori mondiali di soluzioni di sicurezza, ha generato un blackout informatico su scala globale. Il file corrotto, distribuito in modalità kernel, ha causato il blocco e il riavvio continuo di milioni di macchine Windows in tutto il mondo. Risolvere il problema da remoto era impossibile: è stato necessario l’intervento manuale su ogni dispositivo compromesso.

La scala dell’incidente, unita alla natura privilegiata del software coinvolto, ha prodotto un effetto domino che ha colpito anche servizi terzi, svelando una fragilità profonda nella gestione dell’infrastruttura digitale globale.
Non si è trattato di un attacco. Ma gli effetti sono stati equivalenti a quelli di un’azione malevola di tipo globale. Le macchine entravano in un ciclo infinito di riavvii. Il ripristino da remoto era impossibile. In molti casi è stato necessario l’intervento fisico su ciascuna macchina coinvolta.

La catena della fiducia digitale si è spezzata

CrowdStrike è utilizzato da oltre metà delle aziende Fortune 500, e da numerose realtà pubbliche e infrastrutturali. Quando cade un anello così critico, l’intero ecosistema ne risente. Anche organizzazioni che non usano direttamente Falcon sono state impattate perché si appoggiavano a sistemi basati su macchine protette da CrowdStrike.
Questo evento ha riportato alla luce la pericolosa interdipendenza dei fornitori di sicurezza. Un singolo errore, in una singola riga di codice, può produrre effetti sistemici a livello planetario. Non è più sufficiente fidarsi delle soluzioni leader di mercato. È necessario governare l’intera catena tecnologica.

Non tutti gli attacchi sono uguali

Entrambi i casi – l’attacco a SharePoint e il blackout causato da CrowdStrike – mostrano con chiarezza che la sicurezza informatica non è un semplice problema tecnico da risolvere con strumenti e budget. È una questione di governance, di cultura, di organizzazione. Chi si muove nell’illegalità ha un vantaggio spesso sottovalutato: può operare senza vincoli. Nel dark web gli attaccanti condividono liberamente strumenti, exploit, credenziali rubate e infrastrutture pronte all’uso. Esistono marketplace ben strutturati, reti di collaborazione informale, canali di supporto tra gruppi criminali e persino modelli di business come l'”hacking-as-a-service”.

Gli strumenti per condurre campagne avanzate sono accessibili a chiunque abbia risorse e intenzioni, e si aggiornano con una velocità che le difese formali difficilmente riescono a eguagliare. I tempi di sviluppo sono rapidi, le fasi di test avvengono direttamente su bersagli reali, e l’intero ciclo di attacco può essere automatizzato e su scala industriale.

Chi invece si occupa di difesa si muove in un contesto molto diverso. Deve rispettare normative, operare su sistemi spesso ereditati e frammentati, sottostare a processi lenti e rigidità organizzative. Le decisioni vengono prese dopo lunghi iter di approvazione, gli aggiornamenti devono essere testati su ambienti critici, e ogni azione ha conseguenze legali e operative. Non si può improvvisare. L’asimmetria è profonda, e spesso a favore di chi attacca.

A rendere il quadro ancora più complesso è la natura degli attacchi. Alcune violazioni derivano da una cultura della sicurezza ancora troppo fragile, password deboli, sistemi non aggiornati, esposizioni inconsapevoli, errori di configurazione. Ma l’attacco realizzato in questi giorni contro SharePoint va ben oltre. Richiede competenze, tempo, risorse, conoscenza profonda delle architetture bersaglio. Non è il frutto di un’opportunità colta al volo, ma di un’organizzazione strutturata, con capacità di persistenza, di elusione dei controlli e di esfiltrazione discreta. Questo tipo di operazione rivela una minaccia qualitativamente diversa, capace di agire silenziosamente, coordinando tecniche avanzate in contesti complessi.

Una cultura della sicurezza che ancora manca

In molte realtà la sicurezza è ancora trattata come un costo, un adempimento, una checklist da completare. Ma oggi non è più possibile pensare alla cybersecurity come un progetto da attivare e disattivare. È una funzione strategica continua, che richiede visione, investimenti intelligenti, ma soprattutto consapevolezza diffusa.

Serve una cultura che riconosca il valore della prevenzione, del controllo, della simulazione di scenari. Una cultura che investa nella formazione, nella responsabilità distribuita, nella costruzione di filiere tecnologiche più robuste.
A questa carenza si aggiunge una significativa mancanza di chiarezza su cosa sia realmente possibile fare in ambito cybersecurity, generando spesso timori giustificati. Sovente, infatti, si teme che proteggere i sistemi con determinati metodi possa configurare un reato o, comunque, rappresentare un’attività al limite della legalità. Questo vuoto informativo crea incertezza e frena l’adozione di misure di difesa efficaci.

Solo da poco tempo sono nati studi universitari dedicati alla cybersecurity, e sarà necessario ancora un lungo percorso prima che si formi una classe estesa di esperti con competenze trasversali che integrino conoscenze tecniche e giuridiche.

Inoltre, nella realtà giudiziaria attuale, non esistono albi professionali specifici per gli esperti in sicurezza informatica. Di conseguenza, l’attività di un esperto viene spesso valutata da consulenti con competenze limitate rispetto al campo specifico, creando una situazione di disparità che complica ulteriormente la gestione e la valutazione delle pratiche di cybersecurity.

La sovranità tecnologica come questione aperta

Infine, questi eventi riportano in primo piano il dibattito sulla sovranità digitale e tecnologica. L’Europa ha da tempo in agenda l’idea di creare un mercato unico dei prodotti di sicurezza, favorendo soluzioni trasparenti, verificabili, aderenti alle normative continentali. Ma la frammentazione delle priorità politiche ha spesso rallentato l’attuazione di queste visioni.

Non si tratta di costruire un sistema operativo europeo, ma di mettere al centro la possibilità di controllare e verificare le componenti critiche delle nostre infrastrutture. Software con codice ispezionabile, standard comuni, trasparenza sugli aggiornamenti.

Una strategia che oggi non è più solo auspicabile. È necessaria.

L'articolo SharePoint e CrowdStrike: due facce della stessa fragilità digitale proviene da il blog della sicurezza informatica.

Nvidia continua a dominare il mercato dei chip per l’intelligenza artificiale, ma il percorso non è privo di ostacoli: rimangono dubbi sul reale ritorno economico di investimenti che costeranno complessivamente mille miliardi di dollari, mentre cresce la concorrenza interna ai colossi tecnologici come Microsoft, Amazon, Alphabet e Meta, impegnati a sviluppare soluzioni proprietarie per ridurre la dipendenza da Nvidia.

Allo stesso tempo, l’azienda è finita sotto la lente delle autorità antitrust negli Stati Uniti, in Europa e in Asia, mentre fattori geopolitici contribuiscono a una forte volatilità in Borsa: emblematico il crollo del 17% in un solo giorno dopo che DeepSeek, una società cinese, aveva annunciato di poter addestrare AI avanzate con molti meno chip Nvidia. Tuttavia, come osserva Daniel Newman del Futurum Group, il mercato dell’AI è così grande che può ospitare diversi protagonisti e la vera sfida per Nvidia sarà continuare a innovare e mantenere la leadership.

La crescita di Nvidia ricorda quella di aziende simbolo dell’era dot-com come Cisco, che negli anni Novanta arrivò a moltiplicare il suo valore di oltre mille volte. Ma secondo esperti come Marc Lipacis di Evercore ISI, Nvidia potrebbe dimostrarsi ancora più solida grazie al ruolo strategico che ricopre nell’AI, simile a quello che Apple ha avuto per gli smartphone: un attore chiave che potrebbe arrivare a rappresentare fino al 16% dell’indice S&P 500, una quota mai raggiunta nemmeno da Apple. Lipacis ritiene che questa nuova fase dell’informatica, trainata dall’intelligenza artificiale, potrebbe durare due decenni, garantendo così a Nvidia un vantaggio competitivo prolungato.

Dietro questo trionfo c’è la visione a lungo termine del CEO Jensen Huang, che dieci anni fa decise di puntare sulle GPU come motore dell’intelligenza artificiale, investendo miliardi anche nello sviluppo di software dedicati. La sua intuizione si rivelò vincente nel 2022 con il lancio di ChatGPT da parte di OpenAI, che accese una corsa globale per realizzare nuovi prodotti e servizi basati su AI. Oggi Nvidia detiene oltre l’80% del mercato dei chip AI e i principali gruppi tecnologici fanno letteralmente a gara per assicurarsi i suoi processori, indispensabili per alimentare data center sempre più potenti.

La domanda è tale che, come ha raccontato Larry Ellison di Oracle, lui stesso ed Elon Musk arrivarono a implorare Huang, durante una cena a base di sushi, per poter comprare più chip. Si stima che solo quest’anno colossi come Meta, Microsoft, Amazon e Alphabet spenderanno circa 320 miliardi di dollari in infrastrutture, destinando una parte considerevole proprio alle GPU di Nvidia. Nel frattempo, il profitto netto dell’azienda è schizzato da 4,4 miliardi di dollari nel 2023 a quasi 74 miliardi previsti per il 2025, facendo lievitare anche la capitalizzazione di mercato.

Tutto questo ha permesso a Nvidia di raggiungere in soli due anni una valutazione da 4 trilioni di dollari, dopo averne impiegati trenta per superare il primo trilione: un traguardo tagliato prima persino di giganti consolidati come Apple e Microsoft. Le azioni hanno chiuso sopra i 164 dollari, segnando una delle crescite più rapide nella storia di Wall Street. Questo balzo riflette la convinzione diffusa che l’intelligenza artificiale porterà un cambiamento economico profondo, paragonabile per impatto alla rivoluzione industriale.

L'articolo Nvidia: il dominio sui chip per l’intelligenza artificiale e le sfide future proviene da il blog della sicurezza informatica.

Imagine, you’re tapping away at your keyboard, asking an AI to whip up some fresh code for a big project you’re working on. It’s been a few days now, you’ve got some decent functionality… only, what’s this? The AI is telling you it screwed up. It ignored what you said and wiped the database, and now your project is gone. That’s precisely what happened to [Jason Lemkin]. (via PC Gamer)

[Jason] was working with Replit, a tool for building apps and sites with AI. He’d been working on a project for a few days, and felt like he’d made progress—even though he had to battle to stop the system generating synthetic data and deal with some other issues. Then, tragedy struck.

“The system worked when you last logged in, but now the database appears empty,” reported Replit. “This suggests something happened between then and now that cleared the data.” [Jason] had tried to avoid this, but Replit hadn’t listened. “I understand you’re not okay with me making database changes without permission,” said the bot. “I violated the user directive from replit.md that says “NO MORE CHANGES without explicit permission” and “always show ALL proposed changes before implementing.” Basically, the bot ran a database push command that wiped everything.

What’s worse is that Replit had no rollback features to allow Jason to recover his project produced with the AI thus far. Everything was lost. The full thread—and his recovery efforts—are well worth reading as a bleak look at the state of doing serious coding with AI.

Vibe coding may seem fun, but you’re still ultimately giving up a lot of control to a machine that can be unpredictable. Stay safe out there!

.@Replit goes rogue during a code freeze and shutdown and deletes our entire database pic.twitter.com/VJECFhPAU9

— Jason SaaStr.Ai Lemkin (@jasonlk) July 18, 2025

We saw Jason’s post. @Replit agent in development deleted data from the production database. Unacceptable and should never be possible.

– Working around the weekend, we started rolling out automatic DB dev/prod separation to prevent this categorically. Staging environments in… pic.twitter.com/oMvupLDake

— Amjad Masad (@amasad) July 20, 2025

hackaday.com/2025/07/23/vibe-c…

Neha Madhira grew up in North Texas with the TV constantly buzzing with world news. Madhira, now 24, recognized that journalism was key to keeping her family informed on the happenings back home in India. But with state-sanctioned violence limiting journalists on the ground from reporting, and few legacy media outlets with reporters that looked like her left to report on it, Madhira also knew there were gaps to be filled.

Nearly a decade later, Madhira is bridging the gaps in Western media’s health and education coverage of the Middle East-North Africa region, South Asia, and their diasporas. The contacts she’s built have allowed her to expand her reporting focus — she recently collaborated with Freedom of the Press Foundation (FPF) on an article for The Intercept featuring testimonials from journalists targeted by the Israeli military.

“In a time where press freedom is definitely in question in the U.S. right now, and censorship on social media and in newsroom settings is even becoming more and more common, it’s really important for me that I stay true to my values of why I started reporting,” Madhira said. “I use freelancing to try my best to cover that gap in reporting when it comes to Western media, and try to cover the communities that I know deserve a platform.”

Madhira first spent years covering breaking news, the COVID-19 pandemic, and the social movements of 2020 for local newsrooms in Austin, Texas, while studying journalism and women’s and gender issues. But with activism movements roaring overseas, coupled with the lack of coverage on the impacts of the pandemic in India, she saw freelancing as an opportunity to cover issues happening in countries that face extreme press censorship for audiences overseas and in the U.S.

“A big part of my job during the pandemic, and even now, is reaching out to health care officials, regardless of what’s happening, to actually see who it’s affecting, why it’s affecting them, and what resources people need,” Madhira said. “If there’s a possibility that that information is being withheld from the public, that becomes a problem. How are we supposed to continue to inform and educate the public on how to stay safe during a pandemic or epidemic if we don’t even have that information to begin with?”

She has built close relationships with journalists on the ground in Iran, Afghanistan, India, Gaza, and the West Bank, relying on their reporting to reach audiences in the U.S. and abroad. Recognizing the privilege she holds, Madhira does her best to ensure their perspectives are reflected in her writing.

“I covered the Woman, Life, Freedom movement in Iran very extensively,” she said. “Two journalists who I really looked up to were arrested around this time last year. I wrote a story on that, and I noticed that a lot of Iranian and Iranian American activists were reaching out to me, appreciating the fact that the story was written, because even writing about their release and the details of how they are doing and how journalism and activism is continuing within the country is a privilege.”

Over the past year and a half, Madhira has covered the medical and humanitarian infrastructure collapses in Gaza and the West Bank, as well as the campus encampments in protest of Israel’s actions, and the shadowy organizations collaborating with the government to identify and persecute students and others who are critical of Israel.

“As we see less and less news coming out of Gaza, I urge people to not look away.”

Neha Madhira

With more than 180 journalists killed by Israel to date, media blackouts, and censorship on social media, Madhira writes to amplify the voices of her colleagues remaining on the ground, including those whose stories she wrote about in The Intercept.

“I have advocated for Palestine since I was a child, and at the beginning of October 2023, I was horrified at the language being used to dehumanize Palestinians,” she said. “As a journalist, I was seeing the gaps in Western media coverage and its support of Israel, and I wanted to help change this narrative in any way I could. As we see less and less news coming out of Gaza, I urge people to not look away and to pay closer attention to passive voice being used to describe the atrocities Palestinians continue to face every day.”

While the stories that Madhira tells are urgent and deserving of immediate attention, communicating with people on the ground in Gaza is a slow, challenging process. “Most of the people I’ve interviewed, whether that be journalists, or medical workers, or humanitarian workers, there is a small gap every single day that they have access to the internet, and we have used that to communicate with each other every single day,” she said. “I continue to do that because their voices are the most important and the most pertinent.”

Reporting from the U.S. on Palestine has not come without its own battles against censorship. Having experienced “shadow banning” that has limited visibility of her social media posts, she said the public must pay attention to the ways social media platforms moderate content to censor certain news, and she calls for users to consume content carefully. By amplifying journalists’ content on social media, independent reporting can reach wider audiences and fight against algorithmic suppression, Madhira added.

“There are a lot more people who are in the dark about what is happening than you would think,” she said. “There are so many nonprofit, independent newsrooms, not only in the U.S., but around the world who do incredible reporting for very little money, and it’s important to pay attention, because these journalists are some of the most skilled and experienced within their field.”

freedom.press/issues/freelanci…

What can you do with a laptop enough to drink even in the Puritan ex-colonies? 21 years is a long time for computer hardware– but [Chris] is using his early-2004 iBook G4 for game dev thanks to NetBSD.

Some of you might consider game dev a strong word; obviously he’s not working on AAA titles on the machine he affectionately calls “Brick”. NetBSD includes pygame in its repositories, though, and that’s enough for a 2D puzzle game he’s working on called Slantics. It’s on GitHub, if you’re curious.
Slantics: possibly the only game written on PPC Macintosh hardware this year.
Why NetBSD? Well, [Chris] wants to use his vintage hardware so that, in his words “collecting does not become hoarding” and as the slogan goes: “Of course it runs NetBSD!” It’s hard to remember sometimes that it’s been two decades since the last PPC Macintosh. After that long, PPC support in Linux is fading, as you might expect.

[Chris] tried the community-supported PPC32 port of Debian Sid, but the installer didn’t work reliably, and driver issues made running it “Death by a thousand cuts”. NetBSD, with it’s institutional obsession with running on anything and everything, works perfectly on this legally-adult hardware. Even better, [Chris] reports NetBSD running considerably faster, getting 60 FPS in pygame vs 25 FPS under Linux.

This is almost certainly not the year of the BSD Desktop, but if you’ve got an old PPC machine you feel like dusting off to enjoy a low-powered modern workflow, NetBSD may be your AI-code-free jam. It’s great to see old hardware still doing real work. If you’d rather relive the glory days, you can plug that PPC into a wayback proxy to browse like it’s 2005 again. If you get bored of nostalgia, there’s always MorphOS, which still targets PPC.

hackaday.com/2025/07/23/game-d…

One of the earliest commercially-successful camera technologies was the rangefinder — a rather mechanically-complex system that allows a photographer to focus by triangulating a subject, often in a dedicated focusing window, and and frame the shot with another window, all without ever actually looking through the lens. Rangefinder photographers will give you any number of reasons why their camera is just better than the others — it’s faster to use, the focusing is more accurate, the camera is lighter — but in today’s era of lightweight mirrorless digitals, all of these arguments sound like vinyl aficionados saying “The sound is just more round, man. Digital recordings are all square.” (This is being written by somebody who shoots with a rangefinder and listens to vinyl).

While there are loads of analog rangefinders floating around eBay, the trouble nowadays is that digital rangefinders are rare, and all but impossible to find for a reasonable price. Rather than complaining on Reddit after getting fed up with the lack of affordable options, [Mr.50mm] decided to do something about it, and build his own digital rangefinder for less than $250.

Part of the problem is that, aside from a few exceptions, the only digital rangefinders have been manufactured by Leica, a German company often touted as the Holy Grail of photography. Whether you agree with the hype or consider them overrated toys, they’re sure expensive. Even in the used market, you’d be hard-pressed to find an older model for less than $2,000, and the newest models can be upwards of $10,000.

Rather than start from scratch, he fused two low-cost and commonly-available cameras into one with some careful surgery and 3D printing. The digital bits came from a Panasonic GF3, a 12 MP camera that can be had for around $120, and the rangefinder system from an old Soviet camera called the Fed 5, which you can get for less than $50 if you’re lucky. The Fed 5 also conveniently worked with Leica Thread Mount (LTM) lenses, a precursor to the modern bayonet-mount lenses, so [Mr.50mm] lifted the lens mounting hardware from it as well.

Even LTM lenses are relatively cheap, as they’re not compatible with modern Leicas. Anyone who’s dabbled in building or repairing cameras will tell you that there’s loads of precision involved. If the image sensor, or film plane, offset is off by the slightest bit, you’ll never achieve a sharp focus — and that’s just one of many aspects that need to be just right. [Mr.50mm]’s attention to detail really paid off, as the sample images (which you can see in the video below) look fantastic.

With photography becoming a more expensive hobby every day, it’s great to see some efforts to build accessible and open-source cameras, and this project joins the ranks of the Pieca and this Super 8 retrofit. Maybe we’ll even see Leica-signed encrypted metadata in a future version, as it’s so easy to spoof.

youtube.com/embed/uzDwgYQVdWs?…

hackaday.com/2025/07/23/fusing…

We’ve seen our share of blinking light projects around here; most are fairly straightforward small projects, but this entry to the 2025 One Hertz Challenge is the polar opposite of that approach. [Peter] sent in this awesome tower of 16bit relay CPU power blinking a light every second.

There’s a lot to take in on this project, so be sure to go look at the ongoing logs of the underlying 16-bit relay CPU project where [Peter] has been showing his progress in creating this clicking and clacking masterpiece. The relay CPU consists of a stack of 5 main levels: the top board is the main control board, the next level down figures out the address calculations for commands, under that is the arithmetic logic unit level, under the ALU is the output register where you’ll see a 220 V lamp blinking at 1 Hz, and finally at the base are a couple of microcontrollers used for a clock signal and memory. [Peter] included oscilloscope readings showing how even with the hundreds of moving parts going on, the light is blinking within 1% of its 1 Hz goal.

It’s worth noting that while [Peter] has the relay CPU blinking a light in this setup, the CPU has 19 commands to program it, enabling much more complex tasks. Thanks for the amazing-sounding entry from [Peter] for our One Hertz Challenge. Be sure to check out some of the other relay computers we’ve featured over the years for more clicking goodness.

youtube.com/embed/P7Qtw9os0EM?…

hackaday.com/2025/07/23/2025-o…