Introduction

When it comes to digital forensics, AmCache plays a vital role in identifying malicious activities in Windows systems. This artifact allows the identification of the execution of both benign and malicious software on a machine. It is managed by the operating system, and at the time of writing this article, there is no known way to modify or remove AmCache data. Thus, in an incident response scenario, it could be the key to identifying lost artifacts (e.g., ransomware that auto-deletes itself), allowing analysts to search for patterns left by the attacker, such as file names and paths. Furthermore, AmCache stores the SHA-1 hashes of executed files, which allows DFIR professionals to search public threat intelligence feeds — such as OpenTIP and VirusTotal — and generate rules for blocking this same file on other systems across the network.

This article presents a comprehensive analysis of the AmCache artifact, allowing readers to better understand its inner workings. In addition, we present a new tool named “AmCache-EvilHunter“, which can be used by any professional to easily parse the Amcache.hve file and extract IOCs. The tool is also able to query the aforementioned intelligence feeds to check for malicious file detections, this level of built-in automation reduces manual effort and speeds up threat detection, which is of significant value for analysts and responders.

The importance of evidence of execution

Evidence of execution is fundamentally important in digital forensics and incident response, since it helps investigators reconstruct how the system was used during an intrusion. Artifacts such as Prefetch, ShimCache, and UserAssist offer clues about what was executed. AmCache is also a robust artifact for evidencing execution, preserving metadata that indicates a file’s presence and execution, even if the file has been deleted or modified. An advantage of AmCache over other Windows artifacts is that unlike them, it stores the file hash, which is immensely useful for analysts, as it can be used to hunt malicious files across the network, increasing the likelihood of fully identifying, containing, and eradicating the threat.

Introduction to AmCache

Application Activity Cache (AmCache) was first introduced in Windows 7 and fully leveraged in Windows 8 and beyond. Its purpose is to replace the older RecentFileCache.bcf in newer systems. Unlike its predecessor, AmCache includes valuable forensic information about program execution, executed binaries and loaded drivers.

This artifact is stored as a registry hive file named Amcache.hve in the directory C:\Windows\AppCompat\Programs. The metadata stored in this file includes file paths, publisher data, compilation timestamps, file sizes, and SHA-1 hashes.

It is important to highlight that the AmCache format does not depend on the operating system version, but rather on the version of the libraries (DLLs) responsible for filling the cache. In this way, even Windows systems with different patch levels could have small differences in the structure of the AmCache files. The known libraries used for filling this cache are stored under %WinDir%\System32 with the following names:

• aecache.dll
• aeevts.dll
• aeinv.dll
• aelupsvc.dll
• aepdu.dll
• aepic.dll

It is worth noting that this artifact has its peculiarities and limitations. The AmCache computes the SHA-1 hash over only the first 31,457,280 bytes (≈31 MB) of each executable, so comparing its stored hash online can fail for files exceeding this size. Furthermore, Amcache.hve is not a true execution log: it records files in directories scanned by the Microsoft Compatibility Appraiser, executables and drivers copied during program execution, and GUI applications that required compatibility shimming. Only the last category reliably indicates actual execution. Items in the first two groups simply confirm file presence on the system, with no data on whether or when they ran.

In the same directory, we can find additional LOG files used to ensure Amcache.hve consistency and recovery operations:

• C:\Windows\AppCompat\Programs\Amcache.hve.*LOG1
• C:\Windows\AppCompat\Programs\Amcache.hve.*LOG2

The Amcache.hve file can be collected from a system for forensic analysis using tools like Aralez, Velociraptor, or Kape.

Amcache.hve structure

The Amcache.hve file is a Windows Registry hive in REGF format; it contains multiple subkeys that store distinct classes of data. A simple Python parser can be implemented to iterate through Amcache.hve and present its keys:
#!/usr/bin/env python3

import sys
from Registry.Registry import Registry

hive = Registry(str(sys.argv[1]))
root = hive.open("Root")

for rec in root.subkeys():
print(rec.name())
The result of this parser when executed is:

AmCache keys

From a DFIR perspective, the keys that are of the most interest to us are InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, and InventoryApplicationShortcut, which are described in detail in the following subsections.

InventoryApplicationFile

The InventoryApplicationFile key is essential for tracking every executable discovered on the system. Under this key, each executable is represented by its own uniquely named subkey, which stores the following main metadata:

• ProgramId: a unique hash generated from the binary name, version, publisher, and language, with some zeroes appended to the beginning of the hash
• FileID: the SHA-1 hash of the file, with four zeroes appended to the beginning of the hash
• LowerCaseLongPath: the full lowercase path to the executable
• Name: the file base name without the path information
• OriginalFileName: the original filename as specified in the PE header’s version resource, indicating the name assigned by the developer at build time
• Publisher: often used to verify if the source of the binary is legitimate. For malware, this subkey is usually empty
• Version: the specific build or release version of the executable
• BinaryType: indicates whether the executable is a 32-bit or 64-bit binary
• ProductName: the ProductName field from the version resource, describing the broader software product or suite to which the executable belongs
• LinkDate: the compilation timestamp extracted from the PE header
• Size: the file size in bytes
• IsOsComponent: a boolean flag that specifies whether the executable is a built-in OS component or a third-party application/library

With some tweaks to our original Python parser, we can read the information stored within this key:
#!/usr/bin/env python3

import sys
from Registry.Registry import Registry

hive = Registry(sys.argv[1])
root = hive.open("Root")

subs = {k.name(): k for k in root.subkeys()}
parent = subs.get("InventoryApplicationFile")

for rec in parent.subkeys():
vals = {v.name(): v.value() for v in rec.values()}
print("{}\n{}\n\n-----------\n".format(rec, vals))

InventoryApplicationFile subkeys

We can also use tools like Registry Explorer to see the same data in a graphical way:

InventoryApplicationFile inspected through Registry Explorer

As mentioned before, AmCache computes the SHA-1 hash over only the first 31,457,280 bytes (≈31 MB). To prove this, we did a small experiment, during which we got a binary smaller than 31 MB (Aralez) and one larger than this value (a custom version of Velociraptor). For the first case, the SHA-1 hash of the entire binary was stored in AmCache.

First AmCache SHA-1 storage scenario

For the second scenario, we used the dd utility to extract the first 31 MB of the Velociraptor binary:

Stripped binary

When checking the Velociraptor entry on AmCache, we found that it indeed stored the SHA-1 hash calculated only for the first 31,457,280 bytes of the binary. Interestingly enough, the Size value represented the actual size of the original file. Thus, relying only on the file hash stored on AmCache for querying threat intelligence portals may be not enough when dealing with large files. So, we need to check if the file size in the record is bigger than 31,457,280 bytes before searching threat intelligence portals.

Second AmCache SHA-1 storage scenario

Additionally, attackers may take advantage of this characteristic to purposely generate large malicious binaries. In this way, even if investigators find that a malware was executed/present on a Windows system, the actual SHA-1 hash of the binary will still be unknown, making it difficult to track it across the network and gathering it from public databases like VirusTotal.

InventoryApplicationFile – use case example: finding a deleted tool that was used

Let’s suppose you are searching for a possible insider threat. The user denies having run any suspicious programs, and any suspicious software was securely erased from disk. But in the InventoryApplicationFile, you find a record of winscp.exe being present in the user’s Downloads folder. Even though the file is gone, this tells you the tool was on the machine and it was likely used to transfer files before being deleted. In our incident response practice, we have seen similar cases, where this key proved useful.

InventoryApplication

The InventoryApplication key records details about applications that were previously installed on the system. Unlike InventoryApplicationFile, which logs every executable encountered, InventoryApplication focuses on those with installation records. Each entry is named by its unique ProgramId, allowing straightforward linkage back to the corresponding InventoryApplicationFile key. Additionally, InventoryApplication has the following subkeys of interest:

• InstallDate: a date‑time string indicating when the OS first recorded or recognized the application
• MsiInstallDate: present only if installed via Windows Installer (MSI); shows the exact time the MSI package was applied, sourced directly from the MSI metadata
• UninstallString: the exact command line used to remove the application
• Language: numeric locale identifier set by the developer (LCID)
• Publisher: the name of the software publisher or vendor
• ManifestPath: the file path to the installation manifest used by UWP or AppX/MSIX apps

With a simple change to our parser, we can check the data contained in this key:
<...>
parent = subs.get("InventoryApplication")
<...>

InventoryApplication subkeys

When a ProgramId appears both here and under InventoryApplicationFile, it confirms that the executable is not merely present or executed, but was formally installed. This distinction helps us separate ad-hoc copies or transient executions from installed software. The following figure shows the ProgramId of the WinRAR software under InventoryApplicationFile.

When searching for the ProgramId, we find an exact match under InventoryApplication. This confirms that WinRAR was indeed installed on the system.

Another interesting detail about InventoryApplication is that it contains a subkey named LastScanTime, which is stored separately from ProgramIds and holds a value representing the last time the Microsoft Compatibility Appraiser ran. This is a scheduled task that launches the compattelrunner.exe binary, and the information in this key should only be updated when that task executes. As a result, software installed since the last run of the Appraiser may not appear here. The LastScanTime value is stored in Windows FileTime format.

InventoryApplication LastScanTime information

InventoryApplication – use case example: spotting remote access software

Suppose that during an incident response engagement, you find an entry for AnyDesk in the InventoryApplication key (although the application is not installed anymore). This means that the attacker likely used it for remote access and then removed it to cover their tracks. Even if wiped from disk, this key proves it was present. We have seen this scenario in real-world cases more than once.

InventoryDriverBinary

The InventoryDriverBinary key records every kernel-mode driver that the system has loaded, providing the essential metadata needed to spot suspicious or malicious drivers. Under this key, each driver is captured in its own uniquely named subkey and includes:

• FileID: the SHA-1 hash of the driver binary, with four zeroes appended to the beginning of the hash
• LowerCaseLongPath: the full lowercase file path to the driver on disk
• DigitalSignature: the code-signing certificate details. A valid, trusted signature helps confirm the driver’s authenticity
• LastModified: the file’s last modification timestamp from the filesystem metadata, revealing when the driver binary was most recently altered on disk

Because Windows drivers run at the highest privilege level, they are frequently exploited by malware. For example, a previous study conducted by Kaspersky shows that attackers are exploiting vulnerable drivers for killing EDR processes. When dealing with a cybersecurity incident, investigators correlate each driver’s cryptographic hash, file path, signature status, and modification timestamp. That can help in verifying if the binary matches a known, signed version, detecting any tampering by spotting unexpected modification dates, and flagging unsigned or anomalously named drivers for deeper analysis. Projects like LOLDrivers help identify vulnerable drivers in use by attackers in the wild.

InventoryDriverBinary inspection

In addition to the InventoryDriverBinary, AmCache also provides the InventoryApplicationDriver key, which keeps track of all drivers that have been installed by specific applications. It includes two entries:

• DriverServiceName, which identifies the name of the service linked to the installed driver; and
• ProgramIds, which lists the program identifiers (corresponding to the key names under InventoryApplication) that were responsible for installing the driver.

As shown in the figure below, the ProgramIds key can be used to track the associated program that uses this driver:

Checking program information by ProgramIds

InventoryDriverBinary – use case example: catching a bad driver

If the system was compromised through the abuse of a known vulnerable or malicious driver, you can use the InventoryDriverBinary registry key to confirm its presence. Even if the driver has been removed or hidden, remnants in this key can reveal that it was once loaded, which helps identify kernel-level compromises and supporting timeline reconstruction during the investigation. This is exactly how the AV Killer malware was discovered.

InventoryApplicationShortcut

This key contains entries for .lnk (shortcut) files that were present in folders like each user’s Start Menu or Desktop. Within each shortcut key, the ShortcutPath provides the absolute path to the LNK file at the moment of discovery. The ShortcutTargetPath shows where the shortcut pointed. We can also search for the ProgramId entry within the InventoryApplication key using the ShortcutProgramId (similar to what we did for drivers).

InventoryApplicationShortcut key

InventoryApplicationShortcut – use case example: confirming use of a removed app

You find that a suspicious program was deleted from the computer, but the user claims they never ran it. The InventoryApplicationShortcut key shows a shortcut to that program was on their desktop and was accessed recently. With supplementary evidence, such as that from Prefetch analysis, you can confirm the execution of the software.

AmCache key comparison

The table below summarizes the information presented in the previous subsections, highlighting the main information about each AmCache key.

AmCache-EvilHunter

Undoubtedly Amcache.hve is a very important forensic artifact. However, we could not find any tool that effectively parses its contents while providing threat intelligence for the analyst. With this in mind, we developed AmCache-EvilHunter a command-line tool to parse and analyze Windows Amcache.hve registry hives, identify evidence of execution, suspicious executables, and integrate Kaspersky OpenTIP and VirusTotal lookups for enhanced threat intelligence.

AmCache-EvilHunter is capable of processing the Amcache.hve file and filter records by date range (with the options --start and --end). It is also possible to search records using keywords (--search), which is useful for searching for known naming conventions adopted by attackers. The results can be saved in CSV (--csv) or JSON (--json) formats.

The image below shows an example of execution of AmCache-EvilHunter with these basic options, by using the following command:
amcache-evilhunter -i Amcache.hve --start 2025-06-19 --end 2025-06-19 --csv output.csv
The output contains all applications that were present on the machine on June 19, 2025. The last column contains information whether the file is an operating system component, or not.

Basic usage of AmCache-EvilHunter

CSV result

Analysts are often faced with a large volume of executables and artifacts. To narrow down the scope and reduce noise, the tool is able to search for known suspicious binaries with the --find-suspicious option. The patterns used by the tool include common malware names, Windows processes containing small typos (e.g., scvhost.exe), legitimate executables usually found in use during incidents, one-letter/one-digit file names (such as 1.exe, a.exe), or random hex strings. The figure below shows the results obtained by using this option; as highlighted, one svchost.exe file is part of the operating system and the other is not, making it a good candidate for collection and analysis if not deleted.

Suspicious files identification

Malicious files usually do not include any publisher information and are definitely not part of the default operating system. For this reason, AmCache-EvilHunter also ships with the --missing-publisher and --exclude-os options. These parameters allow for easy filtering of suspicious binaries and also allow fast threat intelligence gathering, which is crucial during an incident.

Another important feature that distinguishes our tool from other proposed approaches is that AmCache-EvilHunter can query Kaspersky OpenTIP (--opentip ) and VirusTotal (--vt) for hashes it identifies. In this way, analysts can rapidly gain insights into samples to decide whether they are going to proceed with a full analysis of the artifact or not.

Threat intel lookup

Binaries of the tool are available on our GitHub page for both Linux and Windows systems.

Conclusion

Amcache.hve is a cornerstone of Windows forensics, capturing rich metadata, such as full paths, SHA-1 hashes, compilation timestamps, publisher and version details, for every executable that appears on a system. While it does not serve as a definitive execution log, its strength lies in documenting file presence and paths, making it invaluable for spotting anomalous binaries, verifying trustworthiness via hash lookups against threat‐intelligence feeds, and correlating LinkDate values with known attack campaigns.

To extract its full investigative potential, analysts should merge AmCache data with other artifacts (e.g., Prefetch, ShimCache, and Windows event logs) to confirm actual execution and build accurate timelines. Comparing InventoryApplicationFile entries against InventoryApplication reveals whether a file was merely dropped or formally installed, and identifying unexpected driver records can expose stealthy rootkits and persistence mechanisms. Leveraging parsers like AmCache-EvilHunter and cross-referencing against VirusTotal or proprietary threat databases allows IOC generation and robust incident response, making AmCache analysis a fundamental DFIR skill.

securelist.com/amcache-forensi…

There’s an old saying (paraphrasing a quote attributed to Hoare): “I don’t know what language scientists will use in the future, but I know it will be called Fortran.” The truth is, there is a ton of very sophisticated code in Fortran, and if you want to do something more modern, it is often easier to borrow it than to reinvent the wheel. When [Valgriz] picked up a textbook on aircraft simulation, he noted that it had an F-16 simulation in it. In Fortran. The challenge? Port it to Unity3D.

If you have a gamepad, you can try the result. However, the real payoff is the blog posts describing what he did. They go back to 2021, although the most recent was a few months ago, and they cover the entire process in great detail. You can also find the code on GitHub. If you are interested in flight simulation, flying, Fortran, or Unity3D, you’ll want to settle in and read all four posts. That will take some time.

One limitation. The book’s simulator was all about modeling the aerodynamics using data from wind tunnel tests. However, the F-16 is notorious for being a negative stability aircraft — meaning it’s virtually impossible to fly by hand. It is very maneuverable, but only if you let the computer drive using the flight control system. When you direct the aircraft, the control system makes your desire happen, while accounting for all the strange extra motions the plane will create as it flies.

The problem: the book doesn’t include code for the flight controller. [Valgriz], of course, wrote his own. He uses some PID controllers along with limiters for G-force and angle of attack. Interestingly, to do this, the simulator actually runs its own stripped-down simulator to determine the effects of different control inputs.

This is one of those projects we aren’t sure we would attempt, but we’re glad someone did, and we can watch. Just be careful. An interest in flight simulation can lead to reduced space in your garage. We know of at least one F-16, by the way, that has an Arduino in it. However, it is probably the only one.

youtube.com/embed/2HZQnnxdISM?…

youtube.com/embed/7vAHo2B1zLc?…

hackaday.com/2025/10/01/portin…

Un team di ricercatori ha sviluppato un semplice strumento hardware che sfida i principi fondamentali del trusted computing nei moderni ambienti cloud.

Utilizzando un dispositivo dal costo inferiore a 50 dollari, sono stati in grado di aggirare le protezioni hardware di Intel Scalable SGX e AMD SEV-SNP, che abilitano i Trusted Execution Environment (TEE).

Queste tecnologie sono alla base del confidential computing utilizzato dai principali provider cloud e proteggono i dati in memoria da attacchi privilegiati e accessi fisici, inclusi riavvii a freddo e intercettazioni del bus di memoria.

Il dispositivo sviluppato è un interposer DDR4 che viene inserito tra il processore e la memory stick. Manipola le linee di indirizzo e crea alias di memoria dinamici non rilevabili dagli strumenti di sicurezza integrati. A differenza degli attacchi statici basati sulla modifica dei chip SPD, che Intel e AMD hanno già affrontato nel loro nuovo firmware, la natura dinamica dell’interposer gli consente di bypassare i controlli all’avvio e di operare in tempo reale. Questo trasforma costosi attacchi che coinvolgono hardware dal costo di centinaia di migliaia di dollari in un metodo accessibile che richiede investimenti minimi e competenze ingegneristiche di base .

Utilizzando i sistemi Intel Scalable SGX, gli scienziati hanno dimostrato per la prima volta che l’utilizzo di una singola chiave per l’intero intervallo di memoria consente di leggere e scrivere dati arbitrari all’interno di enclave protette. Hanno anche estratto sperimentalmente la chiave di sicurezza della piattaforma alla base del meccanismo di attestazione remota. Ciò compromette completamente la credibilità del sistema: un aggressore può generare attestazioni false senza accedere all’hardware effettivo. Ciò compromette il meccanismo di verifica dell’integrità fondamentale nei servizi cloud.

Nel caso di AMD SEV-SNP, i ricercatori hanno dimostrato un bypass dei nuovi meccanismi ALIAS_CHECK progettati per proteggere dagli attacchi di tipo BadRAM. Il loro metodo ha permesso loro di riprodurre scenari precedentemente considerati sicuri, tra cui la sostituzione di blocchi di testo cifrato e la riproduzione. L’attacco consente di creare macchine virtuali fittizie che superano la verifica remota come legittime, distruggendo di fatto il sistema di fiducia nell’ecosistema SEV .

Il dispositivo è realizzato utilizzando componenti facilmente reperibili: un circuito stampato, un microcontrollore Raspberry Pi Pico 2 e una coppia di interruttori analogici. L’intero progetto è costato meno di 50 dollari, il che lo rende di gran lunga più economico degli analizzatori DDR4 professionali. Inoltre, gli attacchi sono deterministici e rapidi, senza la necessità di apparecchiature costose o condizioni complesse.

Lo studio ha dimostrato che anche le piattaforme aggiornate con firmware Intel e AMD sono vulnerabili a semplici attacchi fisici se un avversario ha accesso temporaneo al server. Potrebbe trattarsi di un dipendente di un provider cloud , di un agente della supply chain o persino delle forze dell’ordine con accesso alle apparecchiature. Gli autori sottolineano che tali minacce non possono essere ignorate, poiché la crittografia della memoria basata su hardware è stata introdotta proprio per prevenirle.

I ricercatori hanno divulgato i dettagli a Intel nel gennaio 2025 e ad AMD a febbraio. Entrambe le aziende hanno riconosciuto la vulnerabilità, ma hanno dichiarato che gli attacchi fisici andavano oltre i loro modelli di minaccia. Arm, dopo aver ricevuto notifica della potenziale applicabilità del metodo all’architettura CCA, ha anche affermato che l’accesso fisico non era coperto dalle garanzie delle sue soluzioni. Dopo la fine dell’embargo, il progetto, inclusi il codice sorgente e il firmware per l’interposer, è stato pubblicato pubblicamente su GitHub.

Gli autori sottolineano che la transizione verso TEE scalabili è stata accompagnata da un indebolimento delle garanzie crittografiche a vantaggio delle prestazioni e del supporto completo della memoria. Questa soluzione, precedentemente considerata sicura, si è rivelata vulnerabile ad attacchi hardware a basso costo. La sicurezza futura può essere rafforzata solo tornando a metodi crittografici più potenti o passando alla memoria integrata, dove l’accesso fisico al bus è impossibile.

L'articolo Con 50 dollari e l’accesso fisico al server, il Cloud si va a far benedire proviene da il blog della sicurezza informatica.

Nella cyber arena c’è una criticità che non abbiamo ancora patchato: il nostro firewall emotivo.

Questo non è un problema di rete, ma un blocco mentale collettivo.

Siamo chiamati a smantellare la nostra percezione dell’errore e a riconoscerlo non come un fallimento sistemico, ma come il data-set più prezioso per il nostro apprendimento continuo.

Per noi che viviamo sotto la costante pressione della vulnerabilità e del bug, questa trasformazione mentale non è un lusso: è la chiave per prevenire il burnout e forgiare una resilienza inattaccabile.

Vediamo nello specifico come applicare i nostri principi di sicurezza alla nostra architettura interiore.

Debugging dell’identità

Abituati alla logica del codice, tendiamo a estendere questa ricerca di perfezione alla nostra identità personale, percependo ogni errore umano come un attacco diretto alla nostra competenza.

La soluzione: dobbiamo accettare che il comportamento umano è intrinsecamente caotico e non sempre prevedibile. Impariamo a vedere la nostra vita come un processo di Continuous Integration/Continuous Delivery (CI/CD), dove gli incidenti e gli errori sono semplicemente log di eventi che alimentano e migliorano il ciclo di sviluppo successivo.

La nostra azione: trasformiamo gli errori personali e chiediamoci: “Quali dati ricaviamo da questa esperienza per il nostro refactoring futuro?”

Il nostro valore non è in discussione; esclusivamente il deploy ha bisogno di una correzione.

Zero Trust e rollback emotivo

Zero Trust è la nostra regola d’oro nell’architettura di sicurezza.

“E se applicassimo lo stesso rigore alla nostra auto-valutazione”?

Il concetto: adottiamo lo Zero Trust anche verso la nostra pretesa di infallibilità.

Verifichiamo la nostra capacità di recupero. Gli errori sono il delta necessario per la crescita.

Il vero successo non è l’assenza di cadute, ma la rapidità con cui ci rialziamo.

La nostra azione: lavoriamo per sviluppare un basso MTTR (Mean Time to Recovery) emotivo.

Quando commettiamo un errore, dobbiamo isolare immediatamente il senso di colpa o la vergogna e automatizzare il rollback: chiediamo scusa, concediamoci un respiro di pausa e correggiamo immediatamente il tiro.

RCA (Root Cause Analysis )

Usiamo le nostre affinate competenze analitiche per condurre un’analisi consapevole delle nostre reazioni emotive più intense (vergogna, rabbia, ansia).

Il nostro processo di “patching” emotivo:

1. Diamo un nome all’emozione (“Sentiamo paura”), e non diamo un giudizio su noi stessi (“Siamo degli incapaci“). Dobbiamo distinguere il sentimento dal nostro essere.
2. Comprendiamo cosa ha scatenato la reazione. Spesso, la causa è la nostra interpretazione dell’evento, non l’evento oggettivo.
3. Individuiamo la credenza limitante che ci sta bloccando, ad esempio: “Se sbagliamo, siamo incompetenti”.
4. Sostituiamo la credenza limitante con una nuova policy orientata alla crescita: “Il nostro valore non dipende dalle nostre performance variabili”.
5. Riconosciamo che il burnout è un vero DoS (Denial-of-Service) per la nostra mente. Inseriamo nella nostra routine una scheduled maintenance (sonno, tempo libero, aria aperta, sport, mindfulness).

Coach’s Corner

Abbracciamo l’idea: l’errore non è un punto di arrivo, ma un catalizzatore.

Siamo come un modello di machine learning che si addestra continuamente: gli errori non sono bug, ma dati preziosi che forniscono il feedback necessario per regolare le nostre abitudini e le nostre credenze.

Questo approccio ci renderà non solo più resilienti e predittivi nel lavoro, ma anche individui più equilibrati e capaci di navigare nell’inevitabile caos dell’esistenza.

È ora di disinstallare quel firewall: la nostra crescita dipende dal traffico che siamo disposti a lasciar passare!

Per concretizzare questo cambio di prospettiva e passare da una mentalità difensiva a una generativa, poniamoci le seguenti domande:

• .Qual è la “policy” mentale orientata alla crescita che decidiamo di implementare come patch definitiva, a partire da domani ?
• Quale specifica azione di “rollback” possiamo fare non appena riconosciamo un errore?
• Quale elemento della nostra “scheduled maintenance” possiamo stabilire, a partire da oggi, per proteggere la nostra mente dall’attacco DoS del burnout?

L'articolo Alla scoperta del firewall emotivo! La vulnerabilità che nessuno sta patchando proviene da il blog della sicurezza informatica.

L’iniziativa OpenSSL ha reso noto un bollettino di sicurezza in cui sono state trattate tre vulnerabilità, che potrebbero permettere a malintenzionati di attivare codice da remoto e, potenzialmente, di estrarre chiavi private di crittografia.

Questi difetti interessano più versioni di OpenSSL su diverse piattaforme e potrebbero causare danneggiamento della memoria, attacchi di negazione del servizio e accesso non autorizzato a materiali crittografici sensibili.

La vulnerabilità più grave del bollettino di OpenSSL riguarda le operazioni di memoria fuori dai limiti nella funzionalità di unwrap della chiave di crittografia della chiave (KEK) RFC 3211, tracciata come CVE-2025-9230 con gravità moderata.

Per una correzione immediata è necessario aggiornare alle versioni corrette: OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd (supporto premium) e 1.0.2zm (supporto premium).

La prima vulnerabilità, CVE-2025-9230, colpisce le versioni 3.5, 3.4, 3.3, 3.2, 3.0, 1.1.1 e 1.0.2 di OpenSSL tramite una gestione impropria della decrittazione dei messaggi CMS. Quando le applicazioni elaborano messaggi CMS crittografati basati su password creati in modo dannoso, la vulnerabilità attiva operazioni di accesso alla memoria fuori dai limiti .

Questa falla si verifica quando le applicazioni tentano di decrittografare i messaggi Cryptographic Message Syntax (CMS) utilizzando la crittografia basata su password (PWRI). La vulnerabilità innesca operazioni di lettura e scrittura fuori dai limiti, con conseguente potenziale danneggiamento della memoria che gli aggressori potrebbero sfruttare per eseguire codice arbitrario o causare arresti anomali del sistema.

I ricercatori di sicurezza di Aisle Research, guidati da Stanislav Fort, hanno scoperto questa vulnerabilità il 9 agosto 2025. L’exploit richiede condizioni specifiche, tra cui l’utilizzo della crittografia basata su password nei messaggi CMS, il che limita la superficie di attacco poiché il supporto della crittografia PWRI è raramente implementato negli ambienti di produzione. Tuttavia, uno sfruttamento riuscito potrebbe compromettere completamente il sistema tramite l’esecuzione di codice in modalità remota.

La seconda falla critica, CVE-2025-9231, introduce una vulnerabilità di tipo timing side-channel nell’implementazione dell’algoritmo crittografico SM2 sulle piattaforme ARM a 64 bit. Secondo l’ avviso di OpenSSL , questa vulnerabilità consente ad aggressori remoti di recuperare chiavi private tramite l’analisi temporale delle operazioni di calcolo della firma.

Inoltre, il CVE-2025-9232 coinvolge operazioni di lettura fuori limite nella gestione no_proxy del client HTTP per gli indirizzi IPv6, sebbene ciò presenti un rischio minore con solo un impatto di negazione del servizio .

L'articolo OpenSSL, tre vulnerabilità scoperte, aggiornamenti urgenti necessari proviene da il blog della sicurezza informatica.

Appuntamento sabato 4 ottobre alle 9.30 al Palazzo del Capitano del Popolo, in piazza del Popolo 1 ad Orvieto. Il Congresso si svolgerà anche nella giornata di domenica 5 ottobre

Il titolo si ispira a una frase di Laura Santi: “Non rassegnatevi mai”

Oltre 170mila persone hanno sostenuto le nostre richieste alla politica per rimuovere le discriminazioni su fine vita, PMA, aborto e psichedelici. Sono 39 le azioni legali intraprese, 241 le richieste di accesso agli atti. Il Congresso sarà anche l’occasione per fare il punto sui nuovi obiettivi e le azioni politiche del 2026. Filomena Gallo e Marco Cappato commentano: “Non stiamo ad aspettare che vengano tempi migliori per i diritti civili, altrimenti si rischia di tornare indietro come negli USA“.

Nonostante l’ostilità o l’inerzia dei vertici della politica ufficiale e dei partiti, il 2025 è stato un anno di conquiste e azioni concrete per la libertà di scelta, l’autodeterminazione e il diritto alla salute. Dall’approvazione di due leggi regionali per tempi certi di erogazione delle prestazioni sul “suicidio assistito” in Toscana e Sardegna, con proposte analoghe depositate in tutte le Regioni fino alla proposta di legge nazionale in Parlamento per legalizzare l’eutanasia.

E poi, quattro sentenze della Corte costituzionale ottenute tramite procedimenti giudiziari accanto alle persone: due sul fine vita (sentenze 66/2025 e 132/2025) che interpretano come deve essere considerato il requisito del trattamento di sostegno vitale, una sull’accesso alla procreazione medicalmente assistita per donne singole che evidenzia che la cancellazione del divieto non incontra ostacoli costituzionali; una sentenza che ammette con sentenza di incostituzionalità, la firma certificata per le persone che non possono firmare manualmente le liste elettorali, attuando piena partecipazione politica alla vita del paese senza discriminazioni.

La richiesta di garantire l’aborto farmacologico senza obbligo di ricovero e la possibilità alle persone con disabilità di viaggiare in aereo con la propria carrozzina; la pressione sulle ASL per il diritto alla salute in carcere; liste di attesa azioni per garanzie nell’ accesso alle prestazioni. L’Associazione Luca Coscioni ha trasformato nell’ultimo anno le battaglie civili in conquiste di libertà.

Il XXII Congresso, in programma il 4 e 5 ottobre 2025 a Orvieto porrà le basi per le azioni future nella nella Regione dove sono nati Luca Coscioni, pioniere della libertà di ricerca scientifica, e Laura Santi, leader e volto della campagna sul fine vita, che dopo un calvario giudiziario di tre anni ha ottenuto il diritto ad accedere al “suicidio assistito” nel suo Paese, sostenuta dall’Associazione. “Non rassegnatevi mai”, le sue ultime parole, insieme alla memoria di Luca, saranno il filo conduttore del Congresso e delle strategie future dell’Associazione.

Filomena Gallo e Marco Cappato, rispettivamente Segretaria nazionale dell’Associazione e Tesoriere dell’Associazione, hanno dichiarato: “La nostra missione è quella di dare voce e volto alle persone rese invisibili dalla ottusità e dalla violenza delle istituzioni ancora di più che dalla malattia o dalla disabilità e di consentire loro di battersi in prima persona. Non aspettiamo che ‘vengano tempi migliori’ per le libertà civili, perché rischierebbero di non arrivare mai. Infatti, in assenza di lotte sociali nonviolente, in grado di imporsi nell’agenda della politica ufficiale, si rischia anche nel nostro Paese, come sta avvenendo negli USA e in altri Paesi formalmente democratici, un arretramento sul piano dei diritti civili“.

Oltre 170mila firme raccolte

Nell’ultimo anno l’Associazione Luca Coscioni ha raccolto le firme di oltre 170 mila persone in tutta Italia sui temi principali delle sue ventennali battaglie: eutanasia e fine vita, procreazione medicalmente assistita, gravidanza per altri, Aborto senza ricovero, per garantire la possibilità di deospedalizzare l’aborto farmacologico, disabilità, terapie assistite da psichedelici, cannabis legale e firma digitale.

A queste si aggiungono le firme 65.000, raccolte in questi anni su Liberi Subito, la proposta di legge regionale che garantisce il percorso di richiesta di suicidio medicalmente assistito e i controlli necessari in tempi certi e adeguati.

Sono state intraprese 39 azioni legali

Fine vita: 24 procedimenti di cui 18 civili e 6 penali, riguardo l’accesso al “suicidio assistito” in Italia e le disobbedienze civili per l’accompagnamento in Svizzera. Di questi 10 sono attualmente in tribunale e gli altri in fase stragiudiziale. Mentre per i procedimenti penali: un procedimento con tre persone sulle quali pende una imputazione coatta (Felicetta Maltese, Chiara Lalli e Marco Cappato) e altre nove indagate nei cinque procedimenti in cui sono in corso le indagini.

PMA: 15 casi sul tema della fecondazione assistita nei tribunali, di cui oltre 10 sul tema della gravidanza per altri (GPA). Di questi 10, almeno 7 anche sul fronte penale. Sono oltre 50 i casi su cui sono stati forniti pareri in fase stragiudiziale. Sul tema della PMA, è stata ottenuta una sentenza della Corte costituzionale in merito all’accesso alla PMA per donne singole a partire del caso di Evita, 40enne torinese, cui è stata negato l’accesso in Italia alla PMA.

Sono stati condotti 241 accessi agli atti

Salute in carcere: a seguito delle diffide per verificare le condizioni igienico-sanitarie negli istituti penitenziari, sono state effettuate 102 richieste di accesso agli atti a tutte le ASL italiane per ottenere le relazioni delle visite in carcere in modo da monitorare le condizioni degli istituti.

Fine vita (“suicidio assistito”): sono state effettuate 93 richieste di accesso agli atti tra Regioni e ASL per conoscere il numero di richieste di accesso al “suicidio assistito” effettuate in Italia dalla sentenza della Corte costituzionale 242 del 2019 sul caso Cappato-Dj Fabo che ha di fatto legalizzato l’accesso alla morte volontaria assisita in Italia a determinate condizioni.

Sempre in tema di fine vita, oltre 16.000 cittadini hanno ricevuto informazioni tramite il Numero Bianco su diritti legati a fine vita. Le iniziative popolari hanno portato all’approvazione di 2 leggi regionali sul suicidio assistito, al deposito in tutte le Regioni (discussa in 6), mentre sono state ottenute 2 udienze in Corte costituzionale sul fine vita. A livello nazionale, è stata depositata una proposta di legge di iniziativa popolare per legalizzare l’eutanasia. Sono 16.000, inoltre, i testamenti biologici scaricati dal sito dell’Associazione.

Barriere architettoniche: L’Associazione sta conducendo anche una attività di ricognizione dei Piani di Eliminazione delle barriere architettoniche nei comuni capoluoghi italiani. A fronte delle informazioni reperite sui siti di 60 capoluoghi, sono state promosse 46 richieste di accessi agli atti nelle restanti città. All’accesso, per il momento, hanno risposto 17 capoluoghi.

Partecipazione e mobilitazione

Oltre 585 eventi pubblici in tutta Italia hanno portato nelle piazze e nelle città temi sociali e scientifici spesso ignorati dalla politica, coinvolgendo 45.000 persone in campagne, petizioni e azioni politiche. Sono state inoltre depositate 2 proposte di legge in Parlamento, una sul fine vita e una sulla legalizzazione della gravidanza per altri.

L'articolo Al via dal 4 ottobre il XXII Congresso dell’Associazione Luca Coscioni proviene da Associazione Luca Coscioni.

La recente operazione condotta dalla Polizia Postale di Catania, coordinata dalla Procura Distrettuale, rappresenta un ulteriore tassello nella complessa lotta alla pirateria audiovisiva. Non un episodio isolato, ma la prosecuzione di un filone investigativo inaugurato con “Gotha” (2022) e “Gotha 2” (2025), a cui si sono affiancate indagini come “Black out” e “Taken down”. L’impiego di oltre 200 investigatori in 18 città testimonia la dimensione nazionale del fenomeno e la sua natura di criminalità organizzata, ben lontana dalla figura romantica dell'”hacker solitario”.

Le accuse che emergono – associazione per delinquere transnazionale, accesso abusivo a sistemi informatici e frode informatica aggravata – non si esauriscono però nel momento dell’arresto. È nelle aule di giustizia che questo tipo di indagini trova il suo vero banco di prova. In questa fase emergono i nodi più complessi.La gestione di enormi quantità di dati digitali, la verifica della catena di custodia, la traduzione tecnica degli accertamenti in elementi probatori che possano essere compresi e valutati dal giudice.

Le indagini internazionali, spesso basate su server collocati all’estero, sollevano poi difficoltà di cooperazione giudiziaria e tempi incompatibili con l’esigenza di bloccare rapidamente il fenomeno. Non meno delicata è la distinzione tra l’utente finale e chi assume un ruolo consapevole e stabile nell’organizzazione.

I processi, infine, sono caratterizzati da un’inevitabile complessità. La quantità di materiale sequestrato rallenta l’istruttoria, le questioni di qualificazione giuridica si moltiplicano e la difesa non manca di sollevare eccezioni sull’utilizzabilità delle prove digitali o sulla legittimità degli strumenti investigativi impiegati. È in questa dimensione operativa, fatta di ostacoli pratici e scelte interpretative, che si misura la reale difficoltà di contrastare la pirateria.

Il business del pezzotto come multinazionale del crimine

Le indagini dimostrano che il modello di business si fonda sulla ritrasmissione abusiva dei palinsesti delle principali piattaforme (Sky, DAZN, Netflix, Prime Video), resa possibile dall’uso di server collocati in Paesi esteri, spesso con normative più permissive. I ricavi sono impressionanti. Secondo l’operazione “Gotha”, il giro d’affari raggiungeva 10 milioni di euro al mese, mentre i mancati introiti per le pay-TV si aggiravano sui 30 milioni mensili.

La pirateria audiovisiva non è dunque solo una violazione di copyright, ma un’economia criminale organizzata e globalizzata, capace di erodere risorse fiscali e occupazionali al sistema Paese.

I numeri nascosti della pirateria tra miliardi sottratti e lavoro perduto

Le stime più aggiornate parlano chiaro poichè solonel 2024 la pirateria ha generato una perdita di 2,2 miliardi di euro di fatturato e un danno diretto al PIL di 904 milioni, con oltre 12.000 posti di lavoro a rischio.

Un dato paradossale è che la percentuale di utenti che praticano pirateria cala lievemente (dal 39% al 38%), ma il numero complessivo di atti rimane altissimo. Il fenomeno si concentra quindi su un nocciolo duro di utenti ad alta intensità, in particolare attratti dagli eventi sportivi live, i più redditizi.

Norme severe e complessità della giustizia penale

Il fondamento normativo resta la Legge n. 633/1941 sul diritto d’autore, ma l’evoluzione tecnologica ha imposto interventi mirati. La Legge n. 93/2023 – nota come “legge anti-pezzotto” – ha introdotto strumenti inediti, tra cui la possibilità per AGCOM di ordinare il blocco in tempo reale (entro 30 minuti) dei siti illeciti.

Le pene previste sono severe: reclusione fino a 3 anni, multe fino a 15.493 euro e confisca dei beni. Ma la vera novità è la responsabilizzazione degli utenti in quanto anche la visione occasionale di contenuti pirata comporta sanzioni da 154 a 1.032 euro, mentre l’uso abituale può costare fino a 5.000 euro.

Nella prassi giudiziaria, i processi che seguono a queste indagini si presentano spesso complessi. Si deve dimostrare non solo la disponibilità tecnica dei contenuti, ma anche l’effettiva partecipazione degli imputati a un’organizzazione con finalità di lucro. Non di rado, la linea di confine tra l’utente finale e il collaboratore attivo della rete criminale diventa sottile, e i Tribunali si trovano a dover distinguere posizioni marginali da ruoli centrali.

Piracy Shield un guardiano imperfetto della rete

Il Piracy Shield rappresenta un salto tecnologico, essendo un sistema automatizzato che obbliga i provider a bloccare i domini segnalati. Tuttavia, presenta criticità.

Il rischio di overblocking, con blocchi estesi a indirizzi IP condivisi con siti legittimi, può danneggiare imprese e utenti estranei. L’assenza di un controllo giudiziario preventivo solleva inoltre dubbi sulla trasparenza e sulla tutela dei diritti fondamentali. Infine, la concentrazione del potere di blocco in un unico sistema crea un potenziale punto debole per la sicurezza nazionale. In questo senso, la normativa anti-pirateria, pur rispondendo a esigenze legittime di tutela, apre scenari inediti di bilanciamento tra interessi economici e diritti costituzionali.

L’utente sospeso tra convenienza e illegalità

La pirateria non è solo criminalità, ma anche reazione a un mercato percepito come inefficiente. Prezzi elevati e la frammentazione dell’offerta spingono molti utenti a cercare alternative illegali.

Già circa trent’anni fa il mio Maestro, Vittorio Frosini – fondatore della disciplina universitaria dell’informatica giuridica – avvertiva che, se per il software contraffatto i reati erano indispensabili per colpire le organizzazioni, il vero deterrente restava il mercato. Prezzi equi, capaci di non far percepire all’utente un’ingiustizia nel costo del servizio. Parole che conservano intatta la loro attualità anche di fronte al fenomeno delle IPTV illegali.

Molti pirati, infatti, sono consumatori ibridi: pagano per alcuni servizi legali come Netflix o Prime Video, ma ricorrono a IPTV illegali per i contenuti ritenuti troppo costosi. Questo evidenzia come paradosso che le imperfezioni del mercato legale alimentano la domanda illegale.

L'articolo La pirateria audiovisiva: tra diritto penale, mercato e nuove tecnologie proviene da il blog della sicurezza informatica.