Le parole con cui il governo ha commentato l'ennesimo schiaffo sui centri albanesi chiariscono ancora meglio quale enorme problema di Educazione Civica (con le maiuscole perché mi riferisco alla materia che non abbiamo mai fatto a scuola) ci sia in questo paese.

Chi ha commentato la notizia sicuramente conosce bene la questione, ma sa anche che chi ascolta ha idee molto vaghe su come funzioni una democrazia, il nostro paese in particolare, e quindi sa di potergli rifilare qualunque patacca.

Ebbene... no... vincere le elezioni non significa diventare proprietari di un paese intero e poterne fare e disfare a piacimento. Vincere le elezioni significa solo che hai i numeri in Parlamento per fare leggi e per decidere chi dovrà governare il paese.

Ma né il potere di fare leggi né il potere di governare il paese sono poteri senza limiti. Nel fare le leggi hai il limite di poterti muovere solo all'interno del perimetro tracciato dalla Costituzione e nel governare hai il limite di poter agire solo all'interno del perimetro tracciato dalle leggi.

E se esci da questi perimetri trovi il terzo potere che ti ci riporta dentro: il potere giudiziario.

Tutto qui... tre poteri che si bilanciano e nessuno di loro può uscire dai limiti imposti.

Puoi strillare che c'è un complotto, e sicuramente in molti ti crederanno per carità (del resto quanti di loro si sono mai fatti un corso di Educazione Civica?), ma finché non la abbatti, quella è e quella resta.

E' la democrazia, baby.

The Tea app has had a rough week. It’s not an unfamiliar story: Unsecured Firebase databases were left exposed to the Internet without any authentication. What makes this story particularly troubling is the nature of the app, and the resulting data that was spilled.

Tea is a “dating safety” application strictly for women. To enforce this, creating an account requires an ID verification process where prospective users share their government issued photo IDs with the platform. And that brings us to the first Firebase leak. 59 GB of photo IDs and other photos for a large subset of users. This was not the only problem.

There was a second database discovered, and this one contains private messages between users. As one might imagine, given the topic matter of the app, many of these DMs contain sensitive details. This may not have been an unsecured Firebase database, but a separate problem where any API key could access any DM from any user.

This is the sort of security failing that is difficult for a company to recover from. And while it should be a lesson to users, not to trust their sensitive messages to closed-source apps with questionable security guarantees, history suggests that few will learn the lesson, and we’ll be covering yet another train-wreck of similar magnitude in another few months.

The Pi-hole (And Many Others’) Donor Leaks

The folks at Pi-hole are leading the charge in reporting on the leaks of the name and email addresses of donors to that and many other projects. The problem was actually in version 4.6.0 of GiveWP, a popular WordPress plugin.

Well this sucks: @The_Pi_Hole, my favourite maker of network-level blocker of nasty things, has inadvertently been caught up in a data breach by virtue of a WordPress plugin they use for donations: t.co/ANSMIA5u5G

— Troy Hunt (@troyhunt) July 30, 2025

The details of what happened aren’t pretty. The plugin had a bug where it was injecting the entire donor list into the source code of the site using the plugin. The only redeeming element here is that those leaks were strictly limited to name and email address. But of course, that’s enough for bad actors to scrape the lists and start sending spearphishing emails, which has already happened.

One more thing to cover regarding this issue is the response from Impress.org, the makers of the plugin. The problem was fixed within hours of the report on GitHub. This turn-around is great, but the vulnerable plugin was out for a full week before it was disclosed to the authors. The official comments from Impress.org on the GitHub issue linked above fall just a bit short on recognizing the severity of the issue, and taking responsibility. At the same time, it’s extremely challenging to strike the right note when writing up a response to an issue like this.

Pi in the Bank

We’ve covered a case or two where a mysterious Raspberry Pi was discovered on the network, but this one is a bit different. First off, the network in question belongs to a bank. And second, this Pi had a 4G cellular modem strapped to it.

It turns out, this device was dropped as part of a scheme by the cyber crime group tracked as UNC2891. This attack has been reported to have taken place in Asia, with not much more details about the target. It’s believed that this was an attempt to infiltrate the bank’s ATM network, and eventually compromise a Hardware Security Module (HSM), and ultimately steal money from the bank.

This attack was quite sophisticated, with a new technique demonstrated, to hide malicious processes via Linux Bind mounts. This works by bind mounting an existing processes /proc/ folder over that of the process to hide. Many utilities won’t catch the switcherwoo, as the kernel file handling will follow the bind mount over the real files. Though we do take some issue with the write-up referring to a bind mount as an “obscure Linux feature”.

And since we’re talking about banking, do you know how wire transfers actually work? It turns out, it’s an ASCII file just under 1k, sent using SFTP. There are some very old quirks to these files, like the insistence that the number of lines in the file be a multiple of 10, and the padding with 9s.

When you make a Bank ACH transaction, it’s literally just an SFTP upload.

Sent as a NACHA file, it's 940 bytes of ASCII text.

Bank-to-Bank transactions cost ~0.2 cents. As long as it travels via encrypted tunnel; it’s compliant!

Here’s how the quirky system works: pic.twitter.com/NHewY8Ojgn

— LaurieWired (@lauriewired) July 29, 2025

Rooting the Root AIs

There have been a rash of stories recently about what can happen when an agentic AI has too much power and ineffective guard rails. This week is no different, with the first story being about prompt injection in Gemini. This AI agent does have guardrails, in the form of a whitelist of commands that it is allowed to run on the system. The problem is that it’s not always apparent to users what commands have security implications.

Then there is Copilot Enterprise, which gained a Python sandbox and Jupyter Notebook earlier this year. And Copilot is perfectly happy to help the user troubleshoot how to run commands using the %command syntax. That gives just enough purchase to get root access in the Jupyter container, but that’s where this exploitation ends. It is interesting, how often the key to compromising an AI is simply to ask nicely.

Zero-Trust Falls to CSRF

We don’t know the start-up that this penetration test tested, but we do know that they were building a zero-trust platform for secure VPN-like access. The entire stack was defeated by an attack as simple as a Cross-Site Request Forgery (CSRF) and an improper Cross-Origin Resource Sharing (CORS) configuration. JavaScript running on a malicious web page could use these two weaknesses to access an SSH key generation utility on the target infrastructure, and smuggle the key out. This lead to a complete AWS identity takeover and more. It was a complete win for the red team, and immensely valuable to the client to find this vulnerability chain this way, rather than in production.

Nvidia Backdoors?

The other big news this week is what sounds like an accusation from Chinese officials that Nvidia has put a backdoor in its new H20 device. These Enterprise GPUs are engineered specifically for export to China, to meet the current US export restrictions around AI hardware. It’s unclear what exactly is going on here, but it’s not very likely that Nvidia actually put backdoors in their hardware, regardless of the intended market.

Bits and Bytes

CISA has released a new security tool as Open Source. Thorium is a new file analysis tool designed to safely investigate binaries.

CrushFTP has an RCE because of missed authentication check on an endpoint. It allows an XML-RPC call to request the use of system.exec, which does exactly what it says it does. This manages a 9.8 CVSS as it’s unauthenticated, simple to pull off, accessible from the network, and grants RCE.

And finally, what certainly wins the simplest hack of the week award, [Mahmoud El Manzalawy] was looking at a CRM solution, and discovered an HTTP POST call that was replying with a 201 status, indicating it was successfully inserting a record into the remote database. What happens if that POST was changed to a GET and resent? The application responds with a full dump of the user database. It’s not supposed to do that. Which seems to sum up everything we cover in this column.

hackaday.com/2025/08/01/this-w…

Con la crescente integrazione degli strumenti Linux nei sistemi consumer, Apple ha compiuto un passo importante verso i professionisti della sicurezza informatica. Con il rilascio di macOS Sequoia, l’azienda ha introdotto il proprio sistema a container, consentendo alle distribuzioni Linux di funzionare in un ambiente virtuale isolato sui dispositivi Apple Silicon. Una delle prime distribuzioni compatibili è stata Kali Linux, una popolare piattaforma per penetration test e analisi di sicurezza.

Alla WWDC 2025 è stato annunciato un nuovo framework chiamato Container. Questo meccanismo consente a Linux di funzionare all’interno della virtualizzazione integrata in macOS, senza la necessità di installare un hypervisor di terze parti. La tecnologia è disponibile esclusivamente sui computer con processori ARM di Apple, il che la rende non disponibile per i possessori di Mac con processore Intel.

L’ambiente container viene installato tramite Homebrew con il comando brew install –cask container, dopodiché il sistema viene attivato tramite container system start . L’utente può quindi avviare Kali con il comando container run –rm -it kalilinux/kali-rolling , che estrae l’immagine da DockerHub e la esegue all’interno della macchina virtuale macOS. Se necessario, è possibile montare una directory locale all’interno del container utilizzando –volume e –workdir , consentendo a Kali di accedere direttamente ai file host.

Tuttavia, l’implementazione di Apple presenta delle limitazioni. Kali Linux segnala ufficialmente problemi con le interfacce di rete in Sequoia 15: i container potrebbero non avere un indirizzo IP o l’accesso alla rete potrebbe essere completamente bloccato. Il team consiglia di fare affidamento sulla documentazione di Apple per risolvere tali problemi. Inoltre, secondo gli esperti, qualsiasi attività che richieda l’accesso diretto all’hardware fisico non potrà essere eseguita in questa configurazione: i container sono, per definizione, isolati dall’hardware.

Nonostante queste sfumature, la possibilità di eseguire Kali su macOS senza dover configurare una macchina virtuale completa o utilizzare il dual boot semplifica notevolmente il lavoro quotidiano di pentester e analisti. Questo è particolarmente importante per coloro che preferiscono macOS come sistema operativo principale, ma utilizzano regolarmente strumenti Linux. Le funzionalità del nuovo framework rendono l’esecuzione di Kali quasi semplice quanto lavorare con Docker, mantenendo al contempo sicurezza e prestazioni relativamente elevate.

Per Apple, questa mossa segna un più ampio riconoscimento dell’importanza di Linux nei flussi di lavoro professionali. E per la comunità della sicurezza informatica, rappresenta un ulteriore ponte tra due mondi a lungo separati da barriere architettoniche.

L'articolo Kali Linux ora su macOS Sequoia con Apple Silicon! la containerizzazione secondo Apple proviene da il blog della sicurezza informatica.

La Zero Day Initiative (ZDI) di Trend Micro ha annunciato una ricompensa degna da broker zeroday!

Si parla di una ricompensa senza precedenti pari ad 1.000.000 di dollari per chi riuscirà a sviluppare un exploit di esecuzione di codice remoto (RCE) zero-click contro WhatsApp durante l’edizione 2025 di Pwn2Own Ireland.

Questa taglia record, co-finanziata da Meta, segna la più alta vincita singola mai offerta nella storia del concorso e mette in evidenza quanto sia cruciale proteggere la piattaforma di messaggistica più popolare al mondo.

Punti chiave

1. Taglia record di 1 milione di dollari per un exploit zero-click su WhatsApp
2. Concorso articolato in 8 categorie; iscrizioni entro il 16 ottobre 2025
3. L’aumento della ricompensa da 300.000 a 1.000.000 di dollari riflette la crescente minaccia degli attacchi da parte di stati nazionali e attraverso l’utilizzo di spyware

Ricompense per exploit zero-click su WhatsApp

La collaborazione tra Meta e Pwn2Own Ireland 2025 segna un cambio di passo nella strategia dei big tech per incentivare la ricerca sulle vulnerabilità più critiche. Con oltre tre miliardi di utenti, WhatsApp rappresenta un obiettivo privilegiato per attori sponsorizzati da stati nazionali e gruppi APT (Advanced Persistent Threat), che puntano a comprometterla senza bisogno di alcuna interazione dell’utente.

L’incremento della taglia rispetto ai 300.000 dollari dello scorso anno testimonia l’impegno crescente di Meta nella prevenzione proattiva delle minacce più sofisticate. In particolare, il premio da un milione di dollari sarà riservato a exploit zero-click capaci di ottenere l’esecuzione completa di codice remoto.

Saranno comunque previsti premi minori per vulnerabilità che richiedono un’interazione minima o che portano solo a un’escalation di privilegi, come indicato dall’organizzazione. Questo sistema di ricompense a più livelli mira a stimolare la ricerca sull’intera superficie d’attacco dell’app, dai bug di corruzione della memoria a difetti logici nella gestione dei messaggi.

Le altre categorie del concorso

Pwn2Own Ireland 2025 si terrà a Cork dal 21 al 24 ottobre e includerà otto categorie che riflettono il panorama delle minacce moderne. Oltre alla categoria di messaggistica, i ricercatori potranno cimentarsi con:

• Nuovi attacchi tramite porta USB su dispositivi mobili, dimostrando attacchi di prossimità anche contro dispositivi bloccati;
• La categoria SOHO Smashup, che premia con 100.000 dollari e 10 punti “Master of Pwn” chi riuscirà a concatenare exploit su dispositivi di rete domestica nell’arco di 30 minuti;
• Dispositivi domestici smart, sistemi NAS di QNAP e Synology, dispositivi di sorveglianza e la tecnologia indossabile di Meta, come gli occhiali Ray-Ban e i visori Quest 3/3S.

Ogni categoria richiede exploit realistici, basati su superfici d’attacco esposte alla rete, vettori RF o scenari di prossimità.

Iscrizioni e aspettative

Le iscrizioni si chiuderanno alle ore 17:00 (ora irlandese) del 16 ottobre 2025. L’ordine delle dimostrazioni verrà stabilito tramite sorteggio. Nell’edizione 2024, Pwn2Own Ireland aveva premiato vulnerabilità per un valore complessivo di 1.066.625 dollari, riconoscendo oltre 70 exploit zero-day unici.

Con la partnership strategica di Meta e l’ampliamento delle categorie in gara, Pwn2Own Ireland 2025 promette di offrire un palcoscenico alle tecniche di exploit più avanzate, rafforzando la sicurezza globale attraverso la divulgazione responsabile delle vulnerabilità.

L'articolo WhatsApp nel mirino! Al Pwn2Own Ireland 2025, 1 milione di dollari per un exploit RCE zero-click proviene da il blog della sicurezza informatica.

😂😂😂

ilpost.it/2025/08/01/sentenza-…

Sui “paesi sicuri” l’Unione Europea ha dato torto al governo

Con una sentenza della Corte di giustizia che avrà conseguenze soprattutto sui centri in Albania, almeno fino all'anno prossimo

^{Il Post}

Onlangs hebben wij een enquete gehouden over de situatie in Israel en Gaza. Ruim 200 van jullie hebben gereageerd en dat motiveert ons om in de toekomst vaker dit soort onderzoeken te doen onder onze leden. De belangrijkste uitslagen van de Gaza-enquete zijn als volgt: Ben je er voorstander van dat er een partijstandpunt wordt […]

Het bericht Enquête over Gaza verscheen eerst op Piratenpartij.

Il suo ultimo video: “Costretta ad andare all’estero, il mio appello è caduto nel vuoto. Ogni dolore va rispettato”

Dopo i 3 dinieghi della azienda sanitaria, la triestina, affetta da sclerosi multipla, è stata accompagnata da Claudio Stellari e Matteo D’Angelo, volontari di Soccorso Civile, l’associazione per le disobbedienze civili sul fine vita di cui è responsabile legale Marco Cappato, con l’aiuto di altre 31 persone

Venerdì 1° agosto alle 13:30, a Trieste, è prevista una conferenza stampa presso l’Antico Caffè San Marco, in via Cesare Battisti 18. Sarà possibile seguire la Conferenza anche dal canale YouTube dell’Associazione Luca Coscioni. Sono previsti gli interventi di Marco Cappato, Claudio Stellari, Matteo D’Angelo e Felicetta Maltese.

Martina Oppelli, 50enne triestina, affetta da sclerosi multipla da oltre 20 anni, è morta questa mattina in Svizzera, dove ha avuto accesso al suicidio medicalmente assistito. È stata accompagnata da Claudio Stellari e Matteo D’Angelo, iscritti a Soccorso Civile, l’associazione che fornisce assistenza alle persone che hanno deciso di porre fine alle proprie sofferenze all’estero, e di cui è rappresentante legale Marco Cappato. Insieme a loro, hanno fornito aiuto logistico ed economico altre 31 persone, i cui nomi saranno resi pubblici.

Lo scorso 4 giugno, Oppelli aveva ricevuto il terzo diniego da parte della azienda sanitaria ASUGI in merito alla verifica delle condizioni per accedere al suicidio medicalmente assistito: secondo l’azienda sanitaria non era sottoposta ad alcun trattamento di sostegno vitale, nonostante la completa dipendenza dall’assistenza continuativa dei caregivers e da presidi medici (farmaci, catetere e macchina della tosse).

Per questo motivo lo scorso 19 giugno – assistita dal team legale coordinato da Filomena Gallo, avvocata e Segretaria nazionale dell’Associazione Luca Coscioni – Oppelli ha presentato un’opposizione al diniego, accompagnata da una diffida e messa in mora nei confronti dell’azienda sanitaria. A seguito della diffida, è stata avviata una nuova procedura di valutazione da parte della commissione medica, ma Martina Oppelli ha deciso di andare in Svizzera per accedere all’aiuto alla morte volontaria perché era impossibile per lei attendere altro tempo per una risposta: le sofferenze non erano in alcun modo tollerabili.

Queste le parole di Martina Oppelli affidate all’Associazione Luca Coscioni in un video registrato in Svizzera.

youtube.com/embed/qjv8w4lWwE0?…

Gentili parlamentari e concittadini tutti, non so se vi ricordate di me, sono Martina Oppelli. Più di un anno fa feci un appello a tutti voi affinché venisse promulgata e approvata una legge, una legge sensata che regoli il fine vita, che porti a un fine vita dignitoso tutte le persone, malate, anziane, ma non importa, prima o poi tutti noi dobbiamo misurarci con la fine della nostra vita terrena. Sì, questo appello è finito nel vuoto.

Io all’epoca, ormai due anni fa, mi appellai alla sentenza Cappato per poter accedere al cosiddetto suicidio assistito presso l’azienda sanitaria della mia Regione. Per ben tre volte mi è stato negato, benché io ne avessi il diritto, ma chissà, forse non abbastanza, forse non lo so perché, io non ho tempo per aspettare un quarto diniego, ma anche se fosse un assenso io ero allo stremo delle mie forze. Sono in Svizzera, sì, forse una fuga direte voi, no, no, no, è un ultimo viaggio.

Ho pensato che forse avrei dato meno fastidio, meno problemi, fuggendo all’estero, com’è la cosiddetta fuga di cervelli all’estero, ma non importa, sono qui e voglio restare qui e morire dignitosamente qui in Svizzera. Ma perché, perché dobbiamo andare all’estero, perché dobbiamo pagare, anche affrontare dei viaggi assurdi? Io ho fatto un viaggio lunghissimo, dopo che non uscivo da casa da più di un mese e non lasciavo la mia città da oltre undici anni, è stato veramente uno sforzo titanico, ma l’ho fatto per avere una fine dignitosa alla mia sofferenza, per piacere. Io non voglio che questo iter si ripeta per altre persone, non potete rimandarci sempre a settembre, ogni anno a settembre, perché ci sono urgenze più grandi.

Sappiate che sono pienamente consapevole che esistono tragedie enormi, genocidi, terremoti, alluvioni e che magari la misera vita di una singola persona e la sua sofferenza appaiono troppo piccole in confronto a una guerra, ma il macrocosmo è fatto da infiniti microcosmi, già, e ogni microcosmo ha un proprio dolore e ogni dolore è assoluto nel momento in cui viene vissuto e va rispettato. Quindi, per piacere, ascoltate anche noi, non accomunate immagini di guerre, battaglie, terremoti anche alla mia immagine o all’immagine di altri malati, come se fossi quasi offensivo, sì, è offensivo pensare di sperare, di porre fine alle proprie sofferenze, quando altre persone fanno di tutto per vivere. Anche noi abbiamo fatto di tutto per vivere, credetemi.

Io sono 30 anni che mi arrampico sugli specchi pur di conservare questo sorriso che si sta lentamente spegnendo, rispettate ognuno di noi. Simone Weil, grande filosofa francese, scriveva “ognuno ha il proprio olocausto privato.” Così, il fine vita tocca a tutti prima o poi, può accadere a 120 anni, può accadere a 50, può accadere prima, ogni scelta va rispettata.

Fate una legge che abbia un senso, una legge che tenga conto di ogni dolore possibile, che ci siano dei limiti, certo, delle verifiche, ma non potete fare attendere due, tre anni prima di prendere una decisione. In questi ultimi due anni il mio corpo si è disgregato, io non ho più forza, ma non ho più forza nemmeno di respirare delle volte, perfino i comandi vocali non mi capiscono più. Ecco, io ho anche il catetere vescicale, ho un tubo di scappamento come una macchina al quale non sarei mai voluta arrivare, perché io non sono una macchina, sono un essere umano, io non funziono, io vivo e voglio vivere dignitosamente fino alla fine, o desideravo. Adesso desidero morire dignitosamente, per piacere.

Fate una legge sensata, cercate di mettervi nei panni di chiunque, di chiunque. Non esiste nessuna guerra utile in questo mondo, ogni battaglia è inutile, mettiamo da parte le diatribe politiche, perché non esiste destra o sinistra o centro, siamo tutti esseri umani, tutti, per piacere, per piacere, legiferate, ma legiferate con buon senso. Scusate il disturbo, me ne vado in silenzio, io miro all’oblio, non cercavo la fama, forse cercavo solo di evitare la fame in questi anni, lavorando onestamente, pagando le tasse onestamente, pagando anche i contributi di chi mi assisteva giorno e notte in questo paese onestamente. Perché sono dovuta venire qui all’estero? Perché non ce la facevo più ad aspettare, non ce la facevo più. Per piacere fate una legge che abbia un senso e che non discrimini nessuna situazione plausibile. Scusate il disturbo.

L'articolo Martina Oppelli è morta in Svizzera proviene da Associazione Luca Coscioni.